Sicurezza dell'infrastruttura in Amazon EKS - Amazon EKS

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in Amazon EKS

In quanto servizio gestito, Amazon Elastic Kubernetes Service è protetto dalla sicurezza di rete globale. AWS Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security. Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Utilizzi API le chiamate AWS pubblicate per accedere ad Amazon EKS tramite la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS) come (Ephemeral Diffie-Hellman) o DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale. IAM O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Quando crei un EKS cluster Amazon, specifichi le VPC sottoreti da utilizzare per il cluster. Amazon EKS richiede sottoreti in almeno due zone di disponibilità. Consigliamo una VPC con sottoreti pubbliche e private in modo da Kubernetes poter creare bilanciatori di carico pubblici nelle sottoreti pubbliche che bilanciano il carico dal traffico all'Podsesecuzione su nodi che si trovano in sottoreti private.

Per ulteriori informazioni sulle considerazioni, vedere. VPC Requisiti EKS VPC e considerazioni su Amazon e la sottorete

Se crei i tuoi gruppi VPC e quelli di nodi con i AWS CloudFormation modelli forniti nella Inizia a usare Amazon EKS procedura dettagliata, i gruppi di sicurezza del piano di controllo e dei nodi vengono configurati con le nostre impostazioni consigliate.

Per ulteriori informazioni sulle considerazioni per i gruppi di sicurezza, consultare Considerazioni e requisiti relativi al gruppo di sicurezza Amazon EKS.

Quando crei un nuovo cluster, Amazon EKS crea un endpoint per il Kubernetes API server gestito che usi per comunicare con il cluster (utilizzando strumenti di Kubernetes gestione comekubectl). Per impostazione predefinita, questo endpoint del API server è pubblico su Internet e l'accesso al API server è protetto utilizzando una combinazione di AWS Identity and Access Management (IAM) e Role Kubernetes Based Access Control () nativo. RBAC

Puoi abilitare l'accesso privato al Kubernetes API server in modo che tutte le comunicazioni tra i tuoi nodi e il API server rimangano all'interno del tuo. VPC Puoi limitare gli indirizzi IP che possono accedere al tuo API server da Internet o disabilitare completamente l'accesso da Internet al API server.

Per ulteriori informazioni sulla modifica dell'accesso all'endpoint del cluster, consultare Modifica dell'accesso all'endpoint del cluster.

Puoi implementare politiche di Kubernetes rete con Amazon VPC CNI o strumenti di terze parti come Project Calico. Per ulteriori informazioni sull'utilizzo di Amazon VPC CNI per le politiche di rete, consultaConfigurazione del cluster per le policy di rete Kubernetes. Project Calico è un progetto open source di terze parti. Per ulteriori informazioni, consulta la documentazione di Project Calico.