Veröffentlicht am: Mar 1, 2021
Mit Amazon Elastic Kubernetes Service (EKS) können Sie jetzt die Umschlagverschlüsselung von Kubernetes-Geheimnissen mit AWS Key Management Service (KMS)-Schlüsseln für bestehende EKS-Cluster implementieren. Envelope Encryption fügt eine zusätzliche, vom Kunden verwaltete Verschlüsselungsebene für Anwendungsgeheimnisse oder Benutzerdaten hinzu, die innerhalb eines Kubernetes-Clusters gespeichert werden. Die Implementierung von Umschlagsverschlüsselung gilt als bewährte Sicherheitsmethode für Anwendungen, die sensible Daten speichern. Sie ist Teil der Defense-in-Depth-Sicherheitsstrategie.
Zuvor unterstützte Amazon EKS die Aktivierung der Umschlagverschlüsselung mit KMS-Schlüsseln nur während der Cluster-Erstellung. Jetzt können Sie die Umschlagverschlüsselung für Amazon EKS-Cluster jederzeit aktivieren.
Um loszulegen, können Sie Ihren eigenen Customer Master Key (CMK) in KMS einrichten und den Schlüssel mit Ihrem Cluster verknüpfen, indem Sie den CMK-ARN für einen neuen Cluster oder einen bestehenden Cluster, bei dem die KMS-Verschlüsselung nicht aktiviert ist, bereitstellen. Wenn Secrets über die Secrets-API von Kubernetes gespeichert werden, werden sie mit einem von Kubernetes generierten Datenverschlüsselungsschlüssel verschlüsselt. Dieser wird dann über den verknüpften AWS KMS-Schlüssel zusätzlich verschlüsselt.
Informationen zu den ersten Schritten finden Sie in der Amazon-EKS-Dokumentation oder in unserem Beitrag im Blog zu AWS-Containern.