Amazon EKS chiffre désormais par enveloppe toutes les données de l'API Kubernetes par défaut
À compter d'aujourd'hui, Amazon Elastic Kubernetes Service (EKS) active le chiffrement d'enveloppe par défaut pour toutes les données d'API Kubernetes dans les clusters EKS exécutant Kubernetes version 1.28 ou supérieure. Cela fournit une expérience gérée par défaut, qui implémente la défense en profondeur pour vos applications Kubernetes. En utilisant AWS Key Management Service (KMS) avec le fournisseur Kubernetes KMS v2, EKS fournit désormais une couche de sécurité supplémentaire avec une clé de cryptage KMS appartenant à AWS ou la possibilité d'apporter votre propre clé.
Auparavant, Amazon EKS fournissait un chiffrement d'enveloppe optionnel avec le fournisseur Kubernetes KMS v1. Il s'agit désormais d'une configuration par défaut pour tous les objets de l'API Kubernetes. Par défaut, AWS est propriétaire des clés utilisées pour le chiffrement d’enveloppe. Vous pouvez également créer ou importer des clés générées en externe dans AWS KMS pour les utiliser dans le plan de contrôle Kubernetes géré de votre cluster. Si vous disposez d'une clé gérée par le client (CMK) existante dans KMS, qui était auparavant utilisée pour chiffrer par enveloppe vos secrets Kubernetes, cette même clé sera désormais utilisée pour le chiffrement d'enveloppe des types de données supplémentaires de l'API Kubernetes dans votre cluster.
Le chiffrement d'enveloppe par défaut dans Amazon EKS est automatiquement activé pour tous les clusters EKS exécutant Kubernetes version 1.28 ou supérieure, et ne nécessite aucune action de la part des clients. Cette fonctionnalité est disponible dans toutes les régions AWS et AWS GovCloud (US) sans frais supplémentaires. Pour en savoir plus, consultez la documentation Amazon EKS.