EKS 클러스터에 대한 KMS Envelope 암호화 - Eksctl 사용 설명서
KMS 암호화가 활성화된 클러스터 생성기존 클러스터에서 KMS 암호화 활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EKS 클러스터에 대한 KMS Envelope 암호화

참고

Amazon Elastic Kubernetes Service(Amazon EKS)는 Kubernetes 버전 1.28 이상을 실행하는 EKS 클러스터의 모든 Kubernetes API 데이터에 기본 봉투 암호화를 제공합니다. 자세한 내용은 EKS 사용 설명서모든 Kubernetes API 데이터에 대한 기본 봉투 암호화를 참조하세요.

EKS는 AWS KMS 키를 사용하여 EKS에 저장된 Kubernetes 보안 암호의 봉투 암호화를 제공합니다. 봉투 암호화는 Kubernetes 클러스터 내에 저장된 애플리케이션 보안 암호 또는 사용자 데이터에 대한 고객 관리형 암호화 계층을 추가합니다.

이전에 Amazon EKS는 클러스터 생성 중에만 KMS 키를 사용한 봉투 암호화 활성화를 지원했습니다. 이제 언제든지 Amazon EKS 클러스터에 대한 봉투 암호화를 활성화할 수 있습니다.

AWS 컨테이너 블로그에서 defense-in-depth를 위한 EKS 암호화 공급자 지원 사용에 대해 자세히 알아보세요.

KMS 암호화가 활성화된 클러스터 생성

# kms-cluster.yaml
# A cluster with KMS encryption enabled
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: kms-cluster
  region: us-west-2

managedNodeGroups:
- name: ng
# more config

secretsEncryption:
  # KMS key used for envelope encryption of Kubernetes secrets
  keyARN: arn:aws:kms:us-west-2:<account>:key/<key>
eksctl create cluster -f kms-cluster.yaml

기존 클러스터에서 KMS 암호화 활성화

아직 활성화되지 않은 클러스터에서 KMS 암호화를 활성화하려면를 실행합니다.

eksctl utils enable-secrets-encryption -f kms-cluster.yaml

구성 파일 유무:

eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --region=<region>

EKS 클러스터에서 KMS 암호화를 활성화하는 것 외에도 eksctl은 주석으로 업데이트하여 새 KMS 키를 사용하여 기존 Kubernetes 보안 암호를 모두 다시 암호화합니다eksctl.io/kms-encryption-timestamp. 이 동작은 다음과 --encrypt-existing-secrets=false같이를 전달하여 비활성화할 수 있습니다.

eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --encrypt-existing-secrets=false --region=<region>

클러스터에 이미 KMS 암호화가 활성화된 경우 eksctl은 기존 보안 암호를 모두 다시 암호화합니다.

참고

KMS 암호화가 활성화되면 다른 KMS 키를 사용하도록 비활성화하거나 업데이트할 수 없습니다.