Amazon EKS 現在預設會對所有 Kubernetes API 資料進行封套加密
即日起,Amazon Elastic Kubernetes Service (EKS) 會為執行 Kubernetes 1.28 或更高版本之 EKS 叢集中的所有 Kubernetes API 資料啟用預設封套加密。這項作法可提供受管的預設體驗,為您的 Kubernetes 應用程式實作深度防禦機制。EKS 現在會將 AWS Key Management Service (KMS) 與 Kubernetes KMS 提供者 v2 搭配使用,透過 AWS 擁有的 KMS 加密金鑰或自備金鑰選項,提供額外的安全層級。
先前,Amazon EKS 會透過 Kubernetes KMS 提供者 v1 提供選用的封套加密功能。現在,此功能會成為 Kubernetes API 中所有物件的預設組態。系統預設會針對封套加密使用 AWS 擁有的金鑰。您也可以建立金鑰,或將外部產生的金鑰匯入至 AWS KMS,以便在叢集的受管 Kubernetes 控制平面中使用。如果您在 KMS 中有一個先前用於對 Kubernetes 密碼進行封套加密的現有客戶自管金鑰 (CMK),則叢集中其他 Kubernetes API 資料類型的封套加密作業現在將使用此相同金鑰。
系統會針對所有執行 Kubernetes 1.28 版或更高版本的 EKS 叢集,自動啟用 Amazon EKS 中的預設封套加密功能,而且不需要客戶採取任何動作。這項功能適用於所有商業 AWS 區域和 AWS GovCloud (美國) 區域,無須額外費用。若要進一步了解,請瀏覽 Amazon EKS 文件。