Kubernetes v1.36でKubelet APIのきめ細かい認可機能がGAに移行し最小権限アクセスを強化

Kubernetes SIG AuthとSIG Nodeは、Kubernetes v1.36においてKubelet APIのきめ細かい認可機能がGeneral Availability（GA）に移行したことを発表しました。この機能はKubernetes v1.32でアルファ版として導入され、v1.33でベータ版に昇格しデフォルトで有効化されていました。今回のGA移行により、KubeletFineGrainedAuthzフィーチャーゲートは恒久的に有効化されます。

KubeletはHTTPSエンドポイントを介して、podリスト、ノードメトリクス、コンテナログ、さらには実行中のコンテナ内でのコマンド実行など、機密度の異なるデータにアクセスできる複数のAPIを公開しています。この機能が導入される以前は、Kubeletの認可は粗いモデルを採用しており、webhook認可が有効な場合、ほとんどのKubelet APIパスが単一の`nodes/proxy`サブリソースにマッピングされていました。

これにより、メトリクスやヘルスステータスの読み取りが必要な監視エージェントやログコレクターといったワークロードにも`nodes/proxy`権限が付与されていました。この権限は実質的にノードレベルのスーパーユーザー権限に相当し、最小権限の原則に違反していました。今回のGA移行により、これらのツールに対してより限定的な権限を付与できるようになり、セキュリティ体制が強化されます。

実務では、監視ツールやログ収集ツールなどに対し、必要最小限の権限のみを付与できるようになるため、セキュリティリスクを大幅に低減できます。以前はこれらのワークロードが侵害された場合、攻撃者がノード上のすべてのコンテナでコマンドを実行する能力を得る可能性がありましたが、今後はそのリスクが緩和されます。ただし、各ワークロードに適切な権限を正確に設定するための設計と運用が新たに求められます。