automation-suite
2023.10
false
UiPath logo, featuring letters U and I in white
Linux 版 Automation Suite 安装指南
Last updated 2024年12月3日

安全性与合规性

UiPath™ 服务的安全上下文

本节提供有关 UiPath™ 服务的安全上下文的详细信息。

所有 UiPath™ 服务都配置有 spec 部分中定义的安全上下文。以下示例显示了所有服务的配置,但 du-cjk-ocr 除外:
spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false
对于 du-cjk-ocr 服务,readOnlyRootFilesystem 参数的值为false。有关 du-cjk-ocr 的更多信息,请参阅 Document Understanding 文档

在某些情况下,用户 ID 和组 ID 可以大于或等于 1000。根据您的环境,此类值是否允许由您决定。请务必根据您的安全原则和组织的安全准则配置用户 ID 和组 ID。

启用 FIPS 140-2

联邦信息处理标准 140-2 (FIPS 140-2) 是用于验证加密模块有效性的安全标准。

在以下情况,您可以在安装 Automation Suite 的计算机上启用 FIPS 140-2:

  1. 在执行 Automation Suite 2023.4 或更高版本的全新安装之前,请启用 FIPS 140-2。 有关详细信息,请参阅“更新凭据”。 场景 1:新安装
  2. 在禁用 FIPS-140-2 的计算机上执行 Automation Suite 安装后,启用 FIPS 140-2。 有关详细信息,请参阅场景 2:现有安装

场景 1:新安装

要在计划执行 Automation Suite 全新安装的计算机上启用 FIPS 140-2,请执行以下步骤:

  1. 在开始安装 Automation Suite 之前,请在计算机上启用 FIPS 140-2。

    有关详细信息,请参阅启用 FIPS 140-2

  2. 按照本指南中的安装说明执行 Automation Suite 安装。
    • 如果您在启用 FIPS 140-2 的计算机上安装 AI Center,并且还使用 Microsoft SQL Server,则需要完成一些其他配置。有关详细信息,请参阅 AI Center 的 SQL 要求
    • 请确保已禁用 Insights,因为 FIPS 140-2 不支持此功能。
  3. 确保您的证书与 FIPS 140-2 兼容。
    备注:

    默认情况下,Automation Suite 会生成与 FIPS 140-2 兼容的自签名证书,其到期日期取决于您选择的 Automation Suite 安装类型。

    强烈建议您在安装时将这些自签名证书替换为由 CA 颁发的证书。要在启用 FIPS 140-2 的计算机上使用 Automation Suite,新提供的证书必须与 FIPS 140-2 兼容。有关 RHEL 支持的符合条件的密码,请参阅 RHEL 文档

    • 要更新令牌签名证书,请运行以下内容:
      sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkeysudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey
    • 要更新 TLS 证书,请运行以下内容:
      ./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs

场景 2:现有安装

您可以在禁用 FIPS 140-2 的计算机上安装 Automation Suite,然后在同一计算机上启用安全标准。升级到新的 Automation Suite 版本时,也可以使用此方法。

要在已执行 Automation Suite 安装的计算机上启用 FIPS 140-2,请执行以下步骤:

  1. 在禁用 FIPS 140-2 的计算机上执行常规 Automation Suite 安装或升级操作。
  2. 在所有计算机上运行以下命令来启用 FIPS 140-2:
    fips-mode-setup --enablefips-mode-setup --enable
  3. 确保您的证书与 FIPS 140-2 兼容。
    备注:

    要在启用 FIPS 140-2 的计算机上使用 Automation Suite,您必须将证书替换为由 CA 签名且与 FIPS 140-2 兼容的新证书。有关 RHEL 支持的符合条件的密码,请参阅 RHEL 文档

    • 要更新令牌签名证书,请运行以下内容:
      sudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkeysudo ./configureUiPathAS.sh identity token-cert update --cert-file-path /path/to/cert --cert-key-file-path /path/to/certkey
    • 要更新 TLS 证书,请运行以下内容:
      ./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs./configureUiPathAS.sh additional-ca-certs update --ca-cert-file /path/to/ca/certs

    有关证书的更多信息,请参阅管理证书

  4. 确保您的产品选择符合 FIPS-140-2 要求:
    • 如果您在启用 FIPS 140-2 的计算机上安装 AI Center,并且还使用 Microsoft SQL Server,则需要完成一些其他配置。有关详细信息,请参阅 AI Center 的 SQL 要求
    • 如果您之前启用了 Insights,则必须将其禁用,因为 FIPS 140-2 不支持它。有关如何在安装后禁用产品的详细信息,请参阅管理产品
  5. 重新启动计算机,并检查您是否已成功启用 FIPS 140-2。
    fips-mode-setup --checkfips-mode-setup --check
  6. 重新运行 install-uipath.sh 服务安装程序:
    • 在在线环境中,运行:

      ./install-uipath.sh -i cluster_config.json -o output.json -s --accept-license-agreement – Online -- online./install-uipath.sh -i cluster_config.json -o output.json -s --accept-license-agreement – Online -- online
    • 在离线环境中,运行:

      ./install-uipath.sh -i ./cluster_config.json -o ./output.json -s --offline-bundle /uipath/tmp/sf.tar.gz --offline-tmp-folder /uipath/tmp --accept-license-agreement./install-uipath.sh -i ./cluster_config.json -o ./output.json -s --offline-bundle /uipath/tmp/sf.tar.gz --offline-tmp-folder /uipath/tmp --accept-license-agreement
  • UiPath™ 服务的安全上下文
  • 启用 FIPS 140-2
  • 场景 1:新安装
  • 场景 2:现有安装

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。