Ajudar a melhorar esta página
Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.
Segurança da infraestrutura no Amazon EKS
Como um serviço gerenciado, o Amazon Elastic Kubernetes Service é protegido pela segurança de rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte Segurança na nuvem da AWS
Você usa chamadas à API publicadas pela AWS para acessar o Amazon EKS por meio da rede. Os clientes precisam oferecer suporte para:
-
Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Conjuntos de criptografia com sigilo de encaminhamento perfeito (perfect forward secrecy, ou PFS) como DHE (Ephemeral Diffie-Hellman, ou Efêmero Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman, ou Curva elíptica efêmera Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas utilizando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
Ao criar um cluster do Amazon EKS, você especifica as sub-redes da VPC para uso do cluster. O Amazon EKS exige sub-redes em, pelo menos, duas zonas de disponibilidade. Recomendamos uma VPC com sub-redes públicas e privadas a fim de que o Kubernetes possa criar balanceadores de carga públicos nas sub-redes públicas que fazem o balanceamento de carga do tráfego para Pods em execução nos nós localizados em sub-redes privadas.
Para obter mais informações sobre as considerações da VPC, consulte Requisitos e considerações sobre a VPC e a sub-rede do Amazon EKS.
Se você criar a VPC e os grupos de nós com os modelos do AWS CloudFormation fornecidos na demonstração Conceitos básicos do Amazon EKS, o plano de controle e os grupos de segurança do nó serão definidos com as configurações recomendadas.
Para obter mais informações sobre considerações de grupos de segurança, consulte Considerações e requisitos sobre grupos de segurança do Amazon EKS.
Quando você cria um cluster, o Amazon EKS cria um endpoint para o servidor gerenciado de API do Kubernetes usado para se comunicar com o cluster (usando as ferramentas de gerenciamento do Kubernetes, como kubectl
). Por padrão, esse endpoint do servidor de API é público para a Internet, e o acesso ao servidor de API é protegido por uma combinação do AWS Identity and Access Management (IAM) e do Controle de acesso com base em função (RBAC)
Você pode habilitar o acesso privado ao servidor de API do Kubernetes para que todas as comunicações entre os nós e o servidor de API fiquem na VPC. Você pode limitar os endereços IP que podem acessar o servidor de API pela Internet ou desativar completamente o acesso à Internet para o servidor de API.
Para obter mais informações sobre como modificar o acesso do endpoint do cluster, consulte Modificar o acesso ao endpoint do cluster:
Você pode implementar políticas de rede do Kubernetes com o Amazon VPC CNI ou com ferramentas de terceiros, como o Project Calico