Amazon EKS でのインフラストラクチャセキュリティ - Amazon EKS

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

Amazon EKS でのインフラストラクチャセキュリティ

マネージドサービスの Amazon Elastic Kubernetes Service は、AWS グローバルネットワークセキュリティによって保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、「AWSクラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、セキュリティの柱 - AWS Well-Architected Frameworkインフラストラクチャ保護を参照してください。

AWS が公開している API コールを使用し、ネットワーク経由で Amazon EKS にアクセスします。クライアントは以下をサポートする必要があります:

  • Transport Layer Security (TLS)。TLS 1.2 は必須で TLS 1.3 がお勧めです。

  • DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは、Java 7 以降など、ほとんどの最新システムでサポートされています。

また、リクエストには、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

Amazon EKS のクラスターの作成時には、使用するクラスターの VPC サブネットを指定します。Amazon EKS には、2 つ以上のアベイラビリティーゾーンにサブネットが必要です。パブリックとプライベートのサブネットを持つ VPC をお勧めします。これにより、Kubernetes がパブリックサブネットにパブリックロードバランサーを作成し、プライベートサブネットにあるノードで実行されている Pods へのトラフィックを負荷分散します。

VPC に関する考慮事項の詳細については、「」を参照してくださいAmazon EKS VPC およびサブネットの要件と考慮事項

チュートリアル Amazon EKS の使用を開始する で提供されている AWS CloudFormation テンプレートを使用して VPC およびノードグループを作成した場合、コントロールプレーンとノードのセキュリティグループは推奨設定で構成されます。

セキュリティグループの考慮事項の詳細については、「」を参照してくださいAmazon EKS セキュリティグループの要件および考慮事項

新しいクラスターを作成すると、Amazon EKS によってマネージド型の Kubernetes API サーバーのエンドポイントが作成されます。ユーザーはこのエンドポイントを、(kubectl などの Kubernetes 管理ツールを通じて) クラスターとの通信に使用します。デフォルトでは、この API サーバーエンドポイントはインターネットに公開され、API サーバーへのアクセスは、AWS Identity and Access Management (IAM) とネイティブの Kubernetes Role Based Access Control (RBAC) の組み合わせを使用して保護されます。

Kubernetes API サーバーへのプライベートアクセスを有効にすると、ノードと API サーバー間のすべての通信が VPC 内で行われるようにできます。インターネットから API サーバーにアクセスできる IP アドレスを制限したり、API サーバーへのインターネットアクセスを完全に無効にしたりできます。

クラスターエンドポイントアクセスの変更の詳細については、「」を参照してくださいクラスターエンドポイントのアクセスの変更

Amazon VPC CNI または Project Calico などのサードパーティー製ツールを使用して Kubernetes ネットワークポリシーを実装できます。Amazon VPC CNI をネットワークポリシーに使用する方法の詳細については、「Kubernetes ネットワークポリシーのクラスターを構成する」を参照してください。プロジェクト Calico はサードパーティのオープンソースプロジェクトです。詳細については、「プロジェクト Calico のドキュメント」を参照してください。