Requisitos previos Configuración de ajustes avanzados de seguridad Descripción del campo Consideraciones Recursos relacionados

Configuración de ajustes avanzados de seguridad para los nodos

En este tema, se describe cómo configurar ajustes avanzados de seguridad para nodos del modo automático de Amazon EKS mediante la especificación advancedSecurity en la clase de nodo.

Requisitos previos

Antes de comenzar, asegúrese de que dispone de lo siguiente:

Un clúster del modo automático de Amazon EKS. Para obtener más información, consulte Cómo crear un clúster con el modo automático de Amazon EKS.
kubectl instalado y configurado Para obtener más información, consulte Configuración para usar Amazon EKS.
Explicación sobre la configuración de la clase de nodo. Para obtener más información, consulte Cómo crear una clase de nodos para Amazon EKS.

Configuración de ajustes avanzados de seguridad

Para configurar ajustes avanzados de seguridad para los nodos, establezca los campos advancedSecurity en la especificación de la clase de nodo:


apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"

Aplique esta configuración:


kubectl apply -f nodeclass.yaml

Haga referencia a esta clase de nodo en la configuración del grupo de nodos. Para obtener más información, consulte Creación de un grupo de nodos para el modo automático de EKS.

Descripción del campo

fips (booleano, opcional): cuando se establece en true, aprovisiona nodos con AMI que incluyen módulos criptográficos validados conforme a FIPS 140-2. Este ajuste selecciona AMI compatibles con FIPS; los clientes son responsables de administrar sus requisitos de cumplimiento. Para obtener más información, consulte Cumplimiento de FIPS en AWS. Valor predeterminado: false.
kernelLockdown (cadena, opcional): controla el modo del módulo de seguridad de bloqueo del kernel. Valores aceptados:
- integrity: bloquea los métodos para sobrescribir la memoria del kernel o modificar el código del kernel. Impide la carga de módulos del kernel sin firma.
- none: desactiva la protección de bloqueo del kernel.
  
  Para obtener más información, consulte la documentación sobre el bloqueo del kernel de Linux.

Consideraciones

Las AMI compatibles con FIPS están disponibles en las regiones de AWS Este/Oeste de EE. UU., AWS GovCloud (EE. UU.) y AWS Canadá (centro/oeste). Para obtener más información, consulte Cumplimiento de FIPS en AWS.
Cuando utilice kernelLockdown: "integrity", asegúrese de que las cargas de trabajo no requieran cargar módulos del kernel sin firma ni modificar la memoria del kernel.

Recursos relacionados

Cómo crear una clase de nodos para Amazon EKS: guía completa de configuración de la clase de nodo
Creación de un grupo de nodos para el modo automático de EKS: configuración del grupo de nodos

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de Zonas locales

Funcionamiento