Pré-requisitos Definição de configurações avançadas de segurança Descrições do campo Considerações Recursos relacionados

Definição de configurações avançadas de segurança para nós

Este tópico descreve como definir configurações avançadas de segurança para os nós do modo automático do Amazon EKS usando a especificação advancedSecurity em sua classe de nós.

Pré-requisitos

Antes de começar, verifique se você tem:

Um cluster do Modo Automático do Amazon EKS. Para obter mais informações, consulte Criação de um cluster com o modo automático do Amazon EKS.
kubectl instalado e configurado. Para obter mais informações, consulte Configurar para usar o Amazon EKS.
Compreensão da configuração da classe de nós. Para obter mais informações, consulte Criar uma classe de nó para o Amazon EKS.

Definição de configurações avançadas de segurança

Para definir configurações avançadas de segurança para seus nós, defina os campos advancedSecurity em sua especificação de classe de nó:


apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"

Aplique essa configuração:


kubectl apply -f nodeclass.yaml

Faça referência a essa classe de nó na configuração do grupo de nós. Para obter mais informações, consulte Criar um grupo de nós para o Modo Automático do EKS.

Descrições do campo

fips (booleano, opcional): quando definido como true, provisiona nós usando AMIs com módulos criptográficos validados pelo FIPS 140-2. Essa configuração seleciona AMIs compatíveis com FIPS; os clientes são responsáveis por gerenciar seus requisitos de conformidade. Para obter mais informações, consulte Conformidade com o AWS FIPS. Padrão: false.
kernelLockdown (string, opcional): controla o modo do módulo de segurança de bloqueio do kernel. Valores aceitos:
- integrity: bloqueia métodos para sobrescrever a memória do kernel ou modificar o código do kernel. Impede que módulos de kernel não assinados sejam carregados.
- none: desabilita a proteção de bloqueio do kernel.
  
  Para obter mais informações, consulte a documentação de bloqueio do kernel Linux.

Considerações

As AMIs compatíveis com FIPS estão disponíveis nas regiões AWS Leste/Oeste dos EUA, AWS GovCloud (EUA) e AWS Canadá (Central/Oeste). Para obter mais informações, consulte Conformidade com o AWS FIPS.
Ao usar kernelLockdown: "integrity", certifique-se de que suas workloads não exijam o carregamento de módulos de kernel não assinados ou a modificação da memória do kernel.

Recursos relacionados

Criar uma classe de nó para o Amazon EKS: guia completo de configuração da classe de nó
Criar um grupo de nós para o Modo Automático do EKS: configuração do grupo de nós

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Uso das zonas locais

Como funciona