Publicado en: Mar 1, 2021
Amazon Elastic Kubernetes Service (EKS) ahora le permite implementar el cifrado de sobre de los secretos de Kubernetes mediante claves de AWS Key Management Service (KMS) para los clústeres de EKS existentes. El cifrado de sobre agrega una capa adicional de cifrado administrada por el cliente para los secretos de la aplicación o los datos del usuario que se almacenan dentro de un clúster de Kubernetes. La implementación del cifrado de sobre se considera una práctica recomendada de seguridad para las aplicaciones que almacenan datos confidenciales y es parte de una estrategia de seguridad de defensa en profundidad.
Anteriormente, Amazon EKS admitía habilitar el cifrado de sobre con claves de KMS solo durante la creación del clúster. Ahora, puede habilitar el cifrado de sobre para los clústeres de Amazon EKS en cualquier momento.
Para comenzar, puede configurar su propia clave maestra del cliente (CMK) en KMS y vincular la clave a su clúster proporcionando el ARN de CMK para un nuevo clúster o un clúster existente donde el cifrado KMS no está habilitado. Cuando los secretos se almacenan con la API de secretos de Kubernetes, se cifran con una clave de cifrado de datos generada por Kubernetes, la cual luego se cifra aún más con la clave de AWS KMS vinculada.
Para comenzar, consulte la documentación de Amazon EKS o lea nuestra publicación en el blog sobre contenedores de AWS.