選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶
合規 - Amazon EKS
向左移工具和資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

合規

合規是 AWS 與其服務消費者共同的責任。一般而言,AWS 負責「雲端安全」,而其使用者負責「雲端安全」。說明 AWS 及其使用者所負責內容的行會因服務而異。例如,使用 Fargate,AWS 負責管理其資料中心、硬體、虛擬基礎設施 (Amazon EC2) 和容器執行期 (Docker) 的實體安全性。Fargate 的使用者負責保護容器映像及其應用程式的安全。了解在執行必須遵循合規標準的工作負載時,誰要負責什麼是重要的考量。

下表顯示不同容器服務符合的合規計劃。

合規計劃 Amazon ECS Orchestrator Amazon EKS Orchestrator ECS Fargate Amazon ECR

PCI DSS 第 1 級

1

1

1

1

HIPAA 合格服務

1

1

1

1

SOC I

1

1

1

1

SOC II

1

1

1

1

SOC III

1

1

1

1

ISO 27001:2013

1

1

1

1

ISO 9001:2015

1

1

1

1

ISO 27017:2015

1

1

1

1

ISO 27018:2019

1

1

1

1

IRAP

1

1

1

1

FedRAMP Moderate (East/West)

1

1

0

1

FedRAMP High (GovCloud)

1

1

0

1

DOD CC SRG

1

DISA 檢閱 (IL5)

0

1

HIPAA BAA

1

1

1

1

MTCS

1

1

0

1

C5

1

1

0

1

K-ISMS

1

1

0

1

ENS 高級

1

1

0

1

OSPAR

1

1

0

1

HITRUST CSF

1

1

1

1

合規狀態會隨著時間而變更。如需最新狀態,請一律參閱 https://aws.amazon.com/compliance/services-in-scope/

如需雲端認證模型和最佳實務的詳細資訊,請參閱 AWS 白皮書:安全雲端採用認證模型

向左移

向左轉移的概念涉及在軟體開發生命週期中稍早發現政策違規和錯誤。從安全角度來看,這非常有益。例如,開發人員可以在其應用程式部署到叢集之前,修正其組態的問題。像先前這樣的錯誤有助於防止部署違反政策的組態。

政策即程式碼

政策可視為一組管理行為的規則,即允許的行為或禁止的行為。例如,您可能有一個政策,指出所有 Dockerfiles 都應包含 USER 指令,該指令會導致容器以非根使用者身分執行。作為文件,這類政策可能很難探索和強制執行。隨著您的需求變更,它也可能會過期。透過政策即程式碼 (PaC) 解決方案,您可以自動化偵測、預防、減少和對抗已知和持久性威脅的安全性、合規性和隱私權控制。此外,它們為您提供機制來編纂您的政策,並在您執行其他程式碼成品時對其進行管理。此方法的優點是您可以重複使用 DevOps 和 GitOps 策略,以管理和一致地在 Kubernetes 叢集的機群間套用政策。如需 PaC 選項和 PSPs 未來的相關資訊,請參閱 Pod Security

在管道中使用policy-as-code工具,在部署之前偵測違規

  • OPA 是一種開放原始碼政策引擎,屬於 CNCF 的一部分。它用於制定政策決策,並且可以執行各種不同的方式,例如作為語言程式庫或服務。OPA 政策是以稱為 Rego 的網域特定語言 (DSL) 撰寫。雖然 OPA 通常做為 Gatekeeper 專案的一部分做為 Kubernetes 動態許可控制器執行,但也可以納入您的 CI/CD 管道。這可讓開發人員在發行週期的早期取得有關其組態的意見回饋,進而協助他們在進入生產環境之前解決問題。您可以在此專案的 GitHub 儲存庫中找到常見 OPA 政策的集合。

  • Conftest 以 OPA 為基礎,提供開發人員專用於測試 Kubernetes 組態的體驗。

  • Kyverno 是專為 Kubernetes 設計的政策引擎。使用 Kyverno 時,政策會做為 Kubernetes 資源進行管理,而且撰寫政策不需要使用新語言。這允許使用熟悉的工具,例如 kubectl、git 和 kustomize 來管理政策。Kyverno 政策可以驗證、變更和產生 Kubernetes 資源,以及確保 OCI 映像供應鏈安全性。Kyverno CLI 可用來測試政策,並驗證做為 CI/CD 管道一部分的資源。您可以在 Kyverno 網站上找到所有 Kyverno 社群政策,如需使用 Kyverno CLI 在管道中撰寫測試的範例,請參閱政策儲存庫

工具和資源

下一個主題:

事件回應和鑑識

上一個主題:

基礎設施安全性

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。