K8s RBAC 权限最小化实践

理解 RBAC 概念

RBAC（Role-Based Access Control）是 Kubernetes 中用于控制用户或服务账户对资源访问权限的安全模型。其核心组件包括：

• Role 和 ClusterRole：定义一组权限规则，分别作用于特定命名空间或整个集群
• RoleBinding 和 ClusterRoleBinding：将角色与用户、组或服务账户关联

实施最小权限原则

角色设计精细化

• 为每个具体任务创建独立角色，例如 pod-reader 只包含获取 Pod 信息的权限
• 避免使用通配符资源定义（如 *），明确指定 pods、deployments 等具体资源类型
• 限制动词范围，仅授予必要操作权限（如 get、list 而非 create、delete）

命名空间隔离

• 对业务敏感度不同的工作负载划分到独立命名空间
• 为每个命名空间创建专属角色，避免跨命名空间权限泄露
• 通过 RoleBinding 而非 ClusterRoleBinding 实现权限绑定

服务账户管控

• 为每个微服务创建独立服务账户（ServiceAccount）
• 禁止使用 default 服务账户运行工作负载
• 通过自动化工具（如 OPA Gatekeeper）强制实施服务账户关联策略

权限审核与监控

定期审计

• 使用 kubectl auth can-i 命令验证当前权限分配
• 结合 kubectl get rolebindings --all-namespaces 检查绑定关系
• 通过审计日志（Audit Log）追踪权限使用情况

权限提升控制

• 对高权限角色（如 cluster-admin）实施审批流程
• 使用时间限制的临时凭证（如通过 Vault 签发短期 Token）
• 对敏感操作启用二次认证（如 kubectl 插件审批）

自动化权限管理

策略即代码

• 使用 GitOps 工作流管理 RBAC 配置变更
• 通过 Helm 或 Kustomize 模板化角色定义
• 集成 CI/CD 流水线进行权限变更的自动化测试

动态权限调整

• 采用开源工具如 rbac-manager 实现声明式权限管理
• 对于短期任务，配置自动回收的临时角色
• 通过 Webhook 机制拦截异常权限请求

安全加固措施

默认拒绝策略

• 在所有命名空间部署 NetworkPolicy 限制非必要访问
• 配置 PodSecurityPolicy 或 PodSecurity Admission 控制容器权限
• 启用 --authorization-mode=RBAC 作为 API Server 的强制选项

权限泄露防护

• 定期轮换服务账户凭证
• 监控异常权限使用模式（如短时间内大量 list 操作）
• 通过工具如 kube-bench 检查 RBAC 配置合规性

典型角色示例

# 只读角色示例
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: monitoring
  name: metrics-reader
rules:
- apiGroups: [""]
  resources: ["pods", "services"]
  verbs: ["get", "list", "watch"]

权限验证公式
检查用户是否具有某权限：

权限有效性 = 角色权限 ∩ 绑定范围 ∩ 请求上下文

通过持续优化上述实践，可显著降低 Kubernetes 集群的横向移动风险，符合零信任架构的安全要求。建议结合 CIS Kubernetes Benchmark 进行周期性安全评估。