Sicherheit - Amazon EKS
Sicherheit und Compliance

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit

Sicherheit und Compliance

Ziehen Sie S3 mit KMS für verschlüsselungskonformen Speicher in Betracht

Sofern Sie nichts anderes angeben, verwenden alle S3-Buckets standardmäßig SSE-S3, um Objekte im Ruhezustand zu verschlüsseln. Sie können Buckets jedoch so konfigurieren, dass sie stattdessen serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS) -Schlüsseln (SSE-KMS) verwenden. Die Sicherheitskontrollen in AWS KMS tragen dazu bei, dass Sie Ihre Compliance-Anforderungen bezüglich der Verschlüsselung erfüllen. Sie können mit diesen KMS-Schlüsseln Ihre Daten in Amazon-S3-Buckets schützen. Wenn Sie die SSE-KMS-Verschlüsselung mit einem S3-Bucket verwenden, müssen sich die AWS-KMS-Schlüssel in derselben Region wie der Bucket befinden.

Konfigurieren Sie Ihre Allzweck-Buckets für die Verwendung von S3 Bucket Keys für SSE-KMS, um Ihre Kosten für AWS KMS-Anfragen um bis zu 99 Prozent zu senken, indem Sie den Anforderungsverkehr von Amazon S3 zu AWS KMS reduzieren. S3-Bucket-Keys sind immer für GET und für PUT Operationen in einem Verzeichnis-Bucket aktiviert und können nicht deaktiviert werden.

Beachten Sie, dass Amazon S3 Express One Zone einen bestimmten Bucket-Typ verwendet, der als S3-Verzeichnis-Bucket bezeichnet wird. Directory-Buckets sind ausschließlich für die Speicherklasse S3 Express One Zone vorgesehen und ermöglichen einen leistungsstarken Zugriff mit niedriger Latenz. Um die Standard-Bucket-Verschlüsselung in einem S3-Verzeichnis-Bucket zu konfigurieren, verwenden Sie die AWS-CLI und geben Sie die KMS-Schlüssel-ID oder den ARN an, nicht den Alias, wie im folgenden Beispiel:

aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

Stellen Sie sicher, dass die IAM-Rolle Ihres EKS-Pods über KMS-Berechtigungen (z. B.kms:Decrypt) für den Zugriff auf verschlüsselte Objekte verfügt. Testen Sie dies in einer Staging-Umgebung, indem Sie ein Beispielmodell in den Bucket hochladen, es in einen Pod einbauen (z. B. über den Mountpoint S3 CSI-Treiber) und überprüfen, ob der Pod die verschlüsselten Daten fehlerfrei lesen kann. Prüfen Sie Protokolle über AWS CloudTrail , um die Einhaltung der Verschlüsselungsanforderungen zu bestätigen. Einzelheiten zur Einrichtung und zur Schlüsselverwaltung finden Sie in der KMS-Dokumentation.