**協助改進此頁面** 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EKS 中的基礎設施安全 作為受管服務,Amazon Elastic Kubernetes Service 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及 AWS 如何保護基礎設施的相關資訊,請參閱 [AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全性的最佳實務來設計您的 AWS 環境,請參閱*安全支柱 AWS 架構良好的框架*中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。 您可使用 AWS 發佈的 API 呼叫,透過網路存取 Amazon EKS。使用者端必須支援下列專案: + Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。 + 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。 此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) 來產生暫時安全憑證,以簽署請求。 建立 Amazon EKS 叢集時,為要使用的叢集指定 VPC 子網路。Amazon EKS 需要至少兩個處於可用區域的子網路。我們建議使用具有公有和私有子網路的 VPC,以便 Kubernetes 在公有子網路中建立公有負載平衡器,以平衡在私有子網路中的節點上執行的 Pod 負載。 如需 VPC 考量的詳細資訊,請參閱 [檢視 VPC 和子網路的 Amazon EKS 聯網需求](network-reqs.md)。 如果您透過 [Amazon EKS 入門](getting-started.md)逐步解說提供的 AWS CloudFormation 範本建立 VPC 和節點群組,您的控制平面和節點安全群組將會設定為建議的設定。 如需安全群組考量的詳細資訊,請參閱 [檢視叢集的 Amazon EKS 安全群組要求](sec-group-reqs.md)。 建立新的叢集時,Amazon EKS 會為您用來與叢集通訊的受管 Kubernetes API 伺服器建立端點 (使用 Kubernetes 管理工具,例如 `kubectl`)。根據預設,此 API 伺服器端點會在網際網路上公開,而其存取則受到 AWS Identity and Access Management (IAM) 及原生 Kubernetes [角色型存取控制](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) 的共同保護。 您可啟用 Kubernetes API 伺服器的私有存取,讓節點和 API 伺服器間的所有通訊都不會離開 VPC。您可以限制可以從網際網路存取 API 伺服器的 IP 地址,或完全停用對 API 伺服器的網際網路存取。 如需修改叢集端點存取的詳細資訊,請參閱 [修改叢集端點存取](cluster-endpoint.md#modify-endpoint-access)。 您可以搭配 Amazon VPC CNI 或第三方工具 (例如 [Project Calico](https://docs.tigera.io/calico/latest/about/)) 來實作 Kubernetes *網路政策*。如需有關使用適用於網路政策的 Amazon VPC CNI 的詳細資訊,請參閱 [使用 Kubernetes 網路政策限制 Pod 流量](cni-network-policy.md)。Project Calico 是第三方開放原始碼專案。如需詳細資訊,請參閱 [Project Calico 文件](https://docs.tigera.io/calico/latest/getting-started/kubernetes/managed-public-cloud/eks/)。