Rendi i tuoi nodi di lavoro compatibili con il FIPS grazie alle AMI FIPS Bottlerocket - Amazon EKS
ConsiderazioniCreare un gruppo di nodi gestiti con un’AMI Bottlerocket FIPSDisabilita l’endpoint FIPS per le regioni AWS non supportate

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Rendi i tuoi nodi di lavoro compatibili con il FIPS grazie alle AMI FIPS Bottlerocket

La pubblicazione 140-3 del Federal Information Processing Standard (FIPS) è uno standard di sicurezza dei governi degli Stati Uniti e del Canada che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono informazioni sensibili. Bottlerocket semplifica la conformità allo standard FIPS offrendo AMI con kernel FIPS.

Queste AMI sono preconfigurate per usare moduli crittografici convalidati FIPS 140-3. Sono inclusi il modulo crittografico Amazon Linux 2023 Kernel Crypto API e il modulo crittografico AWS-LC.

L’uso delle AMI FIPS Bottlerocket rende i nodi di lavoro “compatibili con il FIPS” ma non automaticamente “conformi al FIPS”. Per ulteriori informazioni, consulta Federal Information Processing Standard (FIPS) 140-3.

Considerazioni

  • Se il cluster usa sottoreti isolate, l’endpoint FIPS di Amazon ECR potrebbe non essere accessibile. Questo può causare il fallimento del bootstrap del nodo. Assicurati che la configurazione di rete consenta l’accesso agli endpoint FIPS necessari. Per ulteriori informazioni, consulta Access a resource through a resource VPC endpoint nella Guida di AWS PrivateLink.

  • Se il cluster usa una sottorete con PrivateLink, il pull delle immagini avrà esito negativo perché gli endpoint FIPS di Amazon ECR non sono disponibili tramite PrivateLink.

Creare un gruppo di nodi gestiti con un’AMI Bottlerocket FIPS

L’AMI FIPS Bottlerocket è disponibile in due varianti per supportare i tuoi carichi di lavoro:

  • BOTTLEROCKET_x86_64_FIPS

  • BOTTLEROCKET_ARM_64_FIPS

Per creare un gruppo di nodi gestiti con un’AMI FIPS Bottlerocket, seleziona il tipo di AMI applicabile durante il processo di creazione. Per ulteriori informazioni, consulta Creare un gruppo di nodi gestiti per il cluster.

Per ulteriori informazioni sulla scelta delle varianti compatibili con FIPS, consulta Recupero degli ID AMI Bottlerocket consigliati.

Disabilita l’endpoint FIPS per le regioni AWS non supportate

Le AMI FIPS Bottlerocket sono supportate direttamente negli Stati Uniti, comprese le regioni AWS GovCloud (USA). Per le regioni AWS in cui le AMI sono disponibili ma non supportate direttamente, puoi comunque usare le AMI creando un gruppo di nodi gestiti con un modello di avvio.

L’AMI FIPS Bottlerocket si basa sull’endpoint FIPS Amazon ECR durante il bootstrap, che generalmente non è disponibile al di fuori degli Stati Uniti. Per usare l’AMI per il suo kernel FIPS in regioni AWS in cui non è disponibile l’endpoint FIPS Amazon ECR, procedi come segue per disabilitare l’endpoint FIPS:

  1. Crea un nuovo file di configurazione con il contenuto seguente o incorpora il contenuto nel file di configurazione esistente.

[default]
use_fips_endpoint=false

  1. Codifica il contenuto del file nel formato Base64.

  2. Nel campo UserData del modello di avvio, aggiungi la seguente stringa codificata usando il formato TOML:

[settings.aws]
config = "<your-base64-encoded-string>"

Per vedere altre impostazioni, consulta la descrizione delle impostazioni di Bottlerocket su GitHub.

Ecco un esempio di UserData in un modello di avvio:

[settings]
motd = "Hello from eksctl!"
[settings.aws]
config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string.
[settings.kubernetes]
api-server = "<api-server-endpoint>"
cluster-certificate = "<cluster-certificate-authority>"
cluster-name = "<cluster-name>"
...<other-settings>

Per ulteriori informazioni sulla creazione di un modello di avvio con i dati utente, consulta Personalizzazione dei nodi gestiti con modelli di avvio.