标签: kubernetes hashicorp-vault amazon-eks kubernetes-security
我们正在使用与Vault集成的EKS,并使用kubernetes作为Vault的“身份验证后端”。我们看到的一个安全漏洞是,如果某人可以访问kubelet证书,则他们可以模拟kubelet,因此可以获取已将pod映射到的服务帐户的机密(已按照Vault凭据访问该服务帐户的密码)。已定义保险柜角色),并通过保险柜进行身份验证并从保险柜中获取数据库凭据。有没有一种方法可以缓解这种情况。基本上,我们如何才能减轻有人冒充kubelet的风险。