AWS Fargate Federal Information Processing Standard(FIPS-140) - Amazon Elastic Container Service

AWS Fargate Federal Information Processing Standard(FIPS-140)

FIPS(Federal Information Processing Standard). FIPS-140은 미국 및 캐나다 정부 표준으로서, 기밀 정보를 보호하는 암호화 모듈의 보안 요건을 규정하고 있습니다. FIPS-140은 전송 중 데이터와 저장 데이터를 암호화하는 데 사용할 수 있는 일련의 검증된 암호화 기능을 정의합니다.

FIPS-140 규정 준수를 켜면 Fargate에서 FIPS-140 규정을 준수하는 방식으로 워크로드를 실행할 수 있습니다. FIPS-140 규정 준수에 대한 자세한 내용은 FIPS(Federal Information Processing Standard) 140-2를 참조하세요.

AWS Fargate FIPS-140 고려 사항

Fargate에서 FIPS-140 규정 준수를 사용할 때는 다음 사항을 고려하세요.

  • FIPS-140 규정 준수는 AWS GovCloud (US) 리전에서만 사용할 수 있습니다.

  • FIPS-140 규정 준수는 기본적으로 꺼져 있습니다. 켜야 합니다.

  • FIPS-140 규정 준수를 위해 작업에서 다음 구성을 사용해야 합니다.

    • operatingSystemFamilyLINUX이어야 합니다.

    • cpuArchitectureX86_64이어야 합니다.

    • Fargate 플랫폼 버전은 1.4.0 이상이어야 합니다.

Fargate에서 FIPS 사용

Fargate에서 FIPS-140 규정 준수를 사용하려면 다음 절차를 따르세요.

  1. FIPS-140 규정 준수를 켭니다. 자세한 내용은 AWS Fargate Federal Information Processing Standard(FIPS-140) 규정 준수 단원을 참조하십시오.

  2. 필요할 경우 ECS Exec을 통해 다음 명령을 실행하여 클러스터의 FIPS-140 규정 준수 상태를 확인할 수 있습니다.

    my-cluster를 해당 클러스터의 이름으로 바꿉니다.

    반환 값이 ‘1’이면 FIPS를 사용하고 있음을 나타냅니다.

    aws ecs execute-command --cluster cluster-name \ --interactive \ --command "cat /proc/sys/crypto/fips_enabled"

Fargate FIPS-140 감사에 CloudTrail 사용

CloudTrail은 계정 생성 시 AWS 계정에서 켜집니다. Amazon ECS에서 API 및 콘솔 활동이 수행되면 해당 활동은 이벤트 기록에서 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. AWS 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 설명은 CloudTrail 이벤트 이력을 사용하여 이벤트 보기를 참조하십시오.

Amazon ECS에 대한 이벤트를 포함하여 AWS 계정의 이벤트에 대한 지속적인 기록을 보려면 CloudTrail이 로그 파일을 Amazon S3 버킷으로 전송하는 데 사용하는 추적을 생성하세요. 콘솔에서 추적을 생성하면 기본적으로 모든 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 지역의 이벤트를 로깅하고 지정된 Amazon S3 버킷으로 로그 파일을 전송합니다. 추가적으로, CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 내용은 AWS CloudTrail을 사용하여 Amazon ECS API 직접 호출 로깅 단원을 참조하십시오.

다음 예제는 PutAccountSettingDefault API 작업을 보여주는 CloudTrail 로그 항목을 나타냅니다.

{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDAIV5AJI5LXF5EXAMPLE", "arn": "arn:aws:iam::123456789012:user/jdoe", "accountId": "123456789012", "accessKeyId": "AKIAIPWIOFC3EXAMPLE", }, "eventTime": "2023-03-01T21:45:18Z", "eventSource": "ecs.amazonaws.com", "eventName": "PutAccountSettingDefault", "awsRegion": "us-gov-east-1", "sourceIPAddress": "52.94.133.131", "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting", "requestParameters": { "name": "fargateFIPSMode", "value": "enabled" }, "responseElements": { "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:user/jdoe" } }, "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE", "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com" } }