【Security Hub修復手順】[EKS.9] EKSノードグループは、サポートされているKubernetesバージョンで実行する必要があります

• URL: https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-eks-9
• 日付: 2026-06-24
• Tier: Tier 2
• 要旨: Security Hubの「EKS.9」コントロールは、EKSマネージドノードグループがスタンダードサポートのKubernetesバージョンで実行されているかをチェックしている。スタンダードサポート終了後のバージョンで稼働し続けるとセキュリティパッチの遅延や互換性問題が生じるため、計画的な更新が必須である。

詳細

修復手順は2段階である。まずクラスターのコントロールプレーンをアップグレードする。2026年6月時点ではKubernetesバージョン1.32は拡張サポート、1.33以降がスタンダードサポートである。アップグレードは1マイナーバージョンずつ行う必要があり、コンソールから「バージョンをアップグレード」を選択して実行できる。次にノードグループをアップグレードする。コントロールプレーンの更新完了後、対象クラスターの「コンピューティング」タブでノードグループの詳細画面を開き、「今すぐ更新」を選択する。更新戦略は2種類ある：ローリング更新は本番環境向けでPod Disruption Budgetを尊重し、強制更新は迅速性を重視して検証環境向けである。注意点としてKubernetesバージョンアップグレードは1マイナーバージョンずつ行う必要があり、コントロールプレーン→ノードグループの順序を守る必要がある。本番環境ではローリング更新とPDB設定を推奨し、スタンダードサポート対象バージョンはAWSによって更新されるため公式ドキュメントで最新情報を確認すること。