このページの改善にご協力ください
このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。
ノードの高度なセキュリティ設定を構成する
このトピックでは、ノードクラスの advancedSecurity 仕様を使用して Amazon EKS Auto Mode ノードの高度なセキュリティ設定を構成する方法について説明します。
前提条件
開始する前に、以下を確認してください。
-
Amazon EKS Auto Mode クラスター。詳細については、「Amazon EKS 自動モードl クラスターを作成する」を参照してください。
-
kubectlがインストールされ、設定済みであること。詳細については、「Amazon EKS を使用するようにセットアップする」を参照してください。 -
ノードクラス設定について。詳細については、「Amazon EKS のノードクラスを作成する」を参照してください。
高度なセキュリティ設定を構成する
ノードの高度なセキュリティ設定を構成するには、ノードクラス仕様の advancedSecurity フィールドを設定します。
apiVersion: eks.amazonaws.com/v1 kind: NodeClass metadata: name: security-hardened spec: role: MyNodeRole subnetSelectorTerms: - tags: Name: "private-subnet" securityGroupSelectorTerms: - tags: Name: "eks-cluster-sg" advancedSecurity: # Enable FIPS-compliant AMIs (US regions only) fips: true # Configure kernel lockdown mode kernelLockdown: "integrity"
この設定を適用します。
kubectl apply -f nodeclass.yaml
ノードプール設定でこのノードクラスを参照します。詳細については、「EKS 自動モードl 用のノードプールを作成する」を参照してください。
フィールドの説明
-
fips(ブール値、オプション):trueに設定すると、FIPS 140-2 検証済み暗号化モジュールを含む AMI を使用してノードをプロビジョニングします。この設定では、FIPS 準拠の AMI が選択されます。お客様はコンプライアンス要件を管理する責任があります。詳細については、「AWS FIPS Compliance」を参照してください。デフォルト: false。 -
kernelLockdown(文字列、オプション): カーネルロックダウンセキュリティモジュールモードを制御します。使用できる値:-
integrity: カーネルメモリを上書きしたり、カーネルコードを変更するメソッドをブロックします。署名なしカーネルモジュールがロードされないようにします。 -
none: カーネルロックダウン保護を無効にします。詳細については、「Linux kernel lockdown
」ドキュメントを参照してください。
-
考慮事項
-
FIPS 準拠の AMI は、AWS 米国東部/西部、AWS GovCloud (米国)、AWS カナダ (中部/西部) の各リージョンで利用できます。詳細については、「AWS FIPS Compliance
」を参照してください。 -
kernelLockdown: "integrity"を使用する場合は、ワークロードが署名なしカーネルモジュールのロードやカーネルメモリの変更を必要としないことを確認してください。
関連リソース
-
Amazon EKS のノードクラスを作成する – 完全なノードクラス設定ガイド
-
EKS 自動モードl 用のノードプールを作成する – ノードプールの設定
