

 **Aidez à améliorer cette page** 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Mise en conformité FIPS des composants master de travail avec les AMI Bottlerocket FIPS
<a name="bottlerocket-fips-amis"></a>

La norme Federal Information Processing Standard (FIPS) Publication 140-3 est un standard gouvernemental des États-Unis et du Canada qui définit les exigences de sécurité applicables aux modules cryptographiques protégeant des informations sensibles. Bottlerocket facilite la conformité à la norme FIPS en fournissant des AMI incluant un noyau compatible FIPS.

Ces AMI sont préconfigurées pour utiliser des modules cryptographiques validés FIPS 140-3. Cela inclut le module cryptographique Amazon Linux 2023 Kernel Crypto API et le module cryptographique Go.

L'utilisation des AMI FIPS Bottlerocket rend vos nœuds de travail « prêts pour la norme FIPS », mais pas automatiquement « ». FIPS-compliant Pour plus d'informations, consultez la [norme fédérale de traitement de l'information (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

## Considérations
<a name="_considerations"></a>
+ Si votre cluster utilise des sous-réseaux isolés, le point de terminaison FIPS d’Amazon ECR risque de ne pas être accessible. Cela peut entraîner l’échec de l’amorçage des nœuds. Assurez-vous que votre configuration réseau permet d’accéder aux points de terminaison FIPS nécessaires. *Pour plus d'informations, consultez la section [Accès à une ressource via un point de terminaison VPC de ressource](https://docs.aws.amazon.com/vpc/latest/privatelink/use-resource-endpoint.html) dans le AWS PrivateLink Guide.*
+ Si votre cluster utilise un sous-réseau avec [PrivateLink](vpc-interface-endpoints.md), assurez-vous d'avoir configuré les points de terminaison Amazon ECR PrivateLink FIPS. Amazon ECR prend en charge les points de terminaison FIPS via. PrivateLink Pour plus d'informations, consultez la section Points de terminaison [VPC de l'interface Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html).

## Création d’un groupe de nœuds géré avec une AMI Bottlerocket FIPS
<a name="_create_a_managed_node_group_with_a_bottlerocket_fips_ami"></a>

L'AMI FIPS Bottlerocket est disponible en quatre variantes pour prendre en charge vos charges de travail :
+  `BOTTLEROCKET_x86_64_FIPS` 
+  `BOTTLEROCKET_ARM_64_FIPS` 
+  `BOTTLEROCKET_x86_64_NVIDIA_FIPS` 
+  `BOTTLEROCKET_ARM_64_NVIDIA_FIPS` 

Pour créer un groupe de nœuds géré utilisant une AMI Bottlerocket FIPS, choisissez le type d’AMI approprié lors du processus de création. Pour de plus amples informations, veuillez consulter [Création d’un groupe de nœuds gérés pour votre cluster](create-managed-node-group.md).

Pour plus d'informations sur la sélection FIPS-enabled des variantes, consultez[Récupérer les ID d’AMI Bottlerocket recommandés](retrieve-ami-id-bottlerocket.md).

## Désactiver le point de terminaison FIPS s'il n'est pas pris en charge AWS Régions
<a name="disable_the_fips_endpoint_for_non_supported_shared_aws_regions"></a>

Les AMI FIPS Bottlerocket sont prises en charge directement aux États-Unis d'Amérique, y compris dans les régions (américaines). AWS GovCloud Pour AWS les régions où les AMI sont disponibles mais ne sont pas prises en charge directement, vous pouvez toujours utiliser les AMI en créant un groupe de nœuds gérés avec un modèle de lancement.

Les AMI Bottlerocket FIPS s’appuient sur le point de terminaison FIPS d’Amazon ECR lors de l’amorçage, mais ce point de terminaison n’est généralement pas disponible en dehors des États-Unis. Pour utiliser l'AMI pour son noyau FIPS dans les AWS régions où le point de terminaison Amazon ECR FIPS n'est pas disponible, procédez comme suit pour désactiver le point de terminaison FIPS :

1. Créez un nouveau fichier de configuration avec le contenu ci-dessous, ou ajoutez-le à votre fichier de configuration existant.

```
[default]
use_fips_endpoint=false
```

1. Encodez le contenu du fichier au format Base64.

1. Dans la section `UserData` de votre modèle de lancement, ajoutez la chaîne encodée ci-dessus au format TOML :

```
[settings.aws]
config = "<your-base64-encoded-string>"
```

Pour les autres paramètres, consultez la [description des paramètres de Bottlerocket sur](https://github.com/bottlerocket-os/bottlerocket?tab=readme-ov-file#description-of-settings). GitHub

Voici un exemple de `UserData` d’un modèle de lancement :

```
[settings]
motd = "Hello from eksctl!"
[settings.aws]
config = "W2RlZmF1bHRdCnVzZV9maXBzX2VuZHBvaW50PWZhbHNlCg==" # Base64-encoded string.
[settings.kubernetes]
api-server = "<api-server-endpoint>"
cluster-certificate = "<cluster-certificate-authority>"
cluster-name = "<cluster-name>"
...<other-settings>
```

Pour plus d’informations sur la création d’un modèle de lancement contenant des données utilisateur, consultez [Personnaliser les nœuds gérés à l’aide de modèles de lancement](launch-templates.md).