Sicurezza - Amazon EKS
Sicurezza e conformità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza

Suggerimento

Esplora le best practice tramite i workshop Amazon EKS.

Sicurezza e conformità

Prendi in considerazione S3 con KMS per uno storage conforme alla crittografia

Salvo diversa indicazione, tutti i bucket S3 utilizzano SSE-S3 per impostazione predefinita per crittografare gli oggetti inattivi. Tuttavia, puoi scegliere di configurare i bucket per utilizzare invece la crittografia lato server con le chiavi AWS Key Management Service (AWS KMS) (SSE-KMS). I controlli della sicurezza in AWS KMS possono essere d'aiuto per soddisfare i requisiti di conformità correlati alla crittografia. Puoi utilizzare queste chiavi KMS per proteggere i dati nei bucket Amazon S3. Quando utilizzi la crittografia SSE-KMS con un bucket S3, le chiavi AWS KMS devono trovarsi nella stessa regione del bucket.

Configura i tuoi bucket generici per utilizzare S3 Bucket Keys per SSE-KMS, per ridurre i costi delle richieste AWS KMS fino al 99 percento diminuendo il traffico delle richieste da Amazon S3 ad AWS KMS. Le S3 Bucket Keys sono sempre abilitate e funzionano in un bucket di directory e non possono essere disabilitate. GET PUT

Tieni presente che Amazon S3 Express One Zone utilizza un tipo specifico di bucket chiamato bucket di directory S3. I bucket di directory sono destinati esclusivamente alla classe di storage S3 Express One Zone e consentono un accesso ad alte prestazioni e bassa latenza. Per configurare la crittografia dei bucket predefinita su un bucket di directory S3, utilizza la CLI di AWS e specifica l'ID della chiave KMS o l'ARN, non l'alias, come nell'esempio seguente:

Esempio
aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'

Assicurati che il ruolo IAM del tuo pod EKS disponga delle autorizzazioni KMS (ad esempio) per accedere agli oggetti crittografati. kms:Decrypt Provalo in un ambiente di staging caricando un modello di esempio nel bucket, montandolo in un pod (ad esempio, tramite il driver CSI Mountpoint S3) e verificando che il pod sia in grado di leggere i dati crittografati senza errori. Registri di controllo tramite AWS CloudTrail per confermare la conformità ai requisiti di crittografia. Consulta la documentazione KMS per i dettagli di configurazione e la gestione delle chiavi.