張貼日期: Mar 5, 2020
您現在可以使用 AWS Key Management Service (KMS) 金鑰為 Amazon Elastic Kubernetes Service (EKS) 中儲存的 Kubernetes 密碼提供信封加密。實作信封加密被視為儲存機密資料的應用程式安全最佳實務,且是深度防禦安全策略的一部分。
Kubernetes 密碼可讓您使用 Kubernetes API 儲存和管理機密資訊,例如密碼、Docker 憑證,以及 TLS 金鑰。Kubernetes 在 etcd 內儲存所有祕密物件資料,且 Amazon EKS 所用的所有 etcd 磁碟區都會使用 AWS 受管加密金鑰在磁碟層級加密。
現在,您可以使用建立的 KMS 金鑰進一步加密 Kubernetes 密碼,或將其他系統產生的金鑰匯入到 AWS KMS,並將其與叢集搭配使用,而無需安裝或管理額外的軟體。
密碼信封加密適用於執行 Kubernetes 1.13 及以上版本的新 Amazon EKS 叢集。您可以在 KMS 中設定自己的 Customer Master Key (CMK) 並透過在建立 EKS 叢集時提供 CMK ARN 來連結此金鑰。使用 Kubernetes 密碼 API 儲存密碼時,會使用 Kubernetes 產生的資料加密金鑰將其加密,而這些金鑰又會使用連結的 AWS KMS 金鑰進一步加密。
若要開始使用,請瀏覽 Amazon EKS 文件或閱讀 AWS 容器部落格上我們的文章。