게시된 날짜: Mar 5, 2020
이제 AWS Key Management Service(KMS) 키를 사용해 Amazon Elastic Kubernetes Service(EKS)에 저장된 Kubernetes Secrets에 대해 봉투 암호화를 사용할 수 있습니다. 봉투 암호화 구현은 민감한 데이터를 저장하는 애플리케이션을 위한 보안 모범 사례이며 Defense in Depth 보안 전략의 일부입니다.
Kubernetes Secrets를 사용하면 암호, Docker 레지스트리 자격 증명 및 TLS 키와 같은 민감한 정보를 Kubernetes API를 사용해 저장 및 관리할 수 있습니다. Kubernetes는 모든 보안 비밀 객체 데이터를 etcd 내에 저장하며 Amazon EKS에서 사용하는 모든 etcd 볼륨은 AWS에서 관리하는 암호화 키를 사용하여 디스크 수준에서 암호화됩니다.
이제 추가 소프트웨어를 설치하거나 관리할 필요 없이 직접 생성한 KMS 키를 사용하여 Kubernetes Secrets를 추가로 암호화하거나 다른 시스템에서 생성한 키를 AWS KMS로 가져와 클러스터에 사용할 수 있습니다.
보안 비밀에 대한 봉투 암호화는 Kubernetes 버전 1.13 이상을 실행하는 새로운 Amazon EKS 클러스터에 사용할 수 있습니다. EKS 클러스터를 생성할 때 KMS에 자체 고객 마스터 키(CMK)를 설정하고 CMK ARN을 제공하여 이 키를 연결할 수 있습니다. 보안 비밀은 Kubernetes Secrets API를 사용하여 저장될 때 Kubernetes에서 생성한 데이터 암호화 키로 암호화된 다음, 연결된 AWS KMS 키를 사용하여 추가로 암호화됩니다.
시작하려면 Amazon EKS 설명서를 참조하거나 AWS 컨테이너 블로그의 게시물을 읽어보십시오.