**帮助改进此页面** 要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。 # Amazon EKS 中的安全性 AWS 十分重视云安全性。作为 AWS 客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。 安全性是 AWS 和您的共同责任。[责任共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性: + **云的安全性** – AWS 负责保护在 AWS 云中运行 AWS 服务的基础设施。对于 Amazon EKS,AWS 负责 Kubernetes 控制层面,其中包括控制层面节点和 `etcd` 数据库。作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EKS 的合规性计划,请参阅[合规性计划范围内的AWS服务](https://aws.amazon.com/compliance/services-in-scope/)。 + **云中的安全性** – 您的责任包括以下各个方面。 + 数据层面的安全配置,包括配置安全组以允许流量从 Amazon EKS 控制层面传入客户 VPC + 节点和容器本身的配置 + 节点操作系统(包括更新和安全补丁) + 其他关联的应用程序软件: + 设置和管理网络控制功能,例如防火墙规则 + 使用 IAM 或其他服务管理平台级身份和访问管理 + 您的数据的敏感性、您公司的要求以及适用的法律法规 Amazon EKS 已通过有关受监管和敏感应用程序的多个合规计划认证。Amazon EKS 符合 [SOC](https://aws.amazon.com/compliance/soc-faqs/)、[PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[ISO](https://aws.amazon.com/compliance/iso-certified/)、[FedRAMP-Moderate](https://aws.amazon.com/compliance/fedramp/)、[IRAP](https://aws.amazon.com/compliance/irap/)、[C5](https://aws.amazon.com/compliance/bsi-c5/)、[K-ISMS](https://aws.amazon.com/compliance/k-isms/)、[ENS High](https://aws.amazon.com/compliance/esquema-nacional-de-seguridad/)、[OSPAR](https://aws.amazon.com/compliance/OSPAR/)、[HITRUST CSF](https://aws.amazon.com/compliance/hitrust/) 标准,并且是一项符合 [HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/) 要求的服务。有关更多信息,请参阅 [了解 Amazon EKS 中的访问控制工作原理](cluster-auth.md)。 此文档将帮助您了解如何在使用 Amazon EKS 时应用责任共担模式。以下主题说明如何配置 Amazon EKS 以实现您的安全性和合规性目标。您还会了解如何使用其他AWS服务以帮助您监控和保护 Amazon EKS 资源。 **注意** Linux 容器由控制组 (cgroup) 和命名空间组成,这些控制组和命名空间有助于限制容器可以访问的内容,但所有容器都与主机 Amazon EC2 实例共享相同的 Linux 内核。非常不建议以根用户 (UID 0) 身份运行容器或授予容器对主机资源或命名空间(如主机网络或主机 PID 命名空间)的访问权限,因为这样做会降低容器提供的隔离的有效性。 **Topics** + [使用最佳实践保护 Amazon EKS 集群](security-best-practices.md) + [分析 Amazon EKS 中的漏洞](configuration-vulnerability-analysis.md) + [Amazon EKS 集群的合规性验证](compliance.md) + [Amazon Elastic Kubernetes Service 的安全注意事项](security-eks.md) + [Kubernetes 的安全注意事项](security-k8s.md) + [Amazon EKS 自动模式的安全注意事项](auto-security.md) + [EKS 功能的安全注意事项](capabilities-security.md) + [适用于 Amazon EKS 的身份和访问管理](security-iam.md)