投稿日: Mar 1, 2021
Amazon Elastic Kubernetes Service (EKS) では、既存の EKS クラスターの AWS Key Management Service (KMS) キーを使用して、Kubernetes シークレットのエンベロープ暗号化を実装できるようになりました。エンベロープ暗号化は、Kubernetes クラスター内に保存されているアプリケーションシークレットまたはユーザーデータの暗号化の顧客管理レイヤーを追加します。エンベロープ暗号化の導入は、機密情報を保持するアプリケーションに対するセキュリティのベストプラクティスというべきものです。またこれは、多層防御セキュリティ戦略の一部分を成しています。
これまでは、Amazon EKS は、クラスターの作成時にのみ KMS キーを使用したエンベロープ暗号化の有効化をサポートしていました。今後は、Amazon EKS クラスターのエンベロープ暗号化をいつでも有効にできます。
使用を開始するには、KMS で独自のカスタマーマスターキー (CMK) を設定し、新しいクラスターまたは KMS 暗号化が有効になっていない既存のクラスターに CMK ARN を提供することにより、キーをクラスターにリンクできます。Kubernetes シークレット API を使用して機密情報を保存すると、そのデータは Kubernetes が生成したデータ暗号化キーを使用して暗号化されます。その後、このデータはリンクされている AWS KMS キーによって、さらに暗号化されます。
使用を開始するには、Amazon EKS ドキュメントにアクセスするか、AWS コンテナブログの記事をお読みください。