Amazon EKS 中的安全性 - Amazon EKS
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EKS 中的安全性

AWS 的云安全性的优先级最高。作为 AWS 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。

安全性是 AWS 和您的共同责任。责任共担模型将其描述为云 安全性和云 的安全性:

  • 云的安全性 – AWS 负责保护在 AWS 云中运行 AWS 服务的基础设施。对于 Amazon EKS,AWS 负责 Kubernetes 控制层面,其中包括控制层面节点和 etcd 数据库。作为 AWS 合规性计划的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EKS 的合规性计划,请参阅合规性计划范围内的 AWS 服务

  • 云中的安全性 – 您的责任包括以下各个方面。

    • 数据层面的安全配置,包括配置安全组以允许流量从 Amazon EKS 控制层面传入客户 VPC

    • 节点和容器本身的配置

    • 节点的操作系统(包括更新和安全补丁)

    • 其他关联的应用程序软件:

      • 设置和管理网络控制功能,例如防火墙规则

      • 使用 IAM 或其他服务管理平台级身份和访问管理

    • 您的数据的敏感性、您公司的要求以及适用的法律法规

该文档帮助您了解如何在使用 Amazon EKS 时应用责任共担模型。以下主题说明如何配置 Amazon EKS 以实现您的安全性和合规性目标。您还将了解如何使用其他 AWS 服务来帮助您监控和保护 Amazon EKS 资源。

注意

Linux 容器由控制组 (cgroup) 和命名空间组成,它们有助于限制容器可访问的内容,但所有容器都与主机 Amazon EC2 实例共享相同的 Linux 内核。强烈建议不要以根用户 (UID 0) 身份运行容器或向容器授予对主机资源或命名空间(如主机网络或主机 PID 命名空间)的访问权限,因为这样做会降低容器提供的隔离的有效性。