**帮助改进此页面** 

要帮助改进本用户指南，请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。

# 为节点配置高级安全设置
<a name="auto-advanced-security"></a>

本主题介绍如何使用节点类中指定的 `advancedSecurity` 规范来为 Amazon EKS 自动模式节点配置高级安全设置。

## 先决条件
<a name="_prerequisites"></a>

在开始之前，请确保您满足以下条件：
+ Amazon EKS 自动模式集群。有关更多信息，请参阅 [创建启用 Amazon EKS 自动模式的集群](create-auto.md)。
+  安装并配置了 `kubectl`。有关更多信息，请参阅 [进行设置以使用 Amazon EKS](setting-up.md)。
+ 了解节点类配置。有关更多信息，请参阅 [为 Amazon EKS 创建节点类](create-node-class.md)。

## 配置高级安全设置
<a name="_configure_advanced_security_settings"></a>

要为节点配置高级安全设置，请设置节点类规范中的 `advancedSecurity` 字段：

```
apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: security-hardened
spec:
  role: MyNodeRole

  subnetSelectorTerms:
    - tags:
        Name: "private-subnet"

  securityGroupSelectorTerms:
    - tags:
        Name: "eks-cluster-sg"

  advancedSecurity:
    # Enable FIPS-compliant AMIs (US regions only)
    fips: true

    # Configure kernel lockdown mode
    kernelLockdown: "integrity"
```

应用此配置：

```
kubectl apply -f nodeclass.yaml
```

在节点池配置中引用此节点类。有关更多信息，请参阅 [为 EKS 自动模式创建节点池](create-node-pool.md)。

## 字段描述
<a name="_field_descriptions"></a>
+  `fips`（布尔值，可选）：设置为 `true` 时，使用具有 FIPS 140-2 验证的加密模块的 AMI 预置节点。此设置选择符合 FIPS 的 AMI；客户需负责管理其相关的合规性要求。有关更多信息，请参阅 [AWS FIPS 合规性](https://aws.amazon.com/compliance/fips/)。默认值：`false`。
+  `kernelLockdown`（字符串，可选）：控制内核锁定安全模块模式。接受的值：
  +  `integrity`：阻止用于覆盖内核内存或修改内核代码的方法。防止加载未签名的内核模块。
  +  `none`：禁用内核锁定保护。

    有关更多信息，请参阅 [Linux 内核锁定文档](https://man7.org/linux/man-pages/man7/kernel_lockdown.7.html)。

## 注意事项
<a name="_considerations"></a>
+ 符合 FIPS 的 AMI 在 AWS 美国东部/西部、AWS GovCloud（美国）和 AWS 加拿大（中部/西部）区域可用。有关更多信息，请参阅 [AWS FIPS 合规性](https://aws.amazon.com/compliance/fips/)。
+ 使用 `kernelLockdown: "integrity"` 时，请确保您的工作负载不需要加载未签名的内核模块或修改内核内存。

## 相关资源
<a name="_related_resources"></a>
+  [为 Amazon EKS 创建节点类](create-node-class.md)：完整的节点类配置指南
+  [为 EKS 自动模式创建节点池](create-node-pool.md)：节点池配置