|
| 1 | +--- |
| 2 | +title: Podのセキュリティアドミッション |
| 3 | +content_type: concept |
| 4 | +weight: 20 |
| 5 | +min-kubernetes-server-version: v1.22 |
| 6 | +--- |
| 7 | + |
| 8 | + |
| 9 | +<!-- overview --> |
| 10 | + |
| 11 | +{{< feature-state for_k8s_version="v1.23" state="beta" >}} |
| 12 | + |
| 13 | +Kubernetesの[Podセキュリティの標準](/ja/docs/concepts/security/pod-security-standards/)はPodに対して異なる分離レベルを定義します。 |
| 14 | +これらの標準によって、Podの動作をどのように制限したいかを、明確かつ一貫した方法で定義することができます。 |
| 15 | + |
| 16 | +ベータ版機能として、Kubernetesは[PodSecurityPolicy](/docs/concepts/policy/pod-security-policy/)の後継である組み込みの _Pod Security_ {{< glossary_tooltip text="アドミッションコントローラー" term_id="admission-controller" >}}を提供しています。 |
| 17 | +Podセキュリティの制限は、Pod作成時に{{< glossary_tooltip text="名前空間" term_id="namespace" >}}レベルで適用されます。 |
| 18 | + |
| 19 | +{{< note >}} |
| 20 | +PodSecurityPolicy APIは非推奨であり、v1.25でKubernetesから[削除](/docs/reference/using-api/deprecation-guide/#v1-25)される予定です。 |
| 21 | +{{< /note >}} |
| 22 | + |
| 23 | + |
| 24 | +<!-- body --> |
| 25 | + |
| 26 | +## `PodSecurity`アドミッションプラグインの有効化 {#enabling-the-podsecurity-admission-plugin} |
| 27 | +v1.23において、`PodSecurity`の[フィーチャーゲート](/ja/docs/reference/command-line-tools-reference/feature-gates/)はベータ版の機能で、デフォルトで有効化されています。 |
| 28 | +v1.22において、`PodSecurity`の[フィーチャーゲート](/ja/docs/reference/command-line-tools-reference/feature-gates/)はアルファ版の機能で、組み込みのアドミッションプラグインを使用するには、`kube-apiserver`で有効にする必要があります。 |
| 29 | + |
| 30 | +```shell |
| 31 | +--feature-gates="...,PodSecurity=true" |
| 32 | +``` |
| 33 | + |
| 34 | +## 代替案:`PodSecurity`アドミッションwebhookのインストール {#webhook} |
| 35 | + |
| 36 | +クラスターがv1.22より古い、あるいは`PodSecurity`機能を有効にできないなどの理由で、ビルトインの`PodSecurity`アドミッションプラグインが使えない環境では、`PodSecurity`はアドミッションロジックはベータ版の[validating admission webhook](https://git.k8s.io/pod-security-admission/webhook)としても提供されています。 |
| 37 | + |
| 38 | +ビルド前のコンテナイメージ、証明書生成スクリプト、マニフェストの例は、[https://git.k8s.io/pod-security-admission/webhook](https://git.k8s.io/pod-security-admission/webhook)で入手可能です。 |
| 39 | + |
| 40 | + |
| 41 | +インストール方法: |
| 42 | +```shell |
| 43 | +git clone [email protected]:kubernetes/pod-security-admission.git |
| 44 | +cd pod-security-admission/webhook |
| 45 | +make certs |
| 46 | +kubectl apply -k . |
| 47 | +``` |
| 48 | + |
| 49 | +{{< note >}} |
| 50 | +生成された証明書の有効期限は2年間です。有効期限が切れる前に、証明書を再生成するか、内蔵のアドミッションプラグインを使用してWebhookを削除してください。 |
| 51 | +{{< /note >}} |
| 52 | + |
| 53 | +## Podのセキュリティレベル {#pod-security-levels} |
| 54 | + |
| 55 | +Podのセキュリティアドミッションは、Podの[Security Context](/docs/tasks/configure-pod-container/security-context/)とその他の関連フィールドに、[Podセキュリティの標準](/ja/docs/concepts/security/pod-security-standards)で定義された3つのレベル、`privileged`、`baseline`、`restricted`に従って要件を設定するものです。 |
| 56 | +これらの要件の詳細については、[Podセキュリティの標準](/ja/docs/concepts/security/pod-security-standards)のページを参照してください。 |
| 57 | + |
| 58 | +## Podの名前空間に対するセキュリティアドミッションラベル {#pod-security-admission-labels-for-namespaces} |
| 59 | + |
| 60 | +この機能を有効にするか、Webhookをインストールすると、名前空間を設定して、各名前空間でPodセキュリティに使用したいadmission controlモードを定義できます。 |
| 61 | +Kubernetesは、名前空間に使用したい定義済みのPodセキュリティの標準レベルのいずれかを適用するために設定できる{{< glossary_tooltip term_id="label" text="ラベル" >}}のセットを用意しています。 |
| 62 | +選択したラベルは、以下のように違反の可能性が検出された場合に{{< glossary_tooltip text="コントロールプレーン" term_id="control-plane" >}}が取るアクションを定義します。 |
| 63 | + |
| 64 | +{{< table caption="Podのセキュリティアドミッションのモード" >}} |
| 65 | +モード | 説明 |
| 66 | +:---------|:------------ |
| 67 | +**enforce** | ポリシーに違反した場合、Podは拒否されます。 |
| 68 | +**audit** | ポリシー違反は、[監査ログ](/ja/docs/tasks/debug-application-cluster/audit/)に記録されるイベントに監査アノテーションを追加するトリガーとなりますが、それ以外は許可されます。 |
| 69 | +**warn** | ポリシーに違反した場合は、ユーザーへの警告がトリガーされますが、それ以外は許可されます。 |
| 70 | +{{< /table >}} |
| 71 | + |
| 72 | +名前空間は、任意のまたはすべてのモードを設定することができ、異なるモードに対して異なるレベルを設定することもできます。 |
| 73 | + |
| 74 | +各モードには、使用するポリシーを決定する2つのラベルがあります。 |
| 75 | +```yaml |
| 76 | +# モードごとのレベルラベルは、そのモードに適用するポリシーレベルを示す。 |
| 77 | +# |
| 78 | +# MODEは`enforce`、`audit`、`warn`のいずれかでなければならない。 |
| 79 | +# LEVELは`privileged`、`baseline`、`restricted`のいずれかでなければならない。 |
| 80 | +pod-security.kubernetes.io/<MODE>: <LEVEL> |
| 81 | + |
| 82 | +# オプション: モードごとのバージョンラベルは、Kubernetesのマイナーバージョンに同梱される |
| 83 | +# バージョンにポリシーを固定するために使用できる(例えばv{{< skew latestVersion >}}など)。 |
| 84 | +# |
| 85 | +# MODEは`enforce`、`audit`、`warn`のいずれかでなければならない。 |
| 86 | +# VERSIONは有効なKubernetesのマイナーバージョンか`latest`でなければならない。 |
| 87 | +pod-security.kubernetes.io/<MODE>-version: <VERSION> |
| 88 | +``` |
| 89 | +
|
| 90 | +[名前空間ラベルでのPodセキュリティの標準の適用](/docs/tasks/configure-pod-container/enforce-standards-namespace-labels)で使用例を確認できます。 |
| 91 | +
|
| 92 | +
|
| 93 | +## WorkloadのリソースとPodテンプレート {#workload-resources-and-pod-templates} |
| 94 | +
|
| 95 | +Podは、{{< glossary_tooltip term_id="deployment" >}}や{{< glossary_tooltip term_id="job">}}のような[ワークロードオブジェクト](/ja/docs/concepts/workloads/controllers/)を作成することによって、しばしば間接的に生成されます。 |
| 96 | +ワークロードオブジェクトは_Pod template_を定義し、ワークロードリソースの{{< glossary_tooltip term_id="controller" text="コントローラー" >}}はそのテンプレートに基づきPodを作成します。 |
| 97 | +違反の早期発見を支援するために、auditモードとwarningモードは、ワークロードリソースに適用されます。 |
| 98 | +ただし、enforceモードはワークロードリソースには**適用されず**、結果としてのPodオブジェクトにのみ適用されます。 |
| 99 | +
|
| 100 | +## 適用除外(Exemption) {#exemptions} |
| 101 | +
|
| 102 | +Podセキュリティの施行から _exemptions_ を定義することで、特定の名前空間に関連するポリシーのために禁止されていたPodの作成を許可することができます。 |
| 103 | +Exemptionは[アドミッションコントローラーの設定](/docs/tasks/configure-pod-container/enforce-standards-admission-controller/#configure-the-admission-controller)で静的に設定することができます。 |
| 104 | +
|
| 105 | +Exemptionは明示的に列挙する必要があります。 |
| 106 | +Exemptionを満たしたリクエストは、アドミッションコントローラーによって _無視_ されます(`enforce`、`audit`、`warn`のすべての動作がスキップされます)。Exemptionの次元は以下の通りです。 |
| 107 | + |
| 108 | +- **Usernames:** 認証されていない(あるいは偽装された)ユーザー名を持つユーザーからの要求は無視されます。 |
| 109 | +- **RuntimeClassNames:** Podと[ワークロードリソース](#workload-resources-and-pod-templates)で指定された除外ランタイムクラス名は、無視されます。 |
| 110 | +- **Namespaces:** 除外された名前空間のPodと[ワークロードリソース](#workload-resources-and-pod-templates)は、無視されます。 |
| 111 | + |
| 112 | +{{< caution >}} |
| 113 | + |
| 114 | +ほとんどのPodは、[ワークロードリソース](#workload-resources-and-pod-templates)に対応してコントローラーが作成します。つまり、エンドユーザーを適用除外にするのはPodを直接作成する場合のみで、ワークロードリソースを作成する場合は適用除外になりません。 |
| 115 | +コントローラーサービスアカウント(`system:serviceaccount:kube-system:replicaset-controller`など)は通常、除外してはいけません。そうした場合、対応するワークロードリソースを作成できるすべてのユーザーを暗黙的に除外してしまうためです。 |
| 116 | + |
| 117 | +{{< /caution >}} |
| 118 | + |
| 119 | +以下のPodフィールドに対する更新は、ポリシーチェックの対象外となります。つまり、Podの更新要求がこれらのフィールドを変更するだけであれば、Podが現在のポリシーレベルに違反していても拒否されることはありません。 |
| 120 | + |
| 121 | +- すべてのメタデータの更新(seccompまたはAppArmorアノテーションへの変更を**除く**) |
| 122 | + - `seccomp.security.alpha.kubernetes.io/pod`(非推奨) |
| 123 | + - `container.seccomp.security.alpha.kubernetes.io/*`(非推奨) |
| 124 | + - `container.apparmor.security.beta.kubernetes.io/*` |
| 125 | +- `.spec.activeDeadlineSeconds`に対する有効な更新 |
| 126 | +- `.spec.tolerations`に対する有効な更新 |
| 127 | + |
| 128 | +## {{% heading "whatsnext" %}} |
| 129 | + |
| 130 | +- [Podセキュリティの標準](/ja/docs/concepts/security/pod-security-standards) |
| 131 | +- [Podセキュリティの標準の適用](/docs/setup/best-practices/enforcing-pod-security-standards) |
| 132 | +- [ビルトインのアドミッションコントローラーの設定によるPodセキュリティの標準の適用](/docs/tasks/configure-pod-container/enforce-standards-admission-controller) |
| 133 | +- [名前空間ラベルでのPodセキュリティの標準の適用](/docs/tasks/configure-pod-container/enforce-standards-namespace-labels) |
| 134 | +- [PodSecurityPolicyからビルトインのPodSecurityアドミッションコントローラーへの移行](/docs/tasks/configure-pod-container/migrate-from-psp) |
0 commit comments