協助改進此頁面
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
Amazon EKS 中的安全
雲端安全是 AWS 最重視的一環。身為 AWS 客戶的您,將能從資料中心和網路架構的建置中獲益,以滿足組織最為敏感的安全要求。
安全是 AWS 與您共同的責任。共同責任模型
-
雲端本身的安全:AWS 負責保護在 AWS 雲端中執行 AWS 服務的基礎設施。在 Amazon EKS 方面,AWS 負責的是 Kubernetes 控制平面,其含括控制平面節點以及
etcd資料庫。在 AWS 合規計畫中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 Amazon EKS 的合規計劃,請參閱合規計劃範圍內的 AWS 服務 。 -
雲端內部的安全 – 您的責任包含下列領域:
-
資料平面的安全組態,包括允許流量從 Amazon EKS 控制平面傳遞至客戶 VPC 的安全群組各項組態
-
節點和容器本身的組態
-
節點的作業系統 (包括更新和安全修補程式)
-
其他相關的應用程式軟體:
-
設定及管理網路控制,例如防火牆規則
-
搭配 IAM 或另以其他方式管理平台層級身分與存取管理
-
-
資料的機密性、公司的要求,以及適用法律和法規
-
Amazon EKS 獲得多項合規計畫認證,適用於受監管及敏感型應用程式。Amazon EKS 滿足 SOC
本文件有助於您了解如何在使用 Amazon EKS 時套用共同責任模型。下列主題說明如何將 Amazon EKS 設定為符合您的安全與合規目標。您也將了解如何使用其他 AWS 服務,幫助您監控並保護 Amazon EKS 資源。
注意
Linux 容器由控制群組 (cgroup) 和命名空間組成,這些命名空間有助於限制容器可存取的內容,但是所有容器皆會與主機 Amazon EC2 執行個體共用相同的 Linux 核心。非常不建議您以根使用者身分執行容器 (UID 0),或授予容器存取主機資源或命名空間 (例如主機網路或主機 PID 命名空間),因為這樣做會降低容器所提供之隔離的有效性。
主題
