我正在研究Kubernetes,并且对Kubernetes用户有疑问。我了解了如何创建用户以及如何通过角色来限制访问,但是什么时候应该使用它?例如,如果恶意用户(不是k8s用户,而是操作用户)渗透到k8s服务器,则他们可以轻松切换管理员(如果他们可以看到.kube/config)。除此之外,如果用户切换了他或她的用户帐户而忘记了切换回去,那么下一个输入的其他人也可以使用第一个用户的帐户。我怀疑是否误解了k8s用户的用法,但是似乎没有关于k8s为何准备它的文件。我假设用户仅用于在pod内执行某项操作,但是如果是这样,用户帐户和服务帐户之间有什么区别?
答案 0 :(得分:0)
Kubernetes对用户的想法很宽松。它知道身份验证是一回事,并且身份验证的输出是名称,也许还有一些组和标签。但是实际上,所有这些操作都会将信息传递给授权插件,以决定是否允许给定请求。 ServiceAccounts是一种特定的对象类型,因为它们会为您生成一个由集群签名的JWT,但没有特定的User类型,它仅存在于身份验证插件的上下文中。