Amazon EKS obsługuje teraz dodawanie szyfrowania KMS envelope do istniejących klastrów w celu zwiększenia bezpieczeństwa obiektów secret.
Usługa Amazon Elastic Kubernetes Service (EKS) umożliwia wdrażanie szyfrowania typu envelope kluczy Kubernetes przy użyciu kluczy AWS Key Management Service (KMS) dla istniejących klastrów EKS.
Szyfrowanie envelope dodaje dodatkową, zarządzaną przez klienta warstwę szyfrowania dla obiektów Secret, które są przechowywane w klastrze Kubernetes. Wdrażanie szyfrowania envelope jest uważane za dobrą praktykę w zakresie bezpieczeństwa w aplikacjach, które przechowują poufne dane oraz jest częścią strategii obrony typu defense in depth.
Wcześniej Amazon EKS obsługiwał szyfrowanie typu envelope przy użyciu kluczy KMS tylko podczas tworzenia klastra. Obecnie możesz w dowolnym momencie włączyć szyfrowanie dla klastrów Amazon EKS.
Możesz skonfigurować Customer Master Key (CMK) w KMS i połączyć ten klucz z klastrem, podając CMK ARN dla nowego klastra lub istniejącego klastra, w którym szyfrowanie KMS nie jest włączone. Gdy obiekty secret są przechowywane za pomocą Kubernetes Secrets API, są one szyfrowane za pomocą klucza szyfrowania danych wygenerowanego przez Kubernetes, który jest następnie szyfrowany za pomocą połączonego klucza AWS KMS.
Aby rozpocząć, odwiedź dokumentację Amazon EKS.
źródło: AWS