Enkripsi Amplop KMS untuk kluster EKS - Panduan Pengguna Eksctl
Membuat cluster dengan enkripsi KMS diaktifkanMengaktifkan enkripsi KMS pada cluster yang ada

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi Amplop KMS untuk kluster EKS

catatan

Amazon Elastic Kubernetes Service (Amazon EKS) menyediakan enkripsi amplop default untuk semua data API Kubernetes di kluster EKS yang menjalankan Kubernetes versi 1.28 atau lebih tinggi. Untuk informasi selengkapnya, lihat Enkripsi amplop default untuk semua Data API Kubernetes di Panduan Pengguna EKS.

EKS mendukung penggunaan kunci AWS KMS untuk menyediakan enkripsi amplop rahasia Kubernetes yang disimpan di EKS. Enkripsi amplop menambahkan tambahan, lapisan enkripsi yang dikelola pelanggan untuk rahasia aplikasi atau data pengguna yang disimpan dalam klaster Kubernetes.

Sebelumnya, Amazon EKS mendukung pengaktifan enkripsi amplop menggunakan kunci KMS hanya selama pembuatan klaster. Sekarang, Anda dapat mengaktifkan enkripsi amplop untuk kluster Amazon EKS kapan saja.

Baca selengkapnya tentang Menggunakan dukungan penyedia enkripsi EKS untuk defense-in-depth posting di blog AWS container.

Membuat cluster dengan enkripsi KMS diaktifkan

# kms-cluster.yaml
# A cluster with KMS encryption enabled
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: kms-cluster
  region: us-west-2

managedNodeGroups:
- name: ng
# more config

secretsEncryption:
  # KMS key used for envelope encryption of Kubernetes secrets
  keyARN: arn:aws:kms:us-west-2:<account>:key/<key>
eksctl create cluster -f kms-cluster.yaml

Mengaktifkan enkripsi KMS pada cluster yang ada

Untuk mengaktifkan enkripsi KMS pada cluster yang belum mengaktifkannya, jalankan

eksctl utils enable-secrets-encryption -f kms-cluster.yaml

atau tanpa file konfigurasi:

eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --region=<region>

Selain mengaktifkan enkripsi KMS pada kluster EKS, eksctl juga mengenkripsi ulang semua rahasia Kubernetes yang ada menggunakan kunci KMS baru dengan memperbaruinya dengan anotasi. eksctl.io/kms-encryption-timestamp Perilaku ini dapat dinonaktifkan dengan lewat--encrypt-existing-secrets=false, seperti pada:

eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --encrypt-existing-secrets=false --region=<region>

Jika sebuah cluster sudah mengaktifkan enkripsi KMS, eksctl akan melanjutkan untuk mengenkripsi ulang semua rahasia yang ada.

catatan

Setelah enkripsi KMS diaktifkan, enkripsi KMS tidak dapat dinonaktifkan atau diperbarui untuk menggunakan kunci KMS yang berbeda.