As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Habilitar o modo FIPS em um contêiner do AL2023 Esta seção explica como habilitar o Federal Information Processing Standards (FIPS) em um contêiner do AL2023. Para obter mais informações sobre FIPS, consulte: + [Federal Information Processing Standard (FIPS)](https://aws.amazon.com/compliance/fips/) + [Perguntas frequentes sobre conformidade: Federal Information Processing Standards](https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips) **nota** Esta seção documenta como habilitar o modo FIPS em um contêiner do AL2023. Ela não abrange o status de certificação dos módulos criptográficos do AL2023. **Pré-requisitos** + Uma instância AL2023 (AL2023.2 ou superior) existente do Amazon EC2 com acesso à Internet para baixar os pacotes necessários. Para obter mais informações sobre como iniciar uma instância de AL2023 Amazon EC2, consulte [Inicializar o AL2023 usando o console do Amazon EC2](ec2.md#launch-from-ec2-console). + Você deve se conectar à sua instância do Amazon EC2 usando SSH ou AWS Systems Manager. Para obter mais informações, consulte [Conexão com AL2023 instâncias](connecting-to-instances.md). **Importante** O comando `fips-mode-setup` não funcionará corretamente de dentro do contêiner. Leia as etapas abaixo para configurar corretamente o modo FIPS em um contêiner do AL2023. **Habilitar o modo FIPS em um contêiner do AL2023** 1. O modo FIPS deve primeiro ser habilitado no host do contêiner do AL2023. Siga as instruções em [Habilitar o modo FIPS no AL2023](fips-mode.md) para habilitar o modo FIPS no host. 1. Conecte-se à instância de host do contêiner do AL2023 usando SSH ou AWS Systems Manager. 1. O modo FIPS será habilitado automaticamente em um contêiner do AL2023 se o host do AL2023 estiver no modo FIPS e `/proc/sys/crypto/fips_enabled` puder ser acessado de dentro do contêiner. Se o conteúdo de `/proc/sys/crypto/fips_enabled` é `0`, o FIPS não está habilitado, enquanto um valor de `1` indica que o modo FIPS está habilitado. Você pode verificar se o FIPS está habilitado executando o seguinte comando no host do AL2023 e no contêiner: ``` cat /proc/sys/crypto/fips_enabled ``` 1. Depois, habilite as políticas de criptografia do FIPS dentro do contêiner. Há várias maneiras de fazer isso, descritas nas opções abaixo. Use a opção mais adequada para o seu ambiente. 1. Habilite as políticas de criptografia do FIPS manualmente dentro do contêiner usando o comando `update-crypto-policies`: ``` # Run these commands inside the container dnf install -y crypto-policies-scripts update-crypto-policies --set FIPS ``` 1. Crie montagens `bind` no contêiner do AL2023 (isso é semelhante ao funcionamento de `podman` em outras distribuições): ``` # Run these commands inside the container mount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-ends echo "FIPS" > /usr/share/crypto-policies/default-fips-config mount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config ``` 1. Também é possível criar uma montagem vinculada para que o contêiner do AL2023 corresponda às políticas de criptografia do host do AL2023. O conteúdo a seguir é apenas um exemplo. Essa configuração pode causar problemas se houver diferenças incompatíveis nas políticas de criptografia e nas versões de pacotes entre o contêiner e o host: ``` sudo docker pull amazonlinux:2023 sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023 ``` 1. Depois de executar as etapas acima, você pode verificar novamente se o FIPS está habilitado no contêiner com os seguintes comandos: ``` $ cat /etc/crypto-policies/config FIPS $ cat /proc/sys/crypto/fips_enabled 1 ```