Sécurité et authentification des API Sécurité du réseau EC2 sécurité des instances gérées Gestion automatisée des ressources Bonnes pratiques de sécurité

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Considérations relatives à la sécurité pour le mode automatique d'Amazon EKS

Cette rubrique décrit l'architecture de sécurité, les contrôles et les meilleures pratiques pour Amazon EKS Auto Mode. À mesure que les entreprises déploient des applications conteneurisées à grande échelle, le maintien d'une posture de sécurité solide devient de plus en plus complexe. Le mode automatique d'EKS met en œuvre des contrôles de sécurité automatisés et s'intègre aux services de AWS sécurité pour vous aider à protéger l'infrastructure, les charges de travail et les données de votre cluster. Grâce à des fonctionnalités de sécurité intégrées telles que la gestion renforcée du cycle de vie des nœuds et le déploiement automatique des correctifs, le mode automatique d'EKS vous aide à maintenir les meilleures pratiques en matière de sécurité tout en réduisant les frais d'exploitation.

Avant de poursuivre cette rubrique, assurez-vous que vous connaissez les concepts de base du mode automatique EKS et que vous avez examiné les conditions préalables à l'activation du mode automatique EKS sur vos clusters. Pour obtenir des informations générales sur la sécurité d'Amazon EKS, consultezSécurité dans Amazon EKS.

Le mode automatique d'Amazon EKS s'appuie sur les bases de sécurité existantes d'Amazon EKS tout en introduisant des contrôles de sécurité automatisés supplémentaires pour les instances EC2 gérées.

Sécurité et authentification des API

Le mode automatique Amazon EKS utilise les mécanismes de sécurité de la AWS plateforme pour sécuriser et authentifier les appels vers l'API Amazon EKS.

L'accès à l'API Kubernetes est sécurisé par le biais d'entrées d'accès EKS, qui s'intègrent aux AWS identités IAM.
- Pour de plus amples informations, veuillez consulter Accorder aux utilisateurs IAM l'accès à Kubernetes avec des entrées d'accès EKS.
Les clients peuvent mettre en œuvre un contrôle d'accès précis au point de terminaison de l'API Kubernetes en configurant les entrées d'accès EKS.

Sécurité du réseau

Le mode automatique Amazon EKS prend en charge plusieurs niveaux de sécurité réseau :

Intégration VPC
- Fonctionne au sein de votre Amazon Virtual Private Cloud (VPC)
- Prend en charge les configurations VPC personnalisées et les configurations de sous-réseaux
- Permet la mise en réseau privée entre les composants du cluster
- Pour plus d'informations, consultez Gérer les responsabilités en matière de sécurité pour Amazon Virtual Private Cloud
Politiques du réseau
- Support natif pour les politiques réseau Kubernetes
- Possibilité de définir des règles de trafic réseau granulaires
- Pour plus d’informations, consultez Limitez le trafic des pods grâce aux politiques réseau Kubernetes.

EC2 sécurité des instances gérées

Amazon EKS Auto Mode gère les instances EC2 gérées avec les contrôles de sécurité suivants :

EC2 sécurité

EC2 les instances gérées conservent les fonctionnalités de sécurité d'Amazon EC2.
Pour plus d'informations sur les instances EC2 gérées, consultez la section Sécurité sur Amazon EC2.

Gestion du cycle de vie des instances

EC2 les instances gérées gérées par le mode automatique EKS ont une durée de vie maximale de 21 jours. Le mode automatique d'Amazon EKS met automatiquement fin aux instances dépassant cette durée de vie. Cette limite de cycle de vie permet d'éviter les dérives de configuration et de maintenir le niveau de sécurité.

Protection des données

Amazon EC2 Instance Storage est crypté, il s'agit d'un stockage directement attaché à l'instance. Pour plus d'informations, consultez la section Protection des données sur Amazon EC2.
Le mode automatique EKS gère les volumes attachés aux EC2 instances au moment de leur création, y compris les volumes racine et de données. Le mode automatique EKS ne gère pas entièrement les volumes EBS créés à l'aide des fonctionnalités de stockage persistant de Kubernetes.

Gestion des correctifs

Le mode automatique Amazon EKS applique automatiquement des correctifs aux instances gérées.
Les correctifs incluent :
- Mises à jour du système d'exploitation
- Correctifs de sécurité
- Composants du mode automatique Amazon EKS

Note

Les clients restent responsables de la sécurisation et de la mise à jour des charges de travail exécutées sur ces instances.

Contrôles d'accès

L'accès direct à l'instance est restreint :
- L'accès SSH n'est pas disponible.
- AWS L'accès au gestionnaire de session (SSM) de Systems Manager n'est pas disponible.
Les opérations de gestion sont effectuées via l'API Amazon EKS et l'API Kubernetes.

Gestion automatisée des ressources

Amazon EKS Auto Mode ne gère pas entièrement les volumes Amazon Elastic Block Store (Amazon EBS) créés à l'aide des fonctionnalités de stockage persistant de Kubernetes. Le mode automatique EKS ne gère pas non plus les Elastic Load Balancers (ELB). Le mode automatique d'Amazon EKS automatise les tâches de routine associées à ces ressources.

Sécurité du stockage

AWS vous recommande d'activer le chiffrement pour les volumes EBS fournis par les fonctionnalités de stockage persistant de Kubernetes. Pour de plus amples informations, veuillez consulter Création d'une classe de stockage.
Chiffrement au repos à l'aide de AWS KMS
Vous pouvez configurer votre AWS compte pour appliquer le chiffrement des nouveaux volumes EBS et des copies instantanées que vous créez. Pour plus d'informations, consultez Activer le chiffrement Amazon EBS par défaut dans le guide de l'utilisateur Amazon EBS.
Pour plus d'informations, consultez la section Sécurité dans Amazon EBS.

Sécurité de l'équilibreur de charge

Configuration automatisée des équilibreurs de charge élastiques
Gestion des certificats SSL/TLS via l'intégration de Certificate Manager AWS
Automatisation des groupes de sécurité pour le contrôle d'accès aux équilibreurs de charge
Pour plus d'informations, consultez la section Sécurité dans Elastic Load Balancing.

Bonnes pratiques de sécurité

La section suivante décrit les meilleures pratiques de sécurité pour le mode automatique d'Amazon EKS.

Passez régulièrement en revue les politiques AWS IAM et les entrées d'accès EKS.
Mettez en œuvre des modèles d'accès avec le moindre privilège pour les charges de travail.
Surveillez l'activité du cluster via AWS CloudTrail Amazon CloudWatch. Pour plus d’informations, consultez Consigner les appels d'API en tant qu' AWS CloudTrail événements et Surveillez les données du cluster avec Amazon CloudWatch.
Utilisez AWS Security Hub pour évaluer le niveau de sécurité.
Mettez en œuvre des normes de sécurité adaptées à vos charges de travail.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement d'enveloppe par défaut pour toutes les données de l'API Kubernetes

Référence IAM