Ночью прошла церемония Оскар, поэтому мы спешим поговорить про главные роли. Точнее про механизм управления RBAC в Kubernetes. Мы собрали чек-лист безопасности из 10 пунктов, но вы, возможно, добавите что-то еще в комментариях (это намек 😉). 📌 Ни один пользователь/сервис не имеет cluster-admin, кроме аварийных аккаунтов. 📌 default ServiceAccount не имеет привилегий или имеет отключенный automountServiceAccountToken. 📌 Каждое приложение использует выделенный ServiceAccount с минимальными правами. 📌 Доступ к secrets предоставляется явно через resourceNames, а не через . А еще можно использовать внешние секрет-менеджеры, например, Vault. 📌 Нет ClusterRoleBinding с комбинацией verbs: [""] + resources: ["*"]. 📌 Изменения RBAC проходят ревью через GitOps/PR-процесс. 📌 Регулярный аудит прав реализуется через kubectl-who-can или аналогичные инструменты. 📌 Разработчики получают только Namespace-scoped Role + RoleBinding с ограниченными verbs, но не cluster-admin. 📌 Создаем и указываем serviceAccountName в PodSpec, чтобы случайно не передать права по наследству. 📌 Используем namespace-scoped привязки, когда возможно, чтобы обеспечивать необходимую область видимости.