在 AL2 023 容器中启用 FIPS 模式 - Amazon Linux 2023
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AL2 023 容器中启用 FIPS 模式

本节介绍如何在 AL2 023 容器中启用联邦信息处理标准 (FIPS)。有关 FIPS 的更多信息,请参阅:

注意

本节记录了如何启用 FIPS AL2023 容器中的模式。它不包括 AL2 023 加密模块的认证状态。

先决条件
重要

fips-mode-setup命令将无法在容器内正常运行。请阅读以下步骤,在 AL2 023 容器中正确配置 FIPS 模式。

在 AL2 023 容器中启用 FIPS 模式

  1. 必须先在 AL2 023 容器主机上启用 FIPS 模式。按照中的说明在主机在 023 上 AL2启用 FIPS 模式上启用 FIPS 模式。

  2. 使用 SSH 或 Amazon Systems Manager Connect 连接到您的 AL2 023 容器主机实例。

  3. 如果 AL2 023 主机处于 FIPS 模式并且可以从容器内部访问,则 AL2 023 容器中将自动启用 FIPS 模式。/proc/sys/crypto/fips_enabled如果的内容/proc/sys/crypto/fips_enabled0,则不启用 FIPS,值为1表示已启用 FIPS 模式。

    您可以通过在 AL2 023 主机和容器上运行以下命令来验证 FIPS 是否已启用:

    cat /proc/sys/crypto/fips_enabled

  4. 接下来,在容器内启用 FIPS crypto-policies。有几种方法可以实现此目的,如以下选项所述。使用最适合您的环境的选项。

    1. 使用以下命令在容器内手动启用 FIPS crypto-policies:update-crypto-policies

      # Run these commands inside the container
dnf install -y crypto-policies-scripts
update-crypto-policies --set FIPS

    2. 在 AL2 023 容器中创建bind挂载(这与其他发行版中的podman工作方式类似):

      # Run these commands inside the container
mount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-ends
echo "FIPS" > /usr/share/crypto-policies/default-fips-config
mount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config

    3. 也可以创建绑定挂载,以便 AL2 023 容器与 AL2 023 主机的加密策略相匹配。以下仅作为示例提供。如果容器和主机之间的 crypto-policies 和包版本存在不兼容的差异,则此配置可能会导致问题:

      sudo docker pull amazonlinux:2023
sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023

  5. 执行上述步骤后,您可以使用以下命令再次验证容器中是否已启用 FIPS:

    $ cat /etc/crypto-policies/config
FIPS

$ cat /proc/sys/crypto/fips_enabled
1