AWS Fargate 聯邦資訊處理標準 (FIPS-140) - Amazon Elastic Container Service
AWS Fargate FIPS-140 項考量因素FIPS在 Fargate 上使用用 CloudTrail 於 Fargate FIPS -140 稽核

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Fargate 聯邦資訊處理標準 (FIPS-140)

聯邦資訊處理標準 (FIPS)。FIPS-140 是美國和加拿大政府標準,針對保護敏感資訊的加密模組指定安全性要求。FIPS-140 定義了一組經過驗證的加密函數,可用於加密傳輸中的數據和靜態數據。

當您開啟 FIPS -140 合規性時,您可以以符合 -140 的方式在 Fargate 上執行工作負載。FIPS如需有關 FIPS -140 法規遵循的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 14 0-2。

AWS Fargate FIPS-140 項考量因素

在 Fargate 上使用 FIPS -140 合規性時,請考慮以下幾點:

  • FIPS-140 合規性僅適用於 AWS GovCloud (US) 區域。

  • FIPS-140 符合性預設為關閉。您必須將其開啟。

  • 您的任務必須使用以下配置來實現 FIPS -140 合規性:

    • operatingSystemFamily 必須是 LINUX

    • cpuArchitecture 必須是 X86_64

    • Fargate 平台版本必須是 1.4.0 以上的版本。

FIPS在 Fargate 上使用

請使用下列程序在 Fargate 上使用 FIPS -140 相容性。

  1. 開啟 FIPS -140 相容性。如需詳細資訊,請參閱AWS Fargate 符合聯邦資訊處理標準 (FIPS-140) 規範

  2. 您可以選擇性地使用 ECS Exec 執行下列命令,以驗證叢集的 FIPS -140 符合性狀態。

    Replace (取代) my-cluster 使用您的群集的名稱。

    傳回值「1" 表示您正在使用FIPS。

    aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

用 CloudTrail 於 Fargate FIPS -140 稽核

CloudTrail 當您建立 AWS 帳戶時,會在您的帳戶中開啟。當 Amazon 中發生API和主控台活動時ECS,該活動會與事件歷史記錄中的其他 AWS 服務 CloudTrail 事件一起記錄在事件中。您可以在帳戶中查看,搜索和下載最近的事 AWS 件。如需詳細資訊,請參閱檢視具有事 CloudTrail 件記錄的事件

如需 AWS 帳戶中持續的事件記錄 (包括 Amazon 的事件)ECS,請建立 CloudTrail 用於將日誌檔傳送到 Amazon S3 儲存貯體的追蹤。根據預設,當您在主控台建立權杖時,權杖會套用到所有區域。追蹤記錄來自 AWS 分區中所有區域的事件,並將日誌檔傳送到您指定的 Amazon S3 儲存貯體。此外,您還可以設定其他 AWS 服務,以進一步分析 CloudTrail 記錄中收集的事件資料並採取行動。如需詳細資訊,請參閱使用記錄 Amazon ECS API 呼叫 AWS CloudTrail

下列範例顯示示範PutAccountSettingDefaultAPI動作的 CloudTrail 記錄項目:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}