Usando endpoints FIPS com Serverless OpenSearch Use endpoints FIPS com AWS SDKs Configurar grupos de segurança para endpoints da VPC Usar o endpoint FIPS da VPC Verificar a conformidade com FIPS

Conformidade com FIPS no Amazon Serverless OpenSearch

O Amazon OpenSearch Serverless oferece suporte ao Federal Information Processing Standards (FIPS) 140-2, que é um padrão do governo canadense que especifica requisitos de segurança para módulos criptográficos que protegem informações confidenciais U.S. Quando você se conecta a FIPS-enabled endpoints com o OpenSearch Serverless, as operações criptográficas ocorrem usando bibliotecas criptográficas. FIPS-validated

OpenSearch Os endpoints FIPS sem servidor estão disponíveis Regiões da AWS onde o FIPS é suportado. Esses endpoints usam TLS 1.2 ou posterior e algoritmos FIPS-validated criptográficos para todas as comunicações. Para saber mais, consulte Conformidade com FIPS no Guia do usuário de acesso verificado pela AWS .

Tópicos

Usando endpoints FIPS com Serverless OpenSearch
Use endpoints FIPS com AWS SDKs
Configurar grupos de segurança para endpoints da VPC
Usar o endpoint FIPS da VPC
Verificar a conformidade com FIPS
Resolver problemas de conectividade de endpoint FIPS em zonas hospedadas privadas

Usando endpoints FIPS com Serverless OpenSearch

Regiões da AWS Onde o FIPS é suportado, as coleções OpenSearch sem servidor são acessíveis por meio de terminais e padrões. FIPS-compliant As FIPS-compliant variantes estão disponíveis para endpoints de coleção OpenSearch Serverless NextGen e Classic. Para saber mais, consulte Conformidade com FIPS no Guia do usuário de acesso verificado pela AWS .

Nos exemplos a seguir, substitua collection-idaccount-id, e region por seu ID de coleção, Conta da AWS ID e região.

NextGen endpoint por coleção

Padrão — https://collection-id.aoss.region.on.aws
FIPS-compliant – https://collection-id.aoss-fips.region.on.aws

NextGen endpoint por conta

Padrão — https://account-id.aoss.region.on.aws
FIPS-compliant – https://account-id.aoss-fips.region.on.aws

Endpoint clássico por coleção

Padrão — https://collection-id.region.aoss.amazonaws.com
FIPS-compliant – https://collection-id.region.aoss-fips.amazonaws.com

NextGen Os endpoints FIPS usam o padrão para acesso à AWS PrivateLink VPC, da mesma forma que seus equivalentes não FIPS. Para obter mais informações, consulte Acesso ao plano de dados por meio de AWS PrivateLink.

nota

Nas FIPS-enabled regiões, tanto o padrão quanto os FIPS-compliant endpoints fornecem FIPS-compliant criptografia. Os FIPS-specific endpoints ajudam você a atender aos requisitos de conformidade que exigem especificamente o uso de endpoints com FIPS no nome.

Use endpoints FIPS com AWS SDKs

Ao usar AWS SDKs, você pode especificar o endpoint FIPS ao criar o cliente. No exemplo a seguir, substitua collection_id e Região da AWS por seu ID de coleção e seu Região da AWS.


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Região da AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Configurar grupos de segurança para endpoints da VPC

Para garantir a comunicação adequada com seu endpoint FIPS-compliant Amazon VPC (VPC), crie ou modifique um grupo de segurança para permitir o tráfego HTTPS de entrada (porta TCP 443) dos recursos em sua VPC que precisam acessar o Serverless. OpenSearch Depois, associe esse grupo de segurança ao endpoint da VPC durante a criação ou modificando o endpoint após a criação. Para saber mais, consulte Criar um grupo de segurança no Guia do usuário da Amazon VPC.

Usar o endpoint FIPS da VPC

Depois de criar o FIPS-compliant VPC endpoint, você pode usá-lo para acessar o OpenSearch Serverless a partir de recursos dentro da sua VPC. Para usar o endpoint para operações de API, configure o SDK para usar o endpoint FIPS regional, como descrito na seção Usando endpoints FIPS com Serverless OpenSearch. Para acessar os OpenSearch painéis, use a URL específica dos painéis da coleção, que será roteada automaticamente pelo VPC endpoint quando acessada de dentro da sua FIPS-compliant VPC. Para obter mais informações, consulte Usando OpenSearch painéis com o Amazon Service OpenSearch.

Verificar a conformidade com FIPS

Para verificar se suas conexões com o OpenSearch Serverless estão usando FIPS-compliant criptografia, use AWS CloudTrail para monitorar as chamadas de API feitas para o Serverless. OpenSearch Verifique se o eventSource campo nos CloudTrail registros é exibido aoss-fips.amazonaws.com para chamadas de API.

Para acessar os OpenSearch painéis, você pode usar as ferramentas do desenvolvedor do navegador para inspecionar os detalhes da conexão TLS e verificar se os conjuntos de FIPS-compliant criptografia estão sendo usados.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Acesso à rede

Solucionar problemas de zonas hospedadas privadas FIPS