Publicado: Mar 1, 2021
O Amazon Elastic Kubernetes Service (EKS) agora permite implementar a criptografia de envelopes de segredos do Kubernetes usando chaves do AWS Key Management Service (KMS) para clusters EKS existentes. A criptografia de envelopes adiciona uma camada de criptografia gerenciada pelo cliente para segredos de aplicativos ou dados do usuário armazenados em um cluster Kubernetes. A implementação da criptografia de envelopes é considerada uma prática recomendada de segurança para aplicativos que armazenam dados confidenciais e faz parte de uma estratégia de segurança de defesa profunda.
Anteriormente, o Amazon EKS oferecia suporte à opção de habilitar a criptografia de envelopes usando chaves do KMS somente durante a criação do cluster. Agora, é possível habilitar a criptografia de envelopes para clusters Amazon EKS a qualquer momento.
Para começar, você pode configurar sua própria Chave mestra do cliente (CMK) no KMS e vincular essa chave ao cluster fornecendo o ARN da CMK para um novo cluster ou um cluster existente em que a criptografia do KMS não esteja habilitada. Quando segredos são armazenados usando a API de segredos do Kubernetes, eles são criptografados com uma chave de criptografia de dados gerada pelo Kubernetes, que é posteriormente criptografada usando a chave do AWS KMS vinculada.
Para começar, acesse a documentação do Amazon EKS ou leia nossa postagem no blog de contêineres da AWS.