
Amazon EKS はデフォルトですべての Kubernetes API データをエンベロープ暗号化するようになりました
本記事は、2025 年 3 月 5 日にAWS公式サイトの What’s New with AWS? に掲載された英語記事を自動翻訳したものです。
ニュース内容
本日より、Amazon Elastic Kubernetes Service (EKS) は、Kubernetes バージョン 1.28 以降を実行している EKS クラスター内のすべての Kubernetes API データに対してデフォルトのエンベロープ暗号化を有効にします。これにより、Kubernetes アプリケーションに多層防御を実装する、管理されたデフォルトのエクスペリエンスが提供されます。Kubernetes KMS プロバイダー v2 で AWS Key Management Service (KMS) を使用することで、EKS は AWS 所有の KMS 暗号化キーまたは独自のキーを使用するオプションを使用して、セキュリティをさらに強化できるようになりました。
以前は、Amazon EKS は Kubernetes KMS プロバイダー v1 でオプションのエンベロープ暗号化を提供していました。現在、これは Kubernetes API のすべてのオブジェクトのデフォルト設定です。デフォルトでは、エンベロープ暗号化に使用されるキーは AWS が所有します。または、クラスターのマネージド Kubernetes コントロールプレーンで使用するために、外部で生成されたキーを作成または AWS KMS にインポートすることもできます。Kubernetes シークレットのエンベロープ暗号化に以前使用されていた KMS 内の既存のカスタマー管理キー (CMK) がある場合、この同じキーがクラスター内の追加の Kubernetes API データタイプのエンベロープ暗号化に使用されるようになります。
Amazon EKS のデフォルトのエンベロープ暗号化は、Kubernetes バージョン 1.28 以降を実行しているすべての EKS クラスターで自動的に有効になり、お客様による操作は必要ありません。この機能は、すべての商用 AWS リージョンと AWS GovCloud (米国) リージョンで追加料金なしで利用できます。詳細については、Amazon EKS のドキュメントをご覧ください。
原文
Starting today, Amazon Elastic Kubernetes Service (EKS) enables default envelope encryption for all Kubernetes API data in EKS clusters running Kubernetes version 1.28 or higher. This provides a managed, default experience that implements defense-in-depth for your Kubernetes applications. Using AWS Key Management Service (KMS) with Kubernetes KMS provider v2, EKS now provides an additional layer of security with an AWS owned, KMS encryption key or the option of bringing your own key.
Previously, Amazon EKS provided optional envelope encryption with Kubernetes KMS provider v1. Now this is a default configuration for all objects in the Kubernetes API. By default, AWS owns the keys used for envelope encryption. You can alternatively create or import externally generated keys to AWS KMS for use in your cluster’s managed Kubernetes control plane. If you have an existing customer managed key (CMK) in KMS that was previously used to envelope encrypt your Kubernetes Secrets, this same key will now be used for envelope encryption of the additional Kubernetes API data types in your cluster.
Default envelope encryption in Amazon EKS is automatically enabled for all EKS clusters running Kubernetes version 1.28 or higher, and doesn’t require any action from customers. This feature is available at no additional charge in all commercial AWS Regions and the AWS GovCloud (US) Regions. To learn more, visit the Amazon EKS documentation.
引用元:Amazon EKS now envelope encrypts all Kubernetes API data by default