在 AL2023 上启用 FIPS 模式 - Amazon Linux 2023
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 AL2023 上启用 FIPS 模式

这部分介绍如何在 AL2023 上启用“美国联邦信息处理标准 (FIPS)”。有关 FIPS 的更多信息,请参阅:

注意

这部分介绍如何在 AL2023 中启用 FIPS 模式,但不包括 AL2023 加密模块的认证状态。

先决条件

  • 现有 AL2023(AL2023.2 或更高版本)Amazon EC2 实例,可以访问互联网并下载所需软件包。有关启动 AL2023 Amazon EC2 实例的更多信息,请参阅使用 Amazon EC2 控制台启动 AL2023

  • 必须使用 SSH 或 Amazon Systems Manager 连接到您的 Amazon EC2 实例。有关更多信息,请参阅 连接到 AL2023 实例

重要

FIPS 模式不支持 ED25519 SSH 用户密钥。如果您使用 ED25519 SSH 密钥对启动了 Amazon EC2 实例,则必须使用其他算法(例如 RSA)生成新密钥,否则您在启用 FIPS 模式后可能失去对实例的访问权限。更多信息,请参阅《Amazon EC2 用户指南》中的创建密钥对

启用 FIPS 模式

  1. 使用 SSH 或 Amazon Systems Manager 连接到 AL2023 实例。

  2. 确保系统是最新版本。有关更多信息,请参阅 在 AL2023 中管理程序包和操作系统更新。

  3. 确保已安装 crypto-policies 实用程序且为最新版本。

    sudo dnf -y install crypto-policies crypto-policies-scripts

  4. 通过运行以下命令来启用 FIPS 模式。这将为 AL2023 常见问题解答中列出的模块系统范围内启用 FIPS 模式 

    sudo fips-mode-setup --enable

  5. 使用以下命令重新引导实例。

    sudo reboot

  6. 要验证是否已启用 FIPS 模式,请重新连接到实例并运行以下命令。

    sudo fips-mode-setup --check

    以下示例输出显示已启用 FIPS 模式:

    FIPS mode is enabled.