使用 Bottlerocket 满足合规性要求 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

使用 Bottlerocket 满足合规性要求

Bottlerocket 符合多个组织制定的建议:

  • 相关人士定义了适用于 Bottlerocket 的 CIS 基准。在默认配置中,Bottlerocket 映像具有 CIS 1 级配置配置文件所要求的大部分控件。您可以实现 CIS 2 级配置配置文件所要求的控制。有关更多信息,请参阅 Amazon 博客上的根据 CIS 基准验证 Amazon EKS 优化版 Bottlerocket AMI

  • 经优化的功能集和更小的攻击面意味着 Bottlerocket 实例只需更少的配置便可满足 PCI DSS 要求。适用于 Bottlerocket 的 CIS 基准是固化指南的理想资源,可支持您达到要求,实现符合 PCI DSS 要求 2.2 规定的安全配置标准。您还可以利用 Fluent Bit 来支持您满足要求,实现符合 PCI DSS 要求 10.2 规定的操作系统级别审核日志记录。Amazon 会定期发布新的(经修补的)Bottlerocket 实例,帮助您满足 PCI DSS 要求 6.2(适用于 v3.2.1)和要求 6.3.3(适用于 v4.0)。

  • Bottlerocket 是一项符合 HIPAA 要求的功能,已获授权用于 Amazon EC2 和 Amazon EKS 的受监管工作负载。有关更多信息,请参阅 Amazon EKS 上的 HIPAA 安全性和合规性架构设计白皮书。

  • 预配置为使用经过 FIPS 140-3 验证的加密模块的 Bottlerocket AMI 已可供使用。这包括 Amazon Linux 2023 内核加密 API 加密模块和 Amazon-LC 加密模块。有关选择启用 FIPS 的变体的更多信息,请参阅检索建议的 Bottlerocket AMI ID