**Ajudar a melhorar esta página** Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página. # Segurança da infraestrutura no Amazon EKS Como um serviço gerenciado, o Amazon Elastic Kubernetes Service é protegido pela segurança de rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte [Segurança na Nuvem AWS](https://aws.amazon.com/security/). Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte [Proteção de Infraestrutura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) em *Pilar de Segurança: AWS Estrutura bem arquitetada*. Você usa chamadas à API publicadas pela AWS para acessar o Amazon EKS por meio da rede. Os clientes devem oferecer compatibilidade com: + Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3. + Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos. Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou você pode usar o [serviço de token de segurança da AWS (AWS STS)](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) para gerar credenciais de segurança temporárias para assinar solicitações. Ao criar um cluster do Amazon EKS, você especifica as sub-redes da VPC para uso do cluster. O Amazon EKS exige sub-redes em, pelo menos, duas zonas de disponibilidade. Recomendamos uma VPC com sub-redes públicas e privadas a fim de que o Kubernetes possa criar balanceadores de carga públicos nas sub-redes públicas que fazem o balanceamento de carga do tráfego para pods em execução nos nós localizados em sub-redes privadas. Para obter mais informações sobre as considerações da VPC, consulte [Exibir os requisitos de rede do Amazon EKS para VPC e sub-redes](network-reqs.md). Se você criar os grupos de nós e VPCs com os modelos do AWS CloudFormation fornecidos no passo a passo Introdução ao [Amazon EKS](getting-started.md), os grupos de segurança do ambiente de gerenciamento e dos nós serão configurados com nossas definições recomendadas. Para obter mais informações sobre considerações de grupos de segurança, consulte [Exibir os requisitos para grupos de segurança do Amazon EKS em clusters](sec-group-reqs.md). Quando você cria um cluster, o Amazon EKS cria um endpoint para o servidor gerenciado de API do Kubernetes usado para se comunicar com o cluster (usando as ferramentas de gerenciamento do Kubernetes, como `kubectl`). Por padrão, esse endpoint do servidor de API é público para a internet, e o acesso ao servidor de API é protegido usando uma combinação do AWS Identity and Access Management (IAM) e do [Role Based Access Control](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) nativo do Kubernetes. Você pode habilitar o acesso privado ao servidor de API do Kubernetes para que todas as comunicações entre os nós e o servidor de API fiquem na VPC. Você pode limitar os endereços IP que podem acessar o servidor de API pela Internet ou desativar completamente o acesso à Internet para o servidor de API. Para obter mais informações sobre como modificar o acesso do endpoint do cluster, consulte [Modificar o acesso ao endpoint do cluster](cluster-endpoint.md#modify-endpoint-access): Você pode implementar *políticas de rede* do Kubernetes com a CNI da Amazon VPC ou com ferramentas de terceiros, como o [Project Calico](https://docs.tigera.io/calico/latest/about/). Para obter mais informações sobre o uso do Amazon VPC CNI para políticas de rede, consulte [Limitar o tráfego do pod com políticas de rede do Kubernetes](cni-network-policy.md). O Project Calico é um projeto de código-fonte aberto de terceiros. Para obter mais informações, consulte a [documentação do Project Calico](https://docs.tigera.io/calico/latest/getting-started/kubernetes/managed-public-cloud/eks/).