发布于: Mar 5, 2020
现在,您可以使用 AWS Key Management Service (KMS) 密钥提供 Amazon Elastic Kubernetes Service (EKS) 中存储的 Kubernetes 密钥的信封加密。实施信封加密被视为存储敏感数据的应用程序的安全最佳实践,是纵深防御安全战略的一部分。
Kubernetes 密钥可使您使用 Kubernetes API 存储和管理敏感信息,如密钥、Docker 注册表凭证和 TLS 密钥。Kubernetes 将所有的密钥对象数据都存储在 etcd 内,而 Amazon EKS 使用的所有 etcd 卷都使用 AWS 托管的加密密钥进行了磁盘级别加密。
现在,您可以使用您创建的 KMS 密钥进一步加密 Kubernetes 密钥,或将另一个系统生成的密钥导入到 AWS KMS 中并将它们用于集群,无需安装或管理其他软件。
密钥的信封加密可用于运行 Kubernetes 版本 1.13 和更高版本的新的 Amazon EKS 集群。您可以在 KMS 中设置您自己的客户主密钥 (CMK),并且可以通过在创建 EKS 集群时提供 CMK ARN 来链接此密钥。当密钥使用 Kubernetes 密钥 API 存储时,它们将被 Kubernetes 生成的数据加密密钥加密,然后,再被关联的 AWS KMS 密钥进一步加密。
要开始使用,请访问 Amazon EKS 文档或阅读我们在 AWS 容器博客上发布的博文。