Publicado en: Mar 5, 2020
Ahora puede utilizar las claves de AWS Key Management Service (KMS) para proporcionar el cifrado de sobre de los secretos de Kubernetes almacenados en Amazon Elastic Kubernetes Service (EKS). La implementación del cifrado de sobre se considera una práctica recomendada de seguridad para las aplicaciones que almacenan datos confidenciales y es parte de una estrategia de seguridad de defensa en profundidad.
Los secretos de Kubernetes le permiten almacenar y administrar información confidencial, como contraseñas, credenciales de registro de Docker y claves TLS mediante la API de Kubernetes. Kubernetes almacena todos los datos de los objetos secretos dentro del etcd, y todos los volúmenes etcd que utiliza Amazon EKS se cifran a nivel de disco con las claves de cifrado administradas por AWS.
Ahora puede cifrar más los secretos de Kubernetes con las claves de KMS que cree o puede importar las claves generadas desde otro sistema a AWS KMS y utilizarlas con el clúster, sin necesidad de instalar ni administrar software adicional.
El cifrado de sobre de los secretos está disponible para los clústeres de Amazon EKS nuevos que ejecuten la versión 1.13 de Kubernetes o versiones superiores. Puede configurar su propia Clave maestra de cliente (CMK) en KMS y vincularla proporcionando el ARN de la CMK cuando cree un clúster de EKS. Cuando los secretos se almacenan con la API de secretos de Kubernetes, se cifran con una clave de cifrado de datos generada por Kubernetes, la cual luego se cifra aún más con la clave de AWS KMS vinculada.
Para comenzar, consulte la documentación de Amazon EKS o lea nuestra publicación en el blog sobre contenedores de AWS.