Présentation de Étape 1 : configurer la stratégie de clé Étape 2 : Configuration à l' NodeClass aide de votre clé gérée par le client Ressources connexes

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Activation du chiffrement des volumes EBS avec des clés KMS gérées par le client pour le mode automatique EKS

Vous pouvez chiffrer le volume racine éphémère des instances gérées par le mode automatique EKS à l’aide d’une clé KMS gérée par le client.

Le mode automatique Amazon EKS utilise des rôles liés à des services pour déléguer des autorisations à d'autres AWS services lors de la gestion de volumes EBS chiffrés pour vos clusters Kubernetes. Cette rubrique explique comment configurer la stratégie de clé requise lorsque vous spécifiez une clé gérée par le client pour le chiffrement Amazon EBS avec le mode automatique EKS.

Considérations :

Le mode automatique EKS n'a pas besoin d'autorisation supplémentaire pour utiliser la clé AWS gérée par défaut afin de protéger les volumes chiffrés de votre compte.
Cette rubrique traite du chiffrement des volumes éphémères, les volumes racines pour les instances. EC2 Pour plus d’informations sur le chiffrement des volumes de données utilisés pour les charges de travail, consultez Création d’une classe de stockage.

Présentation de

Les clés AWS KMS suivantes peuvent être utilisées pour le chiffrement du volume racine Amazon EBS lorsque le mode automatique EKS lance des instances :

Clé gérée par AWS : clé de chiffrement créée, détenue et gérée par Amazon EBS dans votre compte. Il s'agit de la clé de chiffrement par défaut d'un nouveau compte.
Clé gérée par le client : clé de chiffrement personnalisée que vous créez, détenez et gérez vous-même.

Note

La clé doit être symétrique. Amazon EBS ne prend pas en charge les clés asymétriques gérées par le client.

Étape 1 : configurer la stratégie de clé

Vos clés KMS doivent inclure une stratégie de clé permettant au mode automatique EKS de lancer des instances avec des volumes Amazon EBS chiffrés à l’aide d’une clé gérée par le client.

Configurez votre stratégie de clé selon la structure suivante :

Note

Cette stratégie inclut uniquement les autorisations nécessaires au mode automatique EKS. La stratégie de clé peut nécessiter des autorisations supplémentaires si d’autres identités ont besoin d’utiliser la clé ou de gérer des autorisations.


{
    "Version":"2012-10-17",		 	 	 
    "Id": "MyKeyPolicy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/ClusterServiceRole"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/ClusterServiceRole"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}

Assurez-vous de le remplacer <account-id> par votre numéro de AWS compte actuel.

Lors de la configuration de la stratégie de clé :

Le ClusterServiceRole doit disposer des autorisations IAM nécessaires pour utiliser la clé KMS lors des opérations de chiffrement
Cette kms:GrantIsForAWSResource condition garantit que les subventions ne peuvent être créées que pour AWS des services

Étape 2 : Configuration à l' NodeClass aide de votre clé gérée par le client

Après avoir configuré la politique des clés, référencez la clé KMS dans votre NodeClass configuration du mode automatique EKS :


apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: my-node-class
spec:
  # Insert existing configuration

  ephemeralStorage:
    size: "80Gi"  # Range: 1-59000Gi or 1-64000G or 1-58Ti or 1-64T
    iops: 3000    # Range: 3000-16000
    throughput: 125  # Range: 125-1000

    # KMS key for encryption
    kmsKeyID: "arn:aws: kms:<region>:<account-id>:key/<key-id>"

Remplacez les valeurs d’exemple par vos valeurs réelles :

<region>avec votre AWS région
<account-id>avec votre identifiant AWS de compte
<key-id> par l’ID de votre clé KMS

Vous pouvez spécifier la clé KMS selon l’un des formats suivants :

ID de clé KMS : 1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d
ARN de clé KMS : arn:aws: kms:us-west-2:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d
Nom d’alias de clé : alias/eks-auto-mode-key
ARN d’alias de clé : arn:aws: kms:us-west-2:111122223333:alias/eks-auto-mode-key

Appliquez la NodeClass configuration à l'aide de kubectl :


kubectl apply -f nodeclass.yaml

Ressources connexes

Création d’une classe de nœuds pour Amazon EKS
Pour plus d'informations, consultez le guide du développeur du service de gestion des AWS clés

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Génération d’un rapport CIS

Mise à jour des contrôles AMI