Segurança - Amazon EKS
Segurança e conformidade

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança

Segurança e conformidade

Considere o S3 com KMS para armazenamento compatível com criptografia

A menos que você especifique o contrário, todos os buckets do S3 usam o SSE-S3 por padrão para criptografar objetos em repouso. No entanto, você pode optar por configurar buckets para usar criptografia do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS) em vez disso. Os controles de segurança do AWS KMS podem ajudá-lo a satisfazer os requisitos de conformidade relacionados à criptografia. Você pode usar essas chaves do KMS para proteger seus dados em buckets do Amazon S3. Quando você usa a criptografia SSE-KMS com um bucket S3, as chaves do AWS KMS devem estar na mesma região do bucket.

Configure seus buckets de uso geral para usar chaves de bucket do S3 para SSE-KMS, a fim de reduzir seus custos de solicitação do AWS KMS em até 99%, diminuindo o tráfego de solicitações do Amazon S3 para o AWS KMS. As chaves de bucket do S3 estão sempre habilitadas GET e PUT operam em um bucket de diretório e não podem ser desativadas.

Observe que o Amazon S3 Express One Zone usa um tipo específico de bucket chamado bucket de diretório S3. Os buckets de diretório são exclusivamente para a classe de armazenamento S3 Express One Zone e permitem acesso de alto desempenho e baixa latência. Para configurar a criptografia de bucket padrão em um bucket de diretório do S3, use a AWS CLI e especifique o ID da chave KMS ou o ARN, não o alias, como no exemplo a seguir:

aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

Certifique-se de que a função IAM do seu pod EKS tenha permissões KMS (por exemplo,kms:Decrypt) para acessar objetos criptografados. Teste isso em um ambiente de teste fazendo o upload de um modelo de amostra para o bucket, montando-o em um pod (por exemplo, por meio do driver CSI Mountpoint S3) e verificando se o pod pode ler os dados criptografados sem erros. Registros de auditoria via AWS CloudTrail para confirmar a conformidade com os requisitos de criptografia. Consulte a documentação do KMS para obter detalhes de configuração e gerenciamento de chaves.