Keamanan infrastruktur di Amazon EKS - Amazon EKS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan infrastruktur di Amazon EKS

Sebagai layanan terkelola, Amazon Elastic Kubernetes Service dilindungi oleh keamanan jaringan global. AWS Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud. Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat Perlindungan Infrastruktur dalam Kerangka Kerja yang AWS Diarsiteksikan dengan Baik Pilar Keamanan.

Anda menggunakan API panggilan yang AWS dipublikasikan untuk mengakses Amazon EKS melalui jaringan. Klien harus mendukung hal-hal berikut:

  • Keamanan Lapisan Transportasi (TLS). Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Suite cipher dengan kerahasiaan maju yang sempurna (PFS) seperti (Ephemeral Diffie-Hellman) atau DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Selain itu, permintaan harus ditandatangani dengan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan IAM prinsipal. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk menghasilkan kredenal keamanan sementara untuk menandatangani permintaan.

Saat membuat EKS klaster Amazon, Anda menentukan VPC subnet untuk digunakan klaster Anda. Amazon EKS memerlukan subnet di setidaknya dua Availability Zone. Kami merekomendasikan VPC dengan subnet publik dan pribadi sehingga Kubernetes dapat membuat penyeimbang beban publik di subnet publik yang memuat lalu lintas keseimbangan Pods berjalan pada node yang ada di subnet pribadi.

Untuk informasi lebih lanjut tentang VPC pertimbangan, lihatLihat persyaratan EKS jaringan Amazon untuk VPC dan subnet.

Jika Anda membuat grup VPC dan node dengan AWS CloudFormation templat yang disediakan dalam EKS panduan Memulai dengan Amazon, maka grup keamanan bidang kontrol dan node Anda dikonfigurasi dengan pengaturan yang kami rekomendasikan.

Untuk informasi selengkapnya tentang pertimbangan grup keamanan, lihat Lihat persyaratan grup EKS keamanan Amazon untuk klaster.

Saat Anda membuat klaster baru, Amazon EKS membuat titik akhir untuk yang dikelola Kubernetes APIserver yang Anda gunakan untuk berkomunikasi dengan cluster Anda (menggunakan Kubernetes alat manajemen sepertikubectl). Secara default, endpoint API server ini bersifat publik ke internet, dan akses ke API server diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) dan native Kubernetes Kontrol Akses Berbasis Peran (RBAC).

Anda dapat mengaktifkan akses pribadi ke Kubernetes APIserver sehingga semua komunikasi antara node Anda dan API server tetap berada di dalam AndaVPC. Anda dapat membatasi alamat IP yang dapat mengakses API server Anda dari internet, atau sepenuhnya menonaktifkan akses internet ke API server.

Untuk informasi selengkapnya tentang cara memodifikasi akses titik akhir klaster, lihat Memodifikasi akses titik akhir klaster.

Anda dapat menerapkan Kubernetes kebijakan jaringan dengan Amazon VPC CNI atau alat pihak ketiga seperti Project Calico. Untuk informasi selengkapnya tentang menggunakan Amazon VPC CNI untuk kebijakan jaringan, lihatKuota pod Lalu lintas dengan Kubernetes kebijakan jaringan. Proyek Calico adalah proyek open source pihak ketiga. Untuk informasi selengkapnya, lihat Project Calico documentation.