Amazon EKS agora tem faz criptografia envelopada de todos os dados da API do Kubernetes por padrão
A partir de hoje, o Amazon Elastic Kubernetes Service (EKS) habilita a criptografia envelopada padrão para todos os dados da API do Kubernetes em clusters do EKS que executam o Kubernetes versão 1.28 ou superior. Isso fornece uma experiência padrão gerenciada que implementa uma defesa profunda para suas aplicações do Kubernetes. Usando o AWS Key Management Service (KMS) com o provedor Kubernetes KMS v2, o EKS agora fornece uma camada adicional de segurança com uma chave de criptografia do KMS de propriedade da AWS ou a opção de trazer sua própria chave.
Anteriormente, o Amazon EKS fornecia criptografia envelopada opcional com o provedor Kubernetes KMS v1. Agora, essa é uma configuração padrão para todos os objetos na API do Kubernetes. Por padrão, a AWS é proprietária das chaves usadas para criptografia envelopada. Como alternativa, você pode criar ou importar chaves geradas externamente para o AWS KMS para uso no ambiente de gerenciamento do Kubernetes gerenciado do seu cluster. Se você tiver uma chave gerenciada pelo cliente (CMK) existente no KMS que antes era usada para criptografar seus segredos do Kubernetes, essa mesma chave agora será usada para a criptografia envelopada dos tipos de dados adicionais da API do Kubernetes no seu cluster.
A criptografia envelopada padrão no Amazon EKS é habilitada automaticamente para todos os clusters do EKS que executam o Kubernetes versão 1.28 ou superior e não exige nenhuma ação dos clientes. Esse atributo está disponível gratuitamente em todas as regiões comerciais da AWS e nas regiões AWS GovCloud (EUA). Para saber mais, acesse a documentação do Amazon EKS.