プロファイル適用性: レベル 1 - クラスター / コントロールプレーン
クラスターをプライベートノードで作成し、クラスターのノードにパブリックIPアドレスを無効にしてプライベートIPアドレスのみを使用することでセキュリティを強化してください。パブリックIPを持たないプライベートノードは、ノードのアクセスを内部ネットワークのみに制限し、攻撃者がKubernetesホストを侵害する前にローカルネットワークへのアクセスを必要とします。プライベートノードを効果的に実装するには、クラスターをプライベートマスターIP範囲とIPエイリアスで構成する必要があります。プライベートノードは、デフォルトでパブリックインターネットへのアウトバウンドアクセスを持っていないことに注意してください。これを可能にするために、Cloud
NATを使用するか、独自のNATゲートウェイを管理してこれらのノードにアウトバウンドインターネットアクセスを提供することができます。
影響
プライベートノードを有効にするには、クラスターをプライベートマスターIP範囲とIPエイリアスが有効になっている状態で構成する必要があります。
プライベートノードはパブリックインターネットへのアウトバウンドアクセスがありません。プライベートノードにアウトバウンドインターネットアクセスを提供したい場合は、Cloud
NATを使用するか、独自のNATゲートウェイを管理することができます。
監査
以下がenabled: trueになっていることを確認してください
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
次のがnullでないことを確認してください。
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
修復
aws eks update-cluster-config \
--region region-code \
--name my-cluster \
--resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true