Publicado: Mar 5, 2020
Agora, você pode usar chaves do AWS Key Management Service (KMS) para fornecer criptografia de envelope de segredos do Kubernetes armazenados no Amazon Elastic Kubernetes Service (EKS). A implementação da criptografia de envelope é considerada uma prática recomendada de segurança para aplicativos que armazenam dados confidenciais e faz parte de uma estratégia de segurança de defesa profunda.
Segredos do Kubernetes permitem armazenar e gerenciar informações confidenciais, como senhas, credenciais de registro do docker e chaves TLS, usando a API do Kubernetes. O Kubernetes armazena todos os dados de objetos secretos em etcd, e todos os volumes etcd usados pelo Amazon EKS são criptografados no nível do disco usando chaves de criptografia gerenciadas pela AWS.
Agora, é possível criptografar ainda mais os segredos do Kubernetes com chaves do KMS que você mesmo cria ou importar chaves geradas de outro sistema para o AWS KMS e usá-las com o cluster, sem precisar instalar ou gerenciar softwares adicionais.
A criptografia de envelope para segredos está disponível para novos clusters do Amazon EKS que executam o Kubernetes versão 1.13 e posteriores. Você pode configurar sua própria Chave mestre do cliente (CMK) no KMS e vincular essa chave fornecendo o ARN da CMK ao criar um cluster do EKS. Quando segredos são armazenados usando a API de segredos do Kubernetes, eles são criptografados com uma chave de criptografia de dados gerada pelo Kubernetes, que é posteriormente criptografada usando a chave do AWS KMS vinculada.
Para começar, acesse a documentação do Amazon EKS ou leia nossa postagem no blog de contêineres da AWS.