5.4.1 - Zugriff auf den Steuerungsebene-Endpunkt einschränken (automatisiert)

Profilanwendbarkeit: Stufe 1 - Cluster / Steuerungsebene

Aktivieren Sie den privaten Endpunktzugriff, um den Zugriff auf die Steuerungsebene Ihres Clusters auf eine Liste autorisierter IP-Adressen zu beschränken. Diese Maßnahme legt einen eingeschränkten Bereich von IP-Adressen fest, die Zugriff auf die Steuerungsebene Ihres Clusters haben dürfen, was in Kombination mit Transport Layer Security (TLS) und Authentifizierung den Zugriff aus dem öffentlichen Internet sichert. Obwohl die Kubernetes Engine die Möglichkeit bietet, Ihren Cluster von überall aus zu verwalten, können Sie den Zugriff weiter auf bestimmte IP-Adressen unter Ihrer Kontrolle beschränken. Autorisierte Netzwerke erhöhen die Sicherheit, indem sie Ihren Cluster vor potenziellen Angriffen von außen schützen, indem sie den externen Zugriff auf festgelegte Adressen beschränken, und vor Bedrohungen von innen, indem sie den Zugriff verhindern, selbst wenn Master-Zertifikate versehentlich außerhalb Ihrer Organisation geleakt werden. Beim Einrichten des privaten Endpunktzugriffs muss darauf geachtet werden, alle erforderlichen IP-Adressen in die autorisierte Liste aufzunehmen, um unbeabsichtigtes Blockieren legitimen Zugriffs auf die Steuerungsebene des Clusters zu vermeiden.

    export CLUSTER_NAME=<your cluster name>
    aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPublicAccess"
    aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
   

    export CLUSTER_NAME=<your cluster name>
    aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
   

    aws eks update-cluster-config --region $AWS_REGION --name $CLUSTER_NAME --resources-vpc-config endpointPrivateAccess=true, endpointPublicAccess=true, publicAccessCidrs="203.0.113.5/32"