Conditions préalables Configuration des paramètres de sécurité avancés Descriptions des champs Considérations Ressources connexes

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Configuration des paramètres de sécurité avancés pour les nœuds

Cette rubrique explique comment configurer les paramètres de sécurité avancés pour les nœuds Amazon EKS Auto Mode à l'aide des advancedSecurity spécifications de votre classe de nœuds.

Conditions préalables

Avant de commencer, assurez-vous de disposer des éléments suivants :

Un cluster du mode automatique Amazon EKS. Pour de plus amples informations, veuillez consulter Création d’un cluster avec le mode automatique Amazon EKS.
kubectl installé et configuré. Pour de plus amples informations, veuillez consulter Configuration pour utiliser Amazon EKS.
Compréhension de la configuration des classes de nœuds. Pour de plus amples informations, veuillez consulter Création d’une classe de nœuds pour Amazon EKS.

Configuration des paramètres de sécurité avancés

Pour configurer les paramètres de sécurité avancés pour vos nœuds, définissez les advancedSecurity champs dans la spécification de votre classe de nœud :


apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"

Appliquez cette configuration :


kubectl apply -f nodeclass.yaml

Référencez cette classe de nœuds dans la configuration de votre pool de nœuds. Pour de plus amples informations, veuillez consulter Create a Node Pool for EKS Auto Mode.

Descriptions des champs

fips(booléen, facultatif) : lorsqu'il est défini surtrue, approvisionne les nœuds à l'aide de modules cryptographiques validés AMIs par la norme FIPS 140-2. Ce paramètre sélectionne la conformité à la norme FIPS AMIs ; les clients sont responsables de la gestion de leurs exigences de conformité. Pour plus d'informations, consultez la section Conformité à la AWS norme FIPS. Valeur par défaut : false.
kernelLockdown(chaîne, facultatif) : contrôle le mode du module de sécurité du verrouillage du noyau. Valeurs acceptées :
- integrity: bloque les méthodes permettant de remplacer la mémoire du noyau ou de modifier le code du noyau. Empêche le chargement de modules de noyau non signés.
- none: désactive la protection contre le verrouillage du noyau.
  
  Pour plus d'informations, consultez la documentation sur le verrouillage du noyau Linux.

Considérations

Les produits conformes à la norme FIPS AMIs sont disponibles dans les AWS régions de l'Est/Ouest des États-Unis et du AWS Canada AWS GovCloud (Centre-Ouest). Pour plus d'informations, consultez la section Conformité à la AWS norme FIPS.
Lors de l'utilisationkernelLockdown: "integrity", assurez-vous que vos charges de travail ne nécessitent pas le chargement de modules de noyau non signés ou la modification de la mémoire du noyau.

Ressources connexes

Création d’une classe de nœuds pour Amazon EKS- Guide complet de configuration des classes de nœuds
Create a Node Pool for EKS Auto Mode- Configuration du pool de nœuds

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utiliser les Zones Locales

Comment ça marche