翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AL2023 コンテナで FIPS モードを有効にする
<a name="fips-mode-container"></a>

このセクションでは、AL2023 コンテナで連邦情報処理標準 (FIPS) を有効にする手順を説明します。FIPS の詳細については、以下を参照してください。
+ [連邦情報処理標準 (FIPS)](https://aws.amazon.com/compliance/fips/)
+ [コンプライアンスのよくある質問: 連邦情報処理標準](https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips)

**注記**  
このセクションでは、AL2023 コンテナで FIPS モードを有効にする方法を説明します。AL2023 暗号化モジュールの認証状況については取り上げません。

**前提条件**
+ インターネットにアクセスして必要なパッケージをダウンロードできる既存の AL2023 (AL2023.2 以上) Amazon EC2 インスタンス。AL2023 Amazon EC2 インスタンスの起動の詳細については、「[Amazon EC2 コンソールを使用した AL2023 の起動](ec2.md#launch-from-ec2-console)」を参照してください。
+ SSH または AWS Systems Manager を使用して Amazon EC2 インスタンスに接続する必要があります。詳細については、「[AL2023 インスタンスへの接続](connecting-to-instances.md)」を参照してください。

**重要**  
`fips-mode-setup` コマンドはコンテナ内からは正しく動作しません。AL2023 コンテナで FIPS モードを適切に設定するには、以下の手順を参照してください。

**AL2023 コンテナで FIPS モードを有効にする**

1. 最初に AL2023 コンテナのホストで FIPS モードを有効にする必要があります。「[AL2023 で FIPS モードを有効にする](fips-mode.md)」の手順に従って、ホストで FIPS モードを有効にします。

1. SSH または AWS Systems Manager を使用して AL2023 コンテナのホストインスタンスに接続します。

1. AL2023 ホストが FIPS モードになり、コンテナ内から `/proc/sys/crypto/fips_enabled` へのアクセスが可能な場合、AL2023 コンテナで FIPS モードが自動的に有効になります。`/proc/sys/crypto/fips_enabled` の値が `0` の場合は FIPS が有効ではなく、値が `1` の場合は FIPS モードが有効になっていることを示します。

   AL2023 のホストとコンテナの両方で、次のコマンドを実行して FIPS が有効になっていることを確認できます。

   ```
   cat /proc/sys/crypto/fips_enabled
   ```

1. 次に、コンテナ内で FIPS 暗号化ポリシーを有効にします。これを行うには、以下のオプションで説明されているような方法があります。環境に応じて最適なオプションを使用してください。

   1. `update-crypto-policies` コマンドを使用して、コンテナ内で FIPS 暗号化ポリシーを手動で有効にします。

      ```
      # Run these commands inside the container
      dnf install -y crypto-policies-scripts
      update-crypto-policies --set FIPS
      ```

   1. AL2023 コンテナ内に `bind` マウントを作成します (これは他のディストリビューションでの `podman` の動作と似ています)。

      ```
      # Run these commands inside the container
      mount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-ends
      echo "FIPS" > /usr/share/crypto-policies/default-fips-config
      mount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config
      ```

   1. AL2023 コンテナが AL2023 ホストの暗号化ポリシーと一致するようにバインドマウントを作成することもできます。以下はあくまで例として示しています。この設定では、コンテナとホストの間で暗号化ポリシーとパッケージのバージョンに互換性のない差異がある場合に問題が発生する可能性があります。

      ```
      sudo docker pull amazonlinux:2023
      sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023
      ```

1. 上記の手順を実行したら、次のコマンドを使用して、コンテナで FIPS が有効になっていることを再度確認できます。

   ```
   $ cat /etc/crypto-policies/config
   FIPS
   
   $ cat /proc/sys/crypto/fips_enabled
   1
   ```