Sicurezza - Amazon EKS
Sicurezza e conformità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza

Sicurezza e conformità

Prendi in considerazione S3 con KMS per uno storage conforme alla crittografia

Salvo diversa indicazione, tutti i bucket S3 utilizzano SSE-S3 per impostazione predefinita per crittografare gli oggetti inattivi. Tuttavia, puoi scegliere di configurare i bucket per utilizzare invece la crittografia lato server con le chiavi AWS Key Management Service (AWS KMS) (SSE-KMS). I controlli della sicurezza in AWS KMS possono essere d'aiuto per soddisfare i requisiti di conformità correlati alla crittografia. Puoi utilizzare queste chiavi KMS per proteggere i dati nei bucket Amazon S3. Quando utilizzi la crittografia SSE-KMS con un bucket S3, le chiavi AWS KMS devono trovarsi nella stessa regione del bucket.

Configura i tuoi bucket generici per utilizzare S3 Bucket Keys per SSE-KMS, per ridurre i costi delle richieste AWS KMS fino al 99 percento diminuendo il traffico delle richieste da Amazon S3 ad AWS KMS. Le S3 Bucket Keys sono sempre abilitate per GET tutte le operazioni in un bucket di directory e non possono essere disabilitate. PUT

Tieni presente che Amazon S3 Express One Zone utilizza un tipo specifico di bucket chiamato bucket di directory S3. I bucket di directory sono destinati esclusivamente alla classe di storage S3 Express One Zone e consentono un accesso ad alte prestazioni e bassa latenza. Per configurare la crittografia dei bucket predefinita su un bucket di directory S3, utilizza la CLI di AWS e specifica l'ID della chiave KMS o l'ARN, non l'alias, come nell'esempio seguente:

aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

Assicurati che il ruolo IAM del tuo pod EKS disponga delle autorizzazioni KMS (ad esempio) per accedere agli oggetti crittografati. kms:Decrypt Provalo in un ambiente di staging caricando un modello di esempio nel bucket, montandolo in un pod (ad esempio, tramite il driver CSI Mountpoint S3) e verificando che il pod sia in grado di leggere i dati crittografati senza errori. Registri di controllo tramite AWS CloudTrail per confermare la conformità ai requisiti di crittografia. Consulta la documentazione KMS per i dettagli di configurazione e la gestione delle chiavi.