Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan pengaturan keamanan lanjutan untuk node
Topik ini menjelaskan cara mengonfigurasi pengaturan keamanan lanjutan untuk node Mode Otomatis Amazon EKS menggunakan advancedSecurity spesifikasi di Kelas Node Anda.
Prasyarat
Sebelum Anda mulai, pastikan Anda memiliki:
-
Cluster Mode Otomatis Amazon EKS. Untuk informasi selengkapnya, lihat Buat cluster dengan Amazon EKS Auto Mode.
-
kubectldiinstal dan dikonfigurasi. Untuk informasi selengkapnya, lihat Siapkan untuk menggunakan Amazon EKS. -
Memahami konfigurasi Kelas Node. Untuk informasi selengkapnya, lihat Buat Kelas Node untuk Amazon EKS.
Konfigurasikan pengaturan keamanan lanjutan
Untuk mengonfigurasi pengaturan keamanan lanjutan untuk node Anda, atur advancedSecurity bidang dalam spesifikasi Kelas Node Anda:
apiVersion: eks.amazonaws.com/v1 kind: NodeClass metadata: name: security-hardened spec: role: MyNodeRole subnetSelectorTerms: - tags: Name: "private-subnet" securityGroupSelectorTerms: - tags: Name: "eks-cluster-sg" advancedSecurity: # Enable FIPS-compliant AMIs (US regions only) fips: true # Configure kernel lockdown mode kernelLockdown: "integrity"
Terapkan konfigurasi ini:
kubectl apply -f nodeclass.yaml
Referensi Kelas Node ini dalam konfigurasi Node Pool Anda. Untuk informasi selengkapnya, lihat Buat Node Pool untuk Mode Otomatis EKS.
Deskripsi bidang
-
fips(boolean, opsional): Ketika diatur ketrue, ketentuan node menggunakan AMIs dengan modul kriptografi yang divalidasi FIPS 140-2. Pengaturan ini memilih FIPS-compliant AMIs; pelanggan bertanggung jawab untuk mengelola persyaratan kepatuhan mereka. Untuk informasi selengkapnya, lihat kepatuhan AWS FIPS. Default: false. -
kernelLockdown(string, opsional): Mengontrol mode modul keamanan penguncian kernel. Nilai yang diterima:-
integrity: Memblokir metode untuk menimpa memori kernel atau memodifikasi kode kernel. Mencegah pemuatan modul kernel yang tidak ditandatangani. -
none: Menonaktifkan perlindungan penguncian kernel.Untuk informasi selengkapnya, lihat dokumentasi penguncian kernel Linux
.
-
Pertimbangan-pertimbangan
-
Sesuai FIPS AMIs tersedia di Wilayah Timur/Barat AWS AS, ( AWS GovCloud AS), dan Kanada AWS (Tengah/Barat). Untuk informasi selengkapnya, lihat kepatuhan AWS FIPS
. -
Saat menggunakan
kernelLockdown: "integrity", pastikan beban kerja Anda tidak memerlukan pemuatan modul kernel yang tidak ditandatangani atau memodifikasi memori kernel.
Sumber daya terkait
-
Buat Kelas Node untuk Amazon EKS- Panduan konfigurasi Kelas Node Lengkap
-
Buat Node Pool untuk Mode Otomatis EKS- Konfigurasi Node Pool
