**Ajudar a melhorar esta página** 

Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.

# Definição de configurações avançadas de segurança para nós
<a name="auto-advanced-security"></a>

Este tópico descreve como definir configurações avançadas de segurança para os nós do modo automático do Amazon EKS usando a especificação `advancedSecurity` em sua classe de nós.

## Pré-requisitos
<a name="_prerequisites"></a>

Antes de começar, verifique se você tem:
+ Um cluster do Modo Automático do Amazon EKS. Para obter mais informações, consulte [Criação de um cluster com o modo automático do Amazon EKS](create-auto.md).
+  `kubectl` instalado e configurado. Para obter mais informações, consulte [Configurar para usar o Amazon EKS](setting-up.md).
+ Compreensão da configuração da classe de nós. Para obter mais informações, consulte [Criar uma classe de nó para o Amazon EKS](create-node-class.md).

## Definição de configurações avançadas de segurança
<a name="_configure_advanced_security_settings"></a>

Para definir configurações avançadas de segurança para seus nós, defina os campos `advancedSecurity` em sua especificação de classe de nó:

```
apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"
```

Aplique essa configuração:

```
kubectl apply -f nodeclass.yaml
```

Faça referência a essa classe de nó na configuração do grupo de nós. Para obter mais informações, consulte [Criar um grupo de nós para o Modo Automático do EKS](create-node-pool.md).

## Descrições do campo
<a name="_field_descriptions"></a>
+  `fips` (booleano, opcional): quando definido como `true`, provisiona nós usando AMIs com módulos criptográficos validados pelo FIPS 140-2. Essa configuração seleciona AMIs compatíveis com FIPS; os clientes são responsáveis por gerenciar seus requisitos de conformidade. Para obter mais informações, consulte [Conformidade com o AWS FIPS](https://aws.amazon.com/compliance/fips/). Padrão: `false`.
+  `kernelLockdown` (string, opcional): controla o modo do módulo de segurança de bloqueio do kernel. Valores aceitos:
  +  `integrity`: bloqueia métodos para sobrescrever a memória do kernel ou modificar o código do kernel. Impede que módulos de kernel não assinados sejam carregados.
  +  `none`: desabilita a proteção de bloqueio do kernel.

    Para obter mais informações, consulte a [documentação de bloqueio do kernel Linux](https://man7.org/linux/man-pages/man7/kernel_lockdown.7.html).

## Considerações
<a name="_considerations"></a>
+ As AMIs compatíveis com FIPS estão disponíveis nas regiões AWS Leste/Oeste dos EUA, AWS GovCloud (EUA) e AWS Canadá (Central/Oeste). Para obter mais informações, consulte [Conformidade com o AWS FIPS](https://aws.amazon.com/compliance/fips/).
+ Ao usar `kernelLockdown: "integrity"`, certifique-se de que suas workloads não exijam o carregamento de módulos de kernel não assinados ou a modificação da memória do kernel.

## Recursos relacionados
<a name="_related_resources"></a>
+  [Criar uma classe de nó para o Amazon EKS](create-node-class.md): guia completo de configuração da classe de nó
+  [Criar um grupo de nós para o Modo Automático do EKS](create-node-pool.md): configuração do grupo de nós