기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon OpenSearch Serverless의 FIPS 규정 준수
<a name="fips-compliance-opensearch-serverless"></a>

Amazon OpenSearch Serverless는 미국 및 캐나다 정부 보안 표준으로, 기밀 정보를 보호하는 암호 모듈의 보안 요건을 규정한 연방 정보 처리 표준(FIPS) 140-2를 지원합니다. OpenSearch Serverless를 사용하여 FIPS 지원 엔드포인트에 연결하면 FIPS 검증 암호화 라이브러리를 사용하여 암호화 작업이 수행됩니다.

OpenSearch Serverless FIPS 엔드포인트는 FIPS가 지원되는 AWS 리전 에서 사용할 수 있습니다. 이러한 엔드포인트는 모든 통신에 TLS 1.2 이상과 FIPS 검증 암호화 알고리즘을 사용합니다. 자세한 내용은 *AWS Verified·Access 사용 설명서*의 [FIPS 규정 준수](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html)를 참조하세요.

**Topics**
+ [OpenSearch Serverless에서 FIPS 엔드포인트 사용](#using-fips-endpoints-opensearch-serverless)
+ [AWS SDKs 함께 FIPS 엔드포인트 사용](#using-fips-endpoints-aws-sdks)
+ [VPC 엔드포인트의 보안 그룹 구성](#configuring-security-groups-vpc-endpoints)
+ [FIPS VPC 엔드포인트 사용](#using-fips-vpc-endpoint)
+ [FIPS 규정 준수 검증](#verifying-fips-compliance)
+ [프라이빗 호스팅 영역의 FIPS 엔드포인트 연결 문제 해결](serverless-fips-endpoint-issues.md)

## OpenSearch Serverless에서 FIPS 엔드포인트 사용
<a name="using-fips-endpoints-opensearch-serverless"></a>

FIPS가 지원되는 AWS 리전 에서는 표준 및 FIPS 호환 엔드포인트를 통해 OpenSearch Serverless 컬렉션에 액세스할 수 있습니다. 자세한 내용은 *AWS Verified·Access 사용 설명서*의 [FIPS 규정 준수](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html)를 참조하세요.

다음 예제에서 *collection\$1id* 및 *AWS 리전*을 컬렉션 ID 및 해당 AWS 리전으로 바꿉니다.
+ **표준 엔드포인트** – **https://*collection\$1id*.*AWS 리전*.aoss.amazonaws.com**.
+ **FIPS 준수 엔드포인트** – **https://*collection\$1id*.*AWS 리전*.aoss-fips.amazonaws.com**.

마찬가지로, 표준 및 FIPS 준수 엔드포인트를 통해 OpenSearch Dashboards에 액세스할 수 있습니다.
+ **표준 Dashboards 엔드포인트** - **https://*collection\$1id*.*AWS 리전*.aoss.amazonaws.com/\$1dashboards**.
+ **FIPS 준수 Dashboards 엔드포인트** - **https://*collection\$1id*.*AWS 리전*.aoss-fips.amazonaws.com/\$1dashboards**.

**참고**  
FIPS 지원 리전에서는 표준 엔드포인트와 FIPS 준수 엔드포인트가 모두 FIPS 준수 암호화를 제공합니다. FIPS별 엔드포인트는 이름에 **FIPS**가 포함된 엔드포인트를 사용하도록 명시적으로 요구하는 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.

## AWS SDKs 함께 FIPS 엔드포인트 사용
<a name="using-fips-endpoints-aws-sdks"></a>

 AWS SDKs 사용하는 경우 클라이언트를 생성할 때 FIPS 엔드포인트를 지정할 수 있습니다. 다음 예에서 *collection\$1id* 및 *AWS 리전*을 컬렉션 ID 및 해당 AWS 리전으로 바꿉니다.

```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS 리전.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)
```

## VPC 엔드포인트의 보안 그룹 구성
<a name="configuring-security-groups-vpc-endpoints"></a>

FIPS 준수 Amazon VPC(VPC) 엔드포인트와 원활하게 통신하려면 OpenSearch Serverless에 액세스해야 하는 VPC의 리소스에서 인바운드 HTTPS 트래픽(TCP 포트 443)을 허용하도록 보안 그룹을 생성하거나 수정합니다. 그런 다음 생성 중에 또는 생성 후에 엔드포인트를 수정하여 이 보안 그룹을 VPC 엔드포인트와 연결합니다. 자세한 내용을 알아보려면 Amazon VPC 사용 설명서**의 [보안 그룹 생성](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)을 참조하세요.

## FIPS VPC 엔드포인트 사용
<a name="using-fips-vpc-endpoint"></a>

FIPS 준수 VPC 엔드포인트를 생성한 후, 이를 사용하여 VPC 내의 리소스에서 OpenSearch Serverless에 액세스할 수 있습니다. API 작업에 엔드포인트를 사용하려면 [OpenSearch Serverless에서 FIPS 엔드포인트 사용](#using-fips-endpoints-opensearch-serverless) 섹션에서 설명하는 대로 리전 FIPS 엔드포인트를 사용하도록 SDK를 구성합니다. OpenSearch Dashboards 액세스의 경우 VPC 내에서 액세스할 때 FIPS 준수 VPC 엔드포인트를 통해 자동으로 라우팅되는 컬렉션별 Dashboards URL을 사용합니다. 자세한 내용은 [Amazon OpenSearch Service와 함께 OpenSearch Dashboards 사용](dashboards.md) 단원을 참조하십시오.

## FIPS 규정 준수 검증
<a name="verifying-fips-compliance"></a>

OpenSearch Serverless에 대한 연결이 FIPS 준수 암호화를 사용하고 있는지 확인하려면 AWS CloudTrail 을 사용하여 OpenSearch Serverless에 대한 API 직접 호출을 모니터링합니다. API 직접 호출에 대해 CloudTrail 로그의 `eventSource` 필드에 `aoss-fips.amazonaws.com`이 표시되는지 확인합니다.

OpenSearch Dashboards 액세스의 경우 브라우저 개발자 도구를 사용하여 TLS 연결 세부 정보를 검사하고 FIPS 준수 암호 제품군이 사용되고 있는지 확인할 수 있습니다.

# 프라이빗 호스팅 영역의 FIPS 엔드포인트 연결 문제 해결
<a name="serverless-fips-endpoint-issues"></a>

FIPS 엔드포인트는 퍼블릭 액세스 권한이 있는 Amazon OpenSearch Serverless 컬렉션에 대해 작동합니다. 새로 생성된 VPC 엔드포인트를 사용하는 새로 생성된 VPC 컬렉션의 경우, FIPS 엔드포인트가 정상적으로 작동합니다. 다른 VPC 컬렉션의 경우 FIPS 엔드포인트가 올바르게 작동하도록 수동으로 설정해야 할 수 있습니다.

**Amazon Route 53에서 FIPS 프라이빗 호스팅 영역을 구성하려면**

1. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)에서 Route 53 콘솔을 엽니다.

1. 호스팅 영역을 검토합니다.

   1.  AWS 리전 컬렉션이 있는 호스팅 영역을 찾습니다.

   1. 호스팅 영역 명명 패턴 확인:
      + 비FIPS 형식: `region.aoss.amazonaws.com`.
      + FIPS 형식: `region.aoss-fips.amazonaws.com`.

   1. 모든 호스팅 영역의 **유형**이 **프라이빗 호스팅 영역**으로 설정되어 있는지 확인합니다.

1. FIPS 프라이빗 호스팅 영역이 누락된 경우:

   1. 해당하는 비FIPS 프라이빗 호스팅 영역을 선택합니다.

   1. **연결된 VPC** 정보를 복사합니다. 예를 들어 `vpc-1234567890abcdef0 | us-east-2`입니다.

   1. 와일드카드 도메인 레코드를 찾습니다. 예를 들어 `*.us-east-2.aoss.amazonaws.com`입니다.

   1. **값/트래픽 라우팅 대상** 정보를 복사합니다. 예:`uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`

1. FIPS 프라이빗 호스팅 영역 생성:

   1. FIPS 형식으로 새 프라이빗 호스팅 영역을 생성합니다. 예를 들어 `us-east-2.aoss-fips.amazonaws.com`입니다.

   1. **연결된 VPC**에 비FIPS 프라이빗 호스팅 영역에서 복사한 VPC 정보를 입력합니다.

1. 다음 설정으로 새 레코드를 추가합니다.

   1. 레코드 이름: \$1

   1. 레코드 유형: CNAME

   1. 값: 앞서 복사한 **값/트래픽 라우팅 대상** 정보를 입력합니다.

## 공통 문제
<a name="serverless-fips-endpoint-common-problems"></a>

FIPS 준수 VPC 엔드포인트 연결 문제가 발생할 경우 다음 정보를 사용하여 문제를 해결하세요.
+ DNS 확인 실패 - VPC 내에서 FIPS 엔드포인트 도메인 이름을 확인할 수 없음
+ 연결 제한 시간 - FIPS 엔드포인트에 대한 요청 제한 시간
+ 액세스 거부 오류 - FIPS 엔드포인트 사용 시 인증 또는 권한 부여 실패
+ VPC 전용 컬렉션에 대한 프라이빗 호스팅 영역 레코드 누락

**FIPS 엔드포인트 연결 문제를 해결하려면**

1. 프라이빗 호스팅 영역 구성을 확인합니다.

   1. FIPS 엔드포인트 도메인(`*.region.aoss-fips.amazonaws.com`)의 프라이빗 호스팅 영역이 존재하는지 확인합니다.

   1. 프라이빗 호스팅 영역이 올바른 VPC와 연결되어 있는지 확인합니다.

      자세한 내용은 *Amazon Route 53 개발자 가이드*의 [프라이빗 호스팅 영역](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) 및 *AWS PrivateLink 가이드*의 [DNS 이름 관리](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html)를 참조하세요.

1. DNS 확인 테스트:

   1. VPC에서 EC2 인스턴스에 연결합니다.

   1. 다음 명령을 실행합니다.

      ```
      nslookup collection-id.region.aoss-fips.amazonaws.com
      ```

   1. 응답에 VPC 엔드포인트의 프라이빗 IP 주소가 포함되어 있는지 확인합니다.

      자세한 내용은 *Amazon VPC 사용 설명서*에서 [엔드포인트 정책](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification)과 [DNS 속성](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting)을 참조하세요.

1. 보안 그룹 설정 확인:

   1. VPC 엔드포인트에 연결된 보안 그룹이 리소스의 HTTPS 트래픽(포트 443)을 허용하는지 확인합니다.

   1. 리소스의 보안 그룹이 VPC 엔드포인트로의 아웃바운드 트래픽을 허용하는지 확인합니다.

   자세한 내용은 *AWS PrivateLink 가이드*의 [엔드포인트 정책](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups)과 *Amazon VPC 사용 설명서*의 [보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules)을 참조하세요.

1. 네트워크 ACL 구성 검토:

   1. 네트워크 ACL이 리소스와 VPC 엔드포인트 간의 트래픽을 허용하는지 확인합니다.

     자세한 내용을 알아보려면 Amazon VPC 사용 설명서**의 [네트워크 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting)을 참조하세요.

1. 엔드포인트 정책 검토:

   1. VPC 엔드포인트 정책이 OpenSearch Serverless 리소스에 필요한 작업을 허용하는지 확인합니다.

     자세한 내용은 *AWS PrivateLink 가이드*의 [VPC 엔드포인트 필수 권한](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions) 및 [엔드포인트 정책](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies)을 참조하세요.

**작은 정보**  
VPC에서 사용자 지정 DNS 해석기를 사용하는 경우 `*.amazonaws.com` 도메인에 대한 요청을 AWS 서버로 전달하도록 구성합니다.