Criação de um cluster com criptografia KMS ativada Habilitando a criptografia KMS em um cluster existente

Criptografia de envelope KMS para clusters EKS

nota

O Amazon Elastic Kubernetes Service (Amazon EKS) fornece criptografia envelopada padrão para todos os dados de API do Kubernetes nos clusters do EKS em execução no Kubernetes versão 1.28 ou mais recente. Para obter mais informações, consulte Criptografia de envelope padrão para todos os dados da API Kubernetes no Guia do usuário do EKS.

O EKS suporta o uso de chaves do AWS KMS para fornecer criptografia de envelope de segredos do Kubernetes armazenados no EKS. A criptografia de envelope adiciona uma camada adicional de criptografia gerenciada pelo cliente para segredos de aplicativos ou dados do usuário armazenados em um cluster Kubernetes.

Anteriormente, o Amazon EKS dava suporte à ativação da criptografia de envelopes usando chaves KMS somente durante a criação do cluster. Agora, você pode habilitar a criptografia de envelope para clusters Amazon EKS a qualquer momento.

Leia mais sobre como usar o suporte do provedor de criptografia EKS para defense-in-depth publicar no blog de contêineres da AWS.

Criação de um cluster com criptografia KMS ativada


# kms-cluster.yaml
# A cluster with KMS encryption enabled
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: kms-cluster
  region: us-west-2

managedNodeGroups:
- name: ng
# more config

secretsEncryption:
  # KMS key used for envelope encryption of Kubernetes secrets
  keyARN: arn:aws:kms:us-west-2:<account>:key/<key>


eksctl create cluster -f kms-cluster.yaml

Habilitando a criptografia KMS em um cluster existente

Para habilitar a criptografia KMS em um cluster que ainda não a tenha habilitado, execute


eksctl utils enable-secrets-encryption -f kms-cluster.yaml

ou sem um arquivo de configuração:


eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --region=<region>

Além de habilitar a criptografia KMS no cluster EKS, o eksctl também criptografa novamente todos os segredos existentes do Kubernetes usando a nova chave KMS, atualizando-os com a anotação. eksctl.io/kms-encryption-timestamp Esse comportamento pode ser desativado passando--encrypt-existing-secrets=false, como em:


eksctl utils enable-secrets-encryption --cluster=kms-cluster --key-arn=arn:aws:kms:us-west-2:<account>:key/<key> --encrypt-existing-secrets=false --region=<region>

Se um cluster já tiver a criptografia KMS ativada, o eksctl continuará a criptografar novamente todos os segredos existentes.

nota

Depois que a criptografia KMS estiver ativada, ela não poderá ser desativada ou atualizada para usar uma chave KMS diferente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Segurança

Solução de problemas