このページの改善にご協力ください
本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。
Amazon EKS のセキュリティ
AWS ではクラウドセキュリティが最優先事項です。セキュリティを最も重視する組織の要件を満たすために構築された AWS のデータセンターとネットワークアーキテクチャは、お客様に大きく貢献します。
セキュリティは、AWS と顧客の間の責任共有です。責任共有モデル
-
クラウドのセキュリティ – AWS は、AWS クラウドで AWS のサービスを実行するインフラストラクチャを保護する責任を担います。Amazon EKS の場合、AWS はコントロールプレーンノードと
etcd
データベースを含む Kubernetes コントロールプレーンを担当します。AWS コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon EKS に適用されるコンプライアンスプログラムについては、「コンプライアンスプログラムによる対象範囲内の AWS サービス 」を参照してください。 -
クラウド内のセキュリティ – お客様の責任事項には、次の領域が含まれます。
-
データプレーンのセキュリティ設定。これには、Amazon EKS コントロールプレーンからお客様の VPC 内へのトラフィックの通過を許可する、セキュリティグループの設定を含みます。
-
ノードおよびコンテナに対する設定。
-
ノードのオペレーティングシステム (更新やセキュリティパッチを含みます)
-
その他の関連アプリケーションソフトウェア :
-
ファイアウォールのルールなど、ネットワークコントロールの設定および管理。
-
IAM を使用する、またはそれに追加して行う、Identity and Access Managementのプラットフォームレベルの管理。
-
-
お客様のデータの機密性、企業の要件、該当する法律および規制
-
このドキュメントは、Amazon EKS を使用する際の責任共有モデルの適用について理解するのに役立ちます。以下のトピックで、セキュリティおよびコンプライアンスの目的を満たすように、Amazon EKS を設定する方法について説明します。Amazon EKS リソースのモニタリングやセキュリティ確保に役立つ他の AWS サービスの使用方法についても説明します。
注記
Linux コンテナはコントロールグループ (cgroup) と名前空間で設定されています。これらにより、コンテナのアクセスが可能な対象を制限しながら、すべてのコンテナに、ホストの Amazon EC2 インスタンスと同じ Linux カーネルを共有させることができます。コンテナをルートユーザー (UID 0) として実行したり、ホストリソースや (ホストネットワークやホスト PID の) 名前空間へのアクセスをコンテナに許可したりすることは一切お勧めしません。これは、コンテナが提供する分離の有効性を低下させます。
トピック
- 証明書への署名
- Amazon EKS の Identity and Access Management
- Amazon Elastic Kubernetes Service でのコンプライアンス検証
- Amazon EKS の耐障害性
- Amazon EKS でのインフラストラクチャセキュリティ
- Amazon EKS での設定と脆弱性の分析
- Amazon EKS のセキュリティベストプラクティス
- ポッドのセキュリティポリシー
- ポッドセキュリティポリシー (PSP) の削除に関するよくある質問
- Kubernetes で AWS Secrets Manager シークレットを使用する
- Amazon EKS Connector の考慮事項