本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性
**提示**
通过 Amazon EKS 研讨会@@ [探索](https://aws-experience.com/emea/smb/events/series/get-hands-on-with-amazon-eks?trk=4a9b4147-2490-4c63-bc9f-f8a84b122c8c&sc_channel=el)最佳实践。
## 安全性与合规性
### 考虑使用 S3 和 KMS 进行符合加密标准的存储
除非您另行指定,否则默认情况下,所有 S3 存储桶都使用 [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 对静态对象进行加密。但是,您可以选择将存储桶配置为使用服务器端加密和 AWS 密钥管理服务 (AWS KMS) 密钥 (SSE-KMS)。AWS KMS 中的安全控制措施可以帮助您满足与加密相关的合规性要求。您可以利用这些 KMS 密钥来保护在 Amazon S3 存储桶中的数据。当您对 S3 存储桶使用 SSE-KMS 加密时,AWS KMS 密钥必须与存储桶位于同一区域。
将您的[通用存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingBucket.html)配置[为使用适用于 SSE-KMS 的 S3 存储桶密钥](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html#sse-kms-bucket-keys),通过减少从 Amazon S3 到 AWS KMS 的请求流量,将您的 AWS KMS 请求成本降低多达 99%。S3 存储桶密钥[始终为目录存储桶启用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-UsingKMSEncryption.html#s3-express-sse-kms-bucket-keys)`GET`和`PUT`操作,并且无法禁用。
请注意,[Amazon S3 Express One Zon](https://aws.amazon.com/s3/storage-classes/express-one-zone/) e 使用一种名为 *S3 目录存储桶的特定类型的存储桶*。目录存储桶专门用于 S3 Express One Zone 存储类别,可实现高性能、低延迟的访问。要[在 S3 目录存储桶上配置默认存储桶加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html),请使用 AWS CLI 并指定 KMS 密钥 ID 或 ARN,而不是别名,如下例所示:
**Example**
```
aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
'{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'
```
确保您的 EKS 容器的 IAM 角色具有 KMS 权限(例如`kms:Decrypt`),可以访问加密对象。在暂存环境中对此进行测试,方法是将示例模型上传到存储桶,将其安装到 pod 中(例如,通过 Mountpoint S3 CSI 驱动程序),并验证 pod 能否毫无错误地读取加密数据。通过 AWS 审核日志 CloudTrail ,以确认是否符合加密要求。有关设置详细信息和密钥管理,请参阅 [KMS 文档](https://docs.aws.amazon.com/kms/latest/developerguide/)。