Veröffentlicht am: Mar 5, 2020
Über AWS KMS-Schlüssel (Key Management Service) können Sie jetzt Umschlagsverschlüsselung für Kubernetes Secrets verwenden, die in Amazon Elastic Kubernetes Service (EKS) gespeichert sind. Die Implementierung von Umschlagsverschlüsselung gilt als bewährte Sicherheitsmethode für Anwendungen, die sensible Daten speichern. Sie ist Teil der Defense-in-Depth-Sicherheitsstrategie.
Mit Kubernetes Secrets können Sie sensible Daten speichern und verwalten. Dazu zählen Passwörter, Anmeldedaten für Docker Registry und TLS-Schlüssel, die Kubernetes API verwenden. Kubernetes speichert alle geheimen Objektdaten innerhalb von etcd und alle von Amazon EKS verwendeten etcd-Volumes werden auf der Laufwerksebene mit von AWS verwalteten Verschlüsselungsschlüsseln verschlüsselt.
Jetzt können Sie Kubernetes Secrets mit KMS-Schlüsseln, die Sie erstellen, noch weiter verschlüsseln oder Sie importieren Schlüssel aus einem anderen System in AWS KMS und verwenden diese mit dem Cluster. Dazu müssen Sie keine zusätzliche Software installieren oder verwalten.
Umschlagsverschlüsselung für Secrets ist für neue Amazon EKS-Cluster mit der Kubernetes-Version 1.13 und höher verfügbar. Sie können Ihren eigenen Customer Master Key (CMK) in KMS einrichten und diesen verknüpfen, indem Sie beim Erstellen eines EKS-Clusters den CMK-ARN angeben. Wenn Secrets über die Secrets-API von Kubernetes gespeichert werden, werden sie mit einem von Kubernetes generierten Datenverschlüsselungsschlüssel verschlüsselt. Dieser wird dann über den verknüpften AWS KMS-Schlüssel zusätzlich verschlüsselt.
Um loszulegen, rufen Sie die Amazon EKS-Dokumentation auf oder lesen Sie unseren Beitrag im Blog zu AWS-Containern.