KMS-Envelope-Verschlüsselung für EKS-Cluster - Eksctl-Benutzerhandbuch
Einen Cluster mit aktivierter KMS-Verschlüsselung erstellenAktivieren der KMS-Verschlüsselung auf einem vorhandenen Cluster

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KMS-Envelope-Verschlüsselung für EKS-Cluster

Anmerkung

Amazon Elastic Kubernetes Service (Amazon EKS) bietet eine Standard-Envelope-Verschlüsselung für alle Kubernetes-API-Daten in EKS-Clustern, auf denen Kubernetes Version 1.28 oder höher ausgeführt wird. Weitere Informationen finden Sie unter Standard-Envelope-Verschlüsselung für alle Kubernetes-API-Daten im EKS-Benutzerhandbuch.

EKS unterstützt die Verwendung von AWS-KMS-Schlüsseln zur Envelope-Verschlüsselung von in EKS gespeicherten Kubernetes-Geheimnissen. Die Envelope-Verschlüsselung fügt eine zusätzliche, vom Kunden verwaltete Verschlüsselungsebene für Anwendungsgeheimnisse oder Benutzerdaten hinzu, die in einem Kubernetes-Cluster gespeichert sind.

Bisher unterstützte Amazon EKS die Aktivierung der Umschlagverschlüsselung mit KMS-Schlüsseln nur während der Clustererstellung. Jetzt können Sie die Envelope-Verschlüsselung für Amazon EKS-Cluster jederzeit aktivieren.

Weitere Informationen zur Verwendung der Unterstützung von EKS-Verschlüsselungsanbietern defense-in-depth finden Sie im AWS-Container-Blog.

Einen Cluster mit aktivierter KMS-Verschlüsselung erstellen

# kms-cluster.yaml
# A cluster with KMS encryption enabled
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: kms-cluster
  region: us-west-2

managedNodeGroups:
- name: ng
# more config

secretsEncryption:
  # KMS key used for envelope encryption of Kubernetes secrets
  keyARN: arn:aws:kms:us-west-2:<account>:key/<key>
eksctl create cluster -f kms-cluster.yaml

Aktivieren der KMS-Verschlüsselung auf einem vorhandenen Cluster

Führen Sie folgenden Befehl aus, um die KMS-Verschlüsselung auf einem Cluster zu aktivieren, auf dem sie noch nicht aktiviert ist

eksctl utils enable-secrets-encryption -f kms-cluster.yaml

oder ohne Konfigurationsdatei:

eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --region=<region>

eksctl aktiviert nicht nur die KMS-Verschlüsselung auf dem EKS-Cluster, sondern verschlüsselt auch alle vorhandenen Kubernetes-Geheimnisse mithilfe des neuen KMS-Schlüssels erneut, indem es sie mit der Anmerkung aktualisiert. eksctl.io/kms-encryption-timestamp Dieses Verhalten kann durch Übergabe deaktiviert werden, wie in: --encrypt-existing-secrets=false

eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --encrypt-existing-secrets=false --region=<region>

Wenn in einem Cluster die KMS-Verschlüsselung bereits aktiviert ist, fährt eksctl mit der erneuten Verschlüsselung aller vorhandenen Geheimnisse fort.

Anmerkung

Sobald die KMS-Verschlüsselung aktiviert ist, kann sie nicht mehr deaktiviert oder aktualisiert werden, sodass sie einen anderen KMS-Schlüssel verwendet.