Aidez à améliorer cette page
Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.
Mise en conformité FIPS des composants master de travail avec les AMI Bottlerocket FIPS
La norme Federal Information Processing Standard (FIPS) Publication 140-3 est un standard gouvernemental des États-Unis et du Canada qui définit les exigences de sécurité applicables aux modules cryptographiques protégeant des informations sensibles. Bottlerocket facilite la conformité à la norme FIPS en fournissant des AMI incluant un noyau compatible FIPS.
Ces AMI sont préconfigurées pour utiliser des modules cryptographiques validés FIPS 140-3. Cela inclut le module cryptographique Amazon Linux 2023 Kernel Crypto API et le module cryptographique AWS-LC.
L’utilisation d’AMI Bottlerocket FIPS rend vos composants master « prêts pour FIPS », mais ne garantit pas automatiquement la « conformité FIPS ». Pour plus d’informations, consultez Federal Information Processing Standard (FIPS) 140-3
Considérations
-
Si votre cluster utilise des sous-réseaux isolés, le point de terminaison FIPS d’Amazon ECR risque de ne pas être accessible. Cela peut entraîner l’échec de l’amorçage des nœuds. Assurez-vous que votre configuration réseau permet d’accéder aux points de terminaison FIPS nécessaires. Pour plus d’informations, consultez Accès à une ressource via un point de terminaison d’un VPC de ressource dans le Guide AWS PrivateLink.
-
Si votre cluster utilise un sous-réseau avec PrivateLink, les extractions d’images échoueront car les points de terminaison FIPS d’Amazon ECR ne sont pas disponibles via PrivateLink.
Création d’un groupe de nœuds géré avec une AMI Bottlerocket FIPS
L’AMI Bottlerocket FIPS est proposée en deux variantes afin de prendre en charge différents types de charges de travail :
-
BOTTLEROCKET_x86_64_FIPS -
BOTTLEROCKET_ARM_64_FIPS
Pour créer un groupe de nœuds géré utilisant une AMI Bottlerocket FIPS, choisissez le type d’AMI approprié lors du processus de création. Pour de plus amples informations, consultez Création d’un groupe de nœuds gérés pour votre cluster.
Pour plus d’informations sur la sélection des variantes compatibles FIPS, consultez Récupérer les ID d’AMI Bottlerocket recommandés.
Désactivation du point de terminaison FIPS dans les régions AWS non prises en charge
Les AMI Bottlerocket FIPS sont prises en charge directement aux États-Unis, y compris dans les régions AWS GovCloud (US). Dans les autres régions AWS où ces AMI sont disponibles mais non prises en charge directement, vous pouvez quand même les utiliser en créant un groupe de nœuds géré à l’aide d’un modèle de lancement.
Les AMI Bottlerocket FIPS s’appuient sur le point de terminaison FIPS d’Amazon ECR lors de l’amorçage, mais ce point de terminaison n’est généralement pas disponible en dehors des États-Unis. Pour utiliser l’AMI pour son noyau FIPS dans des régions AWS dépourvues de point de terminaison FIPS d’Amazon ECR, procédez comme suit afin de désactiver le point de terminaison FIPS :
-
Créez un nouveau fichier de configuration avec le contenu ci-dessous, ou ajoutez-le à votre fichier de configuration existant.
[default] use_fips_endpoint=false
-
Encodez le contenu du fichier au format Base64.
-
Dans la section
UserDatade votre modèle de lancement, ajoutez la chaîne encodée ci-dessus au format TOML :
[settings.aws] config = "<your-base64-encoded-string>"
Pour les autres paramètres, consultez la Description des paramètres de Bottlerocket
Voici un exemple de UserData d’un modèle de lancement :
[settings] motd = "Hello from eksctl!" [settings.aws] config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string. [settings.kubernetes] api-server = "<api-server-endpoint>" cluster-certificate = "<cluster-certificate-authority>" cluster-name = "<cluster-name>" ...<other-settings>
Pour plus d’informations sur la création d’un modèle de lancement contenant des données utilisateur, consultez Personnaliser les nœuds gérés à l’aide de modèles de lancement.
