Habilitación del modo FIPS en un contenedor de AL2023 - Amazon Linux 2023

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación del modo FIPS en un contenedor de AL2023

En esta sección se explica cómo habilitar los estándares federales de procesamiento de información (FIPS) en un contenedor de AL2023. Para obtener más información sobre FIPS, consulte:

nota

Esta sección documenta cómo habilitar el modo FIPS en un contenedor de AL2023. No cubre el estado de certificación de los módulos criptográficos de AL2023.

Requisitos previos

  • Una instancia de Amazon EC2 AL2023 (AL2023.2 o superior) existente con acceso a Internet para descargar los paquetes necesarios. Para obtener más información sobre cómo lanzar una instancia de AL2023 en Amazon EC2, consulte Lanzamiento de AL2 023 con la consola de Amazon EC2 .

  • Debe conectarse a la instancia de Amazon EC2 mediante SSH o AWS Systems Manager. Para obtener más información, consulte Conexión a 023 instancias AL2.

importante

El comando fips-mode-setup no funcionará correctamente desde el contenedor. Lea los pasos que se indican a continuación para configurar correctamente el modo FIPS en un contenedor de AL2023.

Habilitación del modo FIPS en un contenedor de AL2023

  1. El modo FIPS debe habilitarse primero en el host del contenedor de AL2023. Siga las instrucciones que aparecen en Habilitar el modo FIPS en AL2023 para habilitar el modo FIPS en el host.

  2. Conéctese a su instancia de host del contenedor de AL2023 con SSH o AWS Systems Manager.

  3. El modo FIPS se habilitará automáticamente en un contenedor de AL2023 si el host de AL2023 está en modo FIPS y se puede acceder a /proc/sys/crypto/fips_enabled desde dentro del contenedor. Si el contenido de /proc/sys/crypto/fips_enabled es 0, FIPS no está habilitado y un valor de 1 indica que el modo FIPS está habilitado.

    Puede verificar que FIPS está habilitado ejecutando el siguiente comando tanto en el host como en el contenedor de AL2023:

    cat /proc/sys/crypto/fips_enabled

  4. A continuación, habilite las crypto-policies de FIPS en el contenedor. Existen varias formas de lograrlo, que se describen en las siguientes opciones. Seleccione la opción que sea mejor para su entorno.

    1. Habilite las crypto-policies de FIPS manualmente en el contenedor mediante el comando update-crypto-policies:

      # Run these commands inside the container
dnf install -y crypto-policies-scripts
update-crypto-policies --set FIPS

    2. Cree montajes de bind dentro del contenedor de AL2023 (esto es similar a cómo funciona podman en otras distribuciones):

      # Run these commands inside the container
mount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-ends
echo "FIPS" > /usr/share/crypto-policies/default-fips-config
mount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config

    3. También es posible crear un montaje de unión para que el contenedor de AL2023 coincida con las crypto-policies del anfitrión de AL2023. Puede ver un ejemplo en el siguiente comando: Esta configuración podría causar problemas si hay diferencias incompatibles en las crypto-policies y las versiones de los paquetes entre el contenedor y el host:

      sudo docker pull amazonlinux:2023
sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023

  5. Tras realizar los pasos anteriores, puede volver a comprobar que FIPS esté habilitado en el contenedor con los siguientes comandos:

    $ cat /etc/crypto-policies/config
FIPS

$ cat /proc/sys/crypto/fips_enabled
1