Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questa sezione spiega come abilitare gli standard federali di elaborazione delle informazioni (FIPS) in un contenitore AL2 023. Per ulteriori informazioni sul FIPS, consulta:
Nota
Questa sezione illustra come abilitare FIPS modalità in un contenitore AL2 023. Non copre lo stato di certificazione dei moduli crittografici AL2 023.
Prerequisiti
-
Un' EC2 istanza Amazon AL2 023 (AL2023.2 o superiore) esistente con accesso a Internet per scaricare i pacchetti richiesti. Per ulteriori informazioni sul lancio di un' EC2 istanza AL2 Amazon 023, consulta. Avvio di AL2 023 tramite la console Amazon EC2
-
Devi connetterti alla tua EC2 istanza Amazon tramite SSH o AWS Systems Manager. Per ulteriori informazioni, consulta Connessione a 203 istanze AL2.
Importante
Il fips-mode-setup comando non funzionerà correttamente dall'interno del contenitore. Leggi i passaggi seguenti per configurare correttamente la modalità FIPS in un contenitore AL2 023.
Abilita la modalità FIPS in un contenitore 023 AL2
-
La modalità FIPS deve essere prima abilitata sull'host del contenitore AL2 023. Segui le istruzioni riportate Abilita la modalità FIPS su 023 AL2 per abilitare la modalità FIPS sull'host.
-
Connect all'istanza host del contenitore AL2 023 utilizzando SSH o. AWS Systems Manager
-
La modalità FIPS verrà abilitata automaticamente in un contenitore AL2 023 se l'host AL2 023 è in modalità FIPS ed
/proc/sys/crypto/fips_enabledè accessibile dall'interno del contenitore. Se il contenuto di/proc/sys/crypto/fips_enabledè,0allora FIPS non è abilitato e il valore di1indica che la modalità FIPS è abilitata.È possibile verificare che FIPS sia abilitato eseguendo il comando seguente sia sull'host AL2 023 che sul contenitore:
cat /proc/sys/crypto/fips_enabled -
Successivamente, abilita le crypto-policies FIPS all'interno del contenitore. Esistono diversi modi per eseguire questa operazione, descritti nelle opzioni seguenti. Utilizzate l'opzione più adatta al vostro ambiente.
-
Abilita manualmente le crypto-policies FIPS all'interno del contenitore utilizzando il comando:
update-crypto-policies# Run these commands inside the containerdnf install -y crypto-policies-scriptsupdate-crypto-policies --set FIPS -
Crea
bindmount all'interno del contenitore AL2 023 (è simile a comepodmanfunziona in altre distribuzioni):# Run these commands inside the containermount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-endsecho "FIPS" > /usr/share/crypto-policies/default-fips-configmount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config -
È anche possibile creare un bind mount in modo che il contenitore AL2 023 corrisponda alle crypto-policies dell' AL2host 023. Quanto segue è fornito solo come esempio. Questa configurazione potrebbe causare problemi in caso di differenze incompatibili nelle crypto-policies e nelle versioni dei pacchetti tra il contenitore e l'host:
sudo docker pull amazonlinux:2023sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023
-
-
Dopo aver eseguito i passaggi precedenti, puoi verificare nuovamente che FIPS sia abilitato nel contenitore con i seguenti comandi:
$ cat /etc/crypto-policies/config FIPS $ cat /proc/sys/crypto/fips_enabled 1
