Amazon EKS 中的安全性 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon EKS 中的安全性

Amazon 的云安全性的优先级最高。作为 Amazon 客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。

安全性是 Amazon 和您的共同责任。责任共担模型将其描述为云安全性和云的安全性:

  • 云的安全性 – Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础设施。对于 Amazon EKS,Amazon 负责 Kubernetes 控制层面,其中包括控制层面节点和 etcd 数据库。作为 Amazon 合规性计划的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EKS 的合规性计划,请参阅合规性计划范围内的Amazon服务

  • 云中的安全性 – 您的责任包括以下各个方面。

    • 数据层面的安全配置,包括配置安全组以允许流量从 Amazon EKS 控制层面传入客户 VPC

    • 节点和容器本身的配置

    • 节点操作系统(包括更新和安全补丁)

    • 其他关联的应用程序软件:

      • 设置和管理网络控制功能,例如防火墙规则

      • 使用 IAM 或其他服务管理平台级身份和访问管理

    • 您的数据的敏感性、您公司的要求以及适用的法律法规

此文档将帮助您了解如何在使用 Amazon EKS 时应用责任共担模式。以下主题说明如何配置 Amazon EKS 以实现您的安全性和合规性目标。您还会了解如何使用其他Amazon服务以帮助您监控和保护 Amazon EKS 资源。

注意

Linux 容器由控制组 (cgroup) 和命名空间组成,这些控制组和命名空间有助于限制容器可以访问的内容,但所有容器都与主机 Amazon EC2 实例共享相同的 Linux 内核。非常不建议以根用户 (UID 0) 身份运行容器或授予容器对主机资源或命名空间(如主机网络或主机 PID 命名空间)的访问权限,因为这样做会降低容器提供的隔离的有效性。