Amazon EKS Connector のセキュリティの説明
Amazon EKS Connector は、Kubernetes クラスターで実行されるオープンソースコンポーネントです。このクラスターは、AWS 環境の外部に配置できます。これにより、セキュリティ上の責任に関する追加の考慮事項が作成されます。この設定については、次の図で示されています。オレンジ色は AWS の責任、青色はお客様の責任を表します。
このトピックでは、接続されているクラスターが AWS の外部にある場合の責任モデルの違いについて説明します。
AWS の責任
-
お客様の Kubernetes クラスターで実行され、AWS と通信するオープンソースコンポーネント
である Amazon EKS Connector の保守、構築および提供。 -
接続されている Kubernetes クラスターと AWS のサービス間のトランスポートおよびアプリケーションレイヤーの通信セキュリティの維持。
お客様の責任
-
Kubernetes クラスター固有のセキュリティ、具体例には以下の通りです。
-
Kubernetes シークレットは適切に暗号化され、保護されている必要があります。
-
eks-connector
名前空間へのアクセスをロックダウンします。
-
-
AWS からの IAM プリンシパルのアクセスを管理するロールベースのアクセスコントロール (RBAC) 許可の設定。手順については、Amazon EKS コンソールで Kubernetes クラスターのリソースを表示するためのアクセスを付与する を参照してください。
-
Amazon EKS Connector のインストールおよびアップグレード。
-
接続された Kubernetes クラスターをサポートするハードウェア、ソフトウェア、およびインフラストラクチャを維持します。
-
(例えばルートユーザーの認証情報を保護することを通じて) AWS アカウントを保護します。