AWS Fargate FIPS-140 Considérations Utilisation de FIPS sur Fargate Utilisation CloudTrail pour l'audit Fargate FIPS-140

AWS Fargate Norme fédérale de traitement de l'information (FIPS-140)

La norme fédérale de traitement de l'information (FIPS-140) est une U.S norme gouvernementale canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. FIPS-140 définit un ensemble de fonctions cryptographiques validées qui peuvent être utilisées pour chiffrer les données en transit et les données au repos.

Lorsque vous activez la FIPS-140 conformité, vous pouvez exécuter des charges de travail sur Fargate conformément à. FIPS-140 Pour plus d'informations sur FIPS-140 la conformité, consultez la norme fédérale de traitement de l'information (FIPS) 140-3.

AWS Fargate FIPS-140 Considérations

Tenez compte des points suivants lorsque vous utilisez FIPS-140 Compliance sur Fargate :

FIPS-140 la conformité n'est disponible que dans les AWS GovCloud (US) régions.
Fargate prend en charge la version 140.3 FIPS-140
FIPS-140 la conformité est désactivée par défaut. Vous devez l'activer.
Amazon CloudWatch ne prend pas en charge un point de terminaison FIPS à double pile pouvant être utilisé pour surveiller les tâches Amazon ECS dans une IPv6-only configuration basée sur la conformité. FIPS-140
Pour des raisons de FIPS-140 conformité, vos tâches doivent utiliser la configuration suivante :
- Le operatingSystemFamily doit être LINUX.
- Le cpuArchitecture doit être X86_64.
- La version de plateforme Fargate doit être 1.4.0 ou ultérieure.

Utilisation de FIPS sur Fargate

Utilisez la procédure suivante pour utiliser la FIPS-140 conformité sur Fargate.

Activez la FIPS-140 conformité. Pour de plus amples informations, veuillez consulter AWS Fargate Conformité à la norme fédérale de traitement de l'information (FIPS-140).
Vous pouvez éventuellement utiliser ECS Exec pour exécuter la commande suivante afin de vérifier l'état de FIPS-140 conformité d'un cluster.

Remplacez-le cluster-name par le nom de votre cluster, task-id par l'ID ou l'ARN de votre tâche et container-name par le nom du conteneur de votre tâche sur lequel vous souhaitez exécuter la commande.

Une valeur renvoyée de « 1 » indique que vous utilisez FIPS.
```
aws ecs execute-command \
    --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"
```

Utilisation CloudTrail pour l'audit Fargate FIPS-140

CloudTrail est activé dans votre AWS compte lorsque vous le créez. Lorsque l'activité de l'API et de la console se produit dans Amazon ECS, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements.

Pour un enregistrement continu des événements de votre AWS compte, y compris des événements relatifs à Amazon ECS, créez un journal qui CloudTrail sera utilisé pour envoyer les fichiers journaux dans un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions . Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour de plus amples informations, veuillez consulter Enregistrez les appels d'API Amazon ECS à l'aide de AWS CloudTrail.

L'exemple suivant montre une entrée de CloudTrail journal qui illustre l'action de l'PutAccountSettingDefaultAPI :


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Pratiques exemplaires en matière de conformité et de sécurité

Sécurité de l’infrastructure