Cloud Fortgeschritten
Kubernetes RBAC¶
KubernetesRBACSecurity 3 Min. Lesezeit
Role-Based Access Control in Kubernetes. Roles, ClusterRoles, Bindings und Service Accounts.
Konzept¶
RBAC steuert, wer (Subject) was (Verb) mit welcher Ressource (Resource) tun darf. Roles für Namespaces, ClusterRoles für den gesamten Cluster.
Beispiel¶
# Role — Nur-Lese-Zugriff auf Pods
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: production
name: pod-reader
rules:
- apiGroups: [""]
resources: ["pods", "pods/log"]
verbs: ["get", "list", "watch"]
---
# Binding
kind: RoleBinding
metadata:
namespace: production
name: read-pods
subjects:
- kind: User
name: [email protected]
roleRef:
kind: Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io
Best Practices¶
- Prinzip der geringsten Rechte
- Namespace-scoped Roles wo möglich
- Service Account pro Anwendung
- Regelmäßiges RBAC-Audit
Zusammenfassung¶
RBAC ist die Grundlage der K8s-Sicherheit. Konfigurieren Sie es immer — das Standard-Service-Account hat zu viele Rechte.
Brauchen Sie Hilfe bei der Implementierung?¶
Unser Team hat Erfahrung mit dem Entwurf und der Implementierung moderner Architekturen. Wir helfen Ihnen gerne.