Prerequisiti Configura le impostazioni di sicurezza avanzate Descrizioni dei campi Considerazioni Risorse correlate

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare le impostazioni di sicurezza avanzate per i nodi

Questo argomento descrive come configurare le impostazioni di sicurezza avanzate per i nodi Amazon EKS Auto Mode utilizzando le advancedSecurity specifiche nella tua classe di nodi.

Prerequisiti

Prima di iniziare, assicurati di disporre dei seguenti elementi:

Un cluster della modalità automatica di Amazon EKS. Per ulteriori informazioni, consulta Creare un cluster con la modalità automatica Amazon EKS.
kubectl installato e configurato. Per ulteriori informazioni, consulta Configurazione per l’utilizzo di Amazon EKS.
Comprensione della configurazione della classe di nodi. Per ulteriori informazioni, consulta Creazione di una classe di nodi per Amazon EKS.

Configura le impostazioni di sicurezza avanzate

Per configurare le impostazioni di sicurezza avanzate per i tuoi nodi, imposta i advancedSecurity campi nella specifica della tua classe di nodi:


apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"

Applica questa configurazione:


kubectl apply -f nodeclass.yaml

Fai riferimento a questa classe di nodi nella configurazione del tuo pool di nodi. Per ulteriori informazioni, consulta Crea un pool di nodi per EKS Auto Mode.

Descrizioni dei campi

fips(booleano, opzionale): se impostato sutrue, effettua il provisioning dei nodi utilizzando moduli crittografici AMIs convalidati FIPS 140-2. Questa impostazione seleziona la conformità a FIPS; i clienti sono responsabili della gestione dei propri requisiti di conformità AMIs. Per ulteriori informazioni, consulta Conformità FIPS.AWS Default: false.
kernelLockdown(stringa, opzionale): Controlla la modalità del modulo di sicurezza Kernel Lockdown. Valori accettati:
- integrity: blocca i metodi per sovrascrivere la memoria del kernel o modificare il codice del kernel. Impedisce il caricamento dei moduli del kernel non firmati.
- none: disattiva la protezione dal blocco del kernel.
  
  Per ulteriori informazioni, consultate la documentazione relativa al blocco del kernel Linux.

Considerazioni

Gli standard FIPS AMIs sono disponibili nelle regioni Stati Uniti orientali/occidentali, ( AWS Stati Uniti) e Canada ( AWS GovCloud Centro/Ovest). AWS Per ulteriori informazioni,AWS consulta Conformità FIPS.
Durante l'utilizzokernelLockdown: "integrity", assicurati che i tuoi carichi di lavoro non richiedano il caricamento di moduli del kernel non firmati o la modifica della memoria del kernel.

Risorse correlate

Creazione di una classe di nodi per Amazon EKS- Guida completa alla configurazione della classe di nodi
Crea un pool di nodi per EKS Auto Mode- Configurazione del pool di nodi

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Usa Local Zones

Come funziona