我使用
创建了一个 ec2 实例provider "aws" {
region = "us-west-2"
use_fips_endpoint = true
endpoints {
ec2 = "https://ec2-fips.us-west-2.amazonaws.com"
}
}
创建实例后,我可以在内核中设置 fips-mode,但是上面的“端点”设置提供了什么?
AWS FIPS 端点不适用于从 AWS VPC 内访问 AWS 服务 API(例如,将流量保留在 AWS 私有云网络内)。您对 FIPS 端点的请求仍将通过公共互联网传输。您只需从本地计算机向 AWS FIPS 终端节点运行 curl 即可轻松测试:
➜ ~ curl -I https://ec2-fips.us-west-2.amazonaws.com
HTTP/1.1 400 Bad Request
x-amzn-RequestId: e2d860b8-9962-4c39-954b-b80b89fef829
Cache-Control: no-cache, no-store
Strict-Transport-Security: max-age=31536000; includeSubDomains
vary: accept-encoding
Content-Type: text/xml;charset=UTF-8
Transfer-Encoding: chunked
Date: Thu, 08 Jun 2023 16:02:11 GMT
Connection: close
Server: AmazonEC2
如果您希望将 AWS API 请求保留在 VPC 和 AWS 专用网络内,则该功能由AWS VPC 终端节点
(又名 PrivateLink)提供! 相反,AWS FIPS 终端节点是符合 FIPS(联邦信息处理标准)140-2 的 AWS 服务 API 终端节点。 FIPS 终端节点只能使用比标准 AWS 服务终端节点更安全的加密模块和 TLS 版本。 人们可能想要或需要使用 FIPS 端点的原因是在为遵守 FedRAMP 等合规性框架的美国政府组织部署解决方案时。 FedRAMP 要求所有向 AWS 发出的请求均通过符合 FIPS 140-2 的服务端点发出。
有关服务端点的 AWS 一般参考文档:
https://docs.aws.amazon.com/general/latest/gr/rande.html#FIPS-endpointshttps://aws.amazon.com/compliance/fips/#FIPS_Endpoints_by_Service