**Ayude a mejorar esta página** 

Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.

# Configuración de ajustes avanzados de seguridad para los nodos
<a name="auto-advanced-security"></a>

En este tema, se describe cómo configurar ajustes avanzados de seguridad para nodos del modo automático de Amazon EKS mediante la especificación `advancedSecurity` en la clase de nodo.

## Requisitos previos
<a name="_prerequisites"></a>

Antes de comenzar, asegúrese de que dispone de lo siguiente:
+ Un clúster del modo automático de Amazon EKS. Para obtener más información, consulte [Cómo crear un clúster con el modo automático de Amazon EKS](create-auto.md).
+  `kubectl` instalado y configurado Para obtener más información, consulte [Configuración para usar Amazon EKS](setting-up.md).
+ Explicación sobre la configuración de la clase de nodo. Para obtener más información, consulte [Cómo crear una clase de nodos para Amazon EKS](create-node-class.md).

## Configuración de ajustes avanzados de seguridad
<a name="_configure_advanced_security_settings"></a>

Para configurar ajustes avanzados de seguridad para los nodos, establezca los campos `advancedSecurity` en la especificación de la clase de nodo:

```
apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"
```

Aplique esta configuración:

```
kubectl apply -f nodeclass.yaml
```

Haga referencia a esta clase de nodo en la configuración del grupo de nodos. Para obtener más información, consulte [Creación de un grupo de nodos para el modo automático de EKS](create-node-pool.md).

## Descripción del campo
<a name="_field_descriptions"></a>
+  `fips` (booleano, opcional): cuando se establece en `true`, aprovisiona nodos con AMI que incluyen módulos criptográficos validados conforme a FIPS 140-2. Este ajuste selecciona AMI compatibles con FIPS; los clientes son responsables de administrar sus requisitos de cumplimiento. Para obtener más información, consulte [Cumplimiento de FIPS en AWS](https://aws.amazon.com/compliance/fips/). Valor predeterminado: `false`.
+  `kernelLockdown` (cadena, opcional): controla el modo del módulo de seguridad de bloqueo del kernel. Valores aceptados:
  +  `integrity`: bloquea los métodos para sobrescribir la memoria del kernel o modificar el código del kernel. Impide la carga de módulos del kernel sin firma.
  +  `none`: desactiva la protección de bloqueo del kernel.

    Para obtener más información, consulte la [documentación sobre el bloqueo del kernel de Linux](https://man7.org/linux/man-pages/man7/kernel_lockdown.7.html).

## Consideraciones
<a name="_considerations"></a>
+ Las AMI compatibles con FIPS están disponibles en las regiones de AWS Este/Oeste de EE. UU., AWS GovCloud (EE. UU.) y AWS Canadá (centro/oeste). Para obtener más información, consulte [Cumplimiento de FIPS en AWS](https://aws.amazon.com/compliance/fips/).
+ Cuando utilice `kernelLockdown: "integrity"`, asegúrese de que las cargas de trabajo no requieran cargar módulos del kernel sin firma ni modificar la memoria del kernel.

## Recursos relacionados
<a name="_related_resources"></a>
+  [Cómo crear una clase de nodos para Amazon EKS](create-node-class.md): guía completa de configuración de la clase de nodo
+  [Creación de un grupo de nodos para el modo automático de EKS](create-node-pool.md): configuración del grupo de nodos