Cifrado de envolvente KMS para clústeres EKS - Guía del usuario de Eksctl
Crear un clúster con el cifrado KMS activadoHabilitar el cifrado KMS en un clúster existente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de envolvente KMS para clústeres EKS

nota

Amazon Elastic Kubernetes Service (Amazon EKS) aplica cifrado de sobre de forma predeterminada a todos los datos de la API de Kubernetes en los clústeres que ejecutan la versión 1.28 o superior. Para obtener más información, consulte el cifrado de sobres predeterminado para todos los datos de la API de Kubernetes en la Guía del usuario de EKS.

EKS admite el uso de claves de AWS KMS para cifrar en sobres los secretos de Kubernetes almacenados en EKS. El cifrado de sobres añade una capa de cifrado adicional, administrada por el cliente, para los secretos de las aplicaciones o los datos de los usuarios que se almacenan en un clúster de Kubernetes.

Anteriormente, Amazon EKS permitía habilitar el cifrado de sobres mediante claves de KMS solo durante la creación del clúster. Ahora, puede habilitar el cifrado de sobres para los clústeres de Amazon EKS en cualquier momento.

Obtenga más información sobre el uso del soporte del proveedor de cifrado EKS en una defense-in-depth publicación en el blog sobre contenedores de AWS.

Crear un clúster con el cifrado KMS activado

# kms-cluster.yaml
# A cluster with KMS encryption enabled
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: kms-cluster
  region: us-west-2

managedNodeGroups:
- name: ng
# more config

secretsEncryption:
  # KMS key used for envelope encryption of Kubernetes secrets
  keyARN: arn:aws:kms:us-west-2:<account>:key/<key>
eksctl create cluster -f kms-cluster.yaml

Habilitar el cifrado KMS en un clúster existente

Para habilitar el cifrado KMS en un clúster que aún no lo tiene habilitado, ejecute

eksctl utils enable-secrets-encryption -f kms-cluster.yaml

o sin un archivo de configuración:

eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --region=<region>

Además de habilitar el cifrado de KMS en el clúster de EKS, eksctl también vuelve a cifrar todos los secretos de Kubernetes existentes con la nueva clave de KMS actualizándolos con la anotación. eksctl.io/kms-encryption-timestamp Este comportamiento se puede desactivar de forma pasajera, como en: --encrypt-existing-secrets=false

eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --encrypt-existing-secrets=false --region=<region>

Si un clúster ya tiene activado el cifrado KMS, eksctl procederá a volver a cifrar todos los secretos existentes.

nota

Una vez que se habilita el cifrado KMS, no se puede deshabilitar ni actualizar para usar una clave KMS diferente.