Keamanan infrastruktur di Amazon EKS - Amazon EKS

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ingin berkontribusi pada panduan pengguna ini? Pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan infrastruktur di Amazon EKS

Sebagai layanan terkelola, Amazon Elastic Kubernetes Service dilindungi oleh keamanan jaringan global. AWS Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud. Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat Perlindungan Infrastruktur dalam Kerangka Kerja yang AWS Diarsiteksikan dengan Baik Pilar Keamanan.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon EKS melalui jaringan. Klien harus mendukung hal-hal berikut:

  • Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

  • Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk menghasilkan kredenal keamanan sementara untuk menandatangani permintaan.

Ketika Anda membuat klaster Amazon EKS, Anda menentukan subnet VPC untuk digunakan oleh klaster Anda. Amazon EKS membutuhkan subnet, setidaknya di dua Availability Zone. Kami merekomendasikan VPC dengan subnet publik dan pribadi sehingga Kubernetes dapat membuat penyeimbang beban publik di subnet publik yang memuat lalu lintas keseimbangan ke Pods berjalan pada node yang ada di subnet pribadi.

Untuk informasi selengkapnya tentang pertimbangan VPC, lihat Lihat persyaratan jaringan Amazon EKS untuk VPC dan subnet.

Jika Anda membuat grup VPC dan node dengan AWS CloudFormation templat yang disediakan dalam panduan Memulai dengan Amazon EKS, maka grup keamanan bidang kontrol dan node Anda dikonfigurasi dengan pengaturan yang kami rekomendasikan.

Untuk informasi selengkapnya tentang pertimbangan grup keamanan, lihat Lihat persyaratan grup keamanan Amazon EKS untuk cluster.

Saat Anda membuat klaster baru, Amazon EKS membuat titik akhir untuk yang dikelola Kubernetes Server API yang Anda gunakan untuk berkomunikasi dengan cluster Anda (menggunakan Kubernetes alat manajemen sepertikubectl). Secara default, endpoint server API ini bersifat publik ke internet, dan akses ke server API diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) dan native Kubernetes Kontrol Akses Berbasis Peran (RBAC).

Anda dapat mengaktifkan akses pribadi ke Kubernetes Server API sehingga semua komunikasi antara node Anda dan server API tetap berada dalam VPC Anda. Anda dapat membatasi alamat IP yang dapat mengakses server API Anda dari internet, atau menonaktifkan sepenuhnya akses internet ke server API.

Untuk informasi selengkapnya tentang cara memodifikasi akses titik akhir klaster, lihat Memodifikasi akses titik akhir klaster.

Anda dapat menerapkan Kubernetes kebijakan jaringan dengan Amazon VPC CNI atau alat pihak ketiga seperti Project Calico. Untuk informasi selengkapnya tentang menggunakan Amazon VPC CNI untuk kebijakan jaringan, lihat. Kuota Pod Lalu lintas dengan Kubernetes kebijakan jaringan Proyek Calico adalah proyek open source pihak ketiga. Untuk informasi selengkapnya, lihat Project Calico documentation.