Amazon EKS 中的安全性 - Amazon EKS

Amazon EKS 中的安全性

AWS 十分重视云安全性。作为 AWS 客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。

安全性是 AWS 和您的共同责任。责任共担模型将其描述为云安全性和云的安全性:

  • 云的安全性 – AWS 负责保护在 AWS 云中运行 AWS 服务的基础设施。对于 Amazon EKS,AWS 负责 Kubernetes 控制面板,其中包括控制面板节点和 etcd 数据库。作为 AWS 合规性计划的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EKS 的合规性计划,请参阅合规性计划范围内的AWS服务

  • 云中的安全性 – 您的责任包括以下各个方面。

    • 数据层面的安全配置,包括配置安全组以允许流量从 Amazon EKS 控制层面传入客户 VPC

    • 节点和容器本身的配置

    • 节点操作系统(包括更新和安全补丁)

    • 其他关联的应用程序软件:

      • 设置和管理网络控制功能,例如防火墙规则

      • 使用 IAM 或其他服务管理平台级身份和访问管理

    • 您的数据的敏感性、您公司的要求以及适用的法律法规

此文档将帮助您了解如何在使用 Amazon EKS 时应用责任共担模式。以下主题说明如何配置 Amazon EKS 以实现您的安全性和合规性目标。您还会了解如何使用其他AWS服务以帮助您监控和保护 Amazon EKS 资源。

注意

Linux 容器由控制组 (cgroup) 和命名空间组成,这些控制组和命名空间有助于限制容器可以访问的内容,但所有容器都与主机 Amazon EC2 实例共享相同的 Linux 内核。非常不建议以根用户 (UID 0) 身份运行容器或授予容器对主机资源或命名空间(如主机网络或主机 PID 命名空间)的访问权限,因为这样做会降低容器提供的隔离的有效性。