**Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pertimbangan keamanan untuk Amazon Elastic Kubernetes Service
<a name="security-eks"></a>

Berikut ini adalah pertimbangan untuk keamanan cloud, karena mempengaruhi Amazon EKS.

**Topics**
+ [Keamanan infrastruktur di Amazon EKS](infrastructure-security.md)
+ [Memahami ketahanan di kluster Amazon EKS](disaster-recovery-resiliency.md)
+ [Pencegahan wakil kebingungan lintas layanan di Amazon EKS](cross-service-confused-deputy-prevention.md)

# Keamanan infrastruktur di Amazon EKS
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, Amazon Elastic Kubernetes Service dilindungi oleh keamanan jaringan global. AWS Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon EKS melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) untuk menghasilkan kredenal keamanan sementara untuk menandatangani permintaan.

Ketika Anda membuat klaster Amazon EKS, Anda menentukan subnet VPC untuk digunakan oleh klaster Anda. Amazon EKS membutuhkan subnet, setidaknya di dua Availability Zone. Kami merekomendasikan VPC dengan subnet publik dan privat sehingga Kubernetes dapat membuat penyeimbang beban publik di subnet publik yang memuat lalu lintas keseimbangan ke Pod yang berjalan pada node yang berada di subnet pribadi.

Untuk informasi selengkapnya tentang pertimbangan VPC, lihat [Lihat persyaratan jaringan Amazon EKS untuk VPC dan subnet](network-reqs.md).

Jika Anda membuat grup VPC dan node dengan AWS CloudFormation templat yang disediakan dalam panduan [Memulai dengan Amazon EKS](getting-started.md), maka grup keamanan bidang kontrol dan node Anda dikonfigurasi dengan pengaturan yang kami rekomendasikan.

Untuk informasi selengkapnya tentang pertimbangan grup keamanan, lihat [Lihat persyaratan grup keamanan Amazon EKS untuk cluster](sec-group-reqs.md).

Ketika Anda membuat klaster baru, Amazon EKS membuat titik akhir untuk server API Kubernetes terkelola yang Anda gunakan untuk berkomunikasi dengan klaster Anda (alat pengelolaan Kubernetes seperti `kubectl`). Secara default, endpoint server API ini bersifat publik ke internet, dan akses ke server API diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) and Access Management (IAM) dan native [Kubernetes](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) Role Based Access Control (RBAC).

Anda dapat mengaktifkan akses privat ke server API Kubernetes sehingga semua komunikasi antara simpul Anda dan server API tetap berada di dalam VPC Anda. Anda dapat membatasi alamat IP yang dapat mengakses server API Anda dari internet, atau menonaktifkan sepenuhnya akses internet ke server API.

Untuk informasi selengkapnya tentang cara memodifikasi akses titik akhir klaster, lihat [Memodifikasi akses titik akhir klaster](cluster-endpoint.md#modify-endpoint-access).

[Anda dapat menerapkan *kebijakan jaringan* Kubernetes dengan Amazon VPC CNI atau alat pihak ketiga seperti Project Calico.](https://docs.tigera.io/calico/latest/about/) Untuk informasi selengkapnya tentang menggunakan Amazon VPC CNI untuk kebijakan jaringan, lihat. [Batasi lalu lintas Pod dengan kebijakan jaringan Kubernetes](cni-network-policy.md) Project Calico merupakan proyek sumber terbuka pihak ketiga. Untuk informasi selengkapnya, lihat [Project Calico documentation](https://docs.tigera.io/calico/latest/getting-started/kubernetes/managed-public-cloud/eks/).

# Akses Amazon EKS menggunakan AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

Anda dapat menggunakannya AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan Amazon Elastic Kubernetes Service. Anda dapat mengakses Amazon EKS seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct AWS Connect. Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Amazon EKS.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Amazon EKS.

Untuk informasi selengkapnya, lihat [Akses AWS layanan melalui AWS PrivateLink AWS](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) *PrivateLink Panduan*.

## Sebelum Anda mulai
<a name="vpc-endpoint-prerequisites"></a>

Sebelum memulai, pastikan Anda telah melakukan tugas-tugas berikut:
+ *Tinjau [Akses AWS layanan menggunakan titik akhir VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) di Panduan AWS PrivateLink * 

## Pertimbangan
<a name="vpc-endpoint-considerations"></a>
+  **Support and Limitations**: Endpoint antarmuka Amazon EKS memungkinkan akses aman ke semua tindakan Amazon EKS API dari VPC Anda tetapi dilengkapi dengan batasan khusus: mereka tidak mendukung akses ke APIs Kubernetes, karena ini memiliki titik akhir pribadi yang terpisah, Anda tidak dapat mengonfigurasi Amazon EKS agar hanya dapat diakses melalui titik akhir antarmuka.
+  **Harga**: Menggunakan titik akhir antarmuka untuk Amazon EKS menimbulkan AWS PrivateLink biaya standar: biaya per jam untuk setiap titik akhir yang disediakan di setiap Zona Ketersediaan, biaya pemrosesan data untuk lalu lintas melalui titik akhir. Untuk mempelajari lebih lanjut, lihat [AWS PrivateLink harga](https://aws.amazon.com/privatelink/pricing/).
+  **Keamanan dan Kontrol Akses**: Sebaiknya tingkatkan keamanan dan kontrol akses dengan konfigurasi tambahan ini—gunakan kebijakan titik akhir VPC untuk mengontrol akses ke Amazon EKS melalui titik akhir antarmuka, mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengelola lalu lintas, menggunakan log aliran VPC untuk menangkap dan memantau lalu lintas IP ke dan dari titik akhir antarmuka, dengan log yang dapat dipublikasikan ke Amazon atau Amazon S3. CloudWatch Untuk mempelajari lebih lanjut, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir dan Mencatat lalu lintas IP menggunakan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) [Log Aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html).
+  **Opsi Konektivitas**: Titik akhir antarmuka menawarkan opsi konektivitas fleksibel menggunakan **akses lokal** (sambungkan pusat data lokal Anda ke VPC dengan titik akhir antarmuka menggunakan Direct AWS Connect atau AWS Site-to-Site VPN) atau melalui konektivitas **antar-VPC (gunakan Transit AWS Gateway atau peering VPC** untuk VPCs menghubungkan orang lain ke VPC dengan titik akhir antarmuka, menjaga lalu lintas dalam jaringan). AWS 
+  **Dukungan Versi IP**: Titik akhir yang dibuat sebelum Agustus 2024 mendukung hanya IPv4 menggunakan eks.region.amazonaws.com. Titik akhir baru yang dibuat setelah Agustus 2024 mendukung dual-stack IPv4 dan IPv6 (misalnya, eks.region.amazonaws.com, eks.region.api.aws).
+  **Ketersediaan Regional**: AWS PrivateLink untuk EKS API tidak tersedia di wilayah Asia Pasifik (Malaysia) (ap-tenggara 5), Asia Pasifik (Thailand) (ap-tenggara - 7), Meksiko (Tengah) (mx-sentral-1), dan Asia Pasifik (Taipei) (ap-timur-2). AWS PrivateLink dukungan untuk eks-auth (EKS Pod Identity) tersedia di wilayah Asia Pasifik (Malaysia) (ap-tenggara 5).

## Buat titik akhir antarmuka untuk Amazon EKS
<a name="vpc-endpoint-create"></a>

Anda dapat membuat titik akhir antarmuka untuk Amazon EKS menggunakan konsol Amazon VPC atau Antarmuka Baris AWS Perintah (AWS CLI). *Untuk informasi selengkapnya, lihat [Membuat titik akhir VPC di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws). AWS PrivateLink *

Buat titik akhir antarmuka untuk Amazon EKS menggunakan nama layanan berikut:

### EKS API
<a name="_eks_api"></a>
+ com.amazonaws.region-code.eks
+ com.amazonaws.region-code.eks-fips (untuk titik akhir yang sesuai dengan FIPS)

### EKS Auth API (Identitas EKS Pod)
<a name="_eks_auth_api_eks_pod_identity"></a>
+ com.amazonaws.region-code.eks-auth

## Fitur DNS pribadi untuk titik akhir antarmuka Amazon EKS
<a name="vpc-endpoint-private-dns"></a>

Fitur DNS pribadi, diaktifkan secara default untuk titik akhir antarmuka Amazon EKS dan AWS layanan lainnya, memfasilitasi permintaan API yang aman dan pribadi menggunakan nama DNS Regional default. Fitur ini memastikan bahwa panggilan API dirutekan melalui titik akhir antarmuka melalui AWS jaringan pribadi, meningkatkan keamanan dan kinerja.

Fitur DNS pribadi aktif secara otomatis saat Anda membuat titik akhir antarmuka untuk Amazon EKS atau layanan lainnya. AWS Untuk mengaktifkan, Anda perlu mengkonfigurasi VPC Anda dengan benar dengan mengatur atribut tertentu:
+  **enableDnsHostnames**: Memungkinkan instance dalam VPC memiliki nama host DNS.
+  **enableDnsSupport**: Mengaktifkan resolusi DNS di seluruh VPC.

Untuk step-by-step petunjuk untuk memeriksa atau mengubah pengaturan ini, lihat [Melihat dan memperbarui atribut DNS untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating).

### Nama DNS dan jenis alamat IP
<a name="_dns_names_and_ip_address_types"></a>

Dengan mengaktifkan fitur DNS pribadi, Anda dapat menggunakan nama DNS tertentu untuk terhubung ke Amazon EKS, dan opsi ini berkembang seiring waktu:
+  **eks.region.amazonaws.com**: Nama DNS tradisional, hanya diselesaikan ke alamat sebelum Agustus 2024. IPv4 Untuk titik akhir yang ada yang diperbarui ke dual-stack, nama ini diselesaikan ke keduanya dan alamat. IPv4 IPv6 
+  **eks.region.api.aws**: Tersedia untuk titik akhir baru yang dibuat setelah Agustus 2024, nama DNS tumpukan ganda ini diselesaikan ke keduanya dan alamat. IPv4 IPv6 

Setelah Agustus 2024, titik akhir antarmuka baru hadir dengan dua nama DNS, dan Anda dapat memilih jenis alamat IP dual-stack. Untuk titik akhir yang ada, memperbarui ke dual-stack memodifikasi **eks.region.amazonaws.com** untuk mendukung keduanya dan. IPv4 IPv6

### Menggunakan fitur DNS Pribadi
<a name="_using_the_private_dns_feature"></a>

Setelah dikonfigurasi, fitur DNS pribadi dapat diintegrasikan ke dalam alur kerja Anda, menawarkan kemampuan berikut:
+  **Permintaan API**: Gunakan nama DNS Regional default, baik `eks.region.amazonaws.com` atau`eks.region.api.aws`, berdasarkan penyiapan titik akhir Anda untuk membuat permintaan API ke Amazon EKS.
+  **Kompatibilitas Aplikasi**: Aplikasi Anda yang ada yang memanggil EKS tidak APIs memerlukan perubahan untuk memanfaatkan fitur ini.
+  ** AWS CLI dengan Dual-Stack***: Untuk menggunakan titik akhir dual-stack dengan AWS CLI, lihat konfigurasi titik akhir [Dual-stack dan FIPS di](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html) Panduan Referensi Alat dan. AWS SDKs *
+  **Perutean Otomatis**: Setiap panggilan ke titik akhir layanan default Amazon EKS secara otomatis diarahkan melalui titik akhir antarmuka, memastikan konektivitas pribadi dan aman.

# Memahami ketahanan di kluster Amazon EKS
<a name="disaster-recovery-resiliency"></a>

Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.

Amazon EKS menjalankan dan menskalakan pesawat kontrol Kubernetes di beberapa AWS Availability Zone untuk memastikan ketersediaan yang tinggi. Amazon EKS secara otomatis menskalakan instans pesawat kontrol berdasarkan beban, mendeteksi, dan mengganti instans bidang kontrol yang tidak sehat, dan secara otomatis menambal bidang kontrol. Setelah Anda memulai pembaruan versi, Amazon EKS memperbarui bidang kontrol untuk Anda, menjaga ketersediaan tinggi bidang kontrol selama pembaruan.

Bidang kontrol ini terdiri dari setidaknya dua instance server API dan tiga `etcd` instance yang berjalan di tiga Availability Zone dalam suatu AWS Region. Amazon EKS:
+ Secara aktif memantau beban pada instans bidang kendali dan secara otomatis menskalakannya guna memastikan kinerja yang tinggi.
+ Secara otomatis mendeteksi dan mengganti instans bidang kontrol yang tidak sehat, memulai ulang di seluruh Availability Zone dalam Wilayah sesuai kebutuhan. AWS 
+ Memanfaatkan arsitektur AWS Daerah untuk menjaga ketersediaan tinggi. Karena itu, Amazon EKS mampu menawarkan [SLA untuk ketersediaan titik akhir server API](https://aws.amazon.com/eks/sla).

Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [infrastruktur AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Pencegahan wakil kebingungan lintas layanan di Amazon EKS
<a name="cross-service-confused-deputy-prevention"></a>

Masalah deputi yang membingungkan adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain dengan cara yang seharusnya tidak memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global dalam kebijakan sumber daya untuk membatasi izin yang diberikan Amazon Elastic Kubernetes Service (Amazon EKS) ke layanan lain ke sumber daya. [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)

 `aws:SourceArn`   
Gunakan `aws:SourceArn` untuk mengaitkan hanya satu sumber daya dengan akses lintas layanan.

 `aws:SourceAccount`   
Gunakan `aws:SourceAccount` untuk membiarkan sumber daya apa pun di akun itu dikaitkan dengan penggunaan lintas layanan.

Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan karakter wildcard (\$1) untuk bagian ARN yang tidak diketahui. Misalnya, ` arn:aws:<servicename>:*:<123456789012>:*`.

Jika `aws:SourceArn` nilainya tidak berisi ID akun, seperti ARN bucket Amazon S3, Anda harus menggunakan keduanya `aws:SourceAccount` dan `aws:SourceArn` untuk membatasi izin.

## Peran klaster Amazon EKS lintas layanan membingungkan pencegahan wakil
<a name="cross-service-confused-deputy-cluster-role"></a>

Peran IAM cluster Amazon EKS diperlukan untuk setiap cluster. Cluster Kubernetes yang dikelola oleh Amazon EKS menggunakan peran ini untuk mengelola node dan [Cloud Provider lama](https://kubernetes-sigs.github.io/aws-load-balancer-controller/latest/guide/service/annotations/#legacy-cloud-provider) menggunakan peran ini untuk membuat penyeimbang beban dengan Elastic Load Balancing untuk layanan. Tindakan klaster ini hanya dapat memengaruhi akun yang sama, jadi sebaiknya Anda membatasi setiap peran klaster ke klaster dan akun tersebut. Ini adalah aplikasi khusus dari AWS rekomendasi untuk mengikuti *prinsip hak istimewa paling sedikit* di akun Anda.

 **Sumber format ARN** 

Nilai `aws:SourceArn` harus ARN dari cluster EKS dalam format. ` arn:aws: eks:region:account:cluster/cluster-name ` Misalnya, ` arn:aws: eks:us-west-2:123456789012:cluster/my-cluster`.

 **Format kebijakan kepercayaan untuk peran klaster EKS** 

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global di Amazon EKS untuk mencegah masalah wakil yang membingungkan.

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:eks:us-west-2:123456789012:cluster/my-cluster"
          },
        "StringEquals": {
            "aws:SourceAccount": "123456789012"
        }
      }
    }
  ]
}
```