AWS Fargate 連邦情報処理標準 (FIPS-140) - Amazon Elastic Container Service
AWS Fargate FIPS-140 に関する考慮事項Fargate で FIPS を使用するFargate FIPS-140 監査に CloudTrail を使用する

AWS Fargate 連邦情報処理標準 (FIPS-140)

連邦情報処理標準 (FIPS)。FIPS-140 は、機密情報を保護する暗号モジュールのセキュリティ要件を規定する米国およびカナダ政府の標準です。FIPS-140 は、転送中のデータと保管中のデータの暗号化に使用できる、一連の検証済みの暗号化関数を定めています。

FIPS-140 コンプライアンスをオンにすると、FIPS-140 に準拠した態様で Fargate でワークロードを実行できます。FIPS-140 コンプライアンスの詳細については、「連邦情報処理標準 (FIPS) 140-2」を参照してください。

AWS Fargate FIPS-140 に関する考慮事項

Fargate で FIPS-140 コンプライアンスを使用する場合は、次の点を考慮してください。

  • FIPS-140 コンプライアンスは、AWS GovCloud (US) リージョンでのみ利用できます。

  • FIPS-140 コンプライアンスは、デフォルトでオフになっています。オンにする必要があります。

  • タスクでは、FIPS-140 コンプライアンスのために次の設定を使用する必要があります。

    • operatingSystemFamilyLINUX でなければなりません。

    • cpuArchitectureX86_64 でなければなりません。

    • Fargate プラットフォームバージョンは 1.4.0 以降である必要があります。

Fargate で FIPS を使用する

Fargate で FIPS-140 コンプライアンスを使用するには、次の手順を実行します。

  1. FIPS-140 コンプライアンスをオンにします。詳細については、「AWS Fargate 連邦情報処理標準 (FIPS-140) コンプライアンス」を参照してください。

  2. オプションで、ECS Exec を使用して次のコマンドを実行し、クラスターの FIPS-140 コンプライアンスステータスを検証できます。

    my-cluster の部分は、自分のクラスター名に置き換えます。

    戻り値「1」は、FIPS が使用されていることを示します。

    aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

Fargate FIPS-140 監査に CloudTrail を使用する

CloudTrail は、アカウント作成時に AWS で有効になります。Amazon ECS で API およびコンソールアクティビティが発生すると、そのアクティビティは [イベント履歴] で AWS のその他のサービスのイベントとともに CloudTrail イベントにレコードされます。最近のイベントは、AWSアカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrailイベント履歴でのイベントの表示」を参照してください。

Amazon ECS のイベントを含む、AWS アカウントでのイベントを継続的に記録するために、CloudTrail がログファイルを Amazon S3 バケットに配信する際に使用する証跡を作成します。デフォルトでは、コンソールで追跡を作成するときに、追跡がすべてのリージョンに適用されます。証跡は、AWSパーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づいて対応するため、他の AWS サービスを構成できます。詳細については、「AWS CloudTrail を使用して Amazon ECS API コールをログに記録する」を参照してください。

PutAccountSettingDefault API アクションを示す CloudTrail ログエントリの例を次に示します。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}