Inserito il: Mar 5, 2020
Ora puoi utilizzare le chiavi di AWS Key Management Service (KMS) per fornire la crittografia di tipo envelope di Kubernetes Secrets archiviata in Amazon Elastic Kubernetes Service (EKS). L’implementazione della crittografia di tipo envelope è considerata una best practice di sicurezza per le applicazioni che archiviano dati sensibili ed è una parte della strategia di sicurezza della difesa in profondità.
Kubernetes Secrets ti consente di archiviare e gestire informazioni sensibili, come password, credenziali di registri docker e chiavi TLS, tramite le API Kubernetes. Kubernetes archivia tutti gli object-data segreti all’interno di etcd e tutti i volumi etcd utilizzati da Amazon EKS sono crittografati a livello disco tramite le chiavi di crittografia gestite da AWS.
Ora puoi crittografare ulteriormente Kubernetes Secrets con le chiavi KMS che hai creato o importare chiavi generate da un altro sistema all’interno di AWS KMS e utilizzarle tramite il cluster, senza bisogno di installare o gestire software aggiuntivo.
La crittografia di tipo envelope per Secrets è disponibile per i nuovi cluster Amazon EKS che eseguono Kubernetes versione 1.13 e superiori. Ora puoi configurare il tuo Customer Master Key (CMK) in KMSe collegare questa chiave fornendo il CMK ARN quando crei un cluster EKS. Quando i Secrets sono archiviati tramite l'API Kubernetes Secrets, vengono crittografati con una chiave di crittografia dei dati generata da Kubernetes, che è a sua volta ulteriormente crittografata tramite la chiave associata di AWS KMS.
Per iniziare, consulta la documentazione di Amazon EKS o leggi il nostro post sul blog AWS containers.