Unterstützung für die Verbesserung dieser Seite beitragen
Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.
Worker-Knoten mit Bottlerocket-FIPS-AMIs für FIPS vorbereiten
Die Veröffentlichung 140-3 des Federal Information Processing Standard (FIPS) ist ein Sicherheitsstandard der US- und der kanadischen Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. Bottlerocket vereinfacht die Einhaltung von FIPS, indem es AMIs mit einem FIPS-Kernel anbietet.
Diese AMIs sind für die Verwendung von FIPS 140-3-validierten kryptografischen Modulen vorkonfiguriert. Dazu gehören das Amazon Linux 2023 Kernel Crypto API Cryptographic Module und das AWS-LC Cryptographic Module.
Durch die Verwendung von Bottlerocket-FIPS-AMIs werden Ihre Worker-Knoten „FIPS-fähig“, jedoch nicht automatisch „FIPS-konform“. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140-3
Überlegungen
-
Wenn Ihr Cluster isolierte Subnetze verwendet, ist der Amazon-ECR-FIPS-Endpunkt möglicherweise nicht erreichbar. Dies kann dazu führen, dass der Knoten-Bootstrap fehlschlägt. Stellen Sie sicher, dass Ihre Netzwerkkonfiguration den Zugriff auf die erforderlichen FIPS-Endpunkte zulässt. Weitere Informationen finden Sie unter Zugriff auf eine Ressource über einen Ressourcen-VPC-Endpunkt im AWS-PrivateLink-Handbuch.
-
Wenn Ihr Cluster ein Subnetz mit PrivateLinkverwendet, schlagen Image-Abrufe fehl, da Amazon-ECR-FIPS-Endpunkte über PrivateLink nicht verfügbar sind.
Erstellung einer verwalteten Knotengruppe mit einer Bottlerocket-FIPS-AMI
Das Bottlerocket-FIPS-AMI ist in zwei Varianten erhältlich, um Ihre Workloads zu unterstützen:
-
BOTTLEROCKET_x86_64_FIPS -
BOTTLEROCKET_ARM_64_FIPS
Um eine verwaltete Knotengruppe mit einer Bottlerocket-FIPS-AMI zu erstellen, wählen Sie während des Erstellungsprozesses den entsprechenden AMI-Typ aus. Weitere Informationen finden Sie unter Eine verwaltete Knotengruppe für Ihren Cluster erstellen.
Weitere Informationen zur Auswahl von FIPS-fähigen Varianten finden Sie unter Empfohlene Bottlerocket-AMI-IDs abrufen.
Deaktivierung des FIPS-Endpunkts für nicht unterstützte AWS-Regionen
Bottlerocket FIPS AMIs werden in den Vereinigten Staaten, einschließlich AWS GovCloud (US)-Regionen, direkt unterstützt. Für AWS-Regionen, in denen die AMIs verfügbar sind, jedoch nicht direkt unterstützt werden, können Sie die AMIs dennoch verwenden, indem Sie eine verwaltete Knotengruppe mit einer Startvorlage erstellen.
Das Bottlerocket-FIPS-AMI basiert während des Bootstraps auf dem Amazon ECR-FIPS-Endpunkt, der außerhalb der Vereinigten Staaten in der Regel nicht verfügbar ist. Um das AMI für seinen FIPS-Kernel in AWS-Regionen zu verwenden, in denen der Amazon ECR FIPS-Endpunkt nicht verfügbar ist, führen Sie die folgenden Schritte aus, um den FIPS-Endpunkt zu deaktivieren:
-
Erstellen Sie eine neue Konfigurationsdatei mit dem nachfolgenden Inhalt oder integrieren Sie den Inhalt in Ihre bestehende Konfigurationsdatei.
[default] use_fips_endpoint=false
-
Codieren Sie den Dateiinhalt im Base64-Format.
-
Fügen Sie in Ihrer Startvorlage
UserDatadie folgende codierte Zeichenfolge im TOML-Format hinzu:
[settings.aws] config = "<your-base64-encoded-string>"
Weitere Einstellungen finden Sie in der Beschreibung der Einstellungen
Hier ist ein Beispiel von UserData für eine Startvorlage:
[settings] motd = "Hello from eksctl!" [settings.aws] config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string. [settings.kubernetes] api-server = "<api-server-endpoint>" cluster-certificate = "<cluster-certificate-authority>" cluster-name = "<cluster-name>" ...<other-settings>
Weitere Informationen zum Erstellen einer Startvorlage mit Benutzerdaten finden Sie unter Verwaltete Knoten mit Startvorlagen anpassen.
