安全性与合规性

UiPath™ 服务的安全上下文

本节提供有关 UiPath™ 服务的安全上下文的详细信息。

所有 UiPath™ 服务都配置有 spec 部分中定义的安全上下文。以下示例显示了所有服务的配置，但 du-cjk-ocr 除外：

spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false

对于 du-cjk-ocr 服务，readOnlyRootFilesystem 参数的值为false。有关 du-cjk-ocr 的更多信息，请参阅 Document Understanding 文档。

在某些情况下，用户 ID 和组 ID 可以大于或等于 1000。根据您的环境，此类值是否允许由您决定。请务必根据您的安全原则和组织的安全准则配置用户 ID 和组 ID。

启用 FIPS 140-2

联邦信息处理标准 140-2 (FIPS 140-2) 是用于验证加密模块有效性的安全标准。

在以下情况，您可以在安装 Automation Suite 的计算机上启用 FIPS 140-2：

在执行 Automation Suite 2023.4 或更高版本的全新安装之前，请启用 FIPS 140-2。有关详细信息，请参阅“更新凭据”。场景 1：新安装
在禁用 FIPS-140-2 的计算机上执行 Automation Suite 安装后，启用 FIPS 140-2。有关详细信息，请参阅场景 2：现有安装。

场景 1：新安装

要在计划执行 Automation Suite 全新安装的计算机上启用 FIPS 140-2，请执行以下步骤：

在开始安装 Automation Suite 之前，请在计算机上启用 FIPS 140-2。

有关详细信息，请参阅启用 FIPS 140-2。
按照本指南中的安装说明执行 Automation Suite 安装。
- 如果您在启用 FIPS 140-2 的计算机上安装 AI Center，并且还使用 Microsoft SQL Server，则需要完成一些其他配置。有关详细信息，请参阅 AI Center 的 SQL 要求。
- 请确保已禁用 Insights，因为 FIPS 140-2 不支持此功能。
确保您的证书与 FIPS 140-2 兼容。
备注：
默认情况下，Automation Suite 会生成与 FIPS 140-2 兼容的自签名证书，其到期日期取决于您选择的 Automation Suite 安装类型。

强烈建议您在安装时将这些自签名证书替换为由 CA 颁发的证书。要在启用 FIPS 140-2 的计算机上使用 Automation Suite，新提供的证书必须与 FIPS 140-2 兼容。有关 RHEL 支持的符合条件的密码，请参阅 RHEL 文档。
- 要更新令牌签名证书，请运行以下内容：
  sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkeysudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey
- 要更新 TLS 证书，请运行以下内容：
  ./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs

场景 2：现有安装

您可以在禁用 FIPS 140-2 的计算机上安装 Automation Suite，然后在同一计算机上启用安全标准。升级到新的 Automation Suite 版本时，也可以使用此方法。

要在已执行 Automation Suite 安装的计算机上启用 FIPS 140-2，请执行以下步骤：

在禁用 FIPS 140-2 的计算机上执行常规 Automation Suite 安装或升级操作。
在所有计算机上运行以下命令来启用 FIPS 140-2：
```
fips-mode-setup --enablefips-mode-setup --enable
```
确保您的证书与 FIPS 140-2 兼容。
备注：
要在启用 FIPS 140-2 的计算机上使用 Automation Suite，您必须将证书替换为由 CA 签名且与 FIPS 140-2 兼容的新证书。有关 RHEL 支持的符合条件的密码，请参阅 RHEL 文档。
- 要更新令牌签名证书，请运行以下内容：
  sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkeysudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey
- 要更新 TLS 证书，请运行以下内容：
  ./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs
有关证书的更多信息，请参阅管理证书。
确保您的产品选择符合 FIPS-140-2 要求：
- 如果您在启用 FIPS 140-2 的计算机上安装 AI Center，并且还使用 Microsoft SQL Server，则需要完成一些其他配置。有关详细信息，请参阅 AI Center 的 SQL 要求。
- 如果您之前启用了 Insights，则必须将其禁用，因为 FIPS 140-2 不支持它。有关如何在安装后禁用产品的详细信息，请参阅管理产品。
重新启动计算机，并检查您是否已成功启用 FIPS 140-2。
```
fips-mode-setup --checkfips-mode-setup --check
```

重新运行 install-uipath.sh 服务安装程序：

在在线环境中，运行：

./install-uipath.sh -i cluster_config.json -o output.json -s --accept-license-agreement – Online -- online./install-uipath.sh -i cluster_config.json -o output.json -s --accept-license-agreement – Online -- online

在离线环境中，运行：

./install-uipath.sh -i ./cluster_config.json -o ./output.json -s --offline-bundle /uipath/tmp/sf.tar.gz --offline-tmp-folder /uipath/tmp --accept-license-agreement./install-uipath.sh -i ./cluster_config.json -o ./output.json -s --offline-bundle /uipath/tmp/sf.tar.gz --offline-tmp-folder /uipath/tmp --accept-license-agreement