기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AL2023 컨테이너에서 FIPS 모드 활성화
<a name="fips-mode-container"></a>

이 섹션에서는 AL2023 컨테이너에서 연방 정보 처리 표준(FIPS)을 활성화하는 방법을 안내합니다. FIPS에 대한 자세한 내용은 다음을 참조하세요.
+ [연방 정보 처리 표준(FIPS)](https://aws.amazon.com/compliance/fips/)
+ [연방 정보 처리 표준 규정 준수 FAQs](https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips)

**참고**  
이 섹션에서는 AL2023 컨테이너에서 FIPS 모드를 활성화하는 방법을 설명합니다. AL2023 암호화 모듈의 인증 상태는 다루지 않습니다.

**사전 조건**
+ 인터넷에 액세스하여 필수 패키지를 다운로드할 수 있는 기존 AL2023(AL2023.2 이상) Amazon EC2 인스턴스. AL2023 Amazon EC2 인스턴스를 실행하는 방법에 대한 자세한 내용은 [Amazon EC2 콘솔에서 AL2023 시작](ec2.md#launch-from-ec2-console)을 참조하세요.
+ SSH 또는 AWS Systems Manager를 사용하여 Amazon EC2 인스턴스를 연결합니다. 자세한 내용은 [AL2023 인스턴스에 연결](connecting-to-instances.md) 섹션을 참조하세요.

**중요**  
`fips-mode-setup` 명령은 컨테이너 내에서 올바르게 작동하지 않습니다. 아래 단계를 읽고 AL2023 컨테이너에서 FIPS 모드를 올바르게 구성하세요.

**AL2023 컨테이너에서 FIPS 모드 활성화**

1. FIPS 모드는 먼저 AL2023 컨테이너 호스트에서 활성화해야 합니다. [AL2023에서 FIPS 모드 활성화](fips-mode.md)의 지침에 따라 호스트에서 FIPS 모드를 활성화합니다.

1. SSH 또는 AWS Systems Manager를 사용하여 AL2023 컨테이너 호스트 인스턴스에 연결합니다.

1. AL2023 호스트가 FIPS 모드이고 `/proc/sys/crypto/fips_enabled`가 컨테이너 내에서 액세스할 수 있는 경우 AL2023 컨테이너에서 FIPS 모드가 자동으로 활성화됩니다. `/proc/sys/crypto/fips_enabled`의 내용이 `0`이면 FIPS가 활성화되지 않고 값 `1`은 FIPS 모드가 활성화되었음을 나타냅니다.

   AL2023 호스트와 컨테이너 모두에서 다음 명령을 실행하여 FIPS가 활성화되었는지 확인할 수 있습니다.

   ```
   cat /proc/sys/crypto/fips_enabled
   ```

1. 그런 다음 컨테이너 내에서 FIPS 암호화 정책을 활성화합니다. 이를 수행하는 방법에는 아래 옵션에 설명된 여러 가지가 있습니다. 해당 환경에 가장 적합한 옵션을 사용합니다.

   1. `update-crypto-policies` 명령을 사용하여 컨테이너 내에서 수동으로 FIPS 암호화 정책을 활성화합니다.

      ```
      # Run these commands inside the container
      dnf install -y crypto-policies-scripts
      update-crypto-policies --set FIPS
      ```

   1. AL2023 컨테이너 내에 `bind` 탑재를 생성합니다(다른 배포에서 `podman`이 작동하는 방식과 유사).

      ```
      # Run these commands inside the container
      mount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-ends
      echo "FIPS" > /usr/share/crypto-policies/default-fips-config
      mount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config
      ```

   1. AL2023 컨테이너가 AL2023 호스트의 암호화 정책과 일치하도록 바인드 탑재를 생성할 수도 있습니다. 다음 명령만 예제로 제공됩니다. 컨테이너와 호스트 간에 암호화 정책 및 패키지 버전에 호환되지 않는 차이가 있는 경우 이 구성으로 인해 문제가 발생할 수 있습니다.

      ```
      sudo docker pull amazonlinux:2023
      sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023
      ```

1. 위의 단계를 수행한 후 다음 명령을 사용하여 컨테이너에서 FIPS가 활성화되어 있는지 다시 확인할 수 있습니다.

   ```
   $ cat /etc/crypto-policies/config
   FIPS
   
   $ cat /proc/sys/crypto/fips_enabled
   1
   ```