**協助改進此頁面** 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EKS 中的安全 的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構是為了滿足最安全敏感組織的需求而建置。 安全性是 AWS 與您之間的共同責任。[‬共同責任模型‭](https://aws.amazon.com/compliance/shared-responsibility-model/)‬ 將此描述為雲端*‬的‭*‬安全和雲端*‬內*‬的安全: + **雲端的安全性** – AWS 負責保護在 AWS 雲端中執行 AWS 服務的基礎設施。對於 Amazon EKS, AWS 負責 Kubernetes 控制平面,其中包含控制平面節點和`etcd`資料庫。在 [AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 Amazon EKS 的合規計劃,請參閱[合規計劃範圍內的AWS 服務](https://aws.amazon.com/compliance/services-in-scope/)。 + **雲端內部的安全** – 您的責任包含下列領域: + 資料平面的安全組態,包括允許流量從 Amazon EKS 控制平面傳遞至客戶 VPC 的安全群組各項組態 + 節點和容器本身的組態 + 節點的作業系統 (包括更新和安全修補程式) + 其他相關的應用程式軟體: + 設定及管理網路控制,例如防火牆規則 + 搭配 IAM 或另以其他方式管理平台層級身分與存取管理 + 資料的機密性、公司的要求,以及適用法律和法規 Amazon EKS 獲得多項合規計畫認證,適用於受監管及敏感型應用程式。Amazon EKS 滿足 [SOC](https://aws.amazon.com/compliance/soc-faqs/)、[PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[ISO](https://aws.amazon.com/compliance/iso-certified/)、[FedRAMP-Moderate](https://aws.amazon.com/compliance/fedramp/)、[IRAP](https://aws.amazon.com/compliance/irap/)、[C5](https://aws.amazon.com/compliance/bsi-c5/)、[K-ISMS](https://aws.amazon.com/compliance/k-isms/)、[ENS High](https://aws.amazon.com/compliance/esquema-nacional-de-seguridad/)、[OSPAR](https://aws.amazon.com/compliance/OSPAR/)、[HITRUST CSF](https://aws.amazon.com/compliance/hitrust/) 等合規要求,並且是一項符合 [HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/) 資格的服務。如需詳細資訊,請參閱[了解存取控制在 Amazon EKS 中的運作方式](cluster-auth.md)。 本文件有助於您了解如何在使用 Amazon EKS 時套用共同責任模型。下列主題說明如何將 Amazon EKS 設定為符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Amazon EKS 資源。 **注意** Linux 容器由控制群組 (cgroup) 和命名空間組成,這些命名空間有助於限制容器可存取的內容,但是所有容器皆會與主機 Amazon EC2 執行個體共用相同的 Linux 核心。非常不建議您以根使用者身分執行容器 (UID 0),或授予容器存取主機資源或命名空間 (例如主機網路或主機 PID 命名空間),因為這樣做會降低容器所提供之隔離的有效性。 **Topics** + [藉助最佳實務來保護 Amazon EKS 叢集](security-best-practices.md) + [分析 Amazon EKS 中的漏洞](configuration-vulnerability-analysis.md) + [Amazon EKS 叢集的合規性驗證](compliance.md) + [Amazon Elastic Kubernetes Service 的安全考量](security-eks.md) + [Kubernetes 的安全性考量事項](security-k8s.md) + [Amazon EKS 自動模式的安全考量](auto-security.md) + [EKS 功能的安全考量](capabilities-security.md) + [Amazon EKS 的 Identity and Access Management](security-iam.md)