Voraussetzungen Konfigurieren Sie erweiterte Sicherheitseinstellungen Beschreibungen der Felder Überlegungen Zugehörige Ressourcen

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Erweiterte Sicherheitseinstellungen für Knoten konfigurieren

In diesem Thema wird beschrieben, wie Sie mithilfe der advancedSecurity Spezifikation in Ihrer Node Class erweiterte Sicherheitseinstellungen für Amazon EKS Auto Mode-Knoten konfigurieren.

Voraussetzungen

Stellen Sie vor Beginn sicher, dass Sie über Folgendes verfügen:

Ein Cluster in Amazon EKS Auto Mode. Weitere Informationen finden Sie unter Einen Cluster mit Amazon EKS Auto Mode erstellen.
kubectl installiert und konfiguriert. Weitere Informationen finden Sie unter Einrichtung zur Verwendung von Amazon EKS.
Verständnis der Node Class-Konfiguration. Weitere Informationen finden Sie unter Knotenklasse für Amazon EKS erstellen.

Konfigurieren Sie erweiterte Sicherheitseinstellungen

Um erweiterte Sicherheitseinstellungen für Ihre Knoten zu konfigurieren, legen Sie die advancedSecurity Felder in Ihrer Node Class-Spezifikation fest:


apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"

Wenden Sie diese Konfiguration an:


kubectl apply -f nodeclass.yaml

Verweisen Sie in Ihrer Node-Pool-Konfiguration auf diese Node-Klasse. Weitere Informationen finden Sie unter Einen Knotenpool für EKS Auto Mode erstellen.

Beschreibungen der Felder

fips(boolean, optional): Wenn auf gesetzttrue, werden Knoten mithilfe von FIPS AMIs 140-2-validierten kryptografischen Modulen bereitgestellt. Mit dieser Einstellung wird FIPS-konform ausgewählt. Kunden sind für die Verwaltung ihrer Compliance-Anforderungen AMIs verantwortlich. Weitere Informationen finden Sie unter FIPS-Konformität.AWS Standard: false.
kernelLockdown(Zeichenfolge, optional): Steuert den Modus des Kernel-Lockdown-Sicherheitsmoduls. Zulässige Werte:
- integrity: Blockiert Methoden zum Überschreiben des Kernelspeichers oder zum Ändern des Kernelcodes. Verhindert das Laden von Kernelmodulen ohne Vorzeichen.
- none: Deaktiviert den Kernel-Lockdown-Schutz.
  
  Weitere Informationen finden Sie in der Dokumentation zum Lockdown des Linux-Kernels.

Überlegungen

FIPS-konform AMIs sind in den Regionen AWS USA Ost/West, AWS GovCloud (USA) und AWS Kanada (Zentral/West) verfügbar. Weitere Informationen finden Sie unter FIPS-Konformität.AWS
Stellen Sie bei der Verwendung sicherkernelLockdown: "integrity", dass Ihre Workloads nicht das Laden von unsignierten Kernelmodulen oder das Ändern des Kernelspeichers erfordern.

Zugehörige Ressourcen

Knotenklasse für Amazon EKS erstellen- Vollständiger Leitfaden zur Konfiguration von Node Class
Einen Knotenpool für EKS Auto Mode erstellen- Konfiguration des Knotenpools

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Local Zones verwenden

Funktionsweise