[ja]docs/concepts/security/security-checklist.md #47547 #48744
Conversation
Translated content/en/docs/concepts/security/security-checklist.md into Japanese.
Typo correction
Typo correction
k8s-ci-robot
added
the
cncf-cla: no
|
Welcome @luna029! |
|
[APPROVALNOTIFIER] This PR is NOT APPROVED This pull-request has been approved by: The full list of commands accepted by this bot can be found here.
Needs approval from an approver in each of these files:
Approvers can indicate their approval by writing |
k8s-ci-robot
added
size/L
Co-authored-by: Dipesh Rawat <[email protected]>
✅ Pull request preview available for checkingBuilt without sensitive environment variables
To edit notification comments on pull requests, go to your Netlify site configuration. |
There was a problem hiding this comment.
First of all, thank you for your contribution to k/website
In Japanese, spaces are not included between words.
Additionally, our project has a style guide, so please ensure that your translation adheres to it, particularly regarding the use of half-width and full-width characters, as well as long vowel marks.
FYI: https://kubernetes.io/ja/docs/contribute/localization/#style-guide
Since Kubernetes documentation is read by many Japanese speakers, l10n is a complex task.
Please make sure to work in the language you are most proficient in.
(If you choose to move forward with this PR, refer to the style guide. If it is too difficult, feel free to close it.)
/hold
k8s-ci-robot
added
the
do-not-merge/hold
|
@Okabe-Junya
|
|
こちらレビューいただくことはできますか? |
|
@luna029
|
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
Co-authored-by: inukai <[email protected]>
|
@t-inu |
Are you still working on the corrections for the “ネットワークセキュリティ” section and after? |
| ## ネットワークセキュリティ | ||
|
|
||
| - [ ] 使用中のCNIプラグインはネットワークポリシーをサポートしています。 | ||
| - [ ] イングレスおよびエグレスネットワークポリシーは、クラスター内のすべてのワークロードに適用しています。 |
There was a problem hiding this comment.
| - [ ] イングレスおよびエグレスネットワークポリシーは、クラスター内のすべてのワークロードに適用しています。 | |
| - [ ] ingressおよびegressのネットワークポリシーは、クラスター内のすべてのワークロードに適用しています。 |
I suggest that "ingress" and "egress" not to be translated, since they are not used in katakana in this document.
ネットワークポリシー page is also helpful.
| - [ ] 使用中のCNIプラグインはネットワークポリシーをサポートしています。 | ||
| - [ ] イングレスおよびエグレスネットワークポリシーは、クラスター内のすべてのワークロードに適用しています。 | ||
| - [ ] 各Namespace内のデフォルトのネットワークポリシーで、すべてのPodを選択して拒否しています。 | ||
| - [ ] 適切な場合、Service Meshを使用してクラスター内のすべての通信を暗号化しています。 |
There was a problem hiding this comment.
| - [ ] 適切な場合、Service Meshを使用してクラスター内のすべての通信を暗号化しています。 | |
| - [ ] 適切な場合、サービスメッシュを使用してクラスター内のすべての通信を暗号化しています。 |
"service mesh" is usually written in katakana.
| - [ ] 適切な場合、Service Meshを使用してクラスター内のすべての通信を暗号化しています。 | ||
| - [ ] Kubernetes API、kubelet API、およびetcdはインターネット上に公開していません。 | ||
| - [ ] ワークロードからクラウドメタデータAPIへのアクセスはフィルターしています。 | ||
| - [ ] LoadBalancerおよびExternalIPsの使用は制限しています。 |
There was a problem hiding this comment.
| - [ ] LoadBalancerおよびExternalIPsの使用は制限しています。 | |
| - [ ] LoadBalancerおよびExternalIPの使用は制限しています。 |
As a general rule, please use the singular form for Japanese.
|
|
||
| 多数の[コンテナネットワークインターフェース(CNI)プラグイン](/ja/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/)は、Podが通信できるネットワークリソースを制限する機能を提供します。 | ||
| これは、ルールを定義するためのNamespaceリソースを提供する[ネットワークポリシー](/ja/docs/concepts/services-networking/network-policies/)を通じて最も一般的に行われます。 | ||
| 各Namespaceですべての出力と入力をブロックし、すべてのPodを選択するデフォルトのネットワークポリシーは、許可リストアプローチを採用してワークロードが失われないようにするのに役立ちます。 |
There was a problem hiding this comment.
| 各Namespaceですべての出力と入力をブロックし、すべてのPodを選択するデフォルトのネットワークポリシーは、許可リストアプローチを採用してワークロードが失われないようにするのに役立ちます。 | |
| 各Namespaceですべてのegressとingressをブロックし、すべてのPodを選択するデフォルトのネットワークポリシーは、許可リストアプローチを採用してワークロードの見落としがないようにするのに役立ちます。 |
Default network policies blocking everything egress and ingress, in each namespace, selecting all the pods, can be useful to adopt an allow list approach, ensuring that no workloads is missed.
I think this "miss" refers to a security issue that allows communication that should be restricted.
| 各Namespaceですべての出力と入力をブロックし、すべてのPodを選択するデフォルトのネットワークポリシーは、許可リストアプローチを採用してワークロードが失われないようにするのに役立ちます。 | ||
|
|
||
| すべてのCNIプラグインが転送中の暗号化を提供するわけではありません。 | ||
| 選択したプラグインにこの機能がない場合、代替ソリューションとして、Service Meshを使用してその機能を提供することができます。 |
There was a problem hiding this comment.
| 選択したプラグインにこの機能がない場合、代替ソリューションとして、Service Meshを使用してその機能を提供することができます。 | |
| 選択したプラグインにこの機能がない場合、代替ソリューションとして、サービスメッシュを使用してその機能を提供することができます。 |
| すべてのCNIプラグインが転送中の暗号化を提供するわけではありません。 | ||
| 選択したプラグインにこの機能がない場合、代替ソリューションとして、Service Meshを使用してその機能を提供することができます。 | ||
|
|
||
| コントロールプレーンのetcdデータストアには、アクセスを制限し、インターネット上で公開されないようにするコントロールが必要です。 |
There was a problem hiding this comment.
| コントロールプレーンのetcdデータストアには、アクセスを制限し、インターネット上で公開されないようにするコントロールが必要です。 | |
| コントロールプレーンのetcdデータストアには、アクセスを制限し、インターネット上で公開されないようにする制御が必要です。 |
Either is fine.
|
|
||
| Kubernetes APIサーバーへの外部インターネットアクセスは、APIが公開されないように制限する必要があります。 | ||
| 多くのマネージドKubernetesディストリビューションは、デフォルトでAPIサーバーを公開しているため注意してください。 | ||
| その後、Bastionホストを使用してサーバーにアクセスできます。 |
There was a problem hiding this comment.
| その後、Bastionホストを使用してサーバーにアクセスできます。 | |
| その場合、要塞ホストを使用してサーバーにアクセスできます。 |
From the context, "その場合" would be better.
"bastion host" translates to "要塞ホスト".
| 多くのマネージドKubernetesディストリビューションは、デフォルトでAPIサーバーを公開しているため注意してください。 | ||
| その後、Bastionホストを使用してサーバーにアクセスできます。 | ||
|
|
||
| [kubelet](/ja/docs/reference/command-line-tools-reference/kubelet/)APIアクセスは制限し、公開しないようにする必要があります。 |
There was a problem hiding this comment.
| [kubelet](/ja/docs/reference/command-line-tools-reference/kubelet/)APIアクセスは制限し、公開しないようにする必要があります。 | |
| [kubelet](/ja/docs/reference/command-line-tools-reference/kubelet/)のAPIアクセスは制限し、公開しないようにする必要があります。 |
| その後、Bastionホストを使用してサーバーにアクセスできます。 | ||
|
|
||
| [kubelet](/ja/docs/reference/command-line-tools-reference/kubelet/)APIアクセスは制限し、公開しないようにする必要があります。 | ||
| デフォルトの認証および承認設定は、`--config`フラグで構成ファイルが指定されていない場合は許可されています。 |
There was a problem hiding this comment.
| デフォルトの認証および承認設定は、`--config`フラグで構成ファイルが指定されていない場合は許可されています。 | |
| `--config`フラグで設定ファイルが指定されていない場合、デフォルトの認証および認可設定は過度に許可されています。 |
Suggestion for more understandable.
And translation for "overly".
|
|
||
| Kubernetesのホスティングにクラウドプロバイダーを使用する場合、PodからクラウドメタデータAPI`169.254.169.254`へのアクセスも、情報が漏洩する可能性があるため、必要でない場合は制限またはブロックする必要があります。 | ||
|
|
||
| LoadBalancerおよびExternalIPsの制限付き使用の詳細については[CVE-2020-8554: LoadBalancer または ExternalIPs を使用した中間者攻撃](https://github.com/kubernetes/kubernetes/issues/97076)および[DenyServiceExternalIPs アドミッション コントローラー](/ja/docs/reference/access-authn-authz/admission-controllers/#denyserviceexternalips)を参照してください。 |
There was a problem hiding this comment.
| LoadBalancerおよびExternalIPsの制限付き使用の詳細については[CVE-2020-8554: LoadBalancer または ExternalIPs を使用した中間者攻撃](https://github.com/kubernetes/kubernetes/issues/97076)および[DenyServiceExternalIPs アドミッション コントローラー](/ja/docs/reference/access-authn-authz/admission-controllers/#denyserviceexternalips)を参照してください。 | |
| LoadBalancerおよびExternalIPの制限付き使用の詳細については[CVE-2020-8554: Man in the middle using LoadBalancer or ExternalIPs](https://github.com/kubernetes/kubernetes/issues/97076)および[DenyServiceExternalIPsアドミッションコントローラー](/docs/reference/access-authn-authz/admission-controllers/#denyserviceexternalips)を参照してください。 |
It is not necessary to translate GitHub issue title.
"Admission Control in Kubernetes" page in Japanese does not exist.
BTW, since "DenyServiceExternalIPs" is the admission control plugin name itself, it should remain in the plural form I think.
|
ping @luna029 Please take a look our review, thanks |
| - [ ] サポートするNodeでは、Seccompがプログラム用の適切なsyscallsプロファイルで有効になっています。 | ||
| - [ ] サポートするNodeでは、AppArmorまたはSELinuxがプログラム用の適切なsyscallsプロファイルで有効になっています。 |
There was a problem hiding this comment.
| - [ ] サポートするNodeでは、Seccompがプログラム用の適切なsyscallsプロファイルで有効になっています。 | |
| - [ ] サポートするNodeでは、AppArmorまたはSELinuxがプログラム用の適切なsyscallsプロファイルで有効になっています。 | |
| - [ ] Seccompをサポートしているノードでは、プログラム用の適切なsyscallプロファイルでそれが有効になっています。 | |
| - [ ] AppArmorまたはSELinuxをサポートしているノードでは、プログラム用の適切なプロファイルでそれが有効になっています。 |
- For nodes that support it, Seccomp is enabled with appropriate syscalls profile for programs.
- For nodes that support it, AppArmor or SELinux is enabled with appropriate profile for programs.
Suggestion for more understandable.
And in this case, katakana is better for "Node".
| - [ ] サポートするNodeでは、Seccompがプログラム用の適切なsyscallsプロファイルで有効になっています。 | ||
| - [ ] サポートするNodeでは、AppArmorまたはSELinuxがプログラム用の適切なsyscallsプロファイルで有効になっています。 | ||
|
|
||
| RBAC認証は重要ですが、[Pod のリソース](/ja/docs/concepts/security/rbac-good-practices/#workload-creation)(またはPodを管理する任意のリソース)に対する認証を行うほど細かく設定することはできません。 |
There was a problem hiding this comment.
| RBAC認証は重要ですが、[Pod のリソース](/ja/docs/concepts/security/rbac-good-practices/#workload-creation)(またはPodを管理する任意のリソース)に対する認証を行うほど細かく設定することはできません。 | |
| RBAC認証は重要ですが、[Podのリソース](/ja/docs/concepts/security/rbac-good-practices/#workload-creation)(またはPodを管理する任意のリソース)に対する認証を行うほど細かく設定することはできません。 |
| RBAC認証は重要ですが、[Pod のリソース](/ja/docs/concepts/security/rbac-good-practices/#workload-creation)(またはPodを管理する任意のリソース)に対する認証を行うほど細かく設定することはできません。 | ||
| 唯一の細分性は、リソース自体に対するAPI動詞です。 | ||
| たとえばPodに対する`create`です。 | ||
| 追加の許可がなければ、これらのリソースを作成する権限によって、クラスターのスケジューリング可能なNodeへの直接的な無制限のアクセスが許可されます。 |
There was a problem hiding this comment.
| 追加の許可がなければ、これらのリソースを作成する権限によって、クラスターのスケジューリング可能なNodeへの直接的な無制限のアクセスが許可されます。 | |
| 追加のアドミッションがなければ、これらのリソースを作成する権限によって、クラスターのスケジューリング可能なノードへの直接的な無制限のアクセスが許可されます。 |
| たとえばPodに対する`create`です。 | ||
| 追加の許可がなければ、これらのリソースを作成する権限によって、クラスターのスケジューリング可能なNodeへの直接的な無制限のアクセスが許可されます。 | ||
|
|
||
| [Pod セキュリティ標準](/ja/docs/concepts/security/Pod-security-standards/)は、セキュリティに関して`PodSpec`でフィールドを設定する方法を制限する、特権、ベースライン、制限の3つの異なるポリシーを定義します。 |
There was a problem hiding this comment.
| [Pod セキュリティ標準](/ja/docs/concepts/security/Pod-security-standards/)は、セキュリティに関して`PodSpec`でフィールドを設定する方法を制限する、特権、ベースライン、制限の3つの異なるポリシーを定義します。 | |
| [Podセキュリティ標準](/ja/docs/concepts/security/Pod-security-standards/)は、セキュリティに関して`PodSpec`でフィールドを設定する方法を制限する、特権、ベースライン、制限の3つの異なるポリシーを定義します。 |
|
|
||
| [Pod セキュリティ標準](/ja/docs/concepts/security/Pod-security-standards/)は、セキュリティに関して`PodSpec`でフィールドを設定する方法を制限する、特権、ベースライン、制限の3つの異なるポリシーを定義します。 | ||
|
|
||
| defaultで有効になっている新しい[Pod セキュリティ](/ja/docs/concepts/security/Pod-security-admission/)認証、またはサードパーティの認証Webhookを使用して、Namespaceレベルで適用できます。 |
There was a problem hiding this comment.
| defaultで有効になっている新しい[Pod セキュリティ](/ja/docs/concepts/security/Pod-security-admission/)認証、またはサードパーティの認証Webhookを使用して、Namespaceレベルで適用できます。 | |
| デフォルトで有効になっている新しい[Podセキュリティ](/ja/docs/concepts/security/Pod-security-admission/)アドミッション、またはサードパーティのアドミッションWebhookを使用して、Namespaceレベルで適用できます。 |
| ## Podの配置 | ||
|
|
||
| - [ ] Podの配置は、アプリケーションの機密性の階層に従って行います。 | ||
| - [ ] 機密性の高いアプリケーションは、Node上で分離して実行するか、特定のサンドボックス化されたランタイムで実行します。 |
There was a problem hiding this comment.
| - [ ] 機密性の高いアプリケーションは、Node上で分離して実行するか、特定のサンドボックス化されたランタイムで実行します。 | |
| - [ ] 機密性の高いアプリケーションは、ノード上で分離して実行するか、特定のサンドボックス化されたランタイムで実行します。 |
| アプリケーションPodとKubernetes APIサーバーなど、機密性の異なる層にあるPodは、別々のNodeにデプロイする必要があります。 | ||
| Node分離の目的は、アプリケーションコンテナのブレイクアウトを防ぎ、より機密性の高いアプリケーションへのアクセスを直接提供して、クラスター内で簡単にピボットできるようにすることです。 | ||
| Podが誤って同じNodeにデプロイされるのを防ぐために、この分離を実施する必要があります。 |
There was a problem hiding this comment.
| アプリケーションPodとKubernetes APIサーバーなど、機密性の異なる層にあるPodは、別々のNodeにデプロイする必要があります。 | |
| Node分離の目的は、アプリケーションコンテナのブレイクアウトを防ぎ、より機密性の高いアプリケーションへのアクセスを直接提供して、クラスター内で簡単にピボットできるようにすることです。 | |
| Podが誤って同じNodeにデプロイされるのを防ぐために、この分離を実施する必要があります。 | |
| アプリケーションPodとKubernetes APIサーバーなど、機密性の異なる層にあるPodは、別々のノードにデプロイする必要があります。 | |
| ノード分離の目的は、アプリケーションコンテナのブレイクアウトを防ぎ、より機密性の高いアプリケーションへのアクセスを直接提供して、クラスター内で簡単にピボットできるようにすることです。 | |
| Podが誤って同じノードにデプロイされるのを防ぐために、この分離を実施する必要があります。 |
| [Node セレクタ](/ja/docs/concepts/scheduling-eviction/assign-Pod-node/) | ||
| : Pod仕様の一部として、デプロイするNodeを指定するキーと値のペア。 |
There was a problem hiding this comment.
| [Node セレクタ](/ja/docs/concepts/scheduling-eviction/assign-Pod-node/) | |
| : Pod仕様の一部として、デプロイするNodeを指定するキーと値のペア。 | |
| [ノードセレクター](/ja/docs/concepts/scheduling-eviction/assign-Pod-node/) | |
| : Pod仕様の一部として、デプロイするノードを指定するキーと値のペア。 |
| : 管理者がNamespace内で許可された[tolerations](/ja/docs/concepts/scheduling-eviction/taint-and-toleration/)を制限できるようにするアドミッションコントローラー。 | ||
| Namespace内のPodは、デフォルトおよび許可された一連のtolerationsを提供するNamespaceオブジェクトアノテーションキーで指定されたtolerationsのみを使用できます。 |
There was a problem hiding this comment.
| : 管理者がNamespace内で許可された[tolerations](/ja/docs/concepts/scheduling-eviction/taint-and-toleration/)を制限できるようにするアドミッションコントローラー。 | |
| Namespace内のPodは、デフォルトおよび許可された一連のtolerationsを提供するNamespaceオブジェクトアノテーションキーで指定されたtolerationsのみを使用できます。 | |
| : 管理者がNamespace内で許可された[toleration](/ja/docs/concepts/scheduling-eviction/taint-and-toleration/)を制限できるようにするアドミッションコントローラー。 | |
| Namespace内のPodは、デフォルトおよび許可された一連のtolerationを提供するNamespaceオブジェクトアノテーションキーで指定されたtolerationのみを使用できます。 |
| [RuntimeClass](/ja/docs/concepts/containers/runtime-class/) | ||
| : RuntimeClassは、コンテナのランタイム構成を選択するための機能です。 | ||
|
|
||
| コンテナのランタイム構成は、Podのコンテナを実行するために使用され、パフォーマンスオーバーヘッドを犠牲にして、ホストからの分離を提供できます。 |
There was a problem hiding this comment.
| コンテナのランタイム構成は、Podのコンテナを実行するために使用され、パフォーマンスオーバーヘッドを犠牲にして、ホストからの分離を提供できます。 | |
| コンテナのランタイム構成は、Podのコンテナを実行するために使用され、パフォーマンスのオーバーヘッドを犠牲にして、多少なりともホストからの分離を提供できます。 |
The container runtime configuration is used to run a Pod's containers and can provide more or less isolation from the host at the cost of performance overhead.
|
|
||
| コンテナのランタイム構成は、Podのコンテナを実行するために使用され、パフォーマンスオーバーヘッドを犠牲にして、ホストからの分離を提供できます。 | ||
|
|
||
| ## Secrets |
There was a problem hiding this comment.
| ## Secrets | |
| ## Secret |
|
|
||
| ## Secrets | ||
|
|
||
| - [ ] ConfigMapsを機密データを保持するために使用していません。 |
There was a problem hiding this comment.
| - [ ] ConfigMapsを機密データを保持するために使用していません。 | |
| - [ ] ConfigMapを、機密データを保持するために使用していません。 |
| - [ ] ConfigMapsを機密データを保持するために使用していません。 | ||
| - [ ] Secret APIは保存時に暗号化をしています。 | ||
| - [ ] 適切な場合、サードパーティのストレージに保存されているシークレットを挿入する仕組みを導入しており、使用可能です。 | ||
| - [ ] Service Accountsトークンは、それらを必要としないPodにはマウントしません。 |
There was a problem hiding this comment.
| - [ ] Service Accountsトークンは、それらを必要としないPodにはマウントしません。 | |
| - [ ] サービスアカウントトークンは、それらを必要としないPodにはマウントしません。 |
| - [ ] Secret APIは保存時に暗号化をしています。 | ||
| - [ ] 適切な場合、サードパーティのストレージに保存されているシークレットを挿入する仕組みを導入しており、使用可能です。 | ||
| - [ ] Service Accountsトークンは、それらを必要としないPodにはマウントしません。 | ||
| - [ ] [バインドされたサービス アカウント トークン ボリューム](/ja/docs/reference/access-authn-authz/service-accounts-admin/#bound-service-account-token-volume)は、期限切れのないトークンの代わりに使用しています。 |
There was a problem hiding this comment.
| - [ ] [バインドされたサービス アカウント トークン ボリューム](/ja/docs/reference/access-authn-authz/service-accounts-admin/#bound-service-account-token-volume)は、期限切れのないトークンの代わりに使用しています。 | |
| - [ ] [バインドされたサービスアカウントトークンボリューム](/ja/docs/reference/access-authn-authz/service-accounts-admin/#bound-service-account-token-volume)は、期限切れのないトークンの代わりに使用しています。 |
| - [ ] Service Accountsトークンは、それらを必要としないPodにはマウントしません。 | ||
| - [ ] [バインドされたサービス アカウント トークン ボリューム](/ja/docs/reference/access-authn-authz/service-accounts-admin/#bound-service-account-token-volume)は、期限切れのないトークンの代わりに使用しています。 | ||
|
|
||
| Podに必要なシークレットは、ConfigMapなどの代替手段ではなく、Kubernetes Secrets内に保存する必要があります。 |
There was a problem hiding this comment.
| Podに必要なシークレットは、ConfigMapなどの代替手段ではなく、Kubernetes Secrets内に保存する必要があります。 | |
| Podに必要なシークレットは、ConfigMapなどの代替手段ではなく、Kubernetes Secret内に保存する必要があります。 |
| [`ImagePolicyWebhook`](/ja/docs/reference/access-authn-authz/admission-controllers/#imagepolicywebhook) | ||
| : Webhookを通じてイメージの追加制御を強制できるようにします。 | ||
|
|
||
| <!-- 4番目のグループには、デフォルトでは有効になっていないプラグインが含まれます。まだアルファ状態ですが、特定のユースケースで検討できます。 |
There was a problem hiding this comment.
| <!-- 4番目のグループには、デフォルトでは有効になっていないプラグインが含まれます。まだアルファ状態ですが、特定のユースケースで検討できます。 | |
| <!-- 4番目のグループには、デフォルトでは有効になっていないプラグインが含まれます。まだアルファ状態ですが、特定のユースケースで検討できます: |
| : APIサーバーに新しいイベントを追加するレートを制限します。 | ||
|
|
||
| [`PodNodeSelector`](/ja/docs/reference/access-authn-authz/admission-controllers/#Podnodeselector) | ||
| : Namespace内およびクラスター全体でNodeセレクターを制御できます。 |
There was a problem hiding this comment.
| : Namespace内およびクラスター全体でNodeセレクターを制御できます。 | |
| : Namespace内およびクラスター全体でノードセレクターを制御できます。 |
| : Namespace内およびクラスター全体でNodeセレクターを制御できます。 | ||
|
|
||
| [`PodTolerationRestriction`](/ja/docs/reference/access-authn-authz/admission-controllers/#Podtolerationrestriction) | ||
| : Namespace内のPodに許可されるPod許容を制御できます。 --> |
There was a problem hiding this comment.
| : Namespace内のPodに許可されるPod許容を制御できます。 --> | |
| : Namespace内のPodに許可されるPodの許容範囲を制御できます。 --> |
| - [Pod 作成による権限昇格](/ja/docs/reference/access-authn-authz/authorization/#privilege-escalation-via-Pod-creation) | ||
| は、特定のアクセス制御リスクについて警告しますので、その脅威をどのように管理しているかを確認してください。 | ||
| - Kubernetes RBAC を使用する場合は、認可に関する詳細については、[RBAC のベスト プラクティス](/ja/docs/concepts/security/rbac-good-practices/)をお読みください。 |
There was a problem hiding this comment.
| - [Pod 作成による権限昇格](/ja/docs/reference/access-authn-authz/authorization/#privilege-escalation-via-Pod-creation) | |
| は、特定のアクセス制御リスクについて警告しますので、その脅威をどのように管理しているかを確認してください。 | |
| - Kubernetes RBAC を使用する場合は、認可に関する詳細については、[RBAC のベスト プラクティス](/ja/docs/concepts/security/rbac-good-practices/)をお読みください。 | |
| - [Pod作成による権限昇格](/ja/docs/reference/access-authn-authz/authorization/#privilege-escalation-via-Pod-creation)は、特定のアクセス制御リスクについて警告しますので、その脅威をどのように管理しているかを確認してください。 | |
| - Kubernetes RBACを使用する場合は、認可に関する詳細について、[RBACのベストプラクティス](/ja/docs/concepts/security/rbac-good-practices/)をお読みください。 |
The second item is located one level deeper.
| は、特定のアクセス制御リスクについて警告しますので、その脅威をどのように管理しているかを確認してください。 | ||
| - Kubernetes RBAC を使用する場合は、認可に関する詳細については、[RBAC のベスト プラクティス](/ja/docs/concepts/security/rbac-good-practices/)をお読みください。 | ||
| - 偶発的または悪意のあるアクセスからクラスターを保護する方法については、[クラスターのセキュリティ保護](/ja/docs/tasks/administer-cluster/securing-a-cluster/)を参照してください。 | ||
| - マルチテナンシーに関する構成オプションの推奨事項とベストプラクティスについては、[クラスター マルチテナンシー ガイド](/ja/docs/concepts/security/multi-tenancy/)を参照してください。 |
There was a problem hiding this comment.
| - マルチテナンシーに関する構成オプションの推奨事項とベストプラクティスについては、[クラスター マルチテナンシー ガイド](/ja/docs/concepts/security/multi-tenancy/)を参照してください。 | |
| - マルチテナンシーに関する構成オプションの推奨事項とベストプラクティスについては、[クラスターマルチテナンシーガイド](/ja/docs/concepts/security/multi-tenancy/)を参照してください。 |
Description
Translated content/en/docs/concepts/security/security-checklist.md into Japanese.
The following Open Issues have been addressed #47547
Issue
#47547
Closes: #