发布于: Mar 1, 2021
现在,Amazon Elastic Kubernetes Service (EKS) 让您可以使用 AWS Key Management Service (KMS) 密钥为现有的 EKS 集群实施 Kubernetes 密钥的信封加密。信封加密为存储在 Kubernetes 集群内的应用程序密钥或用户数据增加了一个额外的、客户托管的加密层。实施信封加密被视为存储敏感数据的应用程序的安全最佳实践,是纵深防御安全战略的一部分。
此前,Amazon EKS 仅在集群创建期间支持使用 KMS 密钥来启用信封加密。现在,您可以随时为 Amazon EKS 集群启用信封加密。
要开始使用,您可以在 KMS 中设置自己的用户主密钥 (CMK),并通过为新群集或未启用 KMS 加密的现有群集提供 CMK ARN 来将密钥链接到您的群集。当密钥使用 Kubernetes 密钥 API 存储时,它们将被 Kubernetes 生成的数据加密密钥加密,然后,再被关联的 AWS KMS 密钥进一步加密。
要开始使用,请访问 Amazon EKS 文档或阅读我们的 AWS 容器博客文章。