А сегодня, в продолжении прошлого поста, давайте посмотрим на kubectl exec или на POST запрос /api/v1/namespaces/{namespace}/pods/{name}/exec кому как удобнее и приятнее - с точки зрения RBAC.

И тут для начала нужно вспомнить, что некоторые Kubernetes ресурсы имеют так называемые subresource, к которым как раз и относится exec, как и те же logs, attach, portforward и т.д. По итогу, чтобы пользователь мог делать exec ему необходимо иметь pods/exec:

- apiGroups: [""]
  resources: ["pods/exec"]
  verbs: ["create"]

k8s (in)security

А сегодня, в продолжении прошлого поста, давайте посмотрим на kubectl exec или на POST запрос /api/v1/namespaces/{namespace}/pods/{name}/exec кому как удобнее и приятнее - с точки зрения RBAC.

И тут для начала нужно вспомнить, что некоторые Kubernetes ресурсы имеют так называемые subresource, к которым как раз и относится exec, как и те же logs, attach, portforward и т.д. По итогу, чтобы пользователь мог делать exec ему необходимо иметь pods/exec:

- apiGroups: [""]
  resources: ["pods/exec"]
  verbs: ["create"]

Ну или "*" в графе resources ;)

Помните о "subresource" и управляйте правами в соответствии с принципом наименьших привилегий (Principle of least privilege).

Telegram

k8s (in)security

Есть легендарный пост на GitHub: "What happens when you type google.com into your browser's address box and press enter?" (и подобные), объясняющий что же там за магия творится .

Некоторое время назад на канале мы публиковали похожий материал "What happens…

hottg.com/k8security/332

1.5K viewsD1g1, Jun 30, 2021 at 06:25