Amazon EKS ですべての Kubernetes API データのエンベロープ暗号化がデフォルトで有効に
本日より、Amazon Elastic Kubernetes Service (EKS) では、Kubernetes バージョン 1.28 以降を実行している EKS クラスターのすべての Kubernetes API データに対して、デフォルトでエンベロープ暗号化が有効になります。これにより、Kubernetes アプリケーションに多層防御を実装するマネージド型のエクスペリエンスがデフォルトで利用可能になります。EKS では、Kubernetes KMS プロバイダー v2 で AWS Key Management Service (KMS) を使用することで、AWS 所有の KMS 暗号化キー、または Bring Your Own Key (BYOK) オプションにより、セキュリティがさらに強化されます。
これまで、Amazon EKS では Kubernetes KMS プロバイダー v1 でオプションのエンベロープ暗号化を提供していました。今回、これが Kubernetes API のすべてのオブジェクトにおけるデフォルト設定になりました。デフォルトでは、エンベロープ暗号化に使用されるキーは AWS が所有します。あるいは、クラスターのマネージド型 Kubernetes コントロールプレーンで使用するために、外部で生成されたキーを AWS KMS に作成またはインポートすることもできます。KMS に既存のカスタマーマネージドキー (CMK) があり、それが以前 Kubernetes Secrets のエンベロープ暗号化に使用されていた場合、そのキーがクラスターの追加の Kubernetes API データタイプのエンベロープ暗号化に使用されるようになります。
Amazon EKS のデフォルトのエンベロープ暗号化は、Kubernetes バージョン 1.28 以降を実行するすべての EKS クラスターで自動的に有効になり、お客様による操作の必要はありません。この機能は、すべての商用 AWS リージョンおよび AWS GovCloud (米国) リージョンでご利用いただけます。追加料金はかかりません。詳細については、Amazon EKS ドキュメントをご覧ください。