Amazon EKS のセキュリティ

「AWS」 ではクラウドセキュリティが最優先事項です。セキュリティを最も重視する組織の要件を満たすために構築された 「AWS」 のデータセンターとネットワークアーキテクチャは、お客様に大きく貢献します。

セキュリティは、「AWS」 と顧客の間の責任共有です。責任共有モデルでは、この責任がクラウドのセキュリティおよびクラウド内のセキュリティとして説明されています。

• クラウドのセキュリティ – AWS は、AWS クラウドで AWS のサービスを実行するインフラストラクチャを保護する責任を担います。Amazon EKS において、AWS は Kubernetes コントロールプレーンの責任を分担しており、この範囲にはコントロールプレーンノードと etcd データベースが含まれています。AWS コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon EKS に適用されるコンプライアンスプログラムについては、「コンプライアンスプログラムによる対象範囲内の AWS サービス」を参照してください。

• クラウド内のセキュリティ – お客様の責任事項には、次の領域が含まれます。

  • データプレーンのセキュリティ設定。これには、Amazon EKS コントロールプレーンからお客様の VPC 内へのトラフィックの通過を許可する、セキュリティグループの設定を含みます。

  • ノードおよびコンテナに対する設定。

  • ノードのオペレーティングシステム (更新やセキュリティパッチを含みます)

  • その他の関連アプリケーションソフトウェア :

    • ファイアウォールのルールなど、ネットワークコントロールの設定および管理。

    • IAM を使用する、またはそれに追加して行う、Identity and Access Managementのプラットフォームレベルの管理。

  • お客様のデータの機密性、企業の要件、該当する法律および規制

このドキュメントは、Amazon EKS を使用する際の責任共有モデルの適用について理解するのに役立ちます。以下のトピックで、セキュリティおよびコンプライアンスの目的を満たすように、Amazon EKS を設定する方法について説明します。Amazon EKS リソースのモニタリングやセキュリティ確保に役立つ他の AWS サービスの使用方法についても説明します。

注記

Linux コンテナはコントロールグループ (cgroup) と名前空間で構成されています。これらにより、コンテナのアクセスが可能な対象を制限しながら、すべてのコンテナに、ホストの Amazon EC2 インスタンスと同じ Linux カーネルを共有させることができます。コンテナをルートユーザー (UID 0) として実行したり、ホストリソースや (ホストネットワークやホスト PID の) 名前空間へのアクセスをコンテナに許可したりすることは一切お勧めしません。これは、コンテナが提供する分離の有効性を低下させます。

トピック

• ベストプラクティスによる Amazon EKS クラスターの保護

• Amazon EKS の脆弱性を分析する

• Amazon EKS クラスターのコンプライアンス検証

• アマゾン エラスティックKubernetesサービス のセキュリティに関する考慮事項

• Kubernetes のセキュリティに関する考慮事項

• Amazon EKS Auto Mode におけるセキュリティに関する考慮事項

• Amazon EKS の Identity and Access Management