**協助改進此頁面**
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定節點的進階安全設定
本主題說明如何使用節點類別中的`advancedSecurity`規格來設定 Amazon EKS Auto Mode 節點的進階安全設定。
## 先決條件
開始前,請確保您具備以下條件:
+ 一個 Amazon EKS 自動模式叢集。如需詳細資訊,請參閱[使用 Amazon EKS 自動模式建立叢集](create-auto.md)。
+ `kubectl` 已安裝並已設定。如需詳細資訊,請參閱[設定以使用 Amazon EKS](setting-up.md)。
+ 了解節點類別組態。如需詳細資訊,請參閱[建立 Amazon EKS 的節點類別](create-node-class.md)。
## 設定進階安全設定
若要設定節點的進階安全設定,請在節點類別規格中設定`advancedSecurity`欄位:
```
apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
name: security-hardened
spec:
role: MyNodeRole
subnetSelectorTerms:
- tags:
Name: "private-subnet"
securityGroupSelectorTerms:
- tags:
Name: "eks-cluster-sg"
advancedSecurity:
# Enable FIPS-compliant AMIs (US regions only)
fips: true
# Configure kernel lockdown mode
kernelLockdown: "integrity"
```
套用此組態:
```
kubectl apply -f nodeclass.yaml
```
在您的節點集區組態中參考此節點類別。如需詳細資訊,請參閱[為 EKS 自動模式建立節點集區](create-node-pool.md)。
## 欄位描述
+ `fips` (布林值,選用):設為 時`true`, 會使用具有 FIPS 140-2 驗證密碼編譯模組的 AMIs 佈建節點。此設定會選取符合 FIPS 標準的 AMIs;客戶負責管理其合規要求。如需詳細資訊,請參閱 [AWS FIPS 合規](https://aws.amazon.com/compliance/fips/)。預設:`false`。
+ `kernelLockdown` (字串,選用):控制核心鎖定安全模組模式。接受的值:
+ `integrity`:封鎖覆寫核心記憶體或修改核心程式碼的方法。防止未簽署的核心模組載入。
+ `none`:停用核心鎖定保護。
如需詳細資訊,請參閱 [Linux 核心鎖定文件](https://man7.org/linux/man-pages/man7/kernel_lockdown.7.html)。
## 考量事項
+ FIPS 相容的 AMIs 適用於 AWS 美國東部/西部、 AWS GovCloud (US) 和 AWS 加拿大 (中部/西部) 區域。如需詳細資訊,請參閱 [AWS FIPS 合規](https://aws.amazon.com/compliance/fips/)。
+ 使用 時`kernelLockdown: "integrity"`,請確保您的工作負載不需要載入未簽署的核心模組或修改核心記憶體。
## 相關資源
+ [建立 Amazon EKS 的節點類別](create-node-class.md) - 完成節點類別組態指南
+ [為 EKS 自動模式建立節點集區](create-node-pool.md) - 節點集區組態