プロファイル適用性: レベル1
etcdキー値ストアを暗号化する。
etcdは、Kubernetesデプロイメントによって使用される高可用性のキー値ストアであり、すべてのREST APIオブジェクトの永続ストレージとして使用されます。これらのオブジェクトは機密性が高いため、漏洩を防ぐために保存時に暗号化する必要があります。
 |
注意デフォルトでは、
--encryption-provider-configは設定されていません。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--encryption-provider-config 引数が EncryptionConfig ファイルに設定されていることを確認してください。さらに、EncryptionConfig ファイルにすべての必要な resources、特にシークレットが含まれていることを確認してください。修復
Kubernetesのドキュメントに従ってEncryptionConfigファイルを構成します。次に、マスターノード上のAPIサーバポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、そのファイルのパスに--encryption-provider-configパラメータを設定します:--encryption-provider-config=</path/to/EncryptionConfig/File>