반응형
1. 개념
- 모든 네임스페이스에는 default SA가 존재
- 파드 생성 시 SA를 지정하지 않은 경우 default SA가 자동으로 설정
- custom SA를 생성할 수 있고, custom SA 파드에 지정한 후 컨테이너 내부에서 토큰 값도 확인 가능
2. ServiceAccount 보안
- automountServiceAccountToken: false 옵션을 pod 또는 SA에 추가하면 토큰이 자동으로 pod에 마운트되는 것을 방지할 수 있음
- default SA의 권한을 제거 또는 최소화하고 이를 사용하는 것이 가장 좋다
- SA 사용이 필요한 경우 custom SA를 생성하고 최소권한으로 ClusterRole 또는 Role 할당하여 사용
- K8s 1.24 버전부터 SA 생성 후 토큰을 별도로 생성해야 함(이전에는 SA 생성 시 토큰도 자동으로 생성)
3. 참고
반응형
'Kubernetes' 카테고리의 다른 글
| Kubernetes ETCD 암호화 개념 및 실습 (0) | 2024.03.05 |
|---|---|
| Kubernetes CertificateSigningRequests 개념 및 실습 (0) | 2024.03.01 |
| Kubernetes RBAC 개념 및 설정2 (0) | 2024.02.29 |
| Kubernetes 취약점 점검 오픈소스 (0) | 2024.02.29 |
| Kubernetes Pod IMDS 접근제어 (0) | 2024.02.29 |
