Prisma Cloud 計算: ポッド "twistlock-defender-ds-" の作成中にエラーが発生しました: 禁止されています: どのポッド セキュリティに対しても検証できませんpolicy. 特権コンテナは許可されていません
10978
Created On 11/18/19 18:09 PM - Last Modified 12/20/23 17:50 PM
Symptom
もしもRBACクラスターで有効になっている場合、Defender DaemonSet を作成しようとすると、次のエラーが発生する場合があります。
作成エラー: ポッド "twistlock-defender-ds-" は禁止されています: どのポッド セキュリティに対しても検証できませんpolicy.
Environment
- SaaS
- セルフホスト 19.11 以降
Resolution
このエラーが発生した場合は、Defender が必要な権限で実行できるように、Role と RoleBinding を作成する必要があります。 twistlock 名前空間の Role と RoleBinding を作成します。 次の例の Role と RoleBinding を使用できます。
役割
apiVersion: rbac.authorization.k8s.io/v1
種類: 役割
メタデータ:
名前: ツイストロックの役割
名前空間: ツイストロック
ルール:
- apiGroup:
- 拡張子
リソース名:
-特権
資力:
-ポッドセキュリティポリシー
動詞:
- 使用
種類: 役割
メタデータ:
名前: ツイストロックの役割
名前空間: ツイストロック
ルール:
- apiGroup:
- 拡張子
リソース名:
-特権
資力:
-ポッドセキュリティポリシー
動詞:
- 使用
RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
種類: RoleBinding
メタデータ:
名前: twistlock-rolebinding
名前空間: ツイストロック
役割参照:
apiGroup: rbac.authorization.k8s.io
種類: 役割
名前: ツイストロックの役割
科目:
- 種類: ServiceAccount
名前: ツイストロック サービス
名前空間: ツイストロック
種類: RoleBinding
メタデータ:
名前: twistlock-rolebinding
名前空間: ツイストロック
役割参照:
apiGroup: rbac.authorization.k8s.io
種類: 役割
名前: ツイストロックの役割
科目:
- 種類: ServiceAccount
名前: ツイストロック サービス
名前空間: ツイストロック