Préparez vos nœuds de travail à la norme FIPS avec Bottlerocket FIPS AMIs - Amazon EKS
ConsidérationsCréation d’un groupe de nœuds géré avec une AMI Bottlerocket FIPSDésactiver le point de terminaison FIPS pour les régions non prises en charge AWS

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Préparez vos nœuds de travail à la norme FIPS avec Bottlerocket FIPS AMIs

La norme Federal Information Processing Standard (FIPS) Publication 140-3 est un standard gouvernemental des États-Unis et du Canada qui définit les exigences de sécurité applicables aux modules cryptographiques protégeant des informations sensibles. Bottlerocket facilite l'adhésion à la norme FIPS en proposant un AMIs noyau FIPS.

Ils AMIs sont préconfigurés pour utiliser des modules cryptographiques validés par la norme FIPS 140-3. Cela inclut le module cryptographique de l'API Kernel Crypto d'Amazon Linux 2023 et le module cryptographique AWS-LC.

L'utilisation de Bottlerocket FIPS AMIs rend vos nœuds de travail « prêts pour la norme FIPS », mais pas automatiquement « conformes à la norme FIPS ». Pour plus d'informations, consultez la norme fédérale de traitement de l'information (FIPS) 140-3.

Considérations

  • Si votre cluster utilise des sous-réseaux isolés, le point de terminaison FIPS d’Amazon ECR risque de ne pas être accessible. Cela peut entraîner l’échec de l’amorçage des nœuds. Assurez-vous que votre configuration réseau permet d’accéder aux points de terminaison FIPS nécessaires. Pour plus d'informations, consultez la section Accès à une ressource via un point de terminaison VPC de ressource dans le AWS PrivateLink Guide.

  • Si votre cluster utilise un sous-réseau avec PrivateLink, les extractions d'images échoueront car les points de terminaison FIPS Amazon ECR ne sont pas disponibles via. PrivateLink

Création d’un groupe de nœuds géré avec une AMI Bottlerocket FIPS

L'AMI FIPS Bottlerocket est disponible en quatre variantes pour prendre en charge vos charges de travail :

  • BOTTLEROCKET_x86_64_FIPS

  • BOTTLEROCKET_ARM_64_FIPS

  • BOTTLEROCKET_x86_64_NVIDIA_FIPS

  • BOTTLEROCKET_ARM_64_NVIDIA_FIPS

Pour créer un groupe de nœuds géré utilisant une AMI Bottlerocket FIPS, choisissez le type d’AMI approprié lors du processus de création. Pour de plus amples informations, veuillez consulter Création d’un groupe de nœuds gérés pour votre cluster.

Pour plus d’informations sur la sélection des variantes compatibles FIPS, consultez Récupérer les ID d’AMI Bottlerocket recommandés.

Désactiver le point de terminaison FIPS pour les régions non prises en charge AWS

Les systèmes FIPS Bottlerocket AMIs sont pris en charge directement aux États-Unis d'Amérique, y compris dans les régions (américaines). AWS GovCloud Pour AWS les régions où AMIs ils sont disponibles mais ne sont pas directement pris en charge, vous pouvez toujours les utiliser AMIs en créant un groupe de nœuds gérés avec un modèle de lancement.

Les AMI Bottlerocket FIPS s’appuient sur le point de terminaison FIPS d’Amazon ECR lors de l’amorçage, mais ce point de terminaison n’est généralement pas disponible en dehors des États-Unis. Pour utiliser l'AMI pour son noyau FIPS dans les AWS régions où le point de terminaison Amazon ECR FIPS n'est pas disponible, procédez comme suit pour désactiver le point de terminaison FIPS :

  1. Créez un nouveau fichier de configuration avec le contenu ci-dessous, ou ajoutez-le à votre fichier de configuration existant.

[default]
use_fips_endpoint=false

  1. Encodez le contenu du fichier au format Base64.

  2. Dans la section UserData de votre modèle de lancement, ajoutez la chaîne encodée ci-dessus au format TOML :

[settings.aws]
config = "<your-base64-encoded-string>"

Pour les autres paramètres, consultez la description des paramètres de Bottlerocket sur. GitHub

Voici un exemple de UserData d’un modèle de lancement :

[settings]
motd = "Hello from eksctl!"
[settings.aws]
config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string.
[settings.kubernetes]
api-server = "<api-server-endpoint>"
cluster-certificate = "<cluster-certificate-authority>"
cluster-name = "<cluster-name>"
...<other-settings>

Pour plus d’informations sur la création d’un modèle de lancement contenant des données utilisateur, consultez Personnaliser les nœuds gérés à l’aide de modèles de lancement.