ホーム
製品
OpenShift Container Platform
4.9
CI/CD
2.11. ストラテジーによるビルドのセキュリティー保護

2.11. ストラテジーによるビルドのセキュリティー保護

OpenShift Container Platform のビルドは特権付きコンテナーで実行されます。使用されるビルドストラテジーに応じて、権限がある場合は、ビルドを実行してクラスターおよびホストノードでの自らのパーミッションをエスカレートすることができます。セキュリティー対策として、ビルドを実行できるユーザーおよびそれらのビルドに使用されるストラテジーを制限します。カスタムビルドは特権付きコンテナー内で任意のコードを実行できるためにソースビルドより安全性が低くなります。そのためデフォルトで無効にされます。Dockerfile 処理ロジックにある脆弱性により、権限がホストノードで付与される可能性があるため、docker ビルドパーミッションを付与する際には注意してください。

デフォルトで、ビルドを作成できるすべてのユーザーには docker および Source-to-Image (S2I) ビルドストラテジーを使用するためにパーミッションが付与されます。クラスター管理者権限を持つユーザーは、ビルドストラテジーをユーザーにぐローバルに制限する方法についてのセクションで言及されているようにカスタムビルドストラテジーを有効にできます。

許可ポリシーを使用して、どのユーザーがどのビルドストラテジーを使用してビルドできるかについて制限することができます。各ビルドストラテジーには、対応するビルドサブリソースがあります。ストラテジーを使用してビルド作成するには、ユーザーにビルドを作成するパーミッションおよびビルドストラテジーのサブリソースで作成するパーミッションがなければなりません。ビルドストラテジーのサブリソースでの create パーミッションを付与するデフォルトロールが提供されます。

Expand

表2.3 ビルドストラテジーのサブリソースおよびロール
ストラテジー	サブリソース	ロール
Docker	ビルド/docker	system:build-strategy-docker
Source-to-Image (S2I)	ビルド/ソース	system:build-strategy-source
カスタム	ビルド/カスタム	system:build-strategy-custom
JenkinsPipeline	ビルド/jenkinspipeline	system:build-strategy-jenkinspipeline

2.11.1. ビルドストラテジーへのアクセスのグローバルな無効化
リンクのコピー

特定のビルドストラテジーへのアクセスをグローバルに禁止するには、クラスター管理者の権限を持つユーザーとしてログインし、system:authenticated グループから対応するロールを削除し、アノテーション rbac.authorization.kubernetes.io/autoupdate: "false" を適用してそれらを API の再起動間での変更から保護します。以下の例では、docker ビルドストラテジーを無効にする方法を示します。

手順

rbac.authorization.kubernetes.io/autoupdate アノテーションを適用します。

oc edit clusterrolebinding system:build-strategy-docker-binding

$ oc edit clusterrolebinding system:build-strategy-docker-binding

Copy to Clipboard

Toggle word wrap

出力例

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "false" 
  creationTimestamp: 2018-08-10T01:24:14Z
  name: system:build-strategy-docker-binding
  resourceVersion: "225"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/system%3Abuild-strategy-docker-binding
  uid: 17b1f3d4-9c3c-11e8-be62-0800277d20bf
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:build-strategy-docker
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:authenticated

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "false"


  creationTimestamp: 2018-08-10T01:24:14Z
  name: system:build-strategy-docker-binding
  resourceVersion: "225"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/system%3Abuild-strategy-docker-binding
  uid: 17b1f3d4-9c3c-11e8-be62-0800277d20bf
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:build-strategy-docker
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:authenticated

Copy to Clipboard

Toggle word wrap

1: rbac.authorization.kubernetes.io/autoupdate アノテーションの値を "false" に変更します。

ロールを削除します。

oc adm policy remove-cluster-role-from-group system:build-strategy-docker system:authenticated

$ oc adm policy remove-cluster-role-from-group system:build-strategy-docker system:authenticated

Copy to Clipboard

Toggle word wrap

ビルドストラテジーのサブリソースもこれらのロールから削除されることを確認します。
```
oc edit clusterrole admin
```
```
$ oc edit clusterrole admin
```
Copy to Clipboard Toggle word wrap
```
oc edit clusterrole edit
```
```
$ oc edit clusterrole edit
```
Copy to Clipboard Toggle word wrap

ロールごとに、無効にするストラテジーのリソースに対応するサブリソースを指定します。

admin の docker ビルドストラテジーの無効化

kind: ClusterRole
metadata:
  name: admin
...
- apiGroups:
  - ""
  - build.openshift.io
  resources:
  - buildconfigs
  - buildconfigs/webhooks
  - builds/custom 
  - builds/source
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch
...

kind: ClusterRole
metadata:
  name: admin
...
- apiGroups:
  - ""
  - build.openshift.io
  resources:
  - buildconfigs
  - buildconfigs/webhooks
  - builds/custom


  - builds/source
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch
...

Copy to Clipboard

Toggle word wrap

1: builds/custom と builds/source を追加しして、admin ロールが割り当てられたユーザーに対して docker ビルドをグローバルに無効にします。

2.11.2. ユーザーへのビルドストラテジーのグルーバルな制限
リンクのコピー

一連の特定ユーザーのみが特定のストラテジーでビルドを作成できます。

前提条件

ビルドストラテジーへのグローバルアクセスを無効にします。

手順

ビルドストラテジーに対応するロールを特定ユーザーに割り当てます。たとえば、system:build-strategy-docker クラスターロールをユーザー devuser に追加するには、以下を実行します。
```
oc adm policy add-cluster-role-to-user system:build-strategy-docker devuser
```
```
$ oc adm policy add-cluster-role-to-user system:build-strategy-docker devuser
```
Copy to Clipboard Toggle word wrap
警告
ユーザーに対して builds/docker サブリソースへのクラスターレベルでのアクセスを付与することは、そのユーザーがビルドを作成できるすべてのプロジェクトにおいて、docker ストラテジーを使ってビルドを作成できることを意味します。

2.11.3. プロジェクト内でのユーザーへのビルドストラテジーの制限
リンクのコピー

ユーザーにビルドストラテジーをグローバルに付与するのと同様に、プロジェクト内の特定ユーザーのセットのみが特定ストラテジーでビルドを作成することを許可できます。

前提条件

ビルドストラテジーへのグローバルアクセスを無効にします。

手順

ビルドストラテジーに対応するロールをプロジェクト内の特定ユーザーに付与します。たとえば、プロジェクト devproject 内の system:build-strategy-docker ロールをユーザー devuser に追加するには、以下を実行します。
```
oc adm policy add-role-to-user system:build-strategy-docker devuser -n devproject
```
```
$ oc adm policy add-role-to-user system:build-strategy-docker devuser -n devproject
```
Copy to Clipboard Toggle word wrap

トップに戻る

2.11. ストラテジーによるビルドのセキュリティー保護

2.11.1. ビルドストラテジーへのアクセスのグローバルな無効化
リンクのコピー

2.11.2. ユーザーへのビルドストラテジーのグルーバルな制限
リンクのコピー

2.11.3. プロジェクト内でのユーザーへのビルドストラテジーの制限
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.11. ストラテジーによるビルドのセキュリティー保護

2.11.1. ビルドストラテジーへのアクセスのグローバルな無効化リンクのコピーリンクがクリップボードにコピーされました!

2.11.2. ユーザーへのビルドストラテジーのグルーバルな制限リンクのコピーリンクがクリップボードにコピーされました!

2.11.3. プロジェクト内でのユーザーへのビルドストラテジーの制限リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.11.1. ビルドストラテジーへのアクセスのグローバルな無効化
リンクのコピー

2.11.2. ユーザーへのビルドストラテジーのグルーバルな制限
リンクのコピー

2.11.3. プロジェクト内でのユーザーへのビルドストラテジーの制限
リンクのコピー