Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Fargate Norme fédérale de traitement de l'information (FIPS-140)

Norme Federal Information Processing Standard (FIPS). La norme FIPS-140 est une norme des gouvernements américain et canadien qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent des informations sensibles. La norme FIPS-140 définit un ensemble de fonctions cryptographiques validées qui peuvent être utilisées pour chiffrer les données en transit et les données au repos.

Lorsque vous activez la conformité à la norme FIPS-140, vous pouvez exécuter des charges de travail sur Fargate conformément à cette norme. Pour plus d'informations sur la conformité à la norme FIPS-140, veuillez consulter Federal Information Processing Standard (FIPS) 140-2.

AWS Fargate Considérations relatives à la norme FIPS-140

Prenez en compte les éléments suivants lors de l'utilisation de la norme FIPS-140 sur Fargate :

Utilisation de FIPS sur Fargate

Suivez cette procédure pour utiliser FIPS-140 sur Fargate.

Utilisation CloudTrail pour l'audit Fargate FIPS-140

CloudTrail est activé dans votre AWS compte lorsque vous le créez. Lorsque l'activité de l'API et de la console se produit dans Amazon ECS, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section Affichage des événements à l'aide de l'historique des CloudTrail événements.

Pour un enregistrement continu des événements de votre AWS compte, y compris des événements relatifs à Amazon ECS, créez un journal qui CloudTrail sera utilisé pour envoyer les fichiers journaux dans un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d’activité dans la console, il s’applique à toutes les régions. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour de plus amples informations, veuillez consulter Enregistrez les appels d'API Amazon ECS à l'aide de AWS CloudTrail.

L'exemple suivant montre une entrée de CloudTrail journal qui illustre l'action de l'PutAccountSettingDefaultAPI :

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}