Container Service for Kubernetes (ACK) menerbitkan file kubeconfig yang berisi kredensial identitas untuk akun Alibaba Cloud, Pengguna Manajemen Akses Sumber Daya (RAM), atau Peran RAM guna mendukung koneksi ke kluster. Anda dapat menggunakan fitur manajemen file kubeconfig untuk meninjau semua status kubeconfig yang diterbitkan pada tingkat kluster dan pengguna, memungkinkan Anda mencabut atau menonaktifkan file kubeconfig yang berpotensi terpapar risiko keamanan.
Ikhtisar file kubeconfig
File kubeconfig menyimpan kredensial yang digunakan oleh klien untuk mengakses kluster ACK. Anda dapat menggunakan Konsol ACK atau memanggil operasi API DescribeClusterUserKubeconfig untuk menanyakan file kubeconfig. Pastikan untuk mengelola kredensial kubeconfig secara aman guna mencegah kebocoran yang dapat menyebabkan paparan keamanan seperti pelanggaran data.
File kubeconfig memiliki garis waktu kedaluwarsa yang telah ditentukan, secara otomatis mencabut akses saat kedaluwarsa. Untuk detail lebih lanjut, lihat Bagaimana cara menanyakan tanggal kedaluwarsa sertifikat yang digunakan dalam file kubeconfig?
Status file kubeconfig
Tabel berikut menjelaskan status file kubeconfig yang digunakan di ACK.
Status | Deskripsi |
Tidak Diterbitkan | File kubeconfig kluster saat ini tidak diterbitkan kepada pengguna RAM atau peran RAM. |
Efektif | File kubeconfig kluster saat ini diterbitkan kepada pengguna RAM atau peran RAM dan file kubeconfig masih valid. |
File kubeconfig yang diterbitkan kepada pengguna RAM atau peran RAM dihapus tetapi izin Role-Based Access Control (RBAC) tidak dicabut. | |
Kedaluwarsa | File kubeconfig kluster saat ini diterbitkan kepada pengguna RAM atau peran RAM tetapi file kubeconfig telah kedaluwarsa. |
Dihapus | File kubeconfig kluster saat ini diterbitkan kepada pengguna RAM atau peran RAM tetapi file kubeconfig dihapus. Jika Anda menghapus file kubeconfig, informasi kubeconfig dan pengikatan RBAC dari pengguna RAM atau peran RAM juga dihapus. |
Untuk mencabut kredensial kubeconfig aktif, verifikasi terlebih dahulu validitas dan kebutuhannya. Sebagai contoh, hapus file kubeconfig yang diterbitkan kepada karyawan yang sudah tidak bekerja lagi untuk menghindari pembatalan kredensial valid yang sedang digunakan. Kami merekomendasikan Anda menggunakan ack-ram-authenticator untuk autentikasi webhook server API di kluster ACK yang dikelola, memungkinkan kontrol RBAC granular dan pencabutan otomatis kredensial kubeconfig ketika pengguna/role RAM terkait dihapus.
Sebelum menghapus file kubeconfig, pastikan tidak ada dependensi operasional yang ada. Jika tidak, akses server API kluster melalui kredensial ini akan dinonaktifkan secara permanen.
Anda bertanggung jawab atas pemeliharaan dan pengelolaan file kubeconfig. Pencabutan segera kredensial yang terganggu adalah wajib untuk kepatuhan keamanan.
Manajemen file kubeconfig
Dimensi | Skenario | Izin yang Diperlukan | Contoh |
Kluster | Kelola file kubeconfig dari semua pengguna RAM atau peran RAM di kluster ACK. |
| |
Pengguna RAM atau peran RAM | Kelola semua file kubeconfig yang diterbitkan kepada pengguna RAM atau peran RAM. |
| Contoh mengelola file kubeconfig yang diterbitkan kepada pengguna RAM atau peran RAM |
Pengguna RAM atau peran RAM yang dihapus | Kelola file kubeconfig sisa dari pengguna RAM atau peran RAM yang dihapus. File kubeconfig tersebut masih berlaku. |
|
Contoh mengelola file kubeconfig di kluster
Masuk ke Konsol ACK. Di panel navigasi kiri, klik Authorizations.
Di halaman Authorizations, klik tab KubeConfig File Management. Kemudian, temukan kluster target dan klik KubeConfig File Management di kolom Actions untuk melihat pengguna yang memegang file kubeconfig dan pengguna dengan izin RBAC historis dari file kubeconfig yang dicabut.
Jika akun Anda berisi pengguna/role RAM yang dihapus yang file kubeconfig terkaitnya masih aktif, konsol akan menampilkan notifikasi terkait.
Informasi pengguna: nama pengguna, ID pengguna, tipe akun, dan status akun.
Informasi file kubeconfig: tanggal kedaluwarsa dan status file kubeconfig.
Setelah Anda mengonfirmasi bahwa file kubeconfig kluster saat ini yang dimiliki oleh pengguna RAM atau peran RAM tidak digunakan oleh aplikasi apa pun, klik Delete KubeConfig File di kolom Actions yang sesuai dengan pengguna RAM atau peran RAM untuk menghapus file kubeconfig.
PentingSebelum menghapus file kubeconfig, pastikan tidak ada dependensi operasional yang ada. Jika tidak, akses server API kluster melalui kredensial ini akan dinonaktifkan secara permanen.
Anda bertanggung jawab atas pemeliharaan dan pengelolaan file kubeconfig. Pencabutan segera kredensial yang terganggu adalah wajib untuk kepatuhan keamanan.
Setelah Anda klik Delete KubeConfig File, sistem secara otomatis memeriksa catatan akses file kubeconfig dalam 7 hari terakhir dari log audit server API. Untuk menggunakan fitur ini, pastikan fitur audit kluster server API diaktifkan. Untuk informasi lebih lanjut, lihat Bekerja dengan audit kluster.
Contoh mengelola file kubeconfig yang diterbitkan kepada pengguna RAM atau peran RAM
Masuk ke Konsol ACK. Di panel navigasi kiri, klik Authorizations.
Di halaman Authorizations, klik tab RAM Users, temukan pengguna RAM target, dan klik KubeConfig Management di kolom Actions.
Panel KubeConfig Management menampilkan daftar status file kubeconfig di semua kluster yang terkait dengan pengguna RAM ini.
Informasi kluster: mencakup nama dan ID kluster.
Informasi file kubeconfig: mencakup tanggal kedaluwarsa dan status file kubeconfig, serta log audit 7 hari (khususnya log akses sertifikat).
Hapus file kubeconfig dari satu kluster atau hapus file kubeconfig dari beberapa kluster sekaligus. Sebelum Anda menghapus file kubeconfig, pastikan file kubeconfig tersebut tidak digunakan oleh aplikasi apa pun.
Hapus file kubeconfig dari satu kluster: Temukan kluster yang ingin Anda hapus file kubeconfignya dan klik Delete KubeConfig File di kolom Actions.
Hapus file kubeconfig dari beberapa kluster sekaligus: Pilih kluster yang ingin Anda hapus file kubeconfignya dan klik Delete KubeConfig File di bagian kiri bawah panel.
PentingSebelum menghapus file kubeconfig, pastikan tidak ada dependensi operasional yang ada. Jika tidak, akses server API kluster melalui kredensial ini akan dinonaktifkan secara permanen.
Anda bertanggung jawab atas pemeliharaan dan pengelolaan file kubeconfig. Pencabutan segera kredensial yang terganggu adalah wajib untuk kepatuhan keamanan.
Setelah Anda klik Delete KubeConfig File, sistem secara otomatis memeriksa catatan akses file kubeconfig dalam 7 hari terakhir dari log audit server API. Untuk menggunakan fitur ini, pastikan fitur audit kluster server API diaktifkan. Untuk informasi lebih lanjut, lihat Bekerja dengan audit kluster.
Contoh menghapus file kubeconfig sisa
ACK console
Masuk ke Konsol ACK. Di panel navigasi kiri, klik Authorizations.
Halaman Authorizations menampilkan pesan berikut jika ada file kubeconfig sisa dari pengguna RAM atau peran RAM yang telah dihapus.
Klik manage the kubeconfig files associated with invalid accounts di pesan untuk pergi ke halaman Delete KubeConfig Files of Deleted RAM Users/Roles.
Anda dapat melihat pengguna RAM atau peran RAM yang dihapus yang file kubeconfig dan izin RBAC-nya masih berlaku di halaman ini.
Pastikan file kubeconfig sisa yang akan dihapus tidak digunakan oleh aplikasi apa pun dan klik Delete KubeConfig File di sebelah kanan pengguna RAM atau peran RAM yang dihapus untuk menghapus file kubeconfig.
PentingSebelum menghapus file kubeconfig, pastikan tidak ada dependensi operasional yang ada. Jika tidak, akses server API kluster melalui kredensial ini akan dinonaktifkan secara permanen.
Anda bertanggung jawab atas pemeliharaan dan pengelolaan file kubeconfig. Pencabutan segera kredensial yang terganggu adalah wajib untuk kepatuhan keamanan.
Setelah Anda klik Delete KubeConfig File, sistem secara otomatis memeriksa catatan akses file kubeconfig dalam 7 hari terakhir dari log audit server API. Untuk menggunakan fitur ini, pastikan fitur audit kluster server API diaktifkan. Untuk informasi lebih lanjut, lihat Bekerja dengan audit kluster.
ack-ram-tool
Untuk informasi lebih lanjut tentang cara menggunakan ack-ram-tool untuk menghapus file kubeconfig, lihat Gunakan ack-ram-tool untuk mencabut izin pengguna tertentu pada kluster ACK.
FAQ
Apa itu pemeriksaan catatan akses 7 hari?
Fitur pemeriksaan catatan akses 7 hari memeriksa apakah file kubeconfig digunakan untuk mengakses kluster terkait dalam 7 hari terakhir. Hasil pemeriksaan hanya untuk referensi. Anda harus memastikan bahwa file kubeconfig yang akan dihapus tidak digunakan oleh aplikasi apa pun.
Untuk menggunakan fitur ini, pastikan fitur audit kluster server API diaktifkan. Untuk informasi lebih lanjut, lihat Bekerja dengan audit kluster.
Bagaimana saya memahami hasil pemeriksaan catatan akses 7 hari?
Hasil Pemeriksaan | Tipe | Penyebab |
Berhasil | Tidak ditemukan catatan akses. | File kubeconfig tidak digunakan untuk mengakses server API kluster dalam 7 hari terakhir. |
Ditemukan catatan akses. | File kubeconfig digunakan untuk mengakses server API kluster dalam 7 hari terakhir. | |
Gagal | Gagal menanyakan catatan akses. | Pemeriksaan catatan akses 7 hari gagal karena fitur audit kluster dinonaktifkan. |
Pemeriksaan catatan akses 7 hari gagal karena kesalahan lain seperti kegagalan koneksi kluster atau masalah jaringan. |
Dalam skenario apa saya tidak dapat menghapus file kubeconfig?
Status kluster abnormal: Jangan hapus file kubeconfig dari kluster yang berada dalam status Penghapusan Gagal, Menghapus, Dihapus, dan Gagal.
Status file kubeconfig atau sertifikat abnormal: Jangan hapus file kubeconfig yang berada dalam status Tidak Diterbitkan, Dicabut, dan Tidak Dikenal.
Anda tidak dapat menghapus file kubeconfig yang Anda miliki.
Anda tidak dapat menghapus file kubeconfig yang diterbitkan kepada akun Alibaba Cloud.
Bisakah saya memulihkan file kubeconfig yang terhapus secara tidak sengaja atau memulihkan versi historis file kubeconfig?
Anda dapat menggunakan tempat sampah kubeconfig untuk memulihkan file kubeconfig yang terhapus secara tidak sengaja atau memulihkan versi historis file kubeconfig. Untuk informasi lebih lanjut, lihat Gunakan tempat sampah kubeconfig.
Apa praktik keamanan terbaik untuk manajemen file kubeconfig?
Anda perlu mengelola akun dan kredensial yang digunakan untuk mengakses kluster ACK dan menjaga kerahasiaannya, seperti pasangan AccessKey pengguna RAM, token, dan file kubeconfig. Ikuti prinsip hak istimewa minimal saat Anda mengelola akun dan memberikan izin pada kluster ACK, serta cabut izin segera setelah tidak diperlukan. Sebagai contoh, setelah seorang karyawan mengundurkan diri, Anda perlu mencabut izin akses kluster dari akun karyawan tersebut sesegera mungkin. Selain itu, kami merekomendasikan Anda menggunakan ack-ram-authenticator untuk autentikasi webhook server API di kluster ACK yang dikelola sehingga file kubeconfig dan izin RBAC dari pengguna RAM atau peran RAM dapat dicabut secara otomatis setelah pengguna RAM atau peran RAM dihapus.
Anda bertanggung jawab atas kerugian atau konsekuensi apa pun yang disebabkan oleh kebocoran atau kedaluwarsa kredensial, seperti pasangan AccessKey pengguna RAM dan file kubeconfig, karena pengelolaan kredensial yang tidak tepat. Pastikan Anda telah membaca dan memahami persyaratan dalam model tanggung jawab bersama.
Referensi
Jika seorang karyawan meninggalkan perusahaan atau file kubeconfig diduga bocor, Anda dapat mencabut file kubeconfig dan menghasilkan file kubeconfig baru. Untuk informasi lebih lanjut, lihat Cabut file kubeconfig kluster.