**Aidez à améliorer cette page** 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Sécurité de l'infrastructure dans Amazon EKS
<a name="infrastructure-security"></a>

En tant que service géré, Amazon Elastic Kubernetes Service bénéficie de la sécurité offerte par le réseau mondial AWS. Pour plus d’informations sur les services de sécurité AWS et la manière dont AWS protège l’infrastructure, consultez la section [Sécurité du cloud AWS](https://aws.amazon.com/security/). Pour concevoir votre environnement AWS en utilisant les meilleures pratiques en matière de sécurité de l’infrastructure, consultez la section [Protection de l’infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le *Security Pillar AWS Well‐Architected Framework* (Pilier de sécurité de l’infrastructure Well‐Architected Framework).

Vous utilisez les appels d'API publiés par AWS pour accéder à Amazon EKS via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser le [Service de jetons de sécurité AWS](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires afin de signer les demandes.

Lorsque vous créez un cluster Amazon EKS, vous spécifiez les sous-réseaux VPC à utiliser par votre cluster. Amazon EKS nécessite des sous-réseaux dans au moins deux zones de disponibilité. Nous recommandons un VPC avec des sous-réseaux publics et privés afin que Kubernetes puisse créer des équilibreurs de charge publics dans les sous-réseaux publics qui équilibrent le trafic vers des pods s’exécutant sur des nœuds qui se trouvent dans des sous-réseaux privés.

Pour plus d'informations sur les considérations VPC, consultez [Afficher les exigences réseau Amazon EKS pour les VPC et les sous-réseaux](network-reqs.md).

Si vous créez votre VPC et vos groupes de nœuds à l’aide des modèles CloudFormation AWS fournis dans le [Guide de démarrage Amazon EKS](getting-started.md), votre plan de contrôle et vos groupes de sécurité de nœuds sont configurés avec nos paramètres recommandés.

Pour plus d'informations sur les considérations des groupes de sécurité, consultez [Voir les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters](sec-group-reqs.md).

Lorsque vous créez un cluster, Amazon EKS crée un point de terminaison pour le serveur d'API Kubernetes géré que vous utilisez pour communiquer avec votre cluster (à l'aide d'outils de gestion Kubernetes comme `kubectl`). Par défaut, ce point de terminaison du serveur d’API est public sur Internet, et l’accès au serveur d’API est sécurisé à l’aide d’une combinaison de la gestion des identités et des accès AWS (IAM) et du [contrôle d’accès basé sur les rôles](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) natif de Kubernetes.

Vous pouvez activer l'accès privé au serveur d'API Kubernetes pour que toutes les communications entre vos nœuds et le serveur d'API restent au sein de votre VPC. Vous pouvez limiter les adresses IP qui peuvent accéder à votre serveur API à partir d'Internet, ou désactiver complètement l'accès Internet au serveur d'API.

Pour plus d'informations sur la modification de l'accès au point de terminaison de cluster, consultez [Modification de l'accès au point de terminaison de cluster](cluster-endpoint.md#modify-endpoint-access).

Vous pouvez mettre en œuvre les *politiques réseau* Kubernetes avec Amazon VPC CNI ou des outils tiers tels que [Project Calico](https://docs.tigera.io/calico/latest/about/). Pour plus d'informations sur l'utilisation de l'Amazon VPC CNI pour les stratégies réseau, consultez [Limitation du trafic des pods à l’aide des politiques réseau Kubernetes](cni-network-policy.md). Project Calico tiers est un projet open source tierce. Pour plus d'informations, consultez la documentation [Project Calico](https://docs.tigera.io/calico/latest/getting-started/kubernetes/managed-public-cloud/eks/).

# Accéder à Amazon EKS à l’aide d’AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

Vous pouvez utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et Amazon Elastic Kubernetes Service. Vous pouvez accéder à Amazon EKS comme s’il se trouvait dans votre VPC, sans utiliser de passerelle Internet, de dispositif NAT, de connexion VPN ou de connexion AWS Direct Connect. Les instances de votre VPC n’ont pas besoin d’adresses IP publiques pour accéder à Amazon EKS.

Vous établissez cette connexion privée en créant un point de terminaison d’interface à technologie AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par le demandeur qui servent de point d'entrée pour le trafic destiné à Amazon EKS.

Pour plus d’informations, consultez [Accéder aux services AWS via AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) dans le * Guide AWS PrivateLink*.

## Avant de commencer
<a name="vpc-endpoint-prerequisites"></a>

Avant de commencer, assurez-vous d’avoir effectué les tâches suivantes :
+ Consultez la section [Accéder à un service AWS à l’aide d’un point de terminaison d’un VPC d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) dans le * Guide AWS PrivateLink* 

## Considérations
<a name="vpc-endpoint-considerations"></a>
+  **Assistance et limitations** : les points de terminaison d’interface Amazon EKS permettent un accès sécurisé à toutes les actions de l’API Amazon EKS à partir de votre VPC, mais ils sont soumis à certaines limitations : ils ne prennent pas en charge l’accès aux API Kubernetes, car celles-ci disposent d’un point de terminaison privé distinct. Vous ne pouvez pas configurer Amazon EKS pour qu’il soit accessible uniquement via le point de terminaison d’interface.
+  **Tarification** : l’utilisation de points de terminaison d’interface pour Amazon EKS entraîne des frais AWS PrivateLink standard : frais horaires pour chaque point de terminaison provisionné dans chaque zone de disponibilité, frais de traitement des données pour le trafic passant par le point de terminaison. Pour en savoir plus, consultez [Tarification AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).
+  **Sécurité et contrôle d’accès** : nous vous recommandons de renforcer la sécurité et de contrôler l’accès à l’aide de ces configurations supplémentaires : utilisez les politiques de point de terminaison d’un VPC pour contrôler l’accès à Amazon EKS via le point de terminaison d’interface, associez des groupes de sécurité aux interfaces réseau des points de terminaison pour gérer le trafic, utilisez les journaux de flux VPC pour capturer et surveiller le trafic IP vers et depuis les points de terminaison d’interface, avec des journaux pouvant être diffusés sur Amazon CloudWatch ou Amazon S3. Pour en savoir plus, consultez [Contrôle de l’accès aux points de terminaison d’un VPC à l’aide des politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) et [Journalisation du trafic IP à l’aide des journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html).
+  **Options de connectivité** : les points de terminaison d’interface offrent des options de connectivité flexibles à l’aide de l’**accès sur site** (connectez votre centre de données sur site à un VPC avec le point de terminaison d’interface à l’aide d’AWS Direct Connect ou d’AWS Site-to-Site VPN) ou via la **connectivité inter-VPC** (utilisez AWS Transit Gateway ou le peering VPC pour connecter d’autres VPC au VPC avec le point de terminaison d’interface, en conservant le trafic au sein du réseau AWS). .
+  **Prise en charge des versions IP** : les points de terminaison créés avant août 2024 prennent uniquement en charge IPv4 à l’aide de eks.region.amazonaws.com. Les nouveaux points de terminaison créés après août 2024 prennent en charge la double pile IPv4 et IPv6 (par exemple, eks.region.amazonaws.com, eks.region.api.aws).
+  **Disponibilité régionale** : AWS PrivateLink pour l’API EKS n’est pas disponible dans les régions Asie-Pacifique (Malaisie) (ap-southeast-5), Asie-Pacifique (Thaïlande) (ap-southeast-7), Mexique (Centre) (mx-central-1) et Asie-Pacifique (Taipei) (ap-east-2). AWS PrivateLink pour eks-auth (Identité du pod Amazon EKS) est disponible dans la région Asie-Pacifique (Malaisie) (ap-southeast-5).

## Créer un point de terminaison d'interface pour Amazon EKS
<a name="vpc-endpoint-create"></a>

Vous pouvez créer un point de terminaison d’un VPC pour Amazon EKS à l’aide de la console Amazon VPC ou de l’interface de ligne de commande AWS (AWS CLI). Pour plus d’informations, consultez [Créer un point de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) dans le * Guide AWS PrivateLink*.

Créez un point de terminaison d’interface pour Amazon EKS à l’aide des noms de service suivants :

### API EKS
<a name="_eks_api"></a>
+ com.amazonaws.region-code.eks
+ com.amazonaws.code-région.eks-fips (pour les points de terminaison conformes à la norme FIPS)

### API EKS Auth (Identité du pod EKS)
<a name="_eks_auth_api_eks_pod_identity"></a>
+ com.amazonaws.region-code.eks-auth

## Fonctionnalité DNS privée pour les points de terminaison d’interface Amazon EKS
<a name="vpc-endpoint-private-dns"></a>

La fonctionnalité DNS privée, activée par défaut pour les points de terminaison d’interface d’Amazon EKS et d’autres services AWS, facilite les demandes API sécurisées et privées à l’aide des noms DNS régionaux par défaut. Cette fonctionnalité garantit que les appels d’API sont routés via le point de terminaison d’interface sur le réseau AWS privé, ce qui améliore la sécurité et les performances.

La fonctionnalité DNS privés s’active automatiquement lorsque vous créez un point de terminaison d’interface pour Amazon EKS ou d’autres services AWS. Pour l’activer, vous devez configurer correctement votre VPC en définissant des attributs spécifiques :
+  **enableDnsHostnames** : permet aux instances au sein du VPC d’avoir des noms d’hôte DNS.
+  **enableDnsSupport** : active la résolution DNS dans l’ensemble du VPC.

Pour obtenir des instructions détaillées sur la vérification ou la modification de ces paramètres, consultez [Afficher et mettre à jour les attributs DNS de votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating).

### Noms DNS et types d’adresses IP
<a name="_dns_names_and_ip_address_types"></a>

Lorsque la fonctionnalité DNS privés est activée, vous pouvez utiliser des noms DNS spécifiques pour vous connecter à Amazon EKS. Ces options évoluent au fil du temps :
+  **eks.region.amazonaws.com** : le nom DNS traditionnel, qui ne résout que les adresses IPv4 avant août 2024. Pour les points de terminaison existants mis à jour vers la double pile, ce nom résout à la fois les adresses IPv4 et IPv6.
+  **eks.region.api.aws** : disponible pour les nouveaux points de terminaison créés après août 2024, ce nom DNS à double pile résout à la fois les adresses IPv4 et IPv6.

Après août 2024, les nouveaux points de terminaison d’interface seront fournis avec deux noms DNS, et vous pourrez opter pour le type d’adresse IP double pile. Pour les points de terminaison existants, la mise à jour vers la double pile modifie **eks.region.amazonaws.com** afin de prendre en charge à la fois IPv4 et IPv6.

### Utilisation de la fonctionnalité DNS privés
<a name="_using_the_private_dns_feature"></a>

Une fois configurée, la fonctionnalité DNS privés peut être intégrée à vos flux de travail, offrant les capacités suivantes :
+  **Requêtes API** : utilisez les noms DNS régionaux par défaut, `eks.region.amazonaws.com` ou `eks.region.api.aws`, en fonction de la configuration de votre point de terminaison pour effectuer des requêtes API vers Amazon EKS.
+  **Compatibilité des applications** : vos applications existantes qui appellent les API EKS ne nécessitent aucune modification pour tirer parti de cette fonctionnalité.
+  ** AWS CLI avec double pile** : pour utiliser les points de terminaison à double pile avec l’AWS CLI, consultez la configuration [Points de terminaison à double pile et FIPS](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html) dans le * Guide de référence des SDK et outils AWS*.
+  **Routage automatique** : tout appel vers le point de terminaison de service par défaut d’Amazon EKS est automatiquement dirigé vers le point de terminaison de l’interface, garantissant ainsi une connectivité privée et sécurisée.