Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan infrastruktur di ROSA
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, Layanan OpenShift Red Hat di AWS dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security). Untuk merancang AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) di *Pilar Keamanan — Kerangka Kerja yang Dirancang AWS dengan Baik*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses ROSA melalui AWS jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan principal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/) (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.

## Isolasi jaringan cluster
<a name="infrastructure-security-cluster-network"></a>

Insinyur keandalan situs Red Hat bertanggung jawab atas manajemen berkelanjutan dan keamanan jaringan cluster dan platform aplikasi yang mendasarinya. SREs Untuk informasi lebih lanjut tentang tanggung jawab Red Hat ROSA, lihat[Ikhtisar tanggung jawab untuk ROSA](rosa-responsibilities.md).

Saat Anda membuat klaster baru, ROSA berikan opsi untuk membuat titik akhir server API Kubernetes publik dan rute aplikasi atau titik akhir API Kubernetes pribadi dan rute aplikasi. Koneksi ini digunakan untuk berkomunikasi dengan cluster Anda (menggunakan alat OpenShift manajemen seperti ROSA CLI dan OpenShift CLI). Koneksi pribadi memungkinkan semua komunikasi antara node Anda dan server API tetap berada dalam VPC Anda. Jika Anda mengaktifkan akses pribadi ke server API dan rute aplikasi, Anda harus menggunakan VPC yang ada dan menghubungkan VPC AWS PrivateLink ke layanan backend. OpenShift 

Akses server API Kubernetes diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) dan kontrol akses berbasis peran Kubernetes (RBAC) asli. Untuk informasi selengkapnya tentang Kubernetes RBAC, lihat [Menggunakan](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) Otorisasi RBAC dalam dokumentasi Kubernetes.

 ROSA memungkinkan Anda membuat rute aplikasi aman menggunakan beberapa jenis penghentian TLS untuk melayani sertifikat kepada klien. Untuk informasi selengkapnya, lihat [Rute aman](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-routes#configuring-default-certificate) di dokumentasi Red Hat.

Jika Anda membuat ROSA klaster di VPC yang ada, Anda menentukan subnet VPC dan Availability Zones untuk digunakan cluster Anda. Anda juga menentukan rentang CIDR untuk jaringan cluster yang akan digunakan, dan mencocokkan rentang CIDR ini dengan subnet VPC. Untuk informasi lebih lanjut, lihat [definisi rentang CIDR](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/cidr-range-definitions) dalam dokumentasi Red Hat.

Untuk kluster yang menggunakan titik akhir API publik, ROSA VPC Anda harus dikonfigurasi dengan subnet publik dan pribadi untuk setiap Availability Zone yang Anda inginkan agar klaster digunakan. Untuk cluster yang menggunakan titik akhir API pribadi, hanya subnet pribadi yang diperlukan.

Jika Anda menggunakan VPC yang ada, Anda dapat mengonfigurasi ROSA cluster Anda untuk menggunakan server proxy HTTP atau HTTPS selama atau setelah pembuatan cluster untuk mengenkripsi lalu lintas web cluster, menambahkan lapisan keamanan lain untuk data Anda. Saat Anda mengaktifkan proxy, komponen cluster inti ditolak akses langsung ke internet. Proxy tidak menolak akses internet untuk beban kerja pengguna. Untuk informasi selengkapnya, lihat [Mengonfigurasi proxy di seluruh klaster](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-a-cluster-wide-proxy) dalam dokumentasi Red Hat.

## Isolasi jaringan pod
<a name="infrastructure-security-pod-network"></a>

Jika Anda adalah administrator klaster, Anda dapat menentukan kebijakan jaringan di tingkat pod yang membatasi lalu lintas ke pod di ROSA klaster Anda.