AWS Fargate 聯邦資訊處理標準 (FIPS-140) - Amazon Elastic Container Service
AWS Fargate FIPS-140 考量事項在 Fargate 上使用 FIPS使用 CloudTrail 進行 Fargate FIPS-140 稽核

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Fargate 聯邦資訊處理標準 (FIPS-140)

美國聯邦資訊處理標準 (FIPS)。FIPS-140 是美國和加拿大政府標準,指定密碼模組的安全要求以保護敏感資訊。FIPS-140 定義了一組經驗證的密碼函數,可用於加密傳輸中的資料和靜態資料。

當您啟用 FIPS-140 合規時,您可以在 Fargate 上以符合 FIPS-140 的方式執行工作負載。如需 FIPS-140 合規的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2

AWS Fargate FIPS-140 考量事項

Fargate 上使用 FIPS-140 合規時,請考量下列事項:

  • FIPS-140 合規僅適用於 AWS GovCloud (US) 區域。

  • FIPS-140 合規預設為關閉。您必須將其開啟。

  • 您的任務必須使用下列組態才能符合 FIPS-140 規範:

    • operatingSystemFamily 必須是 LINUX

    • cpuArchitecture 必須是 X86_64

    • Fargate 平台版本必須是 1.4.0 以上的版本。

在 Fargate 上使用 FIPS

使用下列程序以在 Fargate 上使用 FIPS-140 合規。

  1. 開啟 FIPS-140 合規的功能。如需詳細資訊,請參閱AWS Fargate 聯邦資訊處理標準 (FIPS-140) 合規

  2. 您可以選擇性使用 ECS Exec 執行下列命令,以驗證叢集的 FIPS-140 合規狀態。

    使用您叢集的名稱取代 my-cluster

    傳回值 "1" 表示您正在使用 FIPS。

    aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

使用 CloudTrail 進行 Fargate FIPS-140 稽核

當您建立 AWS 帳戶時,會在您的帳戶中開啟 CloudTrail。當 API 和主控台活動在 Amazon ECS 中發生時,該活動會記錄在 CloudTrail 事件中,以及事件歷史記錄中的其他服務 AWS 事件。您可以在 AWS 帳戶中檢視、搜尋和下載最近的事件。如需詳細資訊,請參閱《使用 CloudTrail 事件歷史記錄檢視事件》https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

若要持續記錄您 AWS 帳戶中的事件,包括 Amazon ECS 的事件,請建立 CloudTrail 用來將日誌檔案交付至 Amazon S3 儲存貯體的追蹤。根據預設,當您在主控台建立權杖時,權杖會套用到所有區域。追蹤會記錄 AWS 分割區中所有 區域的事件,並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析 CloudTrail 日誌中收集的事件資料並對其採取行動。如需詳細資訊,請參閱使用 記錄 Amazon ECS API 呼叫 AWS CloudTrail

以下範例顯示的是示範 PutAccountSettingDefault API 動作的 CloudTrail 日誌項目:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}