Kubernetes(k8s)中如何确保每个服务和用户拥有适当的最小权限？

1. 启用RBAC：在集群配置中激活基于角色的访问控制（RBAC），限制所有操作默认无权限。
2. 定义角色（Role/ClusterRole）：为服务或用户创建最小权限的角色，仅包含必要的API资源及操作（如get、list）。
3. 绑定角色（RoleBinding/ClusterRoleBinding）：将角色通过ServiceAccount或用户组绑定，避免直接绑定到个人用户。
4. 使用独立ServiceAccount：为每个服务创建专属ServiceAccount，并关联仅需权限的角色。
5. 限制Token访问：通过准入控制器（如OPA Gatekeeper）禁止服务挂载默认ServiceAccount Token。
6. 审计权限配置：定期执行kubectl auth can-i命令或工具扫描，验证权限是否符合最小原则。
7. 启用审计日志：记录API请求，监控异常行为并动态调整权限策略。

在Kubernetes中，确保最小权限的核心方法是使用RBAC（基于角色的访问控制）。通过定义Role/RoleBinding（命名空间级别）或ClusterRole/ClusterRoleBinding（集群级别），明确指定用户或服务账户（ServiceAccount）对特定资源（如Pod、Service）的操作权限（如get、list、create）。

延伸知识点：RBAC中的Role与ClusterRole

1. Role：作用于单个命名空间，例如创建一个允许读取Pod的Role：

   apiVersion: rbac.authorization.k8s.io/v1
   kind: Role
   metadata:
    namespace: default
    name: pod-reader
   rules:
   - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "list"]

2. ClusterRole：作用于集群范围（如节点、持久化卷），或跨命名空间的资源（如跨所有命名空间的Pod读取权限）。
3. 绑定：通过RoleBinding将Role与ServiceAccount关联，例如：

   apiVersion: rbac.authorization.k8s.io/v1
   kind: RoleBinding
   metadata:
    name: read-pods
    namespace: default
   subjects:
   - kind: ServiceAccount
    name: my-app
   roleRef:
    kind: Role
    name: pod-reader

   实际使用中需严格遵循最小权限原则，避免赋予*通配符权限，并定期审计权限分配。

在Kubernetes中实施最小权限原则需从多维度控制访问边界。核心措施包括：1. 精细化RBAC：基于命名空间划分角色，避免ClusterRole滥用，严格遵循“需知”原则定义权限粒度；2. 服务账户隔离：每个微服务独立分配ServiceAccount，禁用默认账户挂载，通过automountServiceAccountToken控制令牌注入；3. 动态准入策略：集成OPA Gatekeeper或Kyverno，强制校验Pod SecurityContext、Volume挂载等敏感操作；4. 零信任网络：基于Cilium NetworkPolicy实现服务间东西向流量白名单，限制非必要通信；5. 定期权限审计：利用kubectl audit及工具链分析实际API调用日志，清理僵尸权限。同时需结合命名空间隔离、短期凭证轮转等机制，构建纵深防御体系。