Automatischer EKS-Modus — Sicherheit - Amazon EKS
SicherheitsarchitekturHäufig gestellte Fragen (FAQ)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatischer EKS-Modus — Sicherheit

Tipp

Informieren Sie sich in Amazon EKS-Workshops über bewährte Verfahren.

Amazon EKS Auto Mode bietet erweiterte Sicherheitsfunktionen, indem das Sicherheitsmanagement von AWS über die Kontrollebene hinaus auf Worker-Knoten und zentrale Cluster-Komponenten ausgedehnt wird. Dieses umfassende Sicherheitsmodell hilft Unternehmen dabei, ein solides Sicherheitsniveau aufrechtzuerhalten und gleichzeitig den betrieblichen Aufwand zu reduzieren.

Modell mit geteilter Verantwortung — EKS Auto Mode

Modell der geteilten Verantwortung — Amazon EKS Auto Mode

Zu den wichtigsten Sicherheitsverbesserungen im automatischen Modus von EKS gehören:

  • Minimales containeroptimiertes Betriebssystem mit reduzierter Angriffsfläche

  • Bewährte Sicherheitsmethoden durch EC2 Managed Instances

  • Automatisiertes Sicherheitspatch-Management mit obligatorischer Knotenrotation

  • Integrierte Knotenisolierung und Sicherheitsgrenzen

  • Optimierte IAM-Integration mit nur minimal erforderlichen Berechtigungen

Der automatische Modus von EKS setzt diese Sicherheitskontrollen standardmäßig durch und hilft Unternehmen dabei, ihre Sicherheits- und Compliance-Anforderungen zu erfüllen und gleichzeitig den Clusterbetrieb zu vereinfachen. Dieser Ansatz entspricht den defense-in-depth Prinzipien und bietet mehrere Ebenen von Sicherheitskontrollen auf Infrastruktur-, Knoten- und Workload-Ebene.

Wichtig

Der automatische Modus von EKS bietet zwar erweiterte Sicherheitsfunktionen, Unternehmen sollten jedoch dennoch angemessene Sicherheitskontrollen auf Anwendungsebene implementieren und die bewährten Sicherheitsmethoden für ihre Workloads, die auf dem Cluster ausgeführt werden, befolgen.

Sicherheitsarchitektur

Der automatische Modus von EKS implementiert Sicherheitskontrollen auf mehreren Ebenen der EKS-Infrastruktur, von der Steuerungsebene bis hin zu einzelnen Knoten. Das Verständnis dieser Architektur ist entscheidend für die effektive Verwaltung und Sicherung Ihrer EKS-Cluster.

Sicherheit auf der Kontrollebene

Die EKS-Steuerebene im EKS-Automatikmodus behält dieselben hohen Sicherheitsstandards wie herkömmliche EKS-Cluster bei und bietet gleichzeitig neue Sicherheitsfunktionen:

  • Envelope-Verschlüsselung: Alle Kubernetes-API-Daten werden automatisch mithilfe der Envelope-Verschlüsselung verschlüsselt.

  • KMS-Integration: Verwendet AWS KMS mit Kubernetes KMS-Anbieter v2, mit Optionen für AWS-eigene Schlüssel oder kundenverwaltete Schlüssel (CMK).

  • Verbessertes Komponentenmanagement: Kritische Komponenten wie auto-scaling, ENI-Management und EBS-Controller werden außerhalb des Clusters verschoben und von AWS verwaltet.

  • Verbesserte Sicherheitskontrollen und Auditfunktionen: Die für den automatischen Modus von EKS erforderlichen Berechtigungen, die über die standardmäßigen EKS-Cluster hinausgehen, werden vollständig über die Cluster-IAM-Rolle und nicht über einzelne Knotenrollen verwaltet.

IAM-Integration und Zugriffsmanagement

Der automatische Modus von EKS bietet eine verbesserte Integration mit AWS Identity and Access Management (IAM) über EKS Access Entries und EKS Pod Identity.

Cluster-Zugriffsverwaltung

Der automatische Modus von EKS bietet Verbesserungen bei der Cluster-Zugriffsverwaltung über die Cluster Access Management (CAM) -API:

  • Standardisierte Authentifizierungsmodi durch EKS_API

  • Verbesserte Sicherheit durch API-basiertes Zugriffsmanagement

  • Vereinfachte Zugriffskontrolle mithilfe von Zugriffseinträgen und Zugriffsrichtlinien

Zugriffseinträge können erstellt werden, um den Clusterzugriff zu verwalten:

aws eks create-access-entry \
    --cluster-name ${EKS_CLUSTER_NAME} \
    --principal-arn arn:aws:iam::${ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
    --type STANDARD
Wichtig

Es ist zwar immer noch möglich, einen EKS-Automodus-Cluster mit CONFIG_MAP_AND_API Authentifizierungsmodus zu erstellen, dies ist jedoch nicht der Standardansatz, und es wird dringend empfohlen, den API Standardauthentifizierungsmodus für neue Cluster zu verwenden. APIDie basierte Authentifizierung bietet im Vergleich zum herkömmlichen Ansatz mehr Sicherheit und eine vereinfachte Zugriffsverwaltung. ConfigMap

EKS Pod Identity

Der automatische Modus von EKS wird mit dem bereits bereitgestellten Pod Identity Agent geliefert, sodass Pods auf optimierte Weise AWS IAM-Berechtigungen erteilt werden können:

  • Vereinfachtes IAM-Berechtigungsmanagement ohne OIDC-Anbieterkonfiguration

  • Geringerer Betriebsaufwand im Vergleich zu IRSA

  • Verbesserte Sicherheit durch Sitzungskennzeichnung und ABAC-Unterstützung

aws eks create-pod-identity-association \
  --cluster-name ${EKS_CLUSTER_NAME} \
  --role-arn arn:aws:iam::${AWS_ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
  --namespace ${NAMESPACE} \
  --service-account ${SERVICE_ACCOUNT_NAME}
Wichtig

Pod Identity ist der empfohlene Ansatz für IAM-Berechtigungen im automatischen EKS-Modus, da er im Vergleich zu IRSA erweiterte Sicherheitsfunktionen und eine vereinfachte Verwaltung bietet.

Knoten-IAM-Rolle

Der EKS-Automodus verwendet einen neuen Modus, der nur AmazonEKSWorkerNodeMinimalPolicy die Berechtigungen bereitstellt, die für den Betrieb der EKS-Automodus-Knoten erforderlich sind. Diese Berechtigungen:

  • Stellen Sie im Vergleich zu herkömmlichen Knotenrichtlinien weniger Berechtigungen bereit

  • Halten Sie sich an das Prinzip der geringsten Rechte

  • Werden automatisch von AWS verwaltet und aktualisiert

Dieser Ansatz mit minimalen Richtlinien trägt zur Verbesserung der Sicherheitslage bei, indem die für den Knoten und seine Workloads verfügbaren Berechtigungen eingeschränkt werden.

Sicherheit der Knoten

Der automatische Modus von EKS bietet mehrere signifikante Sicherheitsverbesserungen auf Knotenebene:

Sicherheit verwalteter EC2-Instances

EKS-Automodus-Knoten verwenden Amazon EC2 Managed Instances mit erweiterten Sicherheitseigenschaften:

  • Durch IAM erzwungene Einschränkungen, die Operationen verhindern, die den Betrieb der Knoten durch AWS beeinträchtigen könnten

  • Unveränderliche Infrastrukturmuster, bei denen Konfigurationsänderungen den Austausch von Knoten erfordern

  • Obligatorischer Knotenaustausch innerhalb von 21 Tagen, um regelmäßige Sicherheitsupdates zu gewährleisten

  • Eingeschränkter Zugriff auf Instanz-Metadaten IMDSv2 mithilfe kontrollierter Hop-Limits

Betriebssystemsicherheit

Das Betriebssystem ist eine benutzerdefinierte Variante von Bottlerocket, die für den EKS-Automatikmodus optimiert wurde und Folgendes beinhaltet:

  • Schreibgeschütztes Root-Dateisystem

  • SELinux standardmäßig aktiviert mit obligatorischen Zugriffskontrollen

  • Automatische Pod-Isolierung mithilfe eindeutiger SELinux MCS-Labels

  • SSH-Zugriff deaktiviert und unnötige Dienste entfernt

  • Automatisierte Sicherheitspatches durch Knotenrotation

Sicherheit der Knotenkomponenten

Für die Konfiguration der Knotenkomponenten gelten bewährte Sicherheitsmethoden:

  • Kubelet ist mit sicheren Standardeinstellungen konfiguriert

  • Robuste Konfiguration für Container-Runtime

  • Automatisierte Verwaltung und Rotation von Zertifikaten

  • Eingeschränkte node-to-control-plane Kommunikation

Netzwerksicherheit

Der automatische Modus von EKS implementiert mehrere Netzwerksicherheitsfunktionen, um eine sichere Kommunikation innerhalb des Clusters und mit externen Ressourcen zu gewährleisten:

VPC CNI-Netzwerkrichtlinie

Der EKS Auto Mode nutzt die native Kubernetes-Netzwerkrichtlinien-Unterstützung des Amazon VPC CNI-Plug-ins:

  • Lässt sich in die Upstream-API für Kubernetes-Netzwerkrichtlinien integrieren

  • Ermöglicht eine detaillierte Steuerung der Kommunikation pod-to-pod

  • Unterstützt sowohl Eingangs- als auch Ausgangsregeln

Um die Unterstützung von Netzwerkrichtlinien im automatischen EKS-Modus zu aktivieren, müssen Sie das VPC CNI-Add-on mit einem configMap Manifest konfigurieren. Ein Beispiel:

apiVersion: v1
kind: ConfigMap
metadata:
  name: amazon-vpc-cni
  namespace: kube-system
data:
  enable-network-policy: "true"

Es ist auch erforderlich, zu definieren, dass die Netzwerkrichtlinien-Unterstützung in der Node-Klasse konfiguriert ist, wie hier dargestellt:

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: example-node-class
spec:
  networkPolicy: DefaultAllow
  networkPolicyEventLogs: Enabled

Nach der Aktivierung können Sie Netzwerkrichtlinien zur Steuerung des Datenverkehrs erstellen:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

Verbessertes ENI-Management

Der automatische Modus von EKS bietet verbesserte Sicherheit für das Elastic Network Interface (ENI) -Management:

  • AWS-verwalteter ENI-Anschluss und Konfiguration

  • Trennung des Kontrollverkehrs vom Datenverkehr

  • Automatisierte IP-Adressverwaltung mit reduzierten Rechten, die für Knoten erforderlich sind

Speichersicherheit

Der automatische Modus von EKS bietet erweiterte Sicherheitsfunktionen sowohl für kurzlebigen als auch für persistenten Speicher:

Kurzlebiger Speicher

  • Alle Daten, die auf ephemere Volumes geschrieben werden, werden automatisch verschlüsselt

  • Verwendet den branchenüblichen kryptografischen AES-256-Algorithmus

  • Verschlüsselung und Entschlüsselung werden vom Service nahtlos abgewickelt

EBS-Volumes

  • Stamm- und Daten-EBS-Volumes sind immer verschlüsselt

  • Volumes sind so konfiguriert, dass sie bei Beendigung der Instance gelöscht werden

  • Es besteht die Möglichkeit, benutzerdefinierte KMS-Schlüssel für die Verschlüsselung anzugeben

EFS-Integration

  • Support für Verschlüsselung bei der Übertragung mit EFS

  • Automatische Verschlüsselung im Ruhezustand für EFS-Dateisysteme

  • Integration mit EFS Access Points für verbesserte Zugriffskontrolle

Wichtig

Wenn Sie EFS mit dem EKS-Automatikmodus verwenden, stellen Sie sicher, dass die entsprechenden Verschlüsselungseinstellungen auf EFS-Dateisystemebene konfiguriert sind, da der EKS-Automatikmodus die EFS-Verschlüsselung nicht direkt verwaltet.

Überwachung und Protokollierung

Der automatische Modus von EKS bietet erweiterte Überwachungs- und Protokollierungsfunktionen, damit Sie den Überblick über die Sicherheitslage und den Betriebszustand Ihres Clusters behalten können.

Steuerebenen-Protokollierung

Der automatische Modus von EKS bietet dieselben Protokollierungsfunktionen auf der Steuerungsebene wie das Standard-EKS, aktiviert jedoch standardmäßig alle Protokolle, um die Überwachung zu verbessern.

  • Protokolle werden an Amazon CloudWatch Logs gesendet

  • Standardmäßig aktiviert der automatische EKS-Modus alle Protokolle auf der Kontrollebene: API-Server, Audit, Authenticator, Controller-Manager und Scheduler

  • Der automatische EKS-Modus ermöglicht einen detaillierten Einblick in Clusteroperationen und Sicherheitsereignisse

Wichtig

Für die Protokollierung auf der Kontrollebene fallen zusätzliche Kosten für die Protokollspeicherung an CloudWatch. Überlegen Sie sich Ihre Protokollierungsstrategie sorgfältig, um ein Gleichgewicht zwischen Sicherheitsanforderungen und Kostenmanagement zu finden.

Protokollierung auf Knotenebene

Der automatische EKS-Modus verbessert die Protokollierung auf Knotenebene:

  • Systemprotokolle werden automatisch gesammelt und können über Logs abgerufen werden CloudWatch

  • Knotenprotokolle werden auch nach der Beendigung des Knotens aufbewahrt, was die Analyse nach einem Vorfall erleichtert

  • Verbesserter Einblick in Sicherheitsereignisse und betriebliche Probleme auf Knotenebene

GuardDuty Amazon-Integration

EKS-Auto-Mode-Cluster lassen sich nahtlos in Amazon integrieren, GuardDuty um die Bedrohungserkennung zu verbessern. Zu den Merkmalen gehören:

  • Automatisiertes Scannen von Auditprotokollen auf der Kontrollebene

  • Laufzeitüberwachung, die für die Überwachung von Workloads aktiviert werden kann

  • Integration mit bestehenden GuardDuty Ergebnissen und Warnmechanismen

Um den EKS-Automode-Schutz auf Amazon GuardDuty for Kubernetes Audit Logs zu aktivieren, können Sie den folgenden Befehl ausführen:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":true}}}'

GuardDuty Amazon-Integration für Runtime-Sicherheit

Amazon GuardDuty bietet grundlegende Runtime-Sicherheitsüberwachung für EKS-Auto-Mode-Cluster und bietet umfassende Funktionen zur Bedrohungserkennung und Sicherheitsüberwachung. Diese Integration ist besonders wichtig, da sie dabei hilft, potenzielle Sicherheitsbedrohungen und böswillige Aktivitäten in Echtzeit zu identifizieren.

GuardDuty Hauptfunktionen für den EKS-Automatikmodus

  • Überwachung der Laufzeit:

    • Kontinuierliche Überwachung des Laufzeitverhaltens

    • Erkennung bösartiger oder verdächtiger Aktivitäten

    • Identifizierung potenzieller Fluchtversuche aus Containern

    • Überwachung ungewöhnlicher Prozessausführungen oder Netzwerkverbindungen

  • Kubernetes-spezifische Bedrohungserkennung:

    • Identifizierung verdächtiger Versuche, Pods bereitzustellen

    • Erkennung kompromittierter Container

    • Überwachung privilegierter Container-Starts

    • Identifizierung einer verdächtigen Nutzung von Dienstkonten

  • Umfassende Suchtypen:

    • Policy:Kubernetes/* — Erkennt Verstöße gegen bewährte Sicherheitsverfahren

    • Impact:Kubernetes/* — Identifiziert potenziell betroffene Ressourcen

    • Discovery:Kubernetes/* — Erkennt Aufklärungsaktivitäten

    • Execution:Kubernetes/* — Identifiziert verdächtige Ausführungsmuster

    • Persistence:Kubernetes/* — Erkennt potenziell anhaltende Bedrohungen

Um den EKS-Automode-Schutz auf Amazon GuardDuty für Kubernetes Audit Logs and Runtime Monitoring zu aktivieren, können Sie den folgenden Befehl ausführen:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{
        "Kubernetes": {
            "AuditLogs": {"Enable": true},
            "RuntimeMonitoring": {"Enable": true}
        }
    }'
Wichtig

GuardDuty Runtime Monitoring wird in EKS Auto Mode-Clustern automatisch unterstützt und bietet so eine verbesserte Sicherheitstransparenz ohne zusätzliche Konfiguration auf Knotenebene.

GuardDuty Integration der Ergebnisse

GuardDuty Die Ergebnisse können in andere AWS-Services integriert werden, um eine automatisierte Reaktion zu ermöglichen:

  • EventBridge Regeln:

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "type": ["Runtime:Container/*", "Runtime:Kubernetes/*"],
    "severity": [4, 5, 6, 7, 8]
  }
}

  • Integration von Security Hub:

# Enable Security Hub integration
aws securityhub enable-security-hub \
    --enable-default-standards \
    --tags '{"Environment":"Production"}' \
    --region us-west-2
Bewährte Methoden für GuardDuty den EKS-Automatikmodus

  1. Alle Suchtypen aktivieren:

    • Aktivieren Sie sowohl die Überwachung des Kubernetes-Auditprotokolls als auch die Laufzeitüberwachung

    • Konfigurieren Sie die Ergebnisse für alle Schweregrade

  2. Implementieren Sie eine automatisierte Reaktion:

    • Erstellen Sie EventBridge Regeln für Ergebnisse mit hohem Schweregrad

    • Integrieren Sie in AWS Security Hub für ein zentralisiertes Sicherheitsmanagement

    • Richten Sie gegebenenfalls automatisierte Abhilfemaßnahmen ein

  3. Regelmäßige Überprüfung und Optimierung:

    • Regelmäßige Überprüfung der GuardDuty Ergebnisse

    • Passen Sie die Erkennungsschwellenwerte an Ihre Umgebung an

    • Aktualisieren Sie die Reaktionsverfahren auf der Grundlage neuer Erkennungstypen

  4. Kontoübergreifende Verwaltung:

    • Erwägen Sie die Verwendung eines GuardDuty Administratorkontos für die zentrale Verwaltung

    • Ermöglichen Sie die Aggregation von Ergebnissen für mehrere Konten

Warnung

Es GuardDuty bietet zwar eine umfassende Sicherheitsüberwachung, sollte aber Teil einer defense-in-depth Strategie sein, die auch andere Sicherheitskontrollen wie Netzwerkrichtlinien, Pod-Sicherheitsstandards und die richtige RBAC-Konfiguration umfasst.

Häufig gestellte Fragen (FAQ)

F: Wie unterscheidet sich der EKS Auto Mode in Bezug auf die Sicherheit vom Standard-EKS? A: Der automatische EKS-Modus bietet erweiterte Sicherheit durch EC2-verwaltete Instances, automatisiertes Patchen, obligatorische Knotenrotation und integrierte Sicherheitskontrollen. Es reduziert den betrieblichen Aufwand und sorgt gleichzeitig für ein hohes Maß an Sicherheit, da AWS mehr Sicherheitsaspekte verwaltet.

F: Kann ich mit dem automatischen Modus von EKS weiterhin vorhandene Sicherheitstools und -richtlinien verwenden? A: Ja, der automatische Modus von EKS ist mit den meisten vorhandenen Sicherheitstools und -richtlinien kompatibel. Einige Sicherheitstools auf Knotenebene müssen jedoch möglicherweise angepasst werden, da die EKS-Automodus-Knoten verwaltet werden.

F: Wie setze ich Sicherheitsagenten und Überwachungstools im automatischen EKS-Modus ein? A: Im automatischen EKS-Modus sollten Sicherheitsagenten und Überwachungstools als Kubernetes-Workloads bereitgestellt werden (in der Regel wird standardmäßig eine Pod-Instanz auf jedem Knoten bereitgestellt) DaemonSets, anstatt sie direkt auf dem Betriebssystem des Knotens zu installieren. Dieser Ansatz entspricht dem unveränderlichen Infrastrukturmodell von EKS Auto Mode. Beispiel:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: security-agent
  namespace: security
spec:
  selector:
    matchLabels:
      app: security-agent
  template:
    metadata:
      labels:
        app: security-agent
    spec:
      containers:
      - name: security-agent
        image: security-vendor/agent:latest
        securityContext:
          privileged: false
          # Use specific capabilities instead of privileged mode
          capabilities:
            add: ["NET_ADMIN", "SYS_ADMIN"]

F: Sind Sicherheitslösungen von Drittanbietern mit EKS Auto Mode kompatibel? A: Viele beliebte Sicherheitslösungen von Drittanbietern wurden aktualisiert, um den EKS Auto Mode zu unterstützen. Es wird jedoch immer empfohlen, die spezifischen Versions- und Bereitstellungsanforderungen mit Ihrem Sicherheitsanbieter zu überprüfen, da für die Unterstützung des EKS Auto Mode möglicherweise aktualisierte Versionen oder spezifische Bereitstellungskonfigurationen erforderlich sind.

F: Was sind die Einschränkungen für Security Agents im EKS Auto Mode? A: Zu den wichtigsten Einschränkungen gehören:

  • Kein direkter Zugriff zur Änderung des Betriebssystems des Knotens

  • Keine Persistenz über Knotenrotationen hinweg

  • Muss mit der containerbasierten Bereitstellung kompatibel sein

  • Muss die Unveränderlichkeit des Knotens respektieren

  • Möglicherweise sind unterschiedliche Rechtekonfigurationen erforderlich

  • Alle dauerhaften Änderungen an den Knoten sollten über die NodePools NodeClasses Ressourcen vorgenommen werden.

Anmerkung

Der automatische Modus von EKS kann zwar Anpassungen Ihrer Strategie zur Implementierung von Sicherheitstools erfordern, diese Änderungen führen jedoch häufig zu wartbareren und sichereren Konfigurationen, die auf Cloud-native Best Practices abgestimmt sind. Der EKS Auto Mode geht davon aus, dass er die meisten Funktionen, die er verwaltet, vollständig übernehmen wird. Daher könnten alle manuellen Änderungen, die Sie an diesen Funktionen vornehmen, vom EKS-Automodus überschrieben oder verworfen werden, sofern Ihnen diese zur Verfügung stehen.

F: Kann ich den benutzerdefinierten Modus AMIs mit dem EKS-Automatikmodus verwenden? A: Derzeit unterstützt der EKS-Automodus keine benutzerdefinierten Einstellungen AMIs. Dies ist beabsichtigt, da AWS die Sicherheit, das Patchen und die Wartung der Knoten im Rahmen des Modells der gemeinsamen Verantwortung verwaltet. Die EKS-Automodus-Knoten verwenden eine spezielle Variante von Bottlerocket, die von AWS optimiert und gewartet wird.

F: Wie oft werden Knoten im EKS-Automodus automatisch rotiert? A: Knoten im EKS-Automatikmodus haben eine maximale Lebensdauer von 21 Tagen. Sie werden vor Ablauf dieser Grenze automatisch ersetzt, sodass regelmäßige Sicherheitsupdates und Patches gewährleistet sind.

F: Kann ich zur Fehlerbehebung per SSH auf EKS-Automodus-Knoten zugreifen? A: Nein, direkter SSH-Zugriff ist im EKS-Automatikmodus nicht verfügbar. Stattdessen können Sie die NodeDiagnostic Custom Resource Definition (CRD) zum Sammeln von Systemprotokollen und Debugging-Informationen verwenden.

F: Ist die Unterstützung für Netzwerkrichtlinien im automatischen EKS-Modus standardmäßig aktiviert? A: Vorerst muss die Unterstützung von Netzwerkrichtlinien explizit über die VPC CNI-Add-On-Konfiguration aktiviert werden. Nach der Aktivierung können Sie die standardmäßigen Kubernetes-Netzwerkrichtlinien verwenden.

F: Sollte ich IRSA oder Pod Identity mit EKS Auto Mode verwenden? A: Obwohl beide unterstützt werden, ist Pod Identity der empfohlene Ansatz im EKS-Automatikmodus, da er bereits das Pod Identity Security Agent-Add-on enthält und erweiterte Sicherheitsfunktionen und eine vereinfachte Verwaltung bietet.

F: Kann ich aws-auth weiterhin ConfigMap im automatischen EKS-Modus verwenden? A: Das aws-auth ConfigMap ist eine veraltete Funktion. Es wird empfohlen, den Standardansatz der API-basierten Authentifizierung zu verwenden, um die Sicherheit zu erhöhen und die Zugriffsverwaltung zu vereinfachen.

F: Wie kann ich Sicherheitsereignisse im automatischen EKS-Modus überwachen? A: Der EKS Auto Mode lässt sich in mehrere Überwachungslösungen integrieren GuardDuty, darunter CloudWatch, und CloudTrail. GuardDuty bietet eine verbesserte Runtime-Sicherheitsüberwachung speziell für EKS-Workloads.

F: Wie sammle ich Protokolle von EKS-Automodus-Knoten? A: Verwenden Sie die NodeDiagnostic CRD, die Protokolle automatisch in einen S3-Bucket hochlädt. Sie können CloudWatch Container Insights und AWS Distro auch für OpenTelemetry verwenden.

Anmerkung

Dieser FAQ-Bereich wird regelmäßig aktualisiert, da dem EKS Auto Mode neue Funktionen hinzugefügt werden und wir häufig gestellte Fragen von Kunden erhalten.