Amazon EKS теперь по умолчанию использует шифрование конвертов для всех данных API Kubernetes
С сегодняшнего дня Эластичный сервис Amazon Kubernetes (Amazon EKS) поддерживает шифрование конвертов по умолчанию для всех данных API Kubernetes в EKS-кластерах под управлением версий Kubernetes, начиная с 1.28. За счет этого вы получаете управляемый интерфейс по умолчанию для углубленной защиты всех Kubernetes-приложений. При использовании Сервиса управления ключами AWS (AWS KMS) с KMS-поставщиком Kubernetes версии 2 сервис EKS теперь обеспечивает дополнительный уровень безопасности с применением ключа шифрования KMS, принадлежащего AWS, или вашего собственного ключа.
В прошлом Amazon EKS поддерживал опциональное шифрование конвертов при помощи KMS-поставщика Kubernetes версии 1. Теперь же это реализовано в виде конфигурации по умолчанию для всех объектов в API Kubernetes. По умолчанию ключи для шифрования конвертов принадлежат AWS. Как альтернативный вариант можно создать или импортировать созданные внешними средствами ключи в AWS KMS для использования в плоскости управления Kubernetes вашего кластера. Если у вас уже есть управляемый клиентом ключ (CMK) в KMS, который ранее применялся для шифрования конвертов с секретами Kubernetes, этот же ключ теперь будет использоваться для шифрования конвертов с дополнительными типами данных API Kubernetes в вашем кластере.
Шифрование конвертов по умолчанию в Amazon EKS автоматически активируется для всех кластеров EKS под управлением Kubernetes версии 1.28 или выше и не требует никаких действий со стороны клиентов. Данная функция доступна без дополнительной платы во всех коммерческих регионах AWS и регионах AWS GovCloud (США). Подробнее см. в документации Amazon EKS.