Amazon EKS 中的安全 - Amazon EKS
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EKS 中的安全

Amazon 的云安全性的优先级最高。作为 Amazon 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。

安全性是 Amazon 和您的共同责任。责任共担模型将其描述为云安全性和云的安全性:

  • 云的安全性 – Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础设施。对于 Amazon EKS,Amazon负责 Kubernetes 控制层面,其中包括控制层面节点和etcd数据库。作为 Amazon 合规性计划的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon EKS 的合规性计划,请参阅Amazon合规性计划范围内的服务范围

  • 云中的安全性— 您的责任包括以下各个方面。

    • 数据层面的安全配置,包括配置安全组以允许流量从 Amazon EKS 控制层面传入客户 VPC

    • 节点和容器本身的配置

    • 节点的操作系统(包括更新和安全补丁)

    • 其他关联的应用程序软件:

      • 设置和管理网络控制功能,例如防火墙规则

      • 使用 IAM 或其他 IAM 管理平台级身份和访问管理

    • 您的数据的敏感性、您公司的要求以及适用的法律法规

此文档将帮助您了解如何在使用 Amazon EKS 时应用责任共担模式。以下主题说明如何配置 Amazon EKS 以实现您的安全性和合规性目标。您还将了解如何使用其他Amazon服务,可帮助您监控 Amazon EKS 资源并保护您的 Amazon EKS 资源。

注意

Linux 容器由控制组 (cgroup) 和命名空间组成,这些控制组有助于限制容器可以访问的内容,但所有容器都与主机 Amazon EC2 实例共享相同的 Linux 内核。强烈建议以 root 用户 (UID 0) 身份运行容器或授予容器对主机资源或命名空间(如主机网络或主机 PID 命名空间)的访问权限,因为这样做会降低容器提供的隔离的有效性。