在 AL2023 上启用 FIPS 模式 - Amazon Linux 2023
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AL2023 上启用 FIPS 模式

本节介绍如何在 AL2023 上启用“美国联邦信息处理标准 (FIPS)”。有关 FIPS 的更多信息,请参阅:

注意

本节介绍如何在 AL2023 中启用 FIPS 模式,但不包括 AL2023 加密模块的认证状态。

先决条件

  • 现有 AL2023(AL2023.2 或更高版本)Amazon EC2 实例,可以访问互联网并下载所需软件包。有关启动 AL2023 Amazon EC2 实例的更多信息,请参阅使用亚马逊 EC2 控制台启动 AL2023

  • 必须使用 SSH 或 Amazon Systems Manager连接到您的 Amazon EC2 实例。有关更多信息,请参阅 正在连接到 AL2023 实例

重要

FIPS 模式不支持 ED25519 SSH 用户密钥。如果您使用 ED25519 SSH 密钥对启动了 Amazon EC2 实例,则必须使用其他算法(例如 RSA)生成新密钥,否则您在启用 FIPS 模式后可能失去对实例的访问权限。有关更多信息,请参阅 Amazon EC2 用户指南中的创建密钥对

启用 FIPS 模式

  1. 使用 SSH 或 Amazon Systems Manager连接到 AL2023 实例。

  2. 确保系统是最新版本。有关更多信息,请参阅 在 AL2023 中管理软件包和操作系统更新

  3. 确保安装了crypto-policies实用程序,然后 up-to-date。

    sudo dnf -y install crypto-policies crypto-policies-scripts

  4. 通过运行以下命令来启用 FIPS 模式。

    sudo fips-mode-setup --enable

  5. 使用以下命令重新引导实例。

    sudo reboot

  6. 要验证是否已启用 FIPS 模式,请重新连接到实例并运行以下命令。

    sudo fips-mode-setup --check

    以下示例输出显示已启用 FIPS 模式:

    FIPS mode is enabled.
Initramfs fips module is enabled.
The current crypto policy (FIPS) is based on the FIPS policy.