Publié le: Mar 5, 2020
Vous pouvez désormais utiliser des clés de la solution AWS Key Management Service (KMS) afin de permettre le chiffrement d'enveloppe des secrets Kubernetes stockés dans la solution Amazon Elastic Kubernetes Service (EKS). L'implémentation du chiffrement d'enveloppe constitue une meilleure pratique de sécurité pour les applications hébergeant des données sensibles et correspond à une stratégie de sécurité de défense en profondeur.
Associés à l'API Kubernetes, les secrets Kubernetes vous permettent de stocker et de gérer des informations sensibles, telles que les mots de passe, les informations d'identification de registre Docker et les clés TLS. Kubernetes stocke toutes les données d'objet des secrets dans etcd et tous les volumes etcd utilisés par le service Amazon EKS sont chiffrés au niveau du disque à l'aide de clés de chiffrement gérées par AWS.
Vous pouvez désormais chiffrer davantage les secrets Kubernetes à l'aide de clés KMS que vous avez créées, ou importer des clés générées à partir d'un autre système vers AWS KMS et les utiliser au sein du cluster, sans avoir à installer ou à gérer de logiciels supplémentaires.
Le chiffrement d'enveloppe pour les secrets est disponible pour les nouveaux clusters Amazon EKS exécutant les versions 1.13 et ultérieures de Kubernetes. Vous pouvez configurer votre propre clé CMK (Customer Master Key, clé principale client) dans KMS et lier cette clé en indiquant l'ARN CMK lorsque vous créez un cluster EKS. Lorsque vous stockez des secrets à l'aide de l'API Kubernetes secrets, ceux-ci sont chiffrés avec une clé de chiffrement de données générée par Kubernetes, qui est elle-même chiffrée à l'aide de la clé AWS KMS liée.
Pour commencer, accédez à la documentation Amazon EKS ou lisez notre publication sur l'AWS Containers Blog.