帮助改进此页面
想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。
Amazon EKS 中的安全性
Amazon 十分重视云安全性。作为 Amazon 客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。
安全性是 Amazon 和您的共同责任。责任共担模型
-
云的安全性 – Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础设施。对于 Amazon EKS,Amazon 负责 Kubernetes 控制面板,其中包括控制面板节点和
etcd
数据库。作为 Amazon 合规性计划的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EKS 的合规性计划,请参阅合规性计划范围内的Amazon服务 。 -
云中的安全性 – 您的责任包括以下各个方面。
-
数据层面的安全配置,包括配置安全组以允许流量从 Amazon EKS 控制层面传入客户 VPC
-
节点和容器本身的配置
-
节点操作系统(包括更新和安全补丁)
-
其他关联的应用程序软件:
-
设置和管理网络控制功能,例如防火墙规则
-
使用 IAM 或其他服务管理平台级身份和访问管理
-
-
您的数据的敏感性、您公司的要求以及适用的法律法规
-
此文档将帮助您了解如何在使用 Amazon EKS 时应用责任共担模式。以下主题说明如何配置 Amazon EKS 以实现您的安全性和合规性目标。您还会了解如何使用其他Amazon服务以帮助您监控和保护 Amazon EKS 资源。
注意
Linux 容器由控制组 (cgroup) 和命名空间组成,这些控制组和命名空间有助于限制容器可以访问的内容,但所有容器都与主机 Amazon EC2 实例共享相同的 Linux 内核。非常不建议以根用户 (UID 0) 身份运行容器或授予容器对主机资源或命名空间(如主机网络或主机 PID 命名空间)的访问权限,因为这样做会降低容器提供的隔离的有效性。