Machen Sie Ihre Worker-Nodes FIPS-fähig mit Bottlerocket FIPS AMIs - Amazon EKS
ÜberlegungenErstellung einer verwalteten Knotengruppe mit einer Bottlerocket-FIPS-AMIDeaktivieren Sie den FIPS-Endpunkt für nicht unterstützte Regionen AWS

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Machen Sie Ihre Worker-Nodes FIPS-fähig mit Bottlerocket FIPS AMIs

Die Veröffentlichung 140-3 des Federal Information Processing Standard (FIPS) ist ein Sicherheitsstandard der US- und der kanadischen Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. Bottlerocket erleichtert die Einhaltung von FIPS, indem es mit einem FIPS-Kernel anbietet. AMIs

Diese AMIs sind für die Verwendung von FIPS 140-3-validierten kryptografischen Modulen vorkonfiguriert. Dazu gehören das Amazon Linux 2023 Kernel Cryptographic API Cryptographic Module und das AWS-LC Cryptographic Module.

Durch die Verwendung von Bottlerocket FIPS sind Ihre Worker-Knoten AMIs zwar „FIPS-fähig“, aber nicht automatisch „FIPS-konform“. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

Überlegungen

  • Wenn Ihr Cluster isolierte Subnetze verwendet, ist der Amazon-ECR-FIPS-Endpunkt möglicherweise nicht erreichbar. Dies kann dazu führen, dass der Knoten-Bootstrap fehlschlägt. Stellen Sie sicher, dass Ihre Netzwerkkonfiguration den Zugriff auf die erforderlichen FIPS-Endpunkte zulässt. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Zugreifen auf eine Ressource über einen VPC-Endpunkt für Ressourcen.

  • Wenn Ihr Cluster ein Subnetz mit verwendet PrivateLink, schlagen Image-Pulls fehl, weil Amazon ECR FIPS-Endpunkte nicht über verfügbar sind. PrivateLink

Erstellung einer verwalteten Knotengruppe mit einer Bottlerocket-FIPS-AMI

Das Bottlerocket FIPS AMI ist in vier Varianten erhältlich, um Ihre Workloads zu unterstützen:

  • BOTTLEROCKET_x86_64_FIPS

  • BOTTLEROCKET_ARM_64_FIPS

  • BOTTLEROCKET_x86_64_NVIDIA_FIPS

  • BOTTLEROCKET_ARM_64_NVIDIA_FIPS

Um eine verwaltete Knotengruppe mit einer Bottlerocket-FIPS-AMI zu erstellen, wählen Sie während des Erstellungsprozesses den entsprechenden AMI-Typ aus. Weitere Informationen finden Sie unter Eine verwaltete Knotengruppe für Ihren Cluster erstellen.

Weitere Informationen zur Auswahl von FIPS-fähigen Varianten finden Sie unter Empfohlene Bottlerocket-AMI-IDs abrufen.

Deaktivieren Sie den FIPS-Endpunkt für nicht unterstützte Regionen AWS

Bottlerocket FIPS AMIs werden in den Vereinigte Staaten, einschließlich AWS GovCloud (US-) Regionen, direkt unterstützt. AWS In Regionen, in denen sie verfügbar AMIs sind, aber nicht direkt unterstützt werden, können Sie sie trotzdem verwenden, AMIs indem Sie eine verwaltete Knotengruppe mit einer Startvorlage erstellen.

Das Bottlerocket-FIPS-AMI basiert während des Bootstraps auf dem Amazon ECR-FIPS-Endpunkt, der außerhalb der Vereinigten Staaten in der Regel nicht verfügbar ist. Um das AMI für seinen FIPS-Kernel in AWS Regionen zu verwenden, in denen der Amazon ECR-FIPS-Endpunkt nicht verfügbar ist, gehen Sie wie folgt vor, um den FIPS-Endpunkt zu deaktivieren:

  1. Erstellen Sie eine neue Konfigurationsdatei mit dem nachfolgenden Inhalt oder integrieren Sie den Inhalt in Ihre bestehende Konfigurationsdatei.

[default]
use_fips_endpoint=false

  1. Codieren Sie den Dateiinhalt im Base64-Format.

  2. Fügen Sie in Ihrer Startvorlage UserData die folgende codierte Zeichenfolge im TOML-Format hinzu:

[settings.aws]
config = "<your-base64-encoded-string>"

Weitere Einstellungen finden Sie in der Beschreibung der Einstellungen von Bottlerocket unter. GitHub

Hier ist ein Beispiel von UserData für eine Startvorlage:

[settings]
motd = "Hello from eksctl!"
[settings.aws]
config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string.
[settings.kubernetes]
api-server = "<api-server-endpoint>"
cluster-certificate = "<cluster-certificate-authority>"
cluster-name = "<cluster-name>"
...<other-settings>

Weitere Informationen zum Erstellen einer Startvorlage mit Benutzerdaten finden Sie unter Verwaltete Knoten mit Startvorlagen anpassen.