AWS Fargate 聯邦資訊處理標準 (FIPS-140) - Amazon Elastic Container Service
AWS Fargate FIPS-140 考量事項在 Fargate FIPS上使用 CloudTrail 用於 Fargate FIPS-140 稽核

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Fargate 聯邦資訊處理標準 (FIPS-140)

聯邦資訊處理標準 (FIPS)。FIPS-140 是美國和加拿大政府標準,指定保護敏感資訊之密碼編譯模組的安全要求。FIPS-140 定義一組經過驗證的密碼編譯函數,可用於加密傳輸中的資料和靜態資料。

當您開啟 FIPS-140 合規時,您可以以符合 FIPS-140 的方式在 Fargate 上執行工作負載。如需 FIPS-140 合規的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2

AWS Fargate FIPS-140 考量事項

在 Fargate 上使用 FIPS-140 合規時,請考慮下列事項:

  • FIPS-140 合規僅適用於 AWS GovCloud (US) 區域。

  • FIPS-140 合規預設為關閉。您必須將其開啟。

  • 您的任務必須使用下列組態來實現 FIPS-140 合規:

    • operatingSystemFamily 必須是 LINUX

    • cpuArchitecture 必須是 X86_64

    • Fargate 平台版本必須是 1.4.0 以上的版本。

在 Fargate FIPS上使用

使用下列程序在 Fargate 上使用 FIPS-140 合規。

  1. 開啟 FIPS-140 合規。如需詳細資訊,請參閱AWS Fargate 聯邦資訊處理標準 (FIPS-140) 合規

  2. 您可以選擇性地使用 ECS Exec 執行下列命令,以驗證叢集的 FIPS-140 合規狀態。

    Replace (取代) my-cluster 您的叢集名稱。

    傳回值 "1" 表示您正在使用 FIPS。

    aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

CloudTrail 用於 Fargate FIPS-140 稽核

CloudTrail 當您建立 AWS 帳戶時, 會在您的帳戶中開啟。當 API和 主控台活動在 Amazon 中發生時ECS,該活動會與 CloudTrail 事件歷史記錄 中的其他 AWS 服務事件一起記錄在事件中。您可以在 AWS 帳戶中檢視、搜尋和下載最近的事件。如需詳細資訊,請參閱檢視具有事件歷史記錄 CloudTrail 的事件。

若要持續記錄您 AWS 帳戶中的事件,包括 Amazon 的事件ECS,請建立 CloudTrail 用於將日誌檔案傳遞至 Amazon S3 儲存貯體的追蹤。根據預設,當您在主控台建立權杖時,權杖會套用到所有區域。追蹤會記錄 AWS 分割區中所有 區域的事件,並將日誌檔案傳送至您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析 CloudTrail 日誌中收集的事件資料並對其採取行動。如需詳細資訊,請參閱使用 記錄 Amazon ECSAPI呼叫 AWS CloudTrail

下列範例顯示示範 PutAccountSettingDefaultAPI動作的 CloudTrail 日誌項目:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}