Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch Gunakan titik akhir FIPS dengan AWS SDK Konfigurasikan grup keamanan untuk titik akhir VPC Gunakan titik akhir VPC FIPS Verifikasi kepatuhan FIPS

Kepatuhan FIPS di Amazon Tanpa Server OpenSearch

Amazon OpenSearch Serverless mendukung Federal Information Processing Standards (FIPS) 140-2, yang merupakan standar pemerintah Kanada dan Kanada yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif U.S. Saat Anda terhubung ke FIPS-enabled titik akhir dengan OpenSearch Tanpa Server, operasi kriptografi terjadi menggunakan pustaka kriptografi. FIPS-validated

OpenSearch Titik akhir FIPS tanpa server tersedia di Region AWS tempat FIPS didukung. Endpoint ini menggunakan TLS 1.2 atau yang lebih baru dan algoritma FIPS-validated kriptografi untuk semua komunikasi. Untuk informasi selengkapnya, lihat kepatuhan FIPS di Panduan Pengguna Akses AWS Terverifikasi.

Topik

Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch
Gunakan titik akhir FIPS dengan AWS SDK
Konfigurasikan grup keamanan untuk titik akhir VPC
Gunakan titik akhir VPC FIPS
Verifikasi kepatuhan FIPS
Selesaikan masalah konektivitas titik akhir FIPS di zona yang dihosting pribadi

Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch

Di Region AWS mana FIPS didukung, koleksi OpenSearch Tanpa Server dapat diakses melalui standar dan titik akhir. FIPS-compliant FIPS-compliant Varian tersedia untuk titik akhir koleksi OpenSearch Tanpa Server NextGen dan Klasik. Untuk informasi selengkapnya, lihat kepatuhan FIPS di Panduan Pengguna Akses AWS Terverifikasi.

Dalam contoh berikut, ganti collection-idaccount-id, dan region dengan ID koleksi, Akun AWS ID, dan Wilayah Anda.

NextGen titik akhir per koleksi

Standar - https://collection-id.aoss.region.on.aws
FIPS-compliant – https://collection-id.aoss-fips.region.on.aws

NextGen titik akhir per akun

Standar - https://account-id.aoss.region.on.aws
FIPS-compliant – https://account-id.aoss-fips.region.on.aws

Titik akhir per koleksi klasik

Standar - https://collection-id.region.aoss.amazonaws.com
FIPS-compliant – https://collection-id.region.aoss-fips.amazonaws.com

NextGen Titik akhir FIPS menggunakan standar untuk akses AWS PrivateLink VPC, sama seperti rekan-rekan non-FIPS mereka. Untuk informasi selengkapnya, lihat Akses pesawat data melalui AWS PrivateLink.

catatan

Di FIPS-enabled Wilayah, baik standar maupun FIPS-compliant titik akhir menyediakan FIPS-compliant kriptografi. FIPS-specific Titik akhir membantu Anda memenuhi persyaratan kepatuhan yang secara khusus mengamanatkan penggunaan titik akhir dengan FIPS dalam namanya.

Gunakan titik akhir FIPS dengan AWS SDK

Saat menggunakan AWS SDK, Anda dapat menentukan titik akhir FIPS saat membuat klien. Dalam contoh berikut, ganti collection_id dan AWS Region dengan ID koleksi Anda dan nya AWS Region.


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS Region.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Konfigurasikan grup keamanan untuk titik akhir VPC

Untuk memastikan komunikasi yang tepat dengan titik akhir VPC FIPS-compliant Amazon (VPC) Anda, buat atau modifikasi grup keamanan untuk mengizinkan lalu lintas HTTPS masuk (port TCP 443) dari sumber daya di VPC Anda yang perlu mengakses Tanpa Server. OpenSearch Kemudian kaitkan grup keamanan ini dengan titik akhir VPC Anda selama pembuatan atau dengan memodifikasi titik akhir setelah pembuatan. Untuk informasi selengkapnya, lihat Membuat grup keamanan di Panduan Pengguna Amazon VPC.

Gunakan titik akhir VPC FIPS

Setelah membuat titik akhir FIPS-compliant VPC, Anda dapat menggunakannya untuk mengakses OpenSearch Tanpa Server dari sumber daya dalam VPC Anda. Untuk menggunakan titik akhir untuk operasi API, konfigurasikan SDK Anda untuk menggunakan titik akhir FIPS Regional seperti yang dijelaskan di bagian ini. Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch Untuk akses OpenSearch Dasbor, gunakan URL Dasbor khusus koleksi, yang akan secara otomatis merutekan melalui titik akhir VPC saat diakses dari dalam FIPS-compliant VPC Anda. Untuk informasi selengkapnya, lihat Menggunakan OpenSearch Dasbor dengan Layanan Amazon OpenSearch.

Verifikasi kepatuhan FIPS

Untuk memverifikasi bahwa koneksi Anda ke OpenSearch Tanpa Server menggunakan FIPS-compliant kriptografi, gunakan AWS CloudTrail untuk memantau panggilan API yang dilakukan ke Tanpa Server. OpenSearch Periksa apakah eventSource bidang di CloudTrail log ditampilkan aoss-fips.amazonaws.com untuk panggilan API.

Untuk akses OpenSearch Dasbor, Anda dapat menggunakan alat pengembang browser untuk memeriksa detail koneksi TLS dan memverifikasi bahwa FIPS-compliant cipher suite sedang digunakan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Akses jaringan

Memecahkan Masalah Zona yang Dihosting Pribadi FIPS