スキル k8s-security-policies
🔐

k8s-security-policies

安全 🌐 ネットワークアクセス⚙️ 外部コマンド

Kubernetes セキュリティポリシーと RBAC コントロールの実装

Kubernetes クラスターは、不正アクセスやネットワーク攻撃から保護するために適切なセキュリティポリシーが必要です。このスキルは、NetworkPolicy、RBAC、および Pod セキュリティ標準のそのまま使えるテンプレートを提供します。

対応: Claude Codex Code(CC)
🥉 74 ブロンズ
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「k8s-security-policies」を使用しています。 Create a NetworkPolicy that allows frontend pods to talk to backend on port 8080

期待される結果:

  • NetworkPolicy created for namespace 'production'
  • Ingress rule: allows traffic from pods with label app=frontend
  • Target: pods with label app=backend on TCP port 8080
  • All other ingress traffic to backend pods is denied

「k8s-security-policies」を使用しています。 Set up RBAC for a developer who needs read access to pods and deployments

期待される結果:

  • Role 'developer-read' created in namespace 'development'
  • Permissions: get, list, watch on pods and deployments
  • RoleBinding 'dev-team-read' binds role to user 'alice@company.com'
  • No write or delete permissions granted

セキュリティ監査

安全
v4 • 1/17/2026

This skill contains Kubernetes security documentation and YAML templates. All static findings are false positives: the metadata endpoint IP is shown as an EXAMPLE OF WHAT TO BLOCK (security best practice), backtick patterns are markdown code fence syntax, and 'weak crypto' matches are Kubernetes resource names like 'cluster-admin'. No executable code or malicious patterns present.

4
スキャンされたファイル
900
解析された行数
2
検出結果
4
総監査数

リスク要因

🌐 ネットワークアクセス (4)
assets/network-policy-template.yaml:126 assets/network-policy-template.yaml:124 assets/network-policy-template.yaml:126 skill-report.json:6
⚙️ 外部コマンド (67)
references/rbac-patterns.md:6-15 references/rbac-patterns.md:15-18 references/rbac-patterns.md:18-28 references/rbac-patterns.md:28-31 references/rbac-patterns.md:31-44 references/rbac-patterns.md:44-47 references/rbac-patterns.md:47-72 references/rbac-patterns.md:72-75 references/rbac-patterns.md:75-90 references/rbac-patterns.md:90-95 references/rbac-patterns.md:95-111 references/rbac-patterns.md:111-114 references/rbac-patterns.md:114-125 references/rbac-patterns.md:125-131 references/rbac-patterns.md:131-143 references/rbac-patterns.md:143-146 references/rbac-patterns.md:146-149 references/rbac-patterns.md:149-152 references/rbac-patterns.md:152-155 references/rbac-patterns.md:155-157 references/rbac-patterns.md:157-161 references/rbac-patterns.md:161-162 references/rbac-patterns.md:162-163 references/rbac-patterns.md:163-164 references/rbac-patterns.md:164-165 references/rbac-patterns.md:165-166 references/rbac-patterns.md:166-167 references/rbac-patterns.md:167-168 references/rbac-patterns.md:168-169 SKILL.md:26-35 SKILL.md:35-38 SKILL.md:38-47 SKILL.md:47-50 SKILL.md:50-59 SKILL.md:59-64 SKILL.md:64-75 SKILL.md:75-78 SKILL.md:78-98 SKILL.md:98-101 SKILL.md:101-119 SKILL.md:119-121 SKILL.md:121-126 SKILL.md:126-136 SKILL.md:136-139 SKILL.md:139-148 SKILL.md:148-151 SKILL.md:151-168 SKILL.md:168-170 SKILL.md:170-175 SKILL.md:175-196 SKILL.md:196-201 SKILL.md:201-230 SKILL.md:230-233 SKILL.md:233-245 SKILL.md:245-250 SKILL.md:250-259 SKILL.md:259-262 SKILL.md:262-277 SKILL.md:277-312 SKILL.md:312-316 SKILL.md:316-319 SKILL.md:319-323 SKILL.md:323-327 SKILL.md:327-328 SKILL.md:328-329 SKILL.md:329-333 SKILL.md:333-334
監査者: claude 監査履歴を表示 →

品質スコア

55
アーキテクチャ
100
保守性
87
コンテンツ
22
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

マルチテナント Kubernetes クラスターの保護

共有クラスターでのテナント間のアクセスを防止するために、NetworkPolicy と RBAC を使用して名前空間分離を実装します。

セキュリティ標準へのコンプライアンス達成

Pod セキュリティ標準と RBAC 構成を使用して、CIS Kubernetes Benchmark コントロールを適用します。

サービスの最小権限アクセスの構成

アプリケーションに必要な権限のみを付与する ServiceAccounts と RoleBindings を作成します。

これらのプロンプトを試す

デフォルト拒否ポリシーの作成 
payments 名前空間用のデフォルトですべての ingress および egress トラフィックを拒否する NetworkPolicy を作成します。
CI/CD 用の RBAC 設計 
CI/CD サービスアカウントがアプリケーションをデプロイできるが、シークレットを読み取れない ClusterRole と RoleBinding を作成します。
Pod セキュリティ標準の構成 
違反の監査ログとともに本番名前空間に制限付き Pod セキュリティ標準を適用します。
完全なセキュリティポリシーセットの構築 
フロントエンド、バックエンド、データベース階層を持つマイクロサービスアプリケーション用の完全なセキュリティポリシーセットを設計します。NetworkPolicy、RBAC、Pod セキュリティコンテキストを含みます。

ベストプラクティス

  • デフォルト拒否 NetworkPolicy から始めて、特定の許可ルールを追加します
  • 可能な場合は、名前空間スコープの Roles を ClusterRoles の代わりに使用します
  • API アクセスを必要としないポッドの ServiceAccount トークンの自動マウントを無効にします

回避

  • 本番 RBAC ルールでワイルドカード動詞やリソースを使用しないでください
  • 本番名前空間での Pod セキュリティ標準の適用をスキップしないでください
  • アプリケーション ServiceAccounts に cluster-admin を付与しないでください

よくある質問

Why is my NetworkPolicy not blocking traffic?
CNI プラグインが NetworkPolicy をサポートしていることを確認してください。Calico、Cilium、Weave はサポートします。Flannel はデフォルトでサポートしません。
What is the difference between Role and ClusterRole?
Role は名前空間スコープであり、1 つの名前空間内にアクセス権を付与します。ClusterRole はクラスター全体であり、すべての名前空間にまたがるアクセス権を付与できます。
Should I use Pod Security Policies or Pod Security Standards?
Pod セキュリティ標準を使用してください。PodSecurityPolicy は Kubernetes 1.21 から非推奨になり、1.25 で削除されました。
How do I test if RBAC permissions are working?
kubectl auth can-i コマンドを使用して権限をテストしてください。例: kubectl auth can-i list pods --as system:serviceaccount:ns:sa
What Pod Security Standard level should I use for production?
本番ワークロードには「restricted」を使用してください。これは非ルートユーザー、読み取り専用ファイルシステム、および削除された capabilities を強制します。
How do I allow DNS traffic with a default-deny policy?
CoreDNS が実行されている kube-system 名前空間への UDP ポート 53 を許可する egress ルールを追加します。

開発者の詳細

作成者

wshobson

ライセンス

MIT

リポジトリ

https://github.com/wshobson/agents/tree/main/plugins/kubernetes-operations/skills/k8s-security-policies

参照

main

ファイル構成

📁 assets/

📄 network-policy-template.yaml

📁 references/

📄 rbac-patterns.md

📄 SKILL.md