翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon の Security Hub コントロール EKS

これらの Security Hub コントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) サービスとリソースを評価します。

これらのコントロールは、すべての で利用できるとは限りません。 AWS リージョン。 詳細については、「」を参照してくださいリージョン別のコントロールの可用性。

〔EKS.1] EKSクラスターエンドポイントはパブリックアクセス可能であってはなりません

関連する要件： NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、 (21) NIST.800-53.r5 SC-7、 (3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 高

リソースタイプ : AWS::EKS::Cluster

AWS Config ルール： eks-endpoint-no-public-access

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon EKSクラスターエンドポイントがパブリックにアクセス可能かどうかをチェックします。EKS クラスターにパブリックにアクセス可能なエンドポイントがある場合、コントロールは失敗します。

新しいクラスターを作成すると、Amazon EKSはクラスターとの通信に使用するマネージド Kubernetes APIサーバーのエンドポイントを作成します。デフォルトでは、このAPIサーバーエンドポイントはインターネットで公開されています。API サーバーへのアクセスは、 の組み合わせを使用して保護されます。 AWS Identity and Access Management （IAM) およびネイティブ Kubernetes ロールベースのアクセスコントロール (RBAC）。エンドポイントへのパブリックアクセスを削除することで、意図しない公開やクラスターへのアクセスを防ぐことができます。

修正

既存のEKSクラスターのエンドポイントアクセスを変更するには、「Amazon ユーザーガイド」の「クラスターエンドポイントアクセスの変更」を参照してください。 EKS 新しいEKSクラスターの作成時に、そのクラスターのエンドポイントアクセスを設定できます。新しい Amazon EKSクラスターを作成する手順については、「Amazon ユーザーガイド」の「Amazon EKSクラスターの作成」を参照してください。 EKS

〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります

関連する要件： NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度: 高

リソースタイプ : AWS::EKS::Cluster

AWS Config ルール： eks-cluster-supported-version

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターがサポートされている Kubernetes バージョンで実行されているかどうかをチェックします。サポートされていないバージョンでEKSクラスターが実行されると、コントロールは失敗します。

アプリケーションに特定のバージョンの Kubernetes が必要ない場合は、クラスターEKSで でサポートされている最新の利用可能な Kubernetes バージョンを使用することをお勧めします。詳細については、「Amazon ユーザーガイドEKS」の「Amazon Kubernetes リリースカレンダーと Amazon EKSバージョンサポート」およびFAQEKS「」を参照してください。

修正

EKS クラスターを更新するには、「Amazon ユーザーガイド」の「Amazon EKSクラスターの Kubernetes バージョンの更新」を参照してください。 EKS

〔EKS.3] EKSクラスターは暗号化された Kubernetes シークレットを使用する必要があります

関連する要件： NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-12、 NIST.800-53.r5 SC-13、NIST.800-53.r5 SI-28

カテゴリ： 保護 > データ保護 > の暗号化 data-at-rest

重要度: 中

リソースタイプ : AWS::EKS::Cluster

AWS Config ルール： eks-secrets-encrypted

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon EKSクラスターが暗号化された Kubernetes シークレットを使用しているかどうかをチェックします。クラスターの Kubernetes シークレットが暗号化されていない場合、コントロールは失敗します。

シークレットを暗号化するときは、 を使用できます。 AWS Key Management Service (AWS KMS) キーを使用して、クラスターの etcd に保存されている Kubernetes シークレットのエンベロープ暗号化を提供します。この暗号化は、 EKS クラスターの一部として etcd に保存されているすべてのデータ (シークレットを含む) に対してデフォルトで有効になっているEBSボリューム暗号化に追加されます。EKS クラスターにシークレット暗号化を使用すると、ユーザーが定義して管理するKMSキーで Kubernetes シークレットを暗号化することで、Kubernetes アプリケーションの多層防御戦略をデプロイできます。

修正

EKS クラスターでシークレット暗号化を有効にするには、「Amazon EKS ユーザーガイド」の「既存のクラスターでシークレット暗号化を有効にする」を参照してください。

〔EKS.6] EKSクラスターにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::EKS::Cluster

AWS Configルール： tagged-eks-cluster (カスタム Security Hub ルール）

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon EKSクラスターにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。クラスターにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、クラスターにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM

修正

EKS クラスターにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EKSリソースのタグ付け」を参照してください。 EKS

〔EKS.7] EKS ID プロバイダー設定にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::EKS::IdentityProviderConfig

AWS Configルール： tagged-eks-identityproviderconfig (カスタム Security Hub ルール）

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon EKS ID プロバイダー設定に、パラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。設定にタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、設定にキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM

修正

EKS ID プロバイダー設定にタグを追加するには、「Amazon ユーザーガイド」の「Amazon EKSリソースのタグ付け」を参照してください。 EKS

〔EKS.8] EKSクラスターでは、監査ログ記録を有効にする必要があります

関連する要件： NIST.800-53.r5 AC-2 (12)、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::EKS::Cluster

AWS Config ルール： eks-cluster-log-enabled

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon EKSクラスターで監査ログ記録が有効になっているかどうかをチェックします。クラスターで監査ログ記録が有効になっていない場合、コントロールは失敗します。

EKS コントロールプレーンのログ記録は、コントロールEKSプレーンからアカウントの Amazon CloudWatch Logs に直接監査ログと診断ログを提供します。必要なログタイプを選択すると、ログはログストリームとして 内の各EKSクラスターのグループに送信されます CloudWatch。ログ記録は、EKSクラスターのアクセスとパフォーマンスを可視化します。EKS クラスターのEKSコントロールプレーンログを CloudWatch Logs に送信することで、監査と診断目的のオペレーションを一元的に記録できます。

修正

EKS クラスターの監査ログを有効にするには、「Amazon EKS ユーザーガイド」の「コントロールプレーンログの有効化と無効化」を参照してください。