View a markdown version of this page

AWS Fargate Standar Pemrosesan Informasi Federal (FIPS-140) - Amazon Elastic Container Service
AWS Fargate FIPS-140 PertimbanganGunakan FIPS di FargateGunakan CloudTrail untuk audit Fargate FIPS-140

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Fargate Standar Pemrosesan Informasi Federal (FIPS-140)

Federal Information Processing Standard (FIPS-140) adalah U.S standar pemerintah Kanada yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. FIPS-140 mendefinisikan satu set fungsi kriptografi yang divalidasi yang dapat digunakan untuk mengenkripsi data dalam transit dan data saat istirahat.

Saat Anda mengaktifkan FIPS-140 kepatuhan, Anda dapat menjalankan beban kerja di Fargate dengan cara yang sesuai. FIPS-140 Untuk informasi selengkapnya tentang FIPS-140 kepatuhan, lihat Federal Information Processing Standard (FIPS) 140-3.

AWS Fargate FIPS-140 Pertimbangan

Pertimbangkan hal berikut saat menggunakan FIPS-140 kepatuhan pada Fargate:

  • FIPS-140 kepatuhan hanya tersedia di AWS GovCloud (US) Wilayah.

  • Fargate mendukung versi 140.3 FIPS-140

  • FIPS-140 kepatuhan dimatikan secara default. Anda harus menyalakannya.

  • Amazon CloudWatch tidak mendukung titik akhir FIPS dualstack yang dapat digunakan untuk memantau tugas Amazon ECS dalam IPv6-only konfigurasi yang menggunakan kepatuhan. FIPS-140

  • Tugas Anda harus menggunakan konfigurasi berikut untuk FIPS-140 kepatuhan:

    • operatingSystemFamilyPastiLINUX.

    • cpuArchitecturePastiX86_64.

    • Versi platform Fargate harus 1.4.0 atau lebih baru.

Gunakan FIPS di Fargate

Gunakan prosedur berikut untuk menggunakan FIPS-140 kepatuhan pada Fargate.

  1. Nyalakan FIPS-140 kepatuhan. Untuk informasi selengkapnya, lihat AWS Fargate Standar Pemrosesan Informasi Federal (FIPS-140) kepatuhan.

  2. Anda dapat menggunakan ECS Exec secara opsional untuk menjalankan perintah berikut untuk memverifikasi status FIPS-140 kepatuhan untuk sebuah cluster.

    Ganti cluster-name dengan nama cluster Anda, task-id dengan ID atau ARN tugas Anda, dan container-name dengan nama wadah dalam tugas Anda, Anda ingin menjalankan perintah terhadap.

    Nilai pengembalian “1" menunjukkan bahwa Anda menggunakan FIPS.

    aws ecs execute-command \
    --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

Gunakan CloudTrail untuk audit Fargate FIPS-140

CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Saat aktivitas API dan konsol terjadi di Amazon ECS, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat Peristiwa. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat Melihat Acara dengan Riwayat CloudTrail Acara.

Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk peristiwa untuk Amazon ECS, buat jejak yang CloudTrail digunakan untuk mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol, jejak ini diterapkan ke semua Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat Log panggilan Amazon ECS API menggunakan AWS CloudTrail.

Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan tindakan PutAccountSettingDefault API:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}