Kubernetes 1.16: SIG-Auth の変更内容

はじめに

このページではKubernetes v1.16におけるSIG-Authに関連する取り組みをまとめています。

がついた文章は、CHANGELOGの公式内容ではなく筆者の補足です。

Deprecations and Removals (廃止および削除）

• kube-apiserver
  • --basic-auth-file フラグとそのモードが廃止予定となり、将来削除されます。また、このモードの本番環境での利用は非推奨です。(#81152, @tedyu)
    • https://kubernetes.io/docs/reference/access-authn-authz/authentication/#static-password-file

Notable Features(注目機能)

Misc

• Azure Cloud ProviderでAADとADFSの両方がサポートされるようになりました。(#80841, @rjaini)
  • ADFSのサポートが追加されたようです。

その他の注目機能 (Other notable changes)

• ServiceAccountトークンのヘッダ部にkidパラメータが含まれるようになりました。 (#78502, @ahmedtd)

  • kidにより鍵がローテーションされている場合、そのJWT(SAトークン)に署名した鍵ペアを見つけるのが用意になります。

• ServiceAccountトークン内にnbf (not before) claim が含まれている場合には現在時刻がnbfの値よりも経過していることを確認します。 (#81413, @anderseknert)

  • nbfについてはこちら https://openid-foundation-japan.github.io/draft-ietf-oauth-json-web-token-11.ja.html#nbfDef