Amazon EKS 自動模式的安全考量 - Amazon EKS
API 安全性和驗證網路安全EC2 受管執行個體安全性自動化資源管理安全最佳實務

協助改進此頁面

若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

Amazon EKS 自動模式的安全考量

本主題描述 Amazon EKS 自動模式的安全架構、控制項和最佳實務。隨著組織大規模部署容器化應用程式,維護強大的安全狀態變得日益複雜。EKS 自動模式實作自動化安全控制項,並與 AWS 安全服務整合,以協助您保護叢集基礎結構、工作負載和資料。透過內建的安全功能,例如強制執行的節點生命週期管理和自動化修補程式部署,EKS 自動模式協助您維持安全最佳實務,同時減少營運開銷。

在繼續本主題之前,請確定您已熟悉基本的 EKS 自動模式概念,並已檢閱在叢集上啟用 EKS 自動模式的先決條件。有關 Amazon EKS 安全性的常規資訊,請參閱 Amazon EKS 中的安全

Amazon EKS 自動模式建立在 Amazon EKS 現有安全基礎之上,同時為 EC2 受管執行個體引入了額外的自動化安全控制項。

API 安全性和驗證

Amazon EKS 自動模式使用 AWS 平台安全機制來保護 Amazon EKS API 的呼叫並進行驗證。

網路安全

Amazon EKS 自動模式支援多層網路安全:

EC2 受管執行個體安全性

Amazon EKS 自動模式透過以下安全控制項來操作 EC2 受管執行個體:

EC2 安全性

  • EC2 受管執行個體維持 Amazon EC2 的安全功能。

  • 有關 EC2 受管執行個體的更多資訊,請參閱 Amazon EC2 中的安全性

執行個體生命週期管理

由 EKS 自動模式操作的 EC2 受管執行個體的生命週期上限為 21 天。Amazon EKS 自動模式會自動終止超過此生命週期的執行個體。此生命週期限制有助於防止組態偏離,並維持安全狀態。

資料保護

  • Amazon EC2 執行個體儲存體已加密,屬於直接連接到執行個體的儲存體。如需詳細資訊,請參閱 Amazon EC2 中的資料保護

  • EKS 自動模式在建立時管理連接到 EC2 執行個體的磁碟區,包括根磁碟區和資料磁碟區。EKS 自動模式不會全權管理使用 Kubernetes 持久性儲存功能建立的 EBS 磁碟區。

修補管理

  • Amazon EKS 自動模式會自動將修補程式套用至受管執行個體。

  • 修補程式包括:

    • 作業系統更新

    • 安全性修補程式

    • Amazon EKS 自動模式元件

注意

客戶仍負責保護與更新在這些執行個體上執行的工作負載。

存取控制

  • 對執行個體的直接存取受到限制:

    • 無法使用 SSH 存取。

    • 無法使用 AWS Systems Manager Session Manager (SSM) 存取。

  • 管理操作透過 Amazon EKS API 與 Kubernetes API 執行。

自動化資源管理

Amazon EKS 自動模式不會全權管理透過 Kubernetes 持久儲存功能建立的 Amazon Elastic Block Store (Amazon EBS) 磁碟區。EKS 自動模式也不會管理彈性負載平衡器 (ELB)。Amazon EKS 自動模式會為這些資源自動執行常規任務。

儲存體安全性

  • AWS 建議您為透過 Kubernetes 持久性儲存功能佈建的 EBS 磁碟區啟用加密。如需詳細資訊,請參閱 建立儲存類別

  • 使用 AWS KMS 進行靜態加密

  • 您可以設定 AWS 帳戶強制加密您建立的新 EBS 磁碟區和快照複本。如需詳細資訊,請參閱《Amazon EBS 使用者指南》中的依預設啟用 Amazon EBS 加密

  • 如需詳細資訊,請參閱 Amazon EBS 中的安全性

負載平衡器安全性

  • Elastic Load Balancer 的自動化組態

  • 透過 AWS Certificate Manager 整合來進行 SSL/TLS 憑證管理

  • 用於負載平衡器存取控制的安全群組自動化

  • 如需詳細資訊,請參閱 Elastic Load Balancing 中的安全性

安全最佳實務

下列章節描述 Amazon EKS 自動模式的安全最佳實務。