AL2023 コンテナで FIPS モードを有効にする

AL2023 コンテナで FIPS モードを有効にする

1. 最初に AL2023 コンテナのホストで FIPS モードを有効にする必要があります。「AL2023 で FIPS モードを有効にする」の手順に従って、ホストで FIPS モードを有効にします。

2. SSH または AWS Systems Manager を使用して AL2023 コンテナのホストインスタンスに接続します。

3. AL2023 ホストが FIPS モードになり、コンテナ内から /proc/sys/crypto/fips_enabled へのアクセスが可能な場合、AL2023 コンテナで FIPS モードが自動的に有効になります。/proc/sys/crypto/fips_enabled の値が 0 の場合は FIPS が有効ではなく、値が 1 の場合は FIPS モードが有効になっていることを示します。

   AL2023 のホストとコンテナの両方で、次のコマンドを実行して FIPS が有効になっていることを確認できます。

   cat /proc/sys/crypto/fips_enabled

4. 次に、コンテナ内で FIPS 暗号化ポリシーを有効にします。これを行うには、以下のオプションで説明されているような方法があります。環境に応じて最適なオプションを使用してください。

   1. update-crypto-policies コマンドを使用して、コンテナ内で FIPS 暗号化ポリシーを手動で有効にします。

      # Run these commands inside the container
      dnf install -y crypto-policies-scripts
      update-crypto-policies --set FIPS

   2. AL2023 コンテナ内に bind マウントを作成します (これは他のディストリビューションでの podman の動作と似ています)。

      # Run these commands inside the container
      mount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-ends
      echo "FIPS" > /usr/share/crypto-policies/default-fips-config
      mount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config

   3. AL2023 コンテナが AL2023 ホストの暗号化ポリシーと一致するようにバインドマウントを作成することもできます。以下はあくまで例として示しています。この設定では、コンテナとホストの間で暗号化ポリシーとパッケージのバージョンに互換性のない差異がある場合に問題が発生する可能性があります。

      sudo docker pull amazonlinux:2023
      sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023

5. 上記の手順を実行したら、次のコマンドを使用して、コンテナで FIPS が有効になっていることを再度確認できます。

   $ cat /etc/crypto-policies/config
   FIPS
   
   $ cat /proc/sys/crypto/fips_enabled
   1