今天這篇文章是用一個入學者的角度來探討什麼是 Service Account
基於 RBAC 的使用情境下,我們除了 Role & Rolebinding 外,我們也會需要一個所謂的 Subject 。
Subject 大抵上可以分成兩類,分別是 User 以及 Service Account,其中 User 比較偏向是給使用者使用的,不論是管理員或是開發者,背後都可以銜接不同的認證方式,來確保當前使用者是經過認證的,接者搭配 Role & Rolebinding 來幫該 User 授權給予相對的存取能力。
相反地, Service Account 的目標則不是活生生的人類,更偏向 Process 等自動化程式為主,不論是 Cluster 外部的應用程式,或是 Cluster 內的 Pod,都可以透過 Service Account 與 API Server 溝通來滿足認證。
預設情況下,我們跑起來的 Pod 都會掛上一個 Default 的 Service Account,然而你如果希望你的應用可以有更多的能力去跟 API Server 溝通,就需要考慮幫忙設定全新的 Service Account 搭配特定的 RBAC 規則。
本文會針對 Service Account 去簡單介紹,大致上先瞭解什麼是 Service Accont, 什麼情況會使用,要怎麼使用
https://medium.com/the-programmer/working-with-service-account-in-kubernetes-df129cb4d1cc
存取認證管理員 在 iThome Facebook 的最佳貼文
據說駭客是利用管理員帳號存取Deloitte的全球電子郵件伺服器,Deloitte坦承被駭,但只有極少數客戶受影響,但衛報指出至少6家Deloitte的客戶坦承被駭,且被入侵的原因是管理員權限沒有採用雙因素認證確保身份安全。