AWS Fargate FIPS-140 Considérations Utilisation FIPS sur Fargate À utiliser CloudTrail pour l'audit Fargate FIPS -140

AWS Fargate Norme fédérale de traitement de l'information (FIPS-140)

Norme fédérale de traitement de l'information (FIPS). FIPS-140 est une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. FIPS-140 définit un ensemble de fonctions cryptographiques validées qui peuvent être utilisées pour chiffrer les données en transit et les données au repos.

Lorsque vous activez la conformité FIPS -140, vous pouvez exécuter des charges de travail sur Fargate conformément à la norme -140. FIPS Pour plus d'informations sur la conformité à la norme FIPS -140, consultez la norme fédérale de traitement de l'information (FIPS) 140-2.

AWS Fargate FIPS-140 Considérations

Tenez compte des points suivants lorsque vous utilisez la conformité FIPS -140 sur Fargate :

FIPSLa conformité -140 n'est disponible que dans les AWS GovCloud (US) régions.
FIPSLa conformité -140 est désactivée par défaut. Vous devez l'activer.
Vos tâches doivent utiliser la configuration suivante pour garantir la conformité à la FIPS norme -140 :
- Le operatingSystemFamily doit être LINUX.
- Le cpuArchitecture doit être X86_64.
- La version de plateforme Fargate doit être 1.4.0 ou ultérieure.

Utilisation FIPS sur Fargate

Utilisez la procédure suivante pour utiliser la conformité FIPS -140 sur Fargate.

Activez la conformité FIPS -140. Pour de plus amples informations, veuillez consulter AWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140).
Vous pouvez éventuellement utiliser ECS Exec pour exécuter la commande suivante afin de vérifier l'état de conformité FIPS -140 d'un cluster.

Remplacez my-cluster avec le nom de votre cluster.

Une valeur de retour de « 1 » indique que vous utilisezFIPS.
```
aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"
```

À utiliser CloudTrail pour l'audit Fargate FIPS -140

CloudTrail est activé dans votre AWS compte lorsque vous le créez. Lorsqu'APIune activité sur la console se produit sur AmazonECS, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section Affichage des événements à l'aide de l'historique des CloudTrail événements.

Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour AmazonECS, créez un journal qui sera CloudTrail utilisé pour envoyer les fichiers journaux vers un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d’activité dans la console, il s’applique à toutes les régions. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour de plus amples informations, veuillez consulter Enregistrez les ECS API appels Amazon en utilisant AWS CloudTrail.

L'exemple suivant montre une entrée de CloudTrail journal qui illustre l'PutAccountSettingDefaultAPIaction :


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques en matière de conformité et de sécurité

Sécurité de l’infrastructure