View a markdown version of this page

Sicurezza - Amazon EKS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza

Suggerimento

Registrati ai prossimi AI/ML workshop Amazon EKS.

Sicurezza e conformità

Prendi in considerazione S3 con KMS per uno storage conforme alla crittografia

A meno che tu non specifichi diversamente, tutti i bucket S3 utilizzano per impostazione predefinita la crittografia degli oggetti inattivi. SSE-S3 Tuttavia, puoi scegliere di configurare i bucket per utilizzare invece la crittografia lato server con le chiavi di AWS Key Management Service (AWS KMS) (). SSE-KMS I controlli della sicurezza in AWS KMS possono essere d'aiuto per soddisfare i requisiti di conformità correlati alla crittografia. Puoi utilizzare queste chiavi KMS per proteggere i dati nei bucket Amazon S3. Quando utilizzi SSE-KMS la crittografia con un bucket S3, le chiavi AWS KMS devono trovarsi nella stessa regione del bucket.

Configura i tuoi bucket generici per utilizzare S3 Bucket Keys SSE-KMS, per ridurre i costi delle richieste AWS KMS fino al 99 percento diminuendo il traffico delle richieste da Amazon S3 ad AWS KMS. Le S3 Bucket Keys sono sempre abilitate per tutte le PUT operazioni in un bucket di directory GET e non possono essere disabilitate.

Tieni presente che Amazon S3 Express One Zone utilizza un tipo specifico di bucket chiamato bucket di directory S3. I bucket di directory sono destinati esclusivamente alla classe di storage S3 Express One Zone e consentono un accesso ad alte prestazioni e bassa latenza. Per configurare la crittografia dei bucket predefinita su un bucket di directory S3, utilizza la CLI di AWS e specifica l'ID della chiave KMS o l'ARN, non l'alias, come nell'esempio seguente:

Esempio
aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \ '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

Assicurati che il ruolo IAM del tuo pod EKS disponga delle autorizzazioni KMS (ad esempio) per accedere agli oggetti crittografati. kms:Decrypt Provalo in un ambiente di staging caricando un modello di esempio nel bucket, montandolo in un pod (ad esempio, tramite il driver CSI Mountpoint S3) e verificando che il pod sia in grado di leggere i dati crittografati senza errori. Registri di controllo tramite AWS CloudTrail per confermare la conformità ai requisiti di crittografia. Consulta la documentazione KMS per i dettagli di configurazione e la gestione delle chiavi.