Amazon EKS 自动模式的安全注意事项 - Amazon EKS
API 安全性和身份验证网络安全EC2 托管式实例安全性自动化的资源管理安全最佳实践
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

Amazon EKS 自动模式的安全注意事项

本主题介绍了 Amazon EKS 自动模式的安全架构、控制和最佳实践。随着组织大规模部署容器化应用程序,保持良好的安全态势变得越来越复杂。EKS 自动模式实施自动化的安全控制并与 Amazon 安全服务集成,以帮助您保护集群基础设施、工作负载和数据。通过强制节点生命周期管理和自动补丁部署等内置安全功能,EKS 自动模式可帮助您在减少运营开销的同时保持遵循安全最佳实践。

在继续阅读本主题之前,请确保您熟悉 EKS 自动模式的基本概念,并已检查了在集群上启用 EKS 自动模式的先决条件。有关 Amazon EKS 安全性的一般信息,请参阅 Amazon EKS 中的安全性

Amazon EKS 自动模式以 Amazon EKS 现有的安全性为基础,同时为 EC2 托管式实例引入了额外的自动安全控制措施。

API 安全性和身份验证

Amazon EKS 自动模式使用 Amazon 平台安全机制来保护并对 Amazon EKS API 调用进行身份验证。

网络安全

Amazon EKS 自动模式支持多层网络安全性:

EC2 托管式实例安全性

Amazon EKS 自动模式使用以下安全控制措施运行 EC2 托管式实例:

EC2 安全性

  • EC2 托管式实例保持了 Amazon EC2 的安全功能。

  • 有关 EC2 托管式实例的更多信息,请参阅 Amazon EC2 中的安全性

实例生命周期管理

对于由 EKS 自动模式运行的 EC2 托管式实例,最长生命周期为 21 天。Amazon EKS 自动模式会自动终止超过此生命周期的实例。此生命周期限制有助于防止配置偏差并保持安全态势。

数据保护

  • Amazon EC2 实例存储直接挂载到实例并进行了加密。有关更多信息,请参阅 Amazon EC2 中的数据保护

  • EKS 自动模式负责管理在创建时挂载到 EC2 实例的卷,包括根卷和数据卷。EKS 自动模式并不完全管理使用 Kubernetes 持久性存储功能创建的 EBS 卷。

补丁管理

  • Amazon EKS 自动模式会自动将补丁应用于托管式实例。

  • 这些补丁包括:

    • 操作系统更新

    • 安全补丁

    • Amazon EKS 自动模式组件

注意

客户继续负责保护和更新在这些实例上运行的工作负载。

访问控制

  • 直接实例访问权限受到限制:

    • 不支持 SSH 访问。

    • 不支持 Amazon Systems Manager 会话管理器(SSM)。

  • 管理操作通过 Amazon EKS API 和 Kubernetes API 执行。

自动化的资源管理

Amazon EKS 自动模式并不完全管理使用 Kubernetes 持久性存储功能创建的 Amazon Elastic Block Store(Amazon EBS)卷。EKS 自动模式也不会管理弹性负载均衡(ELB)。Amazon EKS 自动模式可自动执行这些资源的例行任务。

存储安全性

  • Amazon 建议您为 Kubernetes 持久性存储功能预置的 EBS 卷启用加密。有关更多信息,请参阅 创建存储类

  • 使用 Amazon KMS 的静态加密

  • 您可以配置 Amazon 账户对您创建的新 EBS 卷和快照副本进行加密。有关更多信息,请参阅《Amazon EBS 用户指南》中的 Enable Amazon EBS encryption by default

  • 有关更多信息,请参阅 Security in Amazon EBS

负载均衡器安全性

  • 自动配置负载均衡器

  • 通过 Amazon Certifice Manager 集成来管理 SSL/TLS 证书

  • 通过安全组自动化实施负载均衡器访问控制

  • 有关更多信息,请参阅 Security in Elastic Load Balancing

安全最佳实践

下一部分介绍 Amazon EKS 自动模式的安全最佳实践。