**Bantu tingkatkan halaman ini** Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman. Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Keamanan infrastruktur di Amazon EKS Sebagai layanan terkelola, Amazon Elastic Kubernetes Service dilindungi oleh keamanan jaringan global. AWS Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*. Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon EKS melalui jaringan. Klien harus mendukung hal-hal berikut: + Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3. + Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini. Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) untuk menghasilkan kredenal keamanan sementara untuk menandatangani permintaan. Ketika Anda membuat klaster Amazon EKS, Anda menentukan subnet VPC untuk digunakan oleh klaster Anda. Amazon EKS membutuhkan subnet, setidaknya di dua Availability Zone. Kami merekomendasikan VPC dengan subnet publik dan privat sehingga Kubernetes dapat membuat penyeimbang beban publik di subnet publik yang memuat lalu lintas keseimbangan ke Pod yang berjalan pada node yang berada di subnet pribadi. Untuk informasi selengkapnya tentang pertimbangan VPC, lihat [Lihat persyaratan jaringan Amazon EKS untuk VPC dan subnet](network-reqs.md). Jika Anda membuat grup VPC dan node dengan AWS CloudFormation templat yang disediakan dalam panduan [Memulai dengan Amazon EKS](getting-started.md), maka grup keamanan bidang kontrol dan node Anda dikonfigurasi dengan pengaturan yang kami rekomendasikan. Untuk informasi selengkapnya tentang pertimbangan grup keamanan, lihat [Lihat persyaratan grup keamanan Amazon EKS untuk cluster](sec-group-reqs.md). Ketika Anda membuat klaster baru, Amazon EKS membuat titik akhir untuk server API Kubernetes terkelola yang Anda gunakan untuk berkomunikasi dengan klaster Anda (alat pengelolaan Kubernetes seperti `kubectl`). Secara default, endpoint server API ini bersifat publik ke internet, dan akses ke server API diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) and Access Management (IAM) dan native [Kubernetes](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) Role Based Access Control (RBAC). Anda dapat mengaktifkan akses privat ke server API Kubernetes sehingga semua komunikasi antara simpul Anda dan server API tetap berada di dalam VPC Anda. Anda dapat membatasi alamat IP yang dapat mengakses server API Anda dari internet, atau menonaktifkan sepenuhnya akses internet ke server API. Untuk informasi selengkapnya tentang cara memodifikasi akses titik akhir klaster, lihat [Memodifikasi akses titik akhir klaster](cluster-endpoint.md#modify-endpoint-access). [Anda dapat menerapkan *kebijakan jaringan* Kubernetes dengan Amazon VPC CNI atau alat pihak ketiga seperti Project Calico.](https://docs.tigera.io/calico/latest/about/) Untuk informasi selengkapnya tentang menggunakan Amazon VPC CNI untuk kebijakan jaringan, lihat. [Batasi lalu lintas Pod dengan kebijakan jaringan Kubernetes](cni-network-policy.md) Project Calico merupakan proyek sumber terbuka pihak ketiga. Untuk informasi selengkapnya, lihat [Project Calico documentation](https://docs.tigera.io/calico/latest/getting-started/kubernetes/managed-public-cloud/eks/).