みなさん、こんにちは。サニービュー事業部の小寺です。
AWS Nitro Enclaves が Amazon EKS と Kubernetes をサポートするようになりました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-nitro-enclaves-supports-amazoneks-kubernetes/

AWS Nitro Enclavesとは

AWS Nitro Enclavesってご存じですか。
AWS Nitro Enclavesは、Amazon EC2の機能の一つです。AWS Nitro Enclavesを使うことにより、高度な機密情報の保護や安全措置を向上する、分離されたコンピューティング環境を作ることができます。高度な機密情報の前提として考えられているのは、個人を特定可能な情報(PII)や医療、金融、知的財産データ等です。


Amazon EC2インスタンスにおいてCPUとメモリの分離を実現している「Nitro Hypervisor」技術を使って作成された仮想マシンで本機能の利用ができます。 この仮想マシンは永続ストレージを持たず、管理者も運用担当者もアクセスできず、外部ネットワークとは接続できない状態です。割り当てるCPUとメモリの量を指定することができ、要件に合わせてリソースを割り当てることが出来ます。

ユーザーのインスタンス(下図のInstance A)とEnclave(Enclave A)は、安全なローカルチャネルを利用して通信を行います。

https://aws.amazon.com/jp/ec2/nitro/nitro-enclaves/より引用


Nitro Enclaves には、ソフトウェア用の暗号化証明書が含まれています。よって、認証されたコードだけが正確に実行されます。また、AWS Key Management Serviceも利用ができるので、自身のエンクレーブからのみ機密情報にアクセスできるようにします。

AWS Nitro Enclavesを設定したい場合は、EC2インスタンスを作成する際にオプションとして選択することができます。
インスタンス詳細設定の「高度な詳細」からNitro Enclaveの「有効化」を選べばOKです。

※Nitroインスタンスを選んでいない場合は、Ntro Exclaveの選択プルダウンはグレーアウトされた状態となり、選ぶことができません。

アップデート内容

AWS Nitro Enclaves が Amazon EKS と Kubernetes をサポートしました。
これまでは、AWS Nitro Enclaves を Amazon EKS でデプロイするためには、自分でカスタムコードを書く必要がありましたが、Nitro Enclaves Kubernetes Device Plug-in というオープンソースを使用できるようになっています。
そのため、Kubernetes Pod としてデプロイがしやすく、容易に管理することが可能になりました。
機密性の高いデータを扱う Kubernetes ワークロードにおいて、Nitro Enclaves の隔離空間を用いたデータ処理によって、セキュリティの向上が見込めます。

対象リージョン

Nitro Enclaves をサポートする全てのリージョンで利用可能です。