本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全
**提示**
透過 Amazon EKS 研討會[探索](https://aws-experience.com/emea/smb/events/series/get-hands-on-with-amazon-eks?trk=4a9b4147-2490-4c63-bc9f-f8a84b122c8c&sc_channel=el)最佳實務。
## 安全與合規
### 考慮使用 KMS 的 S3 進行加密合規儲存
除非您另有指定,否則所有 S3 儲存貯體預設都會使用 [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 來加密靜態物件。不過,您可以選擇設定儲存貯體,改為使用伺服器端加密搭配 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS)。AWS KMS 中的安全控制可以協助您符合加密相關合規要求。您可以使用這些 KMS 金鑰來保護 Amazon S3 儲存貯體中的資料。當您搭配 S3 儲存貯體使用 SSE-KMS 加密時,AWS KMS 金鑰必須與儲存貯體位於相同的區域。
將[一般用途儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingBucket.html)體設定為使用 [S3-KMS 的 S3 儲存貯體金鑰](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html#sse-kms-bucket-keys),透過減少從 Amazon S3 到 AWS KMS 的請求流量,將 AWS KMS 請求成本降低高達 99%。目錄儲存貯體中的 `GET`和 `PUT`操作[一律會啟用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-UsingKMSEncryption.html#s3-express-sse-kms-bucket-keys) S3 儲存貯體金鑰,且無法停用。
請注意,[Amazon S3 Express One Zone ](https://aws.amazon.com/s3/storage-classes/express-one-zone/)使用稱為 *S3 目錄儲存貯體的特定儲存貯體*類型。目錄儲存貯體僅適用於 S3 Express One Zone 儲存類別,並啟用高效能、低延遲的存取。若要[在 S3 目錄儲存貯體上設定預設儲存貯體加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html),請使用 AWS CLI,並指定 KMS 金鑰 ID 或 ARN,而非別名,如下列範例所示:
**Example**
```
aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
'{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'
```
確保您的 EKS Pod 的 IAM 角色具有存取加密物件的 KMS 許可 (例如 `kms:Decrypt`)。在預備環境中進行測試,方法是將範例模型上傳到儲存貯體、將其掛載到 Pod 中 (例如,透過掛載點 S3 CSI 驅動程式),並確認 Pod 可以讀取加密的資料而不會發生錯誤。透過 AWS CloudTrail 稽核日誌,以確認是否符合加密要求。如需設定詳細資訊和金鑰管理,請參閱 [KMS 文件](https://docs.aws.amazon.com/kms/latest/developerguide/)。