Amazon Fargate 美国联邦信息处理标准(FIPS-140) - Amazon Elastic Container Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Fargate 美国联邦信息处理标准(FIPS-140)

美国联邦信息处理标准(FIPS)。FIPS-140 是美国和加拿大政府标准,其中规定了对保护敏感信息的加密模块的安全要求。FIPS-140 定义了一组经过验证的加密函数,可用于加密传输中的数据和静态数据。

开启 FIPS-140 合规性后,您可以以符合 FIPS-140 的方式在 Fargate 上运行工作负载。有关 FIPS-140 合规性的更多信息,请参阅美国联邦信息处理标准(FIPS)140-2

注意事项

在 Fargate 上使用 FIPS-140 合规性时,考虑以下各项:

  • FIPS-140 合规性仅在 Amazon GovCloud (US) 区域可用。

  • FIPS-140 合规性默认关闭。您必须将其开启。

  • 您的任务必须使用 FIPS-140 合规性的以下配置:

    • operatingSystemFamily 必须是 LINUX

    • cpuArchitecture 必须是 X86_64

    • Fargate 平台版本必须为 1.4.0 或更高版本。

在 Fargate 上使用 FIPS

请按照以下程序在 Fargate 上使用 FIPS-140 合规性。

  1. 开启 FIPS-140 合规性。有关更多信息,请参见 Amazon Fargate 美国联邦信息处理标准(FIPS-140)合规性

  2. 您可以选择使用 ECS Exec 运行以下命令来验证集群的 FIPS-140 合规性状态。

    my-cluster 替换为您集群的名称。

    返回值“1”表示您正在使用 FIPS。

    aws ecs execute-command --cluster cluster-name \ --interactive \ --command "cat /proc/sys/crypto/fips_enabled"

CloudTrail 用于审计

CloudTrail 在您创建Amazon账户时已在您的账户中开启。当 Amazon ECS 中发生 API 和控制台活动时,该活动会与其他Amazon服务 CloudTrail 事件一起记录在事件历史记录中。您可以在 Amazon 账户中查看、搜索和下载最新事件。有关更多信息,请参阅使用事件历史记录查看 CloudTrail 事件

要持续记录您的Amazon账户中的事件,包括 Amazon ECS 的事件,请创建一个用于将日志文件传输到 Amazon S3 存储桶的跟踪。 CloudTrail 默认情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有区域。此跟踪记录在 Amazon 分区中记录所有区域中的事件,并将日志文件传送至您指定的 Simple Storage Service(Amazon S3)存储桶。此外,您可以配置其他Amazon服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参见 使用 Amazon CloudTrail 记录 Amazon ECS API 调用

以下示例显示了演示 PutAccountSettingDefault API 操作的 CloudTrail 日志条目:

{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDAIV5AJI5LXF5EXAMPLE", "arn": "arn:aws:iam::123456789012:user/jdoe", "accountId": "123456789012", "accessKeyId": "AKIAIPWIOFC3EXAMPLE", }, "eventTime": "2023-03-01T21:45:18Z", "eventSource": "ecs.amazonaws.com", "eventName": "PutAccountSettingDefault", "awsRegion": "us-gov-east-1", "sourceIPAddress": "52.94.133.131", "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting", "requestParameters": { "name": "awsvpcTrunking", "value": "enabled" }, "responseElements": { "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:user/jdoe" } }, "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE", "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com" } }