kubectlを使用して、CSRを作成して承認します。
CSRのリストを取得します。
kubectl get csr
CSRを承認します。
kubectl証明書はmyuserを承認します
証明書を取得する
CSRから証明書を取得します。
kubectl get csr / myuser -o yaml
johnにNEW_CRDリソースを作成する権限を与えるためのロールとロールバインディングは次のとおりです。
kubectl apply -f roleBindingJohn.yaml --as = john
rolebinding.rbac.authorization.k8s.io/john_external-rosource-rb作成された種類：RoleBinding apiVersion：rbac.authorization.k8s.io/v1メタデータ：
名前：john_crd
名前空間：development-john
科目：
-種類：ユーザー
名前：ジョン
apiGroup：rbac.authorization.k8s.io
roleRef：
種類：ClusterRole
名前：crd-creation
種類：ClusterRole
apiVersion：rbac.authorization.k8s.io/v1
メタデータ：
名前：crd-creation
ルール：
--apiGroups：["kubernetes-client.io/v1"]
リソース：["NEW_CRD"]
動詞：["作成、リスト、取得"]

サービスアカウントは、ポッドで実行されるプロセスのIDを提供します。
（人間が）クラスターにアクセスすると（たとえば、kubectlを使用して）、特定のユーザーアカウントとしてapiserverによって認証されます（クラスター管理者がクラスターをカスタマイズしていない限り、現在、これは通常adminです）。ポッド内のコンテナー内のプロセスもapiserverに接続できます。その場合、特定のサービスアカウントとして認証されます（たとえば、デフォルト）。
ポッドを作成するときに、サービスアカウントを指定しない場合、同じ名前空間のデフォルトのサービスアカウントが自動的に割り当てられます。作成したポッドの生のjsonまたはyamlを取得すると（たとえば、kubectl get pods / <podname> -o yaml）、spec.serviceAccountNameフィールドが自動的に設定されていることがわかります。
「クラスターへのアクセス」で説明されているように、自動的にマウントされたサービスアカウントのクレデンシャルを使用して、ポッド内からAPIにアクセスできます。サービスアカウントのAPI権限は、使用中の認証プラグインとポリシーによって異なります。
バージョン1.6以降では、サービスアカウントにautomountServiceAccountToken：falseを設定することで、サービスアカウントの自動マウントAPIクレデンシャルをオプトアウトできます。
apiVersion：v1
種類：ServiceAccount
メタデータ：
名前：build-robot
automountServiceAccountToken：false
..。
バージョン1.6以降では、特定のポッドの自動マウントAPIクレデンシャルをオプトアウトすることもできます。
apiVersion：v1
種類：ポッド
メタデータ：
名前：my-pod
仕様：
serviceAccountName：ビルドロボット
automountServiceAccountToken：false
..。
両方がautomountServiceAccountToken値を指定している場合、ポッド仕様はサービスアカウントよりも優先されます。

Kubernetes監査は、クラスターに関するセキュリティ関連の時系列のレコードセットを提供します。Kube-apiserverが監査を実行します。実行の各段階での各リクエストはイベントを生成します。イベントは特定のポリシーに従って前処理され、バックエンドに書き込まれます。ポリシーは何を記録するかを決定し、バックエンドは記録を保持します。
CIS（Center for Internet Security）Kubernetesベンチマークコントロールへの準拠の一部として監査ログを構成することをお勧めします。
cluster.ymlの次の構成を使用して、監査ログをデフォルトで有効にできます。
サービス：
kube-api：
audit_log：
有効：true
監査ログを有効にすると、/ etc / kubernetes/audit-policy.yamlでデフォルト値を確認できるはずです。ログバックエンドは監査イベントをJSONlines形式でファイルに書き込みます。次のkube-apiserverフラグを使用して、ログ監査バックエンドを構成できます。
--audit-log-pathは、ログバックエンドが監査イベントの書き込みに使用するログファイルパスを指定します。このフラグを指定しないと、ログバックエンドが無効になります。-標準出力を意味します
--audit-log-maxageは、古い監査ログファイルを保持する最大日数を定義しました
--audit-log-maxbackupは、保持する監査ログファイルの最大数を定義します
--audit-log-maxsizeは、ローテーションされる前の監査ログファイルの最大サイズをメガバイト単位で定義します。クラスターのコントロールプレーンがkube-apiserverをポッドとして実行する場合は、hostPathをポリシーファイルとログの場所にマウントすることを忘れないでください。ファイル、監査レコードが保持されるようにします。例えば：
--audit-policy-file = / etc / kubernetes / audit-policy.yaml \
--audit-log-path = /var/log/audit.log

名前空間に特権ポッドが作成されないようにするPSPを作成します。
$ cat clusterrole-use-privileged.yaml
---
apiVersion：rbac.authorization.k8s.io/v1
種類：ClusterRole
メタデータ：
名前：use-privileged-psp
ルール：
--apiGroups：['policy']
リソース：['podsecuritypolicies']
動詞：['use']
resourceNames：
-デフォルト-psp
---
apiVersion：rbac.authorization.k8s.io/v1
種類：RoleBinding
メタデータ：
名前：privileged-role-bind
名前空間：psp-test
roleRef：
apiGroup：rbac.authorization.k8s.io
種類：ClusterRole
名前：use-privileged-psp
科目：
-種類：ServiceAccount
名前：privileged-sa
$ kubectl -n psp-test apply -f clusterrole-use-privileged.yaml
しばらくすると、特権ポッドが作成されます。
特権ポッドの作成を防止するprevent-privileged-policyという名前の新しいPodSecurityPolicyを作成します。
apiVersion：policy / v1beta1
種類：PodSecurityPolicy
メタデータ：
名前：例
仕様：
特権：false＃特権ポッドを許可しないでください！
＃残りはいくつかの必須フィールドに入力します。
seLinux：
ルール：RunAsAny
SupplementalGroups：
ルール：RunAsAny
runAsUser：
ルール：RunAsAny
fsGroup：
ルール：RunAsAny
ボリューム：
-'*'
そして、kubectlを使用して作成します。
kubectl-admin create -f example-psp.yaml
ここで、非特権ユーザーとして、単純なポッドを作成してみてください。
kubectl-user create -f- << EOF
apiVersion：v1
種類：ポッド
メタデータ：
名前：一時停止
仕様：
コンテナ：
-名前：一時停止
画像：k8s.gcr.io/pause
EOF
出力は次のようになります。
サーバーからのエラー（禁止）：「STDIN」の作成時のエラー：ポッド「一時停止」は禁止されています：ポッドのセキュリティポリシーに対して検証できません：[]名前空間のデフォルトでpsp-saという名前の新しいServiceAccountを作成します。
$ cat clusterrole-use-privileged.yaml
---
apiVersion：rbac.authorization.k8s.io/v1
種類：ClusterRole
メタデータ：
名前：use-privileged-psp
ルール：
--apiGroups：['policy']
リソース：['podsecuritypolicies']
動詞：['use']
resourceNames：
-デフォルト-psp
---
apiVersion：rbac.authorization.k8s.io/v1
種類：RoleBinding
メタデータ：
名前：privileged-role-bind
名前空間：psp-test
roleRef：
apiGroup：rbac.authorization.k8s.io
種類：ClusterRole
名前：use-privileged-psp
科目：
-種類：ServiceAccount
名前：privileged-sa
$ kubectl -n psp-test apply -f clusterrole-use-privileged.yaml
しばらくすると、特権ポッドが作成されます。
新しく作成されたポッドセキュリティポリシーprevent-privileged-policyを使用するprevent-roleという名前の新しいClusterRoleを作成します。
apiVersion：policy / v1beta1
種類：PodSecurityPolicy
メタデータ：
名前：例
仕様：
特権：false＃特権ポッドを許可しないでください！
＃残りはいくつかの必須フィールドに入力します。
seLinux：
ルール：RunAsAny
SupplementalGroups：
ルール：RunAsAny
runAsUser：
ルール：RunAsAny
fsGroup：
ルール：RunAsAny
ボリューム：
-'*'
そして、kubectlを使用して作成します。
kubectl-admin create -f example-psp.yaml
ここで、非特権ユーザーとして、単純なポッドを作成してみてください。
kubectl-user create -f- << EOF
apiVersion：v1
種類：ポッド
メタデータ：
名前：一時停止
仕様：
コンテナ：
-名前：一時停止
画像：k8s.gcr.io/pause
EOF
出力は次のようになります。
サーバーからのエラー（禁止）：「STDIN」の作成時のエラー：ポッド「一時停止」は禁止されています：ポッドのセキュリティポリシーに対して検証できません：[]作成されたClusterRoleをバインドするprevent-role-bindingという名前の新しいClusterRoleBindingを作成します作成されたSApsp-saへの役割。
apiVersion：rbac.authorization.k8s.io/v1
＃このロールバインディングにより、「jane」は「default」名前空間のポッドを読み取ることができます。
＃その名前空間に「pod-reader」という名前のロールがすでにある必要があります。
種類：RoleBinding
メタデータ：
名前：read-pods
名前空間：デフォルト
科目：
＃複数の「件名」を指定できます
-種類：ユーザー
名前：ジェーン＃「名前」では大文字と小文字が区別されます
apiGroup：rbac.authorization.k8s.io
roleRef：
＃"roleRef"は、Role/ClusterRoleへのバインディングを指定します
種類：ロール＃これはロールまたはClusterRoleである必要があります
name：pod-reader＃これは、apiGroupにバインドするロールまたはClusterRoleの名前と一致する必要があります：rbac.authorization.k8s.io apiVersion：rbac.authorization.k8s.io/v1 kind：ロールメタデータ：
名前空間：デフォルト
名前：ポッドリーダー
ルール：
--apiGroups：[""]＃""はコアAPIグループを示します
リソース：["ポッド"]
動詞：["get"、 "watch"、 "list"]