Amazon Elastic Kubernetes Service コントロール - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Elastic Kubernetes Service コントロール

これらのコントロールは Amazon EKS リソースに関連しています。

これらのコントロールは、一部では使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

重要度:

リソースタイプ: AWS::EKS::Cluster

AWS Config ルール: eks-endpoint-no-public-access

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、Amazon EKS クラスターエンドポイントがパブリックにアクセス可能かどうかをチェックします。EKS クラスターにパブリックにアクセス可能なエンドポイントがある場合、コントロールは失敗します。

新しいクラスターを作成すると、Amazon EKS によって、マネージド型 Kubernetes API サーバー用にエンドポイントが作成されます。このエンドポイントは、ユーザーがクラスターとの通信に使用します。デフォルトでは、この API サーバーエンドポイントはインターネットで公開されています。API サーバーへのアクセスは、 AWS Identity and Access Management (IAM) とネイティブの Kubernetes ロールベースアクセス制御 (RBAC) の組み合わせによって保護されます。エンドポイントへのパブリックアクセスを削除することで、意図しない公開やクラスターへのアクセスを防ぐことができます。

修正

既存の EKS クラスターのエンドポイントアクセスを変更するには、「Amazon EKS ユーザーガイド」の「クラスターエンドポイントのアクセスの変更」を参照してください。新しい EKS クラスターの作成時に、エンドポイントアクセスを設定できます。新しい Amazon EKS クラスターを作成する手順については、「Amazon EKS ユーザーガイド」の「Amazon EKS クラスターの作成」を参照してください。

[EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度:

リソースタイプ: AWS::EKS::Cluster

AWS Config ルール : eks-cluster-supported-version

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

  • oldestVersionSupported: 1.25 (カスタマイズ不可)

このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターが、サポートされている Kubernetes バージョンで実行されているかどうかをチェックします。EKS クラスターがサポートされていないバージョンで実行されている場合、このコントロールは失敗します。

アプリケーションが Kubernetes の特定のバージョンを必要としない場合は、EKS がクラスター用にサポートしている、Kubernetes の使用可能な最新バージョンを使用することが推奨されます。サポートされるバージョンの詳細については、「Amazon EKS ユーザーガイド」の「Amazon EKS Kubernetes リリースカレンダー」と「Amazon EKS のバージョンのよくある質問」を参照してください。

修正

EKS クラスターの更新方法については、「Amazon EKS ユーザーガイド」の「Amazon EKS クラスターの Kubernetes バージョンの更新」を参照してください。

[EKS.8] EKS クラスターでは、監査ログ記録が有効になっている必要があります

関連する要件: NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ: AWS::EKS::Cluster

AWS Config ルール: eks-cluster-logging-enabled

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、Amazon EKS クラスターで監査ログ記録が有効になっているかどうかをチェックします。クラスターで監査ログ記録が有効になっていない場合、コントロールは失敗します。

EKS コントロールプレーンロギングは、監査ログと診断ログを EKS コントロールプレーンからアカウントの Amazon CloudWatch Logs に直接提供します。必要なログタイプを選択できます。ログは、内の各 EKS クラスターのグループにログストリームとして送信されます CloudWatch。ログ記録により、EKS クラスターのアクセスとパフォーマンスを可視化できます。EKS クラスターの EKS CloudWatch コントロールプレーンログを Logs に送信することで、監査と診断を目的とした操作を一元的に記録できます。

修正

EKS クラスターの監査ログを有効にするには、「Amazon EKS ユーザーガイド」の「コントロールプレーンログの有効化と無効化」を参照してください。