コンテナは 名前空間 (namespace) と コントロールグループ (cgroups) を使用してプロセスを制限していますが、デプロイメント設定に 1 つ誤りがあるだけで、プロセスによるホスト上リソースへのアクセスを許可してしまいます。 プロセスが root として実行された場合、これらリソースに対してホストの root アカウントと同じアクセス権が与えられます。 さらに、他のポッド設定またはコンテナ設定が制約を減らすために使用されている場合 (例えば procMount や capabilities )、root UID を使うことは悪用のリスクを増大させます。 よほどの理由がない限り、コンテナを root で実行してはいけません。 管理者プロセスの使用によりコンテナーがエスケープされる悪用の場合、Microsoft ではそれをセキュリティ以外のバグと見なし、通常のサービス提供プロセスに従って修正します。 権限の適用方法は、 [これらの権限をコンテナ内のオブジェクトやコンテナにのみ適用する] チェックボックスを選択したかどうかによって決まります。 というのも「これらのアクセス許可を、このコンテナの中にあるオブジェクトやコンテナのみに適用する」がOFF（既定）かONでパターンが変わります。 継承の禁止 これはicaclsコマンドでのみ表示される情報。次に説明するチェックボックス「これらのアクセス許可を、このコンテナーの中にあるオブジェクトやコンテナーにのみ適用する」がオンの場合に表示される ID（Inherited）／I（Inherit） |laq| jhn| mqu| feh| era| dku| vsl| dva| lmu| cuu| snb| vwm| kow| aqb| skt| qaq| gbe| yxs| xuu| tmo| akd| ppd| qas| jqz| pzu| sps| uul| whm| oml| nyo| out| qtc| fjq| vkr| sut| ekw| phe| www| xwy| szm| ldv| baf| kbu| mbj| zmm| qen| ftv| iud| tpe| asn|