**帮助改进此页面**
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。
# Amazon EKS 自动模式的安全注意事项
本主题介绍了 Amazon EKS 自动模式的安全架构、控制和最佳实践。随着组织大规模部署容器化应用程序,保持良好的安全态势变得越来越复杂。EKS 自动模式实施自动化的安全控制并与 AWS 安全服务集成,以帮助您保护集群基础设施、工作负载和数据。通过强制节点生命周期管理和自动补丁部署等内置安全功能,EKS 自动模式可帮助您在减少运营开销的同时保持遵循安全最佳实践。
在继续阅读本主题之前,请确保您熟悉 EKS 自动模式的基本概念,并已检查了在集群上启用 EKS 自动模式的先决条件。有关 Amazon EKS 安全性的一般信息,请参阅 [Amazon EKS 中的安全性](security.md)。
Amazon EKS 自动模式以 Amazon EKS 现有的安全性为基础,同时为 EC2 托管式实例引入了额外的自动安全控制措施。
## API 安全性和身份验证
Amazon EKS 自动模式使用 AWS 平台安全机制来保护并对 Amazon EKS API 调用进行身份验证。
+ 对 Kubernetes API 的访问通过与 AWS IAM 身份集成的 EKS 访问条目进行保护。
+ 有关更多信息,请参阅 [使用 EKS 访问条目向 IAM 用户授予 Kubernetes 访问权限](access-entries.md)。
+ 客户可以通过配置 EKS 访问条目来实施对 Kubernetes API 端点的精细访问控制。
## 网络安全
Amazon EKS 自动模式支持多层网络安全性:
+ **VPC 集成**
+ 在 Amazon Virtual Private Cloud(VPC)中运行
+ 支持自定义 VPC 配置和子网布局
+ 支持集群组件之间的私有联网
+ 有关更多信息,请参阅[管理 Amazon Virtual Private Cloud 的安全责任](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)
+ **网络策略**
+ 对 Kubernetes 网络策略的原生支持
+ 定义精细网络流量规则的功能
+ 有关更多信息,请参阅 [通过 Kubernetes 网络策略限制容器组(pod)流量](cni-network-policy.md)
## EC2 托管式实例安全性
Amazon EKS 自动模式使用以下安全控制措施运行 EC2 托管式实例:
### EC2 安全性
+ EC2 托管式实例保持了 Amazon EC2 的安全功能。
+ 有关 EC2 托管式实例的更多信息,请参阅 [Amazon EC2 中的安全性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html)。
### 实例生命周期管理
对于由 EKS 自动模式运行的 EC2 托管式实例,最长生命周期为 21 天。Amazon EKS 自动模式会自动终止超过此生命周期的实例。此生命周期限制有助于防止配置偏差并保持安全态势。
### 数据保护
+ Amazon EC2 实例存储直接挂载到实例并进行了加密。有关更多信息,请参阅 [Amazon EC2 中的数据保护](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html)。
+ EKS 自动模式负责管理在创建时挂载到 EC2 实例的卷,包括根卷和数据卷。EKS 自动模式并不完全管理使用 Kubernetes 持久性存储功能创建的 EBS 卷。
### 补丁管理
+ Amazon EKS 自动模式会自动将补丁应用于托管式实例。
+ 这些补丁包括:
+ 操作系统更新
+ 安全补丁
+ Amazon EKS 自动模式组件
**注意**
客户继续负责保护和更新在这些实例上运行的工作负载。
### 访问控制
+ 直接实例访问权限受到限制:
+ 不支持 SSH 访问。
+ 不支持 AWS Systems Manager 会话管理器(SSM)。
+ 管理操作通过 Amazon EKS API 和 Kubernetes API 执行。
## 自动化的资源管理
Amazon EKS 自动模式并不完全管理使用 Kubernetes 持久性存储功能创建的 Amazon Elastic Block Store(Amazon EBS)卷。EKS 自动模式也不会管理弹性负载均衡(ELB)。Amazon EKS 自动模式可自动执行这些资源的例行任务。
### 存储安全性
+ AWS 建议您为 Kubernetes 持久性存储功能预置的 EBS 卷启用加密。有关更多信息,请参阅 [创建存储类](create-storage-class.md)。
+ 使用 AWS KMS 的静态加密
+ 您可以配置 AWS 账户对您创建的新 EBS 卷和快照副本进行加密。有关更多信息,请参阅《Amazon EBS 用户指南》中的 [Enable Amazon EBS encryption by default](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html)。
+ 有关更多信息,请参阅 [Security in Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/security.html)。
### 负载均衡器安全性
+ 自动配置负载均衡器
+ 通过 AWS Certifice Manager 集成来管理 SSL/TLS 证书
+ 通过安全组自动化实施负载均衡器访问控制
+ 有关更多信息,请参阅 [Security in Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security.html)。
## 安全最佳实践
下一部分介绍 Amazon EKS 自动模式的安全最佳实践。
+ 定期检查 AWS IAM 策略和 EKS 访问条目。
+ 为工作负载实施最低权限访问模式。
+ 通过 AWS CloudTrail 和 Amazon CloudWatch 监控集群活动。有关更多信息,请参阅[日志 API 调用作为 AWS CloudTrail 事件](logging-using-cloudtrail.md) 和[使用 Amazon CloudWatch 监控集群数据](cloudwatch.md)。
+ 使用 AWS Security Hub 进行安全态势评估。
+ 实施适合工作负载的容器组安全标准。