AWS Fargate Norme fédérale de traitement de l'information (FIPS-140) - Amazon Elastic Container Service
AWS Fargate Considérations relatives à la norme FIPS-140Utilisation de FIPS sur FargateUtilisation CloudTrail pour l'audit Fargate FIPS-140

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Fargate Norme fédérale de traitement de l'information (FIPS-140)

Norme Federal Information Processing Standard (FIPS). La norme FIPS-140 est une norme des gouvernements américain et canadien qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent des informations sensibles. La norme FIPS-140 définit un ensemble de fonctions cryptographiques validées qui peuvent être utilisées pour chiffrer les données en transit et les données au repos.

Lorsque vous activez la conformité à la norme FIPS-140, vous pouvez exécuter des charges de travail sur Fargate conformément à cette norme. Pour plus d'informations sur la conformité à la norme FIPS-140, veuillez consulter Federal Information Processing Standard (FIPS) 140-2.

AWS Fargate Considérations relatives à la norme FIPS-140

Prenez en compte les éléments suivants lors de l'utilisation de la norme FIPS-140 sur Fargate :

  • La conformité à la norme FIPS-140 n'est disponible que dans les régions AWS GovCloud (US) .

  • Elle est désactivée par défaut. Vous devez l'activer.

  • Vos tâches doivent utiliser la configuration suivante pour garantir la conformité à la norme FIPS-140 :

    • Le operatingSystemFamily doit être LINUX.

    • Le cpuArchitecture doit être X86_64.

    • La version de plateforme Fargate doit être 1.4.0 ou ultérieure.

Utilisation de FIPS sur Fargate

Suivez cette procédure pour utiliser FIPS-140 sur Fargate.

  1. Activez la conformité à la norme FIPS-140. Pour plus d’informations, consultez AWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140).

  2. Vous pouvez éventuellement utiliser ECS Exec pour exécuter la commande suivante afin de vérifier l'état de conformité à la norme FIPS-140 d'un cluster.

    Remplacez my-cluster par le nom de votre cluster.

    Une valeur renvoyée de « 1 » indique que vous utilisez FIPS.

    aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

Utilisation CloudTrail pour l'audit Fargate FIPS-140

CloudTrail est activé dans votre AWS compte lorsque vous le créez. Lorsque l'activité de l'API et de la console se produit dans Amazon ECS, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements.

Pour un enregistrement continu des événements de votre AWS compte, y compris des événements relatifs à Amazon ECS, créez un journal qui CloudTrail sera utilisé pour envoyer les fichiers journaux dans un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d’activité dans la console, il s’applique à toutes les régions. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez Enregistrez les appels d'API Amazon ECS à l'aide de AWS CloudTrail.

L'exemple suivant montre une entrée de CloudTrail journal qui illustre l'action de l'PutAccountSettingDefaultAPI :

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}