Auto-sync: 2026-04-19 16:02

2026-04-19 16:02:56 +08:00
parent fc0dde291f
commit 8341ee6cc4
29 changed files with 998 additions and 4 deletions
--- a/wiki/concepts/Kubernetes-Service-Account.md
+++ b/wiki/concepts/Kubernetes-Service-Account.md
@@ -0,0 +1,23 @@
+---
+title: "Kubernetes Service Account"
+type: concept
+tags: [Kubernetes, Security, Authentication]
+last_updated: 2026-04-19
+---
+
+## 定义
+Kubernetes Service Account（服务账户）是 Pod 用于身份验证到 Kubernetes API Server 的机制。每个 Pod 关联一个服务账户，默认使用 default 服务账户。
+
+## 安全最佳实践
+- 禁用自动挂载（`automountServiceAccountToken: false`）
+- 使用私有服务账户而非默认账户
+- 通过 Role/RoleBinding 最小化权限
+- 定期轮换服务账户凭据
+
+## 关联安全配置
+- `automountServiceAccountToken`：控制是否自动挂载服务账户令牌
+- `imagePullSecrets`：用于私有镜像仓库认证
+
+## 相关资源
+- 来源：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
+- 相关概念：[[Container-Lifecycle-Hardening]]