Publié le: Mar 1, 2021
Désormais, Amazon Elastic Kubernetes Service (EKS) vous permet d’implémenter un chiffrement d’enveloppe des secrets Kubernetes à l’aide de clés AWS Key Management Service (KMS) pour les clusters EKS existants. Le chiffrement d’enveloppe ajoute une couche gérée client supplémentaire de chiffrement aux secrets d’application ou aux données des utilisateurs stockés dans un cluster Kubernetes. L'implémentation du chiffrement d'enveloppe s’avère une bonne pratique de sécurité pour les applications hébergeant des données sensibles et constitue une stratégie de sécurité de défense en profondeur.
Auparavant, Amazon EKS ne prenait en charge l’activation du chiffrement d’enveloppe à l’aide de clés KMS que lors de la création de cluster. Désormais, vous avez la possibilité de le mettre en place à tout moment pour les clusters Amazon EKS.
Pour commencer, vous pouvez configurer votre propre clé principale client CMK (Customer Master Key) dans KMS et l’associer à votre cluster en fournissant l’ARN de CMK pour un nouveau cluster, ou un cluster existant pour lequel le chiffrement d’enveloppe n’est pas activé. Lorsque vous stockez des secrets à l'aide de l'API Kubernetes secrets, ceux-ci sont chiffrés avec une clé de chiffrement des données générée par Kubernetes, qui est elle-même chiffrée à l'aide de la clé AWS KMS liée.
Pour commencer, accédez à la documentation Amazon EKS ou consulter notre article sur le blog des conteneurs AWS.