附加容器集群角色

对手可能会向对手控制的用户或服务账户添加附加角色或权限，以保持对容器编排系统的持久访问。例如，具有足够权限的对手可能会创建 RoleBinding 或 ClusterRoleBinding，将角色或集群角色绑定到 Kubernetes 账户。(引用: Kubernetes RBAC)(引用: Aquasec Kubernetes Attack 2023) 在使用基于属性的访问控制 (ABAC) 的情况下，具有足够权限的对手可能会修改 Kubernetes ABAC 策略，以赋予目标账户额外的权限。(引用: Kuberentes ABAC) 此账户修改可能紧随创建账户或其他恶意账户活动之后。对手还可能修改他们已破坏的现有有效账户。 请注意，在云环境中部署的容器编排系统（如 Google Kubernetes Engine、Amazon Elastic Kubernetes Service 和 Azure Kubernetes Service）中，云角色基于访问控制 (RBAC) 分配或 ABAC 策略通常可以替代或补充本地权限分配。(引用: Google Cloud Kubernetes IAM)(引用: AWS EKS IAM Roles for Service Accounts)(引用: Microsoft Azure Kubernetes Service Service Accounts) 在这些情况下，此技术可能与附加云角色结合使用。