Comment verrouiller l'accès API pour des adresses IP spécifiques de mon cluster Amazon EKS ?

Dernière mise à jour : 05/08/2022

Je souhaite verrouiller l'accès API pour des adresses IP spécifiques de mon cluster Amazon Elastic Kubernetes Service (Amazon EKS).

Courte description

Vous pouvez verrouiller l'accès à deux types de points de terminaison d'accès au serveur API Amazon EKS :

  • Points de terminaison à accès public : l'accès au serveur API est ouvert au public par défaut. Vous pouvez verrouiller l'accès pour des blocs d'adresse CIDR spécifiques et pour des adresses IP spécifiques.
  • Points de terminaison à accès privé : le serveur API est accessible uniquement à partir d'un Amazon Virtual Private Cloud (Amazon VPC). Vous pouvez encore verrouiller l'accès à des blocs d'adresse CIDR VPC spécifiques via les groupes de sécurité du cluster.

Solution

Verrouiller les points de terminaison en accès public de l'API

  1. Ouvrez la console Amazon EKS.
  2. Dans le volet de navigation, sélectionnez Clusters, puis votre cluster.
  3. Dans la section Réseau, choisissez Mettre à jour.
  4. Développez Paramètres avancés.
    Remarque : les options Paramètres avancés s'affichent uniquement lorsque vous activez l'accès public.
  5. Entrez un bloc d'adresse CIDR à partir duquel vous souhaitez autoriser l'accès.
    Remarque : par exemple, vous pouvez résumer une plage d'adresses IP de 54.240.193.129 à 54.240.193.190 en 54.240.193.129/26. Vous pouvez former une seule adresse IP avec une notation /32 (par exemple, 54.240.193.130/32). Ces blocs d'adresse CIDR ne peuvent pas inclure d'adresses réservées.
  6. (Facultatif) Pour saisir des blocs supplémentaires, choisissez Add Source.
  7. Choisissez Mettre à jour.

Tenez compte des points suivants :

  • Si vous ne spécifiez aucun bloc d'adresse CIDR, le point de terminaison du serveur API public reçoit les demandes de toutes les adresses IP (0.0.0.0/0).
  • Il est recommandé d’activer l'accès au point de terminaison privé afin que les composants masters et les pods AWS Fargate (s'ils sont utilisés) puissent communiquer avec le cluster via le point de terminaison privé.
  • Si le point de terminaison privé n'est pas activé, les sources CIDR de votre point de terminaison d'accès public doivent inclure les sources de sortie de votre Amazon VPC. Par exemple, si vous avez un composant master dans un sous-réseau privé qui communique avec Internet via une passerelle NAT, vous devez ajouter l'adresse IP sortante de la passerelle NAT dans un bloc d'adresse CIDR autorisé sur votre point de terminaison public.

Verrouiller les points de terminaison d'accès privés d'API

  1. Ouvrez la console Amazon EKS.
  2. Dans le volet de navigation, sélectionnez Clusters, puis votre cluster.
  3. Dans la section Mise en réseau, notez le nom du groupe de sécurité du cluster et tous les groupes de sécurité supplémentaires.
  4. Ajoutez des règles de trafic entrant à l'un des groupes de sécurité que vous avez notés à l'étape 3.
    Remarque : pour votre règle d'entrée, définissez TCP comme le protocole et définissez 443 comme le port et l’adresse IP source à partir desquels vous autorisez l'accès.

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?