**協助改進此頁面**
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon EKS 自動模式的安全考量
本主題描述 Amazon EKS 自動模式的安全架構、控制項和最佳實務。隨著組織大規模部署容器化應用程式,維護強大的安全狀態變得日益複雜。EKS 自動模式實作自動化安全控制項,並與 AWS 安全服務整合,以協助您保護叢集基礎結構、工作負載和資料。透過內建的安全功能,例如強制執行的節點生命週期管理和自動化修補程式部署,EKS 自動模式協助您維持安全最佳實務,同時減少營運開銷。
在繼續本主題之前,請確定您已熟悉基本的 EKS 自動模式概念,並已檢閱在叢集上啟用 EKS 自動模式的先決條件。有關 Amazon EKS 安全性的常規資訊,請參閱 [Amazon EKS 中的安全](security.md)。
Amazon EKS 自動模式建立在 Amazon EKS 現有安全基礎之上,同時為 EC2 受管執行個體引入了額外的自動化安全控制項。
## API 安全性和驗證
Amazon EKS 自動模式使用 AWS 平台安全機制來保護 Amazon EKS API 的呼叫並進行驗證。
+ 對 Kubernetes API 的存取是透過 EKS 存取項目來保護的,這些項目與 AWS IAM 身分識別整合。
+ 如需詳細資訊,請參閱 [使用 EKS 存取項目授予 IAM 使用者 Kubernetes 的存取權](access-entries.md)。
+ 客戶可以透過設定 EKS 存取項目來實作對 Kubernetes API 端點的精細存取控制。
## 網路安全
Amazon EKS 自動模式支援多層網路安全:
+ **VPC 整合**
+ 在 Amazon 虛擬私有雲端 (VPC) 中操作
+ 支援自訂 VPC 組態與子網路佈局
+ 啟用叢集元件之間的私有聯網
+ 如需詳細資訊,請參閱[管理 Amazon 虛擬私有雲的安全責任](https://docs.aws.amazon.com/vpc/latest/userguide/security.html)
+ **網路政策**
+ Kubernetes 網路政策的原生支援
+ 能夠定義精細網路流量規則
+ 如需詳細資訊,請參閱[使用 Kubernetes 網路政策限制 Pod 流量](cni-network-policy.md)
## EC2 受管執行個體安全性
Amazon EKS 自動模式透過以下安全控制項來操作 EC2 受管執行個體:
### EC2 安全性
+ EC2 受管執行個體維持 Amazon EC2 的安全功能。
+ 有關 EC2 受管執行個體的更多資訊,請參閱 [Amazon EC2 中的安全性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html)。
### 執行個體生命週期管理
由 EKS 自動模式操作的 EC2 受管執行個體的生命週期上限為 21 天。Amazon EKS 自動模式會自動終止超過此生命週期的執行個體。此生命週期限制有助於防止組態偏離,並維持安全狀態。
### 資料保護
+ Amazon EC2 執行個體儲存體已加密,屬於直接連接到執行個體的儲存體。如需詳細資訊,請參閱 [Amazon EC2 中的資料保護](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html)。
+ EKS 自動模式在建立時管理連接到 EC2 執行個體的磁碟區,包括根磁碟區和資料磁碟區。EKS 自動模式不會全權管理使用 Kubernetes 持久性儲存功能建立的 EBS 磁碟區。
### 修補管理
+ Amazon EKS 自動模式會自動將修補程式套用至受管執行個體。
+ 修補程式包括:
+ 作業系統更新
+ 安全性修補程式
+ Amazon EKS 自動模式元件
**注意**
客戶仍負責保護與更新在這些執行個體上執行的工作負載。
### 存取控制
+ 對執行個體的直接存取受到限制:
+ 無法使用 SSH 存取。
+ 無法使用 AWS Systems Manager Session Manager (SSM) 存取。
+ 管理操作透過 Amazon EKS API 與 Kubernetes API 執行。
## 自動化資源管理
Amazon EKS 自動模式不會全權管理透過 Kubernetes 持久儲存功能建立的 Amazon Elastic Block Store (Amazon EBS) 磁碟區。EKS 自動模式也不會管理彈性負載平衡器 (ELB)。Amazon EKS 自動模式會為這些資源自動執行常規任務。
### 儲存體安全性
+ AWS 建議您為透過 Kubernetes 持久性儲存功能佈建的 EBS 磁碟區啟用加密。如需詳細資訊,請參閱 [建立儲存類別](create-storage-class.md)。
+ 使用 AWS KMS 進行靜態加密
+ 您可以設定 AWS 帳戶強制加密您建立的新 EBS 磁碟區和快照複本。如需詳細資訊,請參閱《Amazon EBS 使用者指南》中的[依預設啟用 Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html)。
+ 如需詳細資訊,請參閱 [Amazon EBS 中的安全性](https://docs.aws.amazon.com/ebs/latest/userguide/security.html)。
### 負載平衡器安全性
+ Elastic Load Balancer 的自動化組態
+ 透過 AWS Certificate Manager 整合來進行 SSL/TLS 憑證管理
+ 用於負載平衡器存取控制的安全群組自動化
+ 如需詳細資訊,請參閱 [Elastic Load Balancing 中的安全性](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security.html)。
## 安全最佳實務
下列章節描述 Amazon EKS 自動模式的安全最佳實務。
+ 定期檢閱 AWS IAM 政策與 EKS 存取項目。
+ 為工作負載實作最低權限存取模式。
+ 透過 AWS CloudTrail 和與 Amazon CloudWatch 監控叢集活動。如需詳細資訊,請參閱[將 API 呼叫記錄為 AWS CloudTrail 事件](logging-using-cloudtrail.md)及[使用 Amazon CloudWatch 監測叢集資料](cloudwatch.md)。
+ 利用 AWS Security Hub 進行安全狀態評估。
+ 實作適合您工作負載的 Pod 安全標準。