<h1 id="tl%3Bdr">
<a class="header-anchor-link" href="#tl%3Bdr" aria-hidden="true"></a> TL;DR</h1>
<ul>
<li>全てのクラスタのsecretへアクセスする必要がない場合
<ul>
<li>IAMで <code>container.secrets.*</code> の権限を与えない</li>
</ul>
</li>
<li>クラスタ、Namespaceごとにアクセス権限を設定した場合
<ul>
<li>IAMで <code>container.secrets.*</code> の権限を与えずに、RBACで与えたい権限を付与する</li>
</ul>
</li>
</ul>
<p>ソース<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__ada6351d4f2a7" src="https://embed.zenn.studio/card#zenn-embedded__ada6351d4f2a7" data-content="https%3A%2F%2Fcloud.google.com%2Fkubernetes-engine%2Fdocs%2Fhow-to%2Fhardening-your-cluster" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://cloud.google.com/kubernetes-engine/docs/how-to/hardening-your-cluster</a></p>
<h1 id="kubernetes%E3%81%AEsecret%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6">
<a class="header-anchor-link" href="#kubernetes%E3%81%AEsecret%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> kubernetesのsecretリソースについて</h1>
<p>secretのリソースにアクセスできるユーザーは、データの中身をみることができます。<br>
なぜなら、secretのデータはBase64でエンコードされてるだけだからです。<br>
たとえば、次のようなsecretリソースが定義されている場合、</p>
<div class="code-block-container"><pre><code>apiVersion: v1
kind: Secret
type: Opaque
metadata:
  name: sample-secret
  namespace: default
data:
  foo: YmFyCg==
</code></pre></div><p>この場合 <code>foo</code> というキーに対して <code>YmFyCg==</code> という値が格納されているわけですが、以下のようにデコードしてあげると値の中身を閲覧することができます。</p>
<div class="code-block-container"><pre><code>echo 'YmFyCg==' | base64 -D
</code></pre></div><p>今回の場合は、 <code>bar</code> という値が格納されていました。<br>
kubernetesのsecretは、データベースのパスワードや外部サービスのシークレットキーなどを格納するので、その内容を閲覧できる開発者を制限すべきです。</p>
<h1 id="%E6%96%B9%E6%B3%95%EF%BC%91%EF%BC%9A-gcp%E3%81%AEiam%E3%81%A7%E6%A8%A9%E9%99%90%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%97%E3%81%AA%E3%81%84">
<a class="header-anchor-link" href="#%E6%96%B9%E6%B3%95%EF%BC%91%EF%BC%9A-gcp%E3%81%AEiam%E3%81%A7%E6%A8%A9%E9%99%90%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%97%E3%81%AA%E3%81%84" aria-hidden="true"></a> 方法１： GCPのIAMで権限を付与しない</h1>
<p>Googleプロジェクト内の全てのGKEクラスタのsecretリソースにアクセスする必要がない場合は、IAMの設定でユーザーに対して、 <code>container.secrets.*</code> の権限を付与しないようにすればOKです。<br>
たとえば <code>roles/container.developer</code> は <code>container.secrets.*</code> の権限を持っていますが、 <code>roles/container.viewer</code> だと <code>container.secrets.*</code>の権限は持っていません。</p>
<p>詳しくはこちら<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__fdfa4defcea47" src="https://embed.zenn.studio/card#zenn-embedded__fdfa4defcea47" data-content="https%3A%2F%2Fcloud.google.com%2Fiam%2Fdocs%2Funderstanding-roles" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://cloud.google.com/iam/docs/understanding-roles" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://cloud.google.com/iam/docs/understanding-roles</a></p>
<h1 id="%E6%96%B9%E6%B3%952%3A-gcp%E3%81%AEiam%E3%81%A7%E6%A8%A9%E9%99%90%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%97%E3%81%AA%E3%81%84-%2B-rbac%E3%81%A7%E9%83%A8%E5%88%86%E7%9A%84%E3%81%AB%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E6%96%B9%E6%B3%952%3A-gcp%E3%81%AEiam%E3%81%A7%E6%A8%A9%E9%99%90%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%97%E3%81%AA%E3%81%84-%2B-rbac%E3%81%A7%E9%83%A8%E5%88%86%E7%9A%84%E3%81%AB%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B" aria-hidden="true"></a> 方法2: GCPのIAMで権限を付与しない + RBACで部分的に許可する</h1>
<ul>
<li>クラスタごとにsecretにアクセスできるユーザーを制限したい</li>
<li>namespaceごとにsecretにアクセスできるユーザーを制限したい</li>
<li>IAMじゃなくて、kubernetesのリソースを使ってsecretにアクセスできるユーザーを制限したい</li>
</ul>
<p>という場合は、このパターンを使います。<br>
IAMでは<code>container.secrets.*</code>の権限を付与しないで、RBACでユーザーごとに許可するという形になります。</p>
<p>クラスタごとにsecretにアクセスできるユーザーを許可したい場合は、 <code>ClusterRole</code> と <code>ClusterRoleBinding</code> を用います。たとえば、secretのgetとlistを許可する場合は、許可したいクラスタに以下のようなリソースを作成します。</p>
<div class="code-block-container"><pre><code>kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: secret-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "list"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: secret-reader-binding
subjects:
- kind: User
  name: xxxxx@gmail.comm
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io
</code></pre></div><p>namespaceごとにsecretにアクセスできるユーザーを制限したい場合は、 <code>Role</code> と <code>RoleBinding</code> を用います。たとえば、hogeというnamespaceのsecretのgetとlistを許可する場合は、許可したいnamespaceに以下のようなリソースを作成します。</p>
<div class="code-block-container"><pre><code>kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: hoge
  name: secret-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: hoge
  name: secret-reader-binding
subjects:
- kind: User
  name: xxxxx@gmail.comm
roleRef:
  kind: Role
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io
</code></pre></div><p>詳しくはこちら<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__0702e6aebd6c9" src="https://embed.zenn.studio/card#zenn-embedded__0702e6aebd6c9" data-content="https%3A%2F%2Fcloud.google.com%2Fkubernetes-engine%2Fdocs%2Fhow-to%2Frole-based-access-control%23role" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://cloud.google.com/kubernetes-engine/docs/how-to/role-based-access-control#role" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://cloud.google.com/kubernetes-engine/docs/how-to/role-based-access-control#role</a></p>
<h1 id="%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h1>
<p>これでkubernetes上のsecretリソースの値をみることができるユーザーを制限することができます。<br>
しかし、secret.yamlの定義ファイルをGitリポジトリにコミットしてしまうわけにはいかないです。<br>
それを回避する方法として、<a href="https://github.com/shyiko/kubesec" target="_blank" rel="nofollow noopener noreferrer">Kubesec</a>、<a href="https://github.com/bitnami-labs/sealed-secrets" target="_blank" rel="nofollow noopener noreferrer">Sealed Secrets</a>、<br>
<a href="https://github.com/GoogleCloudPlatform/berglas" target="_blank" rel="nofollow noopener noreferrer">Berglas</a>、<a href="https://github.com/external-secrets/kubernetes-external-secrets" target="_blank" rel="nofollow noopener noreferrer">External Secrets</a>などのツールがありますので、活用してみてください。</p>


【GKE】kubernetesのsecretリソースにアクセスできるユーザーを制限したい

kubernetesのsecretリソースについて

方法１： GCPのIAMで権限を付与しない

方法2: GCPのIAMで権限を付与しない + RBACで部分的に許可する

Discussion