이 페이지 개선에 도움 주기
이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 GitHub에서 이 페이지 편집 링크를 선택합니다.
노드에 대한 고급 보안 설정 구성
이 주제에서는 노드 클래스의 advancedSecurity 사양을 사용하여 Amazon EKS Auto Mode 노드에 대한 고급 보안 설정을 구성하는 방법을 설명합니다.
사전 조건
시작하기 전에 다음을 갖추었는지 확인하세요.
-
Amazon EKS 자동 모드 클러스터. 자세한 내용은 Amazon EKS 자율 모드에서 클러스터 생성 섹션을 참조하세요.
-
kubectl을 설치하고 구성했습니다. 자세한 내용은 Amazon EKS를 사용하도록 설정 섹션을 참조하세요. -
노드 클래스 구성에 대한 이해. 자세한 내용은 Amazon EKS용 노드 클래스 생성 섹션을 참조하세요.
고급 보안 설정 구성
노드에 대한 고급 보안 설정을 구성하려면 노드 클래스 사양에서 advancedSecurity 필드를 설정합니다.
apiVersion: eks.amazonaws.com/v1 kind: NodeClass metadata: name: security-hardened spec: role: MyNodeRole subnetSelectorTerms: - tags: Name: "private-subnet" securityGroupSelectorTerms: - tags: Name: "eks-cluster-sg" advancedSecurity: # Enable FIPS-compliant AMIs (US regions only) fips: true # Configure kernel lockdown mode kernelLockdown: "integrity"
이 구성을 적용합니다.
kubectl apply -f nodeclass.yaml
노드 풀 구성에서 이 노드 클래스를 참조합니다. 자세한 내용은 EKS Auto Mode용 노드 풀 생성 섹션을 참조하세요.
필드 설명
-
fips(부울, 선택 사항):true로 설정하면 FIPS 140-2 검증 암호화 모듈와 함께 AMI를 사용하여 노드를 프로비저닝합니다. 이 설정에서는 FIPS 준수 AMI를 선택하며, 고객은 규정 준수 요구 사항을 관리할 책임이 있습니다. 자세한 내용은 AWS FIPS compliance를 참조하세요. 기본값: false. -
kernelLockdown(문자열, 선택 사항): 커널 잠금 보안 모듈 모드를 제어합니다. 허용되는 값:-
integrity: 커널 메모리를 덮어쓰거나 커널 코드를 수정하기 위해 메서드를 차단합니다. 서명되지 않은 커널 모듈을 로드하지 않도록 합니다. -
none: 커널 잠금 보호를 비활성화합니다.자세한 내용은 Linux 커널 잠금 설명서
를 참조하세요.
-
고려 사항
-
FIPS 준수 AMI는 AWS 미국 동부/서부, AWS GovCloud(미국) 및 AWS 캐나다(중부/서부) 리전에서 사용할 수 있습니다. 자세한 내용은 AWS FIPS compliance
를 참조하세요. -
kernelLockdown: "integrity"를 사용하는 경우 워크로드에 서명되지 않은 커널 모듈의 로드나 커널 메모리 수정이 필요하지 않은지 확인합니다.
관련 리소스
-
Amazon EKS용 노드 클래스 생성 - 노드 클래스 구성 가이드 작성
-
EKS Auto Mode용 노드 풀 생성 - 노드 풀 구성
