本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AL2 中的安全與合規
的雲端安全性AWS是最高優先順序。身為AWS客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端的安全性和雲端中的安全性:
+ **雲端的安全性** – AWS負責保護在 AWSCloud 中執行 AWS服務的基礎設施。 AWS也為您提供可安全使用的服務。在[AWS合規計畫](https://aws.amazon.com/compliance/programs/)中,第三方稽核人員會定期測試和驗證我們的安全有效性。若要了解適用於 AL2023 的合規計劃,請參閱[AWS合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端內部的安全**:您的責任取決於所使用的 AWS 服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
# 在 AL2 上啟用 FIPS 模式
本節說明如何在 AL2 上啟用聯邦資訊處理標準 (FIPS)。如需 FIPS 的詳細資訊,請參閱:
+ [美國聯邦資訊處理標準 (FIPS)](https://aws.amazon.com/compliance/fips/)
+ [法規遵循常見問題集:美國聯邦資訊處理標準](https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips)
**先決條件**
+ 可存取網際網路以下載必要套件的現有 AL2 Amazon EC2 執行個體。如需啟動 AL2 Amazon EC2 執行個體的詳細資訊,請參閱 [Amazon EC2 上的 AL2 Amazon EC2](ec2.md)。
+ 您必須使用 SSH 或 連線到 Amazon EC2 AWS Systems Manager執行個體。
**重要**
FIPS 模式不支援 ED25519 SSH 使用者金鑰。如果使用 ED25519 SSH 金鑰對啟動 Amazon EC2 執行個體,您必須使用其他演算法 (例如 RSA) 產生新金鑰,否則可能無法在啟用 FIPS 模式後存取執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[建立金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html)。
**啟用 FIPS 模式**
1. 使用 SSH 或 連線到 AL2 執行個體AWS Systems Manager。
1. 請確保系統為最新版本。如需詳細資訊,請參閱[套件儲存庫](ec2.md#package-repository)。
1. 執行下列命令來安裝和啟用`dracut-fips`模組。
```
sudo yum -y install dracut-fips
sudo dracut -f
```
1. 使用下列命令在 Linux 核心命令列上啟用 FIPS 模式。這將為 [AL2 常見問答集](https://aws.amazon.com/amazon-linux-2/faqs/)中列出的模組啟用整個系統的 FIPS 模式
```
sudo /sbin/grubby --update-kernel=ALL --args="fips=1"
```
1. 重新啟動您的 AL2 執行個體。
```
sudo reboot
```
1. 若要驗證 FIPS 模式是否已啟用,請重新連線到執行個體,然後執行下列命令:
```
sysctl crypto.fips_enabled
```
您應該會看到下列輸出:
```
crypto.fips_enabled = 1
```
您也可以執行下列命令來驗證 OpenSSH 是否處於 FIPS 模式:
```
ssh localhost 2>&1 | grep FIPS
```
您應該會看到下列輸出:
```
FIPS mode initialized
```