View a markdown version of this page

AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140) - Amazon Elastic Container Service
AWS Fargate FIPS-140 ConsiderazioniUso di FIPS su FargateUtilizzo CloudTrail per il controllo FIPS-140 Fargate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140)

Il Federal Information Processing Standard (FIPS-140) è uno U.S standard governativo canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. FIPS-140 definisce un insieme di funzioni di crittografia convalidate che possono essere utilizzate per crittografare i dati in transito e i dati inattivi.

Quando attivi la FIPS-140 conformità, puoi eseguire carichi di lavoro su Fargate in modo conforme a. FIPS-140 Per ulteriori informazioni sulla FIPS-140 conformità, vedere Federal Information Processing Standard (FIPS) 140-3.

AWS Fargate FIPS-140 Considerazioni

Quando utilizzate la FIPS-140 conformità su Fargate, tenete presente quanto segue:

  • FIPS-140 la conformità è disponibile solo nelle AWS GovCloud (US) Regioni.

  • Fargate supporta FIPS-140 la versione 140.3

  • FIPS-140 la conformità è disattivata per impostazione predefinita. Devi attivarla.

  • Amazon CloudWatch non supporta un endpoint FIPS dualstack che può essere utilizzato per monitorare le attività di Amazon ECS in configurazioni che utilizzano la conformità. IPv6-only FIPS-140

  • Le tue attività devono utilizzare la seguente configurazione per garantire la conformità: FIPS-140

    • operatingSystemFamily deve essere LINUX.

    • cpuArchitecture deve essere X86_64.

    • La versione della piattaforma Fargate deve essere 1.4.0 o successiva.

Uso di FIPS su Fargate

Utilizzate la seguente procedura per utilizzare la FIPS-140 conformità su Fargate.

  1. Attiva la FIPS-140 conformità. Per ulteriori informazioni, consulta AWS Fargate Conformità al Federal Information Processing Standard () FIPS-140.

  2. Facoltativamente, puoi utilizzare ECS Exec per eseguire il seguente comando per verificare lo stato di FIPS-140 conformità di un cluster.

    Sostituisci cluster-name con il nome del cluster, task-id con l'ID o l'ARN dell'attività e container-name con il nome del contenitore dell'attività su cui desideri eseguire il comando.

    Un valore restituito corrispondente a "1" indica che stai utilizzando FIPS.

    aws ecs execute-command \
    --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

Utilizzo CloudTrail per il controllo FIPS-140 Fargate

CloudTrail è attivata nel tuo AWS account al momento della creazione dell'account. Quando si verifica un'attività di API e console in Amazon ECS, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi. Puoi visualizzare, cercare e scaricare eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli CloudTrail eventi.

Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Amazon ECS, crea un percorso da CloudTrail utilizzare per distribuire i file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un trail nella console, il trail è valido per tutte le Regioni . Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta Registra le chiamate API di Amazon ECS utilizzando AWS CloudTrail.

L'esempio seguente mostra una voce di CloudTrail registro che illustra l'azione dell'PutAccountSettingDefaultAPI:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}