взломано, имеет ли оно больше доступа к secrets других приложений из того же namespace, чем secrets из других namespace?
Секреты не доступны между неймспейсами
зависит от serviceAccount и его прав. По умолчанию лучше вообще отключить моунт секретов от него в pod.
для каждого приложения свой serviceAccount вроде. Но если взломают один под с serviceAccount который может делать моунт секретов, он сможет замоунтить любой секрет из namespace?
так не монтируй токен от serviceAccount в под, и не будет никаких никуда доступов
если таки нужен токен serviceAccount в поде, то давай ему минимально необходимые права
Обсуждают сегодня