Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Fargate Standar Pemrosesan Informasi Federal (FIPS-140)
Standar Pemrosesan Informasi Federal (FIPS). FIPS-140 adalah standar pemerintah AS dan Kanada yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. FIPS-140 mendefinisikan satu set fungsi kriptografi yang divalidasi yang dapat digunakan untuk mengenkripsi data dalam transit dan data saat istirahat.
Saat Anda mengaktifkan kepatuhan FIPS -140, Anda dapat menjalankan beban kerja di Fargate dengan cara yang sesuai dengan -140. FIPS Untuk informasi selengkapnya tentang kepatuhan FIPS -140, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-2
AWS Fargate FIPS-140 Pertimbangan
Pertimbangkan hal berikut saat menggunakan kepatuhan FIPS -140 pada Fargate:
-
FIPSKepatuhan -140 hanya tersedia di AWS GovCloud (US) Wilayah.
-
FIPS-140 kepatuhan dimatikan secara default. Anda harus menyalakannya.
-
Tugas Anda harus menggunakan konfigurasi berikut untuk kepatuhan FIPS -140:
-
operatingSystemFamily
HarusLINUX
. -
cpuArchitecture
HarusX86_64
. -
Versi platform Fargate harus
1.4.0
atau lebih baru.
-
Gunakan FIPS di Fargate
Gunakan prosedur berikut untuk menggunakan kepatuhan FIPS -140 pada Fargate.
-
Nyalakan kepatuhan FIPS -140. Untuk informasi selengkapnya, lihat AWS Fargate Kepatuhan Standar Pemrosesan Informasi Federal (FIPS-140).
-
Anda dapat menggunakan ECS Exec secara opsional untuk menjalankan perintah berikut untuk memverifikasi status kepatuhan FIPS -140 untuk sebuah cluster.
Ganti
my-cluster
dengan nama cluster Anda.Nilai pengembalian “1" menunjukkan bahwa Anda menggunakanFIPS.
aws ecs execute-command --cluster
cluster-name
\ --interactive \ --command "cat /proc/sys/crypto/fips_enabled"
Gunakan CloudTrail untuk audit Fargate FIPS -140
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Kapan API dan aktivitas konsol terjadi di AmazonECS, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat Acara. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat Melihat Acara dengan Riwayat CloudTrail Acara.
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk peristiwa untuk AmazonECS, buat jejak yang CloudTrail digunakan untuk mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol, jejak ini diterapkan ke semua Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat Log ECS API panggilan Amazon menggunakan AWS CloudTrail.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan PutAccountSettingDefault
API tindakan:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAIV5AJI5LXF5EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/jdoe",
"accountId": "123456789012",
"accessKeyId": "AKIAIPWIOFC3EXAMPLE",
},
"eventTime": "2023-03-01T21:45:18Z",
"eventSource": "ecs.amazonaws.com",
"eventName": "PutAccountSettingDefault",
"awsRegion": "us-gov-east-1",
"sourceIPAddress": "52.94.133.131",
"userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
"requestParameters": {
"name": "fargateFIPSMode",
"value": "enabled"
},
"responseElements": {
"setting": {
"name": "fargateFIPSMode",
"value": "enabled",
"principalArn": "arn:aws:iam::123456789012:user/jdoe"
}
},
"requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
"eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
}
}