Amazon EKS 现在默认对所有 Kubernetes API 数据进行信封加密
即日起,Amazon Elastic Kubernetes Service (EKS) 为运行 Kubernetes 1.28 或更高版本的 EKS 集群中的所有 Kubernetes API 数据启用默认信封加密。这提供了托管的默认体验,可为您的 Kubernetes 应用程序实现深度防御。EKS 现在使用 AWS Key Management Service (KMS) 和 Kubernetes KMS 提供程序 v2,通过 AWS 自有的 KMS 加密密钥或可选的自带密钥,提供额外的安全防护。
以前,Amazon EKS 通过 Kubernetes KMS 提供程序 v1 提供可选的信封加密。现在,这是 Kubernetes API 中所有对象的默认配置。默认情况下,AWS 拥有用于信封加密的密钥。或者,您可以创建密钥或将外部生成的密钥导入到 AWS KMS,以便在集群的托管 Kubernetes 控制面板中使用。如果您在 KMS 中拥有以前用于对您的 Kubernetes 密钥进行信封加密的现有客户自主管理型密钥 (CMK),则该密钥现在将用于集群中其他 Kubernetes API 数据类型的信封加密。
对于所有运行 Kubernetes 版本 1.28 或更高版本的 EKS 集群,Amazon EKS 中的默认信封加密会自动启用,不需要客户执行任何操作。此功能现已在所有 AWS 商业区域和 AWS GovCloud(美国)区域免费推出。要了解详情,请访问 Amazon EKS 文档。