プロファイル適用範囲:レベル1 - クラスター/コントロールプレーン
クラスターがプライベートノードで作成され、クラスターノード上のパブリックIPアドレスが無効化され、プライベートIPアドレスのみに制限されることで、セキュリティが強化されることを確認してください。パブリックIPを持たないプライベートノードは、内部ネットワークにのみノードへのアクセスを制限するため、攻撃者はKubernetesホストを狙う前にローカルネットワークへのアクセスを取得する必要があります。プライベートノードを効果的に実装するには、クラスターはプライベートマスターIP範囲とIPエイリアシングも設定する必要があります。プライベートノードには、公共インターネットへのアウトバウンドアクセス権限が元々ありません。これを実現するには、Cloud
NATを使用するか、これらのノードに対してアウトバウンドインターネットアクセスを提供するために独自のNATゲートウェイを管理することができます。
影響
プライベートノードを有効にするには、クラスターをプライベートマスターIP範囲およびIPエイリアシングが有効な状態で構成する必要があります。
プライベートノードはパブリックインターネットへのアウトバウンドアクセスを持っていません。プライベートノードにアウトバウンドインターネットアクセスを提供したい場合は、Cloud
NATを使用するか、独自のNATゲートウェイを管理することができます。
監査
次の項目がenabled: trueになっていることを確認してください
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
以下を確認してください: null ではないこと
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
修復
aws eks update-cluster-config \
--region region-code \
--name my-cluster \
--resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true