翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon OpenSearch Serverless での FIPS コンプライアンス
<a name="fips-compliance-opensearch-serverless"></a>

Amazon OpenSearch Serverless は、連邦情報処理規格 (Federal Information Processing Standards/FIPS) 140-2 をサポートしています。これは、機密情報を保護する暗号モジュールのセキュリティ要件を規定する、米国およびカナダ政府の基準です。OpenSearch Serverless を使用して FIPS 対応エンドポイントに接続すると、FIPS 検証済み暗号化ライブラリを使用して暗号化オペレーションが行われます。

OpenSearch Serverless FIPS エンドポイントは、FIPS AWS リージョン がサポートされている で使用できます。これらのエンドポイントは、すべての通信に TLS 1.2 以降と FIPS 検証済み暗号化アルゴリズムを使用します。詳細については、「*AWS Verified Access ユーザーガイド*」の「[FIPS 準拠](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html)」を参照してください。

**Topics**
+ [OpenSearch Serverless での FIPS エンドポイントの使用](#using-fips-endpoints-opensearch-serverless)
+ [AWS SDKs](#using-fips-endpoints-aws-sdks)
+ [VPC エンドポイントのセキュリティグループを設定する](#configuring-security-groups-vpc-endpoints)
+ [FIPS VPC エンドポイントを使用する](#using-fips-vpc-endpoint)
+ [FIPS コンプライアンスを検証する](#verifying-fips-compliance)
+ [プライベートホストゾーンの FIPS エンドポイント接続の問題を解決する](serverless-fips-endpoint-issues.md)

## OpenSearch Serverless での FIPS エンドポイントの使用
<a name="using-fips-endpoints-opensearch-serverless"></a>

FIPS がサポートされている AWS リージョン では、OpenSearch Serverless コレクションには、標準エンドポイントと FIPS 準拠エンドポイントの両方からアクセスできます。FIPS 準拠のバリアントは、OpenSearch Serverless NextGen と Classic の両方のコレクションエンドポイントで使用できます。詳細については、「*AWS Verified Access ユーザーガイド*」の「[FIPS 準拠](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html)」を参照してください。

次の例では、 {{collection-id}}、{{account-id}}、{{region}} をコレクション ID、 AWS アカウント ID、および Region に置き換えます。

**コレクションあたりの NextGen エンドポイント**
+ **標準** – **https://{{collection-id}}.aoss.{{region}}.on.aws**
+ **FIPS 準拠** – **https://{{collection-id}}.aoss-fips.{{region}}.on.aws**

**アカウントあたりの NextGen エンドポイント**
+ **標準** – **https://{{account-id}}.aoss.{{region}}.on.aws**
+ **FIPS 準拠** – **https://{{account-id}}.aoss-fips.{{region}}.on.aws**

**コレクションごとのクラシックエンドポイント**
+ **標準** – **https://{{collection-id}}.{{region}}.aoss.amazonaws.com**
+ **FIPS 準拠** – **https://{{collection-id}}.{{region}}.aoss-fips.amazonaws.com**

NextGen FIPS エンドポイントは、非 FIPS エンドポイントと同じ VPC アクセス AWS PrivateLink の標準を使用します。詳細については、「[を介したデータプレーンアクセス AWS PrivateLink](serverless-vpc.md)」を参照してください。

**注記**  
FIPS 対応リージョンでは、標準エンドポイントと FIPS 準拠エンドポイントの両方が FIPS 準拠の暗号化を提供します。FIPS 固有のエンドポイントは、名前に **FIPS** が使用されているエンドポイントの使用を特に義務付けるコンプライアンス要件を満たすのに役立ちます。

## AWS SDKs
<a name="using-fips-endpoints-aws-sdks"></a>

 AWS SDKs を使用する場合は、クライアントの作成時に FIPS エンドポイントを指定できます。次の例では、{{collection\_id}} と {{AWS リージョン}} をご自身のコレクション ID とその AWS リージョンに置き換えます。

```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://{{collection_id}}.{{AWS リージョン}}.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)
```

## VPC エンドポイントのセキュリティグループを設定する
<a name="configuring-security-groups-vpc-endpoints"></a>

FIPS 準拠の Amazon VPC (VPC) エンドポイントと適切に通信するには、セキュリティグループを作成または変更して、OpenSearch Serverless にアクセスする必要がある VPC 内のリソースからのインバウンド HTTPS トラフィック (TCP ポート 443) を許可します。次に、このセキュリティグループを VPC エンドポイントに関連付けます。これは作成時に行うか、作成後にエンドポイントを変更して行います。詳細については、「*Amazon VPC ユーザーガイド*」の「[セキュリティグループの作成](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)」を参照してください。

## FIPS VPC エンドポイントを使用する
<a name="using-fips-vpc-endpoint"></a>

FIPS 準拠の VPC エンドポイントを作成したら、それを使用して VPC 内のリソースから OpenSearch Serverless にアクセスできます。API オペレーションにエンドポイントを使用するには、「[OpenSearch Serverless での FIPS エンドポイントの使用](#using-fips-endpoints-opensearch-serverless)」セクションの説明に従って、リージョン FIPS エンドポイントを使用するように SDK を設定します。OpenSearch Dashboards にアクセスするには、コレクション固有の Dashboards URL を使用します。この URL は、VPC 内からアクセスすると、FIPS 準拠の VPC エンドポイントを自動的にルーティングします。詳細については、「[Amazon OpenSearch Service での OpenSearch Dashboards の使用](dashboards.md)」を参照してください。

## FIPS コンプライアンスを検証する
<a name="verifying-fips-compliance"></a>

OpenSearch Serverless への接続で FIPS 準拠の暗号化が使用されていることを確認するには、 AWS CloudTrail を使用して OpenSearch Serverless に対する API コールをモニタリングします。API コールについて、CloudTrail ログの `eventSource` フィールドに `aoss-fips.amazonaws.com` が表示されていることを確認します。

OpenSearch Dashboards にアクセスするには、ブラウザ開発者ツールを使用して TLS 接続の詳細を検査し、FIPS 準拠の暗号スイートが使用されていることを確認します。