プロファイル適用範囲:レベル1 - クラスター/コントロールプレーン
クラスターがプライベートノードで作成され、クラスターノード上のパブリックIPアドレスが無効化され、プライベートIPアドレスのみに制限されることで、セキュリティが強化されることを確認してください。パブリックIPを持たないプライベートノードは、内部ネットワークにのみノードへのアクセスを制限するため、攻撃者はKubernetesホストを狙う前にローカルネットワークへのアクセスを取得する必要があります。プライベートノードを効果的に実装するには、クラスターはプライベートマスターIP範囲とIPエイリアシングも設定する必要があります。プライベートノードには、公共インターネットへのアウトバウンドアクセス権限が元々ありません。これを実現するには、Cloud
NATを使用するか、これらのノードに対してアウトバウンドインターネットアクセスを提供するために独自のNATゲートウェイを管理することができます。
影響
プライベートノードを有効にするには、クラスターをプライベートマスターIP範囲およびIPエイリアシングが有効な状態で構成する必要があります。
プライベートノードはパブリックインターネットへのアウトバウンドアクセスを持っていません。プライベートノードにアウトバウンドインターネットアクセスを提供したい場合は、Cloud
NATを使用するか、独自のNATゲートウェイを管理することができます。
監査
次の項目がenabled: trueになっていることを確認してください
export CLUSTER_NAME=<your cluster name> aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
以下を確認してください: null ではないこと
export CLUSTER_NAME=<your cluster name> aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
修復
\ aws\ eks\ update-cluster-config\ \ --region\ region-code\ \ --name\ my-cluster\ \ --resources-vpc-config\ endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true\