Creazione di un cluster con crittografia KMS abilitata Abilitazione della crittografia KMS su un cluster esistente

Crittografia KMS Envelope per cluster EKS

Nota

Amazon Elastic Kubernetes Service (Amazon EKS) fornisce la crittografia a busta predefinita per tutti i dati dell'API Kubernetes nei cluster EKS che eseguono Kubernetes versione 1.28 o successiva. Per ulteriori informazioni, consulta la sezione Crittografia a busta predefinita per tutti i dati dell'API Kubernetes nella Guida per l'utente EKS.

EKS supporta l'utilizzo di chiavi AWS KMS per fornire la crittografia in busta dei segreti Kubernetes archiviati in EKS. La crittografia Envelope aggiunge un ulteriore livello di crittografia gestito dal cliente per i segreti delle applicazioni o i dati utente archiviati all'interno di un cluster Kubernetes.

In precedenza, Amazon EKS supportava l'abilitazione della crittografia delle buste utilizzando chiavi KMS solo durante la creazione del cluster. Ora puoi abilitare la crittografia delle buste per i cluster Amazon EKS in qualsiasi momento.

Scopri di più sull'utilizzo del supporto del provider di crittografia EKS per un defense-in-depth post sul blog sui contenitori AWS.

Creazione di un cluster con crittografia KMS abilitata


# kms-cluster.yaml
# A cluster with KMS encryption enabled
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: kms-cluster
  region: us-west-2

managedNodeGroups:
- name: ng
# more config

secretsEncryption:
  # KMS key used for envelope encryption of Kubernetes secrets
  keyARN: arn:aws:kms:us-west-2:<account>:key/<key>


eksctl create cluster -f kms-cluster.yaml

Abilitazione della crittografia KMS su un cluster esistente

Per abilitare la crittografia KMS su un cluster che non l'ha già abilitata, esegui


eksctl utils enable-secrets-encryption -f kms-cluster.yaml

o senza un file di configurazione:


eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --region=<region>

Oltre ad abilitare la crittografia KMS sul cluster EKS, eksctl cripta nuovamente tutti i segreti Kubernetes esistenti utilizzando la nuova chiave KMS aggiornandoli con l'annotazione. eksctl.io/kms-encryption-timestamp Questo comportamento può essere disabilitato passando, ad esempio: --encrypt-existing-secrets=false


eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --encrypt-existing-secrets=false --region=<region>

Se un cluster ha già la crittografia KMS abilitata, eksctl procederà a ricrittografare tutti i segreti esistenti.

Nota

Una volta abilitata, la crittografia KMS non può essere disabilitata o aggiornata per utilizzare una chiave KMS diversa.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza

Risoluzione dei problemi