API セキュリティと認証ネットワークセキュリティ EC2 マネージドインスタンスのセキュリティ自動リソース管理セキュリティに関するベストプラクティス

Amazon EKS Auto Mode におけるセキュリティに関する考慮事項

このトピックでは、Amazon EKS Auto Mode のセキュリティアーキテクチャ、コントロール、ベストプラクティスについて説明します。組織がコンテナ化されたアプリケーションを大規模にデプロイするにつれて、強力なセキュリティ体制を維持することがますます複雑になります。EKS Auto Mode は、自動化されたセキュリティコントロールを実装し、AWS セキュリティサービスと統合して、クラスターのインフラストラクチャ、ワークロード、データを保護します。EKS Auto Mode は、強制ノードライフサイクル管理や自動パッチデプロイなどの組み込みセキュリティ機能を通じて、運用オーバーヘッドを削減しながらセキュリティのベストプラクティスを維持するのに役立ちます。

このトピックを進める前に、基本的な EKS Auto Mode の概念を理解していること、およびクラスターで EKS Auto Mode を有効にするための前提条件を確認しているようにしてください。Amazon EKS セキュリティに関する一般的な情報については、「Amazon EKS のセキュリティ」を参照してください。

Amazon EKS Auto Mode は、Amazon EKS の既存のセキュリティ基盤に基づいて構築されると同時に、EC2 マネージドインスタンスに対する追加の自動セキュリティコントロールを導入します。

API セキュリティと認証

Amazon EKS Auto Mode は、AWS プラットフォームのセキュリティメカニズムを使用して、Amazon EKS API への呼び出しを保護および認証します。

Kubernetes API へのアクセスは、AWS IAM ID と統合された EKS アクセスエントリを介して保護されます。
- 詳細については、「EKS アクセスエントリを使用して Kubernetes へのアクセスを IAM ユーザーに許可する」を参照してください。
お客様は、EKS アクセスエントリの設定を通じて、Kubernetes API エンドポイントへのきめ細かなアクセスコントロールを実装できます。

ネットワークセキュリティ

Amazon EKS Auto Mode は、複数のネットワークセキュリティレイヤーをサポートしています。

VPC 統合
- Amazon Virtual Private Cloud (VPC) 内で動作
- カスタムの VPC 設定とサブネットレイアウトをサポート
- クラスターコンポーネント間のプライベートネットワーキングを有効化
- 詳細については、「Amazon Virtual Private Cloud のセキュリティの責任の管理」を参照してください
ネットワークポリシー
- Kubernetes ネットワークポリシーのネイティブサポート
- 詳細なネットワークトラフィックルールを定義する機能
- 詳細については、「Kubernetes ネットワークポリシーにより Pod トラフィックを制限する」を参照してください。

EC2 マネージドインスタンスのセキュリティ

Amazon EKS Auto Mode は、次のセキュリティコントロールを使用して EC2 マネージドインスタンスを操作します。

EC2 セキュリティ

EC2 マネージドインスタンスは、Amazon EC2 のセキュリティ機能を維持します。
EC2 マネージドインスタンスの詳細については、「Security in Amazon EC2」を参照してください。

インスタンスのライフサイクル管理

EKS Auto Mode によって運用される EC2 マネージドインスタンスの最大存続期間は 21 日です。Amazon EKS Auto Mode は、この存続期間を超えたインスタンスを自動的に終了します。この存続期間制限は、設定のドリフトを防ぎ、セキュリティ体制を維持するのに役立ちます。

データ保護

Amazon EC2 インスタンスストレージは暗号化されており、インスタンスに直接アタッチされたストレージになっています。詳細については、「Amazon EC2 でのデータ保護」を参照してください。
EKS Auto Mode は、ルートボリュームやデータボリュームなど、作成時に EC2 インスタンスにアタッチされたボリュームを管理します。EKS Auto Mode は、Kubernetes 永続ストレージ機能を使用して作成された EBS ボリュームを完全には管理しません。

パッチ管理

Amazon EKS Auto Mode は、マネージドインスタンスにパッチを自動的に適用します。
パッチには以下が含まれます。
- オペレーティングシステムの更新
- セキュリティパッチ
- Amazon EKS Auto Mode コンポーネント

注記

これらのインスタンスで実行されているワークロードを保護および更新するのはお客様です。

アクセス制御

インスタンスへの直接アクセスは制限されています。
- SSH アクセスは使用できません。
- AWS Systems Manager Session Manager (SSM) アクセスは使用できません。
管理オペレーションは、Amazon EKS API と Kubernetes API を介して実行されます。

自動リソース管理

Amazon EKS Auto Mode は、Kubernetes 永続ストレージ機能を使用して作成された Amazon Elastic Block Store (Amazon EBS) ボリュームを完全には管理しません。EKS Auto Mode は Elastic Load Balancer (ELB) も管理しません。Amazon EKS Auto Mode は、これらのリソースのルーチンタスクを自動化します。

ストレージセキュリティ

AWS では、Kubernetes 永続ストレージ機能によってプロビジョニングされた EBS ボリュームの暗号化を有効にすることをお勧めします。詳細については、「ストレージクラスを作成する」を参照してください。
AWS KMS を使用した保管時の暗号化
作成した新しい EBS ボリュームとスナップショットコピーの暗号化を強制するように AWS アカウントを設定できます。詳細については、「Amazon EBS ユーザーガイド」の「Enable Amazon EBS encryption by default」を参照してください。
詳細については、「Security in Amazon EBS」を参照してください。

ロードバランサーのセキュリティ

Elastic Load Balancer の自動設定
AWS Certificate Manager 統合による SSL/TLS 証明書管理
ロードバランサーアクセスコントロールのセキュリティグループ自動化
詳細については、「Security in Elastic Load Balancing」を参照してください。

セキュリティに関するベストプラクティス

次のセクションでは、Amazon EKS Auto Mode におけるセキュリティのベストプラクティスについて説明します。

AWS IAM ポリシーと EKS アクセスエントリを定期的に確認します。
ワークロードに最小特権のアクセスパターンを実装します。
AWS CloudTrail と Amazon CloudWatch を使用してクラスターのアクティビティをモニタリングします。詳細については、API コールを AWS CloudTrail イベントとしてログします。およびAmazon CloudWatch でクラスターデータをモニタリングするを参照してください。
セキュリティ体制の評価には AWS Security Hub を使用します。
ワークロードに適したポッドセキュリティ標準を実装します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

すべての Kubernetes API データを対象とするデフォルトのエンベロープ暗号化

IAM リファレンス