Uso de puntos finales FIPS con Serverless OpenSearch Utilice los puntos finales de FIPS con AWS SDK Configurar grupos de seguridad para puntos de conexión de VPC Uso del punto de conexión de VPC compatible con FIPS Verificar el cumplimiento de FIPS

Conformidad con FIPS en Amazon Serverless OpenSearch

Amazon OpenSearch Serverless es compatible con los estándares federales de procesamiento de información (FIPS) 140-2, que es un estándar del gobierno canadiense que especifica los requisitos de seguridad para los módulos criptográficos que protegen la información confidencial U.S. Cuando se conecta a FIPS-enabled puntos finales con OpenSearch Serverless, las operaciones criptográficas se realizan mediante bibliotecas criptográficas. FIPS-validated

OpenSearch Los puntos finales FIPS sin servidor están disponibles en los lugares donde se admite FIPS. Regiones de AWS Estos puntos finales utilizan TLS 1.2 o una versión posterior y FIPS-validated algoritmos criptográficos para todas las comunicaciones. Para obtener más información, consulte Cumplimiento FIPS en la Guía del usuario de AWS Verified Access.

Temas

Uso de puntos finales FIPS con Serverless OpenSearch
Utilice los puntos finales de FIPS con AWS SDK
Configurar grupos de seguridad para puntos de conexión de VPC
Uso del punto de conexión de VPC compatible con FIPS
Verificar el cumplimiento de FIPS
Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas

Uso de puntos finales FIPS con Serverless OpenSearch

Regiones de AWS Cuando se admite FIPS, se puede acceder a las colecciones OpenSearch sin servidor a través de puntos estándar y de punto final. FIPS-compliant Las FIPS-compliant variantes están disponibles para los puntos finales de las colecciones OpenSearch Serverless NextGen y Classic. Para obtener más información, consulte Cumplimiento FIPS en la Guía del usuario de AWS Verified Access.

En los siguientes ejemplos, sustituye y por el identificador collection-idaccount-id, el identificador y region la región Cuenta de AWS de la colección.

NextGen punto final por colección

Estándar — https://collection-id.aoss.region.on.aws
FIPS-compliant – https://collection-id.aoss-fips.region.on.aws

NextGen punto final por cuenta

Estándar — https://account-id.aoss.region.on.aws
FIPS-compliant – https://account-id.aoss-fips.region.on.aws

Punto final clásico por colección

Estándar — https://collection-id.region.aoss.amazonaws.com
FIPS-compliant – https://collection-id.region.aoss-fips.amazonaws.com

NextGen Los puntos finales de FIPS utilizan el estándar para el acceso a la AWS PrivateLink VPC, al igual que sus homólogos que no son de FIPS. Para obtener más información, consulte Acceso al plano de datos a través de AWS PrivateLink.

nota

En FIPS-enabled Regions, tanto los puntos de conexión estándar como los de punto final proporcionan criptografía. FIPS-compliant FIPS-compliant Los FIPS-specific puntos de conexión le ayudan a cumplir con los requisitos de conformidad que exigen específicamente el uso de puntos de conexión con el nombre FIPS.

Utilice los puntos finales de FIPS con AWS SDK

Al usar AWS los SDK, puede especificar el punto final FIPS al crear el cliente. En el siguiente ejemplo, sustituya collection_id y por su ID Región de AWS de colección y el suyo. Región de AWS


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Región de AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Configurar grupos de seguridad para puntos de conexión de VPC

Para garantizar una comunicación adecuada con su punto de enlace de FIPS-compliant Amazon VPC (VPC), cree o modifique un grupo de seguridad para permitir el tráfico HTTPS entrante (puerto TCP 443) desde los recursos de su VPC que necesitan acceder a Serverless. OpenSearch Luego, asocie este grupo de seguridad con su punto de conexión de VPC durante la creación o modificando el punto de conexión después de la creación. Para obtener más información, consulte Crear un grupo de seguridad en la Guía del usuario de Amazon VPC.

Uso del punto de conexión de VPC compatible con FIPS

Después de crear el punto final de la FIPS-compliant VPC, puede usarlo para acceder a OpenSearch Serverless desde los recursos de su VPC. Para usar el punto de conexión en operaciones de API, configure su SDK para usar el punto de conexión regional FIPS según se describe en la sección Uso de puntos finales FIPS con Serverless OpenSearch. Para acceder a los OpenSearch paneles, utilice la URL de paneles específica de la colección, que se enrutará automáticamente por el punto de conexión de la VPC cuando se acceda a ellos desde FIPS-compliant su VPC. Para obtener más información, consulte Uso de OpenSearch cuadros de mando con Amazon Service OpenSearch.

Verificar el cumplimiento de FIPS

Para comprobar que tus conexiones a OpenSearch Serverless utilizan FIPS-compliant criptografía, úsala para supervisar las llamadas a la API realizadas a Serverless. AWS CloudTrail OpenSearch Comprueba que el eventSource campo de los CloudTrail registros muestre aoss-fips.amazonaws.com las llamadas a la API.

Para acceder a los OpenSearch paneles de control, puede utilizar las herramientas de desarrollo del navegador para inspeccionar los detalles de la conexión TLS y comprobar si se utilizan conjuntos de FIPS-compliant cifrado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso a la red

Solución de problemas de zonas alojadas privadas de FIPS