Prepara i tuoi nodi di lavoro con FIPS con Bottlerocket FIPS AMIs - Amazon EKS
ConsiderazioniCreare un gruppo di nodi gestiti con un’AMI Bottlerocket FIPSDisabilita l'endpoint FIPS per le regioni non supportate AWS

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prepara i tuoi nodi di lavoro con FIPS con Bottlerocket FIPS AMIs

La pubblicazione 140-3 del Federal Information Processing Standard (FIPS) è uno standard di sicurezza dei governi degli Stati Uniti e del Canada che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono informazioni sensibili. Bottlerocket semplifica l'adesione a FIPS offrendo un kernel FIPS. AMIs

Questi AMIs sono preconfigurati per utilizzare moduli crittografici convalidati FIPS 140-3. Ciò include il modulo crittografico Amazon Linux 2023 Kernel Crypto API e il modulo crittografico AWS-LC.

L'uso di Bottlerocket FIPS AMIs rende i nodi di lavoro «pronti per FIPS» ma non automaticamente «conformi a FIPS». Per ulteriori informazioni, vedere Federal Information Processing Standard (FIPS) 140-3.

Considerazioni

  • Se il cluster usa sottoreti isolate, l’endpoint FIPS di Amazon ECR potrebbe non essere accessibile. Questo può causare il fallimento del bootstrap del nodo. Assicurati che la configurazione di rete consenta l’accesso agli endpoint FIPS necessari. Per ulteriori informazioni, consulta Accedere a una risorsa tramite un endpoint VPC di risorse nella Guida. AWS PrivateLink

  • Se il cluster utilizza una sottorete con PrivateLink, il recupero delle immagini avrà esito negativo perché gli endpoint FIPS di Amazon ECR non sono disponibili tramite. PrivateLink

Creare un gruppo di nodi gestiti con un’AMI Bottlerocket FIPS

L'AMI FIPS Bottlerocket è disponibile in quattro varianti per supportare i tuoi carichi di lavoro:

  • BOTTLEROCKET_x86_64_FIPS

  • BOTTLEROCKET_ARM_64_FIPS

  • BOTTLEROCKET_x86_64_NVIDIA_FIPS

  • BOTTLEROCKET_ARM_64_NVIDIA_FIPS

Per creare un gruppo di nodi gestiti con un’AMI FIPS Bottlerocket, seleziona il tipo di AMI applicabile durante il processo di creazione. Per ulteriori informazioni, consulta Creare un gruppo di nodi gestiti per il cluster.

Per ulteriori informazioni sulla scelta delle varianti compatibili con FIPS, consulta Recupero degli ID AMI Bottlerocket consigliati.

Disabilita l'endpoint FIPS per le regioni non supportate AWS

I FIPS Bottlerocket AMIs sono supportati direttamente negli Stati Uniti d'America, comprese le regioni AWS GovCloud (Stati Uniti). Per AWS le regioni in cui AMIs sono disponibili ma non supportate direttamente, puoi comunque utilizzarle creando un gruppo di nodi gestito con un modello di avvio. AMIs

L’AMI FIPS Bottlerocket si basa sull’endpoint FIPS Amazon ECR durante il bootstrap, che generalmente non è disponibile al di fuori degli Stati Uniti. Per utilizzare l'AMI per il suo kernel FIPS in AWS regioni in cui non è disponibile l'endpoint FIPS Amazon ECR, procedi nel seguente modo per disabilitare l'endpoint FIPS:

  1. Crea un nuovo file di configurazione con il contenuto seguente o incorpora il contenuto nel file di configurazione esistente.

[default]
use_fips_endpoint=false

  1. Codifica il contenuto del file nel formato Base64.

  2. Nel campo UserData del modello di avvio, aggiungi la seguente stringa codificata usando il formato TOML:

[settings.aws]
config = "<your-base64-encoded-string>"

Per altre impostazioni, consulta la descrizione delle impostazioni su di Bottlerocket. GitHub

Ecco un esempio di UserData in un modello di avvio:

[settings]
motd = "Hello from eksctl!"
[settings.aws]
config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string.
[settings.kubernetes]
api-server = "<api-server-endpoint>"
cluster-certificate = "<cluster-certificate-authority>"
cluster-name = "<cluster-name>"
...<other-settings>

Per ulteriori informazioni sulla creazione di un modello di avvio con i dati utente, consulta Personalizzazione dei nodi gestiti con modelli di avvio.