Verwenden von FIPS-Endpunkten mit Serverless OpenSearch Verwenden Sie FIPS-Endpunkte mit AWS SDKs Sicherheitsgruppen für VPC-Endpoints konfigurieren Verwenden Sie den FIPS VPC-Endpunkt Überprüfen Sie die FIPS-Konformität

FIPS-Konformität bei Amazon Serverless OpenSearch

Amazon OpenSearch Serverless unterstützt die Federal Information Processing Standards (FIPS) 140-2, einen Standard der kanadischen Regierung, der Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt U.S. Wenn Sie mit OpenSearch Serverless eine Verbindung zu FIPS-enabled Endpunkten herstellen, werden kryptografische Operationen mithilfe kryptografischer Bibliotheken ausgeführt. FIPS-validated

OpenSearch Serverlose FIPS-Endpunkte sind dort verfügbar, wo FIPS unterstützt wird. AWS-Regionen Diese Endpunkte verwenden TLS 1.2 oder höher und FIPS-validated kryptografische Algorithmen für die gesamte Kommunikation. Weitere Informationen finden Sie unter FIPS-Konformität im Benutzerhandbuch für AWS verifizierten Zugriff.

Themen

Verwenden von FIPS-Endpunkten mit Serverless OpenSearch
Verwenden Sie FIPS-Endpunkte mit AWS SDKs
Sicherheitsgruppen für VPC-Endpoints konfigurieren
Verwenden Sie den FIPS VPC-Endpunkt
Überprüfen Sie die FIPS-Konformität
Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen

Verwenden von FIPS-Endpunkten mit Serverless OpenSearch

AWS-Regionen Dort, wo FIPS unterstützt wird, sind OpenSearch serverlose Sammlungen sowohl über Standard- als auch über Endpunkte zugänglich. FIPS-compliant Die FIPS-compliant Varianten sind sowohl für OpenSearch serverlose als auch für klassische Sammlungsendpunkte NextGen verfügbar. Weitere Informationen finden Sie unter FIPS-Konformität im Benutzerhandbuch für AWS verifizierten Zugriff.

Ersetzen Sie in den folgenden Beispielen collection-idaccount-id, und region durch Ihre Sammlungs-ID, AWS-Konto ID und Region.

NextGen Endpunkt pro Sammlung

Standard — https://collection-id.aoss.region.on.aws
FIPS-compliant – https://collection-id.aoss-fips.region.on.aws

NextGen Endpunkt pro Konto

Standard — https://account-id.aoss.region.on.aws
FIPS-compliant – https://account-id.aoss-fips.region.on.aws

Klassischer Endpunkt pro Sammlung

Standard — https://collection-id.region.aoss.amazonaws.com
FIPS-compliant – https://collection-id.region.aoss-fips.amazonaws.com

NextGen FIPS-Endpunkte verwenden den Standard AWS PrivateLink für den VPC-Zugriff, genau wie ihre Nicht-FIPS-Gegenstücke. Weitere Informationen finden Sie unter Zugriff auf Datenebene über AWS PrivateLink.

Anmerkung

In FIPS-enabled Regionen bieten sowohl Standard- als auch Endpunkte Kryptografie. FIPS-compliant FIPS-compliant Die FIPS-specific Endgeräte helfen Ihnen dabei, Compliance-Anforderungen zu erfüllen, die speziell die Verwendung von Endpunkten mit FIPS im Namen vorschreiben.

Verwenden Sie FIPS-Endpunkte mit AWS SDKs

Wenn Sie AWS SDKs verwenden, können Sie den FIPS-Endpunkt bei der Erstellung des Clients angeben. Ersetzen Sie im folgenden Beispiel collection_id und AWS-Region durch Ihre Sammlungs-ID und deren. AWS-Region


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS-Region.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Sicherheitsgruppen für VPC-Endpoints konfigurieren

Um eine ordnungsgemäße Kommunikation mit Ihrem FIPS-compliant Amazon VPC (VPC) -Endpunkt sicherzustellen, erstellen oder ändern Sie eine Sicherheitsgruppe, um eingehenden HTTPS-Verkehr (TCP-Port 443) von den Ressourcen in Ihrer VPC zuzulassen, die auf Serverless zugreifen müssen. OpenSearch Ordnen Sie diese Sicherheitsgruppe dann während der Erstellung oder indem Sie den Endpunkt nach der Erstellung ändern, VPC VPC-Endpunkt zu. Weitere Informationen finden Sie unter Erstellen einer Sicherheitsgruppe im Amazon-VPC-Benutzerhandbuch.

Verwenden Sie den FIPS VPC-Endpunkt

Nachdem Sie den FIPS-compliant VPC-Endpunkt erstellt haben, können Sie ihn verwenden, um über Ressourcen innerhalb Ihrer VPC auf OpenSearch Serverless zuzugreifen. Um den Endpunkt für API-Operationen zu verwenden, konfigurieren Sie Ihr SDK so, dass es den regionalen FIPS-Endpunkt verwendet, wie im Abschnitt beschrieben. Verwenden von FIPS-Endpunkten mit Serverless OpenSearch Verwenden Sie für den Zugriff auf OpenSearch Dashboards die sammlungsspezifische Dashboard-URL, die automatisch über den FIPS-compliant VPC-Endpunkt weitergeleitet wird, wenn von Ihrer VPC aus darauf zugegriffen wird. Weitere Informationen finden Sie unter Verwenden von OpenSearch Dashboards mit Amazon Service OpenSearch.

Überprüfen Sie die FIPS-Konformität

Um zu überprüfen, ob Ihre Verbindungen zu OpenSearch Serverless FIPS-compliant Kryptografie verwenden, verwenden Sie diese Option AWS CloudTrail zur Überwachung von API-Aufrufen an Serverless. OpenSearch Vergewissern Sie sich, dass das eventSource Feld in den CloudTrail Protokollen aoss-fips.amazonaws.com für API-Aufrufe angezeigt wird.

Für den Zugriff auf OpenSearch Dashboards können Sie Browser-Entwicklertools verwenden, um die TLS-Verbindungsdetails zu überprüfen und sicherzustellen, dass FIPS-compliant Cipher Suites verwendet werden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Netzwerkzugriff

Beheben Sie private gehostete FIPS-Zonen