Sécurité dans Amazon EKS - Amazon EKS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité dans Amazon EKS

Chez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des organisations les plus pointilleuses en termes de sécurité.

La sécurité est une responsabilité partagée entre AWS et vous-même. Le modèle de responsabilité partagée décrit cette notion par les termes sécurité du cloud et sécurité dans le cloud :

  • Sécurité du cloud – AWS est responsable de la protection de l'infrastructure qui exécute les services AWS dans le cloud AWS. Pour Amazon EKS, AWS est responsable du plan de contrôle Kubernetes, qui inclut les nœuds de plan de contrôle et la base de données etcd. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de conformité AWS. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon EKS, consultez Services AWS concernés par le programme de conformité.

  • Sécurité dans le cloud : votre responsabilité englobe les domaines suivants :

    • La configuration de sécurité du plan de données, y compris la configuration des groupes de sécurité qui autorisent le trafic à transmettre à partir du plan de contrôle Amazon EKS dans le VPC client.

    • La configuration des nœuds et les conteneurs eux-mêmes

    • Le système d'exploitation du nœud (y compris les mises à jour et les correctifs de sécurité)

    • D'autres logiciels d'application connexes :

      • Configuration et gestion des contrôles réseau, tels que les règles de pare-feu

      • La gestion de l'identité au niveau de la plateforme et la gestion des accès, avec ou en complément de l'IAM

    • La sensibilité de vos données, les exigences de votre entreprise,et la législation et la réglementation applicables

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon EKS. Les rubriques suivantes vous montrent comment configurer Amazon EKS pour répondre à vos objectifs de sécurité et de conformité. Vous pouvez également apprendre à utiliser d'autres services AWS qui vous aident à contrôler et sécuriser vos ressources Amazon EKS.

Note

Les conteneurs Linux sont constitués de groupes de contrôle (cgroups) et d'espaces de noms qui aident à limiter l'accès d'un conteneur, mais tous les conteneurs partagent le même noyau Linux que l'instance Amazon EC2 hôte. L'exécution d'un conteneur en tant qu'utilisateur racine (UID 0) ou l'octroi d'un accès à un conteneur aux ressources hôtes ou aux espaces de noms tels que le réseau hôte ou l'espace de noms PID hôte sont fortement déconseillés, car cela réduit l'efficacité de l'isolation fournie par les conteneurs.