Keamanan infrastruktur di Amazon EKS - Amazon EKS

Bantu tingkatkan halaman ini

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan infrastruktur di Amazon EKS

Sebagai layanan terkelola, Amazon Elastic Kubernetes Service dilindungi oleh keamanan jaringan global. AWS Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud. Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat Perlindungan Infrastruktur dalam Kerangka Kerja yang AWS Diarsiteksikan dengan Baik Pilar Keamanan.

Anda menggunakan API panggilan yang AWS dipublikasikan untuk mengakses Amazon EKS melalui jaringan. Klien harus mendukung hal-hal berikut:

  • Keamanan Lapisan Transportasi (TLS). Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Suite cipher dengan kerahasiaan maju yang sempurna (PFS) seperti (Ephemeral Diffie-Hellman) atau DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Selain itu, permintaan harus ditandatangani dengan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan IAM prinsipal. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.

Saat membuat EKS klaster Amazon, Anda menentukan VPC subnet untuk digunakan klaster Anda. Amazon EKS memerlukan subnet di setidaknya dua Availability Zone. Kami merekomendasikan a VPC dengan subnet publik dan pribadi sehingga Kubernetes dapat membuat penyeimbang beban publik di subnet publik yang memuat lalu lintas keseimbangan untuk Pods berjalan pada node yang berada di subnet pribadi.

Untuk informasi lebih lanjut tentang VPC pertimbangan, lihatLihat persyaratan EKS jaringan Amazon untuk VPC dan subnet.

Jika Anda membuat grup VPC dan node dengan AWS CloudFormation templat yang disediakan dalam Memulai dengan Amazon EKS panduan, maka grup keamanan bidang kontrol dan node Anda dikonfigurasi dengan pengaturan yang kami rekomendasikan.

Untuk informasi selengkapnya tentang pertimbangan grup keamanan, lihat Lihat persyaratan grup EKS keamanan Amazon untuk klaster.

Saat Anda membuat klaster baru, Amazon EKS membuat titik akhir untuk Kubernetes API server terkelola yang Anda gunakan untuk berkomunikasi dengan klaster Anda (menggunakan alat Kubernetes manajemen sepertikubectl). Secara default, endpoint API server ini bersifat publik ke internet, dan akses ke API server diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) dan Kubernetes Role Based Access Control (RBAC) asli.

Anda dapat mengaktifkan akses pribadi ke Kubernetes API server sehingga semua komunikasi antara node Anda dan API server tetap berada di dalam AndaVPC. Anda dapat membatasi alamat IP yang dapat mengakses API server Anda dari internet, atau sepenuhnya menonaktifkan akses internet ke API server.

Untuk informasi selengkapnya tentang cara memodifikasi akses titik akhir klaster, lihat Memodifikasi akses titik akhir klaster.

Anda dapat menerapkan kebijakan Kubernetes jaringan dengan Amazon VPC CNI atau alat pihak ketiga seperti Project Calico. Untuk informasi selengkapnya tentang menggunakan Amazon VPC CNI untuk kebijakan jaringan, lihatBatasi pod lalu lintas dengan kebijakan Kubernetes jaringan. Proyek Calico adalah proyek open source pihak ketiga. Untuk informasi selengkapnya, lihat Calicodokumentasi Proyek.