14-16 Mar 2026
Voltar ao Plano

Restringir permissoes do CronJob ECR ao secret especifico (INFRA-19)

ACT-6.3.7
Varredura MedioMediaEsforco: PComplexidade: BaixaParalelizavel
Por que e urgente

Pod comprometido no CronJob de renovacao de token ECR pode exfiltrar todos os secrets do namespace por ter permissao irrestrita

Risco de nao fazer

Pod comprometido pode exfiltrar todos os secrets do namespace

Modulos Impactados

.github/kubernetes/develop/aws-resources/ecr-token-renewal.yaml

Passos de Implementacao

  1. 1Adicionar `resourceNames: ["image-pull-secret-devel"]` ao ClusterRole do ServiceAccount
  2. 2Substituir a imagem `python:3.11-slim` por imagem com `awscli` e `kubectl` pre-instalados em versao fixada com digest
  3. 3Remover o `pip install awscli` e o download dinamico do `kubectl` do script do CronJob

Achados Relacionados

INFRA-19
AnteriorACT-6.3.6 Restringir CORS do /getEnvConfig (INFRA-18)
ProximoRotacionar ABP StringEncryption DefaultPassPhrase (CRIT-06) ACT-7.1.1