AWS Fargate 聯邦資訊處理標準 (FIPS-140) - Amazon Elastic Container Service
AWS Fargate FIPS-140 考量事項在 Fargate 上使用 FIPS使用 CloudTrail 進行 Fargate FIPS-140 稽核

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Fargate 聯邦資訊處理標準 (FIPS-140)

美國聯邦資訊處理標準 (FIPS-140) 是一項美國和加拿大政府的安全標準,具體說明密碼模組的安全要求,以保護敏感資訊。FIPS-140 定義了一組經驗證的密碼函數,可用於加密傳輸中的資料和靜態資料。

當您啟用 FIPS-140 合規時,您可以在 Fargate 上以符合 FIPS-140 的方式執行工作負載。如需有關 FIPS-140 合規的詳細資訊,請參閱 Federal Information Processing Standard (FIPS) 140-3

AWS Fargate FIPS-140 考量事項

Fargate 上使用 FIPS-140 合規時,請考量下列事項:

  • FIPS-140 合規僅適用於 AWS GovCloud (US) 區域。

  • Fargate 支援 FIPS-140 版本 140.3

  • FIPS-140 合規預設為關閉。您必須將其開啟。

  • Amazon CloudWatch 不支援雙堆疊 FIPS 端點,因此無法監控採用純 IPv6 組態且需符合 FIPS-140 規範的 Amazon ECS 任務。

  • 您的任務必須使用下列組態才能符合 FIPS-140 規範:

    • operatingSystemFamily 必須是 LINUX

    • cpuArchitecture 必須是 X86_64

    • Fargate 平台版本必須是 1.4.0 以上的版本。

在 Fargate 上使用 FIPS

使用下列程序以在 Fargate 上使用 FIPS-140 合規。

  1. 開啟 FIPS-140 合規的功能。如需詳細資訊,請參閱AWS Fargate 聯邦資訊處理標準 (FIPS-140) 合規

  2. 您可以選擇性使用 ECS Exec 執行下列命令,以驗證叢集的 FIPS-140 合規狀態。

    cluster-name 取代為叢集名稱,將 task-id 取代為任務的 ID 或 ARN,並將 container-name 取代為任務中要執行命令的容器名稱。

    傳回值 "1" 表示您正在使用 FIPS。

    aws ecs execute-command \
    --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

使用 CloudTrail 進行 Fargate FIPS-140 稽核

當您建立 AWS 帳戶時,會在您的帳戶中開啟 CloudTrail。當 API 和主控台活動在 Amazon ECS 中發生時,該活動會與事件歷史記錄中的其他 AWS 服務事件一起記錄在 CloudTrail 事件中。您可以在 AWS 帳戶中檢視、搜尋和下載最近的事件。如需詳細資訊,請參閱《使用 CloudTrail 事件歷史記錄檢視事件》https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

若要持續記錄您 AWS 帳戶中的事件,包括 Amazon ECS 的事件,請建立 CloudTrail 用來將日誌檔案交付至 Amazon S3 儲存貯體的線索。根據預設,當您在主控台建立權杖時,權杖會套用到所有區域。線索會記錄 AWS 分割區中所有區域的事件,並將日誌檔案傳送到您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱使用 AWS CloudTrail記錄 Amazon ECS API 呼叫

以下範例顯示的是示範 PutAccountSettingDefault API 動作的 CloudTrail 日誌項目:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}