AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140) - Amazon Elastic Container Service
AWS Fargate Considerazioni sulla FIPS-140Uso di FIPS su FargateUso CloudTrail per il controllo FIPS-140 di Fargate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Fargate Standard federale per l'elaborazione delle informazioni (FIPS-140)

Federal Information Processing Standard (FIPS). FIPS-140 è uno standard di sicurezza del governo degli Stati Uniti e del Canada che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono informazioni sensibili. FIPS-140 definisce una serie di funzioni di crittografia convalidate che si possono utilizzare per la crittografia dei dati in transito e dei dati a riposo.

Quando attivi la conformità a FIPS-140, puoi eseguire carichi di lavoro su Fargate in maniera conforme a FIPS-140. Per ulteriori informazioni sulla conformità a FIPS-140, consulta Federal Information Processing Standard (FIPS) 140-2.

AWS Fargate Considerazioni sulla FIPS-140

Quando utilizzi la conformità a FIPS-140 su Fargate, tieni in considerazione i fattori seguenti:

  • La conformità a FIPS-140 è disponibile solo nelle Regioni AWS GovCloud (US) .

  • La conformità a FIPS-140 è disattivata per impostazione predefinita. Devi attivarla.

  • Per la conformità a FIPS-140, le tue attività devono utilizzare la configurazione seguente:

    • operatingSystemFamily deve essere LINUX.

    • cpuArchitecture deve essere X86_64.

    • La versione della piattaforma Fargate deve essere 1.4.0 o successiva.

Uso di FIPS su Fargate

Utilizza la procedura seguente per adottare la conformità a FIPS-140 su Fargate.

  1. Attiva la conformità a FIPS-140. Per ulteriori informazioni, consulta AWS Fargate Conformità al Federal Information Processing Standard (FIPS-140).

  2. Facoltativamente, puoi utilizzare ECS Exec per eseguire il comando seguente allo scopo di verificare lo stato di conformità a FIPS-140 di un cluster.

    Sostituisci my-cluster con il nome del tuo cluster.

    Un valore restituito corrispondente a "1" indica che stai utilizzando FIPS.

    aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

Uso CloudTrail per il controllo FIPS-140 di Fargate

CloudTrail è attivata nel tuo AWS account quando crei l'account. Quando si verifica un'attività di API e console in Amazon ECS, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi. Puoi visualizzare, cercare e scaricare eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli CloudTrail eventi.

Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Amazon ECS, crea un percorso da CloudTrail utilizzare per distribuire i file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un trail nella console, il trail sarà valido in tutte le regioni. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta Registra le chiamate API di Amazon ECS utilizzando AWS CloudTrail.

L'esempio seguente mostra una voce di CloudTrail registro che illustra l'azione dell'PutAccountSettingDefaultAPI:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}