As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conformidade com FIPS no Amazon Serverless OpenSearch
O Amazon OpenSearch Serverless oferece suporte ao Federal Information Processing Standards (FIPS) 140-2, que é um padrão do governo canadense que especifica requisitos de segurança para módulos criptográficos que protegem informações confidenciais U.S. Quando você se conecta a FIPS-enabled endpoints com o OpenSearch Serverless, as operações criptográficas ocorrem usando bibliotecas criptográficas. FIPS-validated
OpenSearch Os endpoints FIPS sem servidor estão disponíveis Regiões da AWS onde o FIPS é suportado. Esses endpoints usam TLS 1.2 ou posterior e algoritmos FIPS-validated criptográficos para todas as comunicações. Para saber mais, consulte [Conformidade com FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) no *Guia do usuário de acesso verificado pela AWS *.
**Topics**
+ [Usando endpoints FIPS com Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless)
+ [Use endpoints FIPS com AWS SDKs](#using-fips-endpoints-aws-sdks)
+ [Configurar grupos de segurança para endpoints da VPC](#configuring-security-groups-vpc-endpoints)
+ [Usar o endpoint FIPS da VPC](#using-fips-vpc-endpoint)
+ [Verificar a conformidade com FIPS](#verifying-fips-compliance)
+ [Resolver problemas de conectividade de endpoint FIPS em zonas hospedadas privadas](serverless-fips-endpoint-issues.md)
## Usando endpoints FIPS com Serverless OpenSearch
Regiões da AWS Onde o FIPS é suportado, as coleções OpenSearch sem servidor são acessíveis por meio de terminais e padrões. FIPS-compliant As FIPS-compliant variantes estão disponíveis para endpoints de coleção OpenSearch Serverless NextGen e Classic. Para saber mais, consulte [Conformidade com FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) no *Guia do usuário de acesso verificado pela AWS *.
Nos exemplos a seguir, substitua {{collection-id}}{{account-id}}, e {{region}} por seu ID de coleção, Conta da AWS ID e região.
**NextGen endpoint por coleção**
+ **Padrão** — **https://{{collection-id}}.aoss.{{region}}.on.aws**
+ **FIPS-compliant** – **https://{{collection-id}}.aoss-fips.{{region}}.on.aws**
**NextGen endpoint por conta**
+ **Padrão** — **https://{{account-id}}.aoss.{{region}}.on.aws**
+ **FIPS-compliant** – **https://{{account-id}}.aoss-fips.{{region}}.on.aws**
**Endpoint clássico por coleção**
+ **Padrão** — **https://{{collection-id}}.{{region}}.aoss.amazonaws.com**
+ **FIPS-compliant** – **https://{{collection-id}}.{{region}}.aoss-fips.amazonaws.com**
NextGen Os endpoints FIPS usam o padrão para acesso à AWS PrivateLink VPC, da mesma forma que seus equivalentes não FIPS. Para obter mais informações, consulte [Acesso ao plano de dados por meio de AWS PrivateLink](serverless-vpc.md).
**nota**
Nas FIPS-enabled regiões, tanto o padrão quanto os FIPS-compliant endpoints fornecem FIPS-compliant criptografia. Os FIPS-specific endpoints ajudam você a atender aos requisitos de conformidade que exigem especificamente o uso de endpoints com **FIPS** no nome.
## Use endpoints FIPS com AWS SDKs
Ao usar AWS SDKs, você pode especificar o endpoint FIPS ao criar o cliente. No exemplo a seguir, substitua {{collection\_id}} e {{Região da AWS}} por seu ID de coleção e seu Região da AWS.
```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://{{collection_id}}.{{Região da AWS}}.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
hosts = [{'host': host, 'port': 443}],
http_auth = auth,
use_ssl = True,
verify_certs = True,
connection_class = RequestsHttpConnection,
pool_maxsize = 20
)
```
## Configurar grupos de segurança para endpoints da VPC
Para garantir a comunicação adequada com seu endpoint FIPS-compliant Amazon VPC (VPC), crie ou modifique um grupo de segurança para permitir o tráfego HTTPS de entrada (porta TCP 443) dos recursos em sua VPC que precisam acessar o Serverless. OpenSearch Depois, associe esse grupo de segurança ao endpoint da VPC durante a criação ou modificando o endpoint após a criação. Para saber mais, consulte [Criar um grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) no *Guia do usuário da Amazon VPC*.
## Usar o endpoint FIPS da VPC
Depois de criar o FIPS-compliant VPC endpoint, você pode usá-lo para acessar o OpenSearch Serverless a partir de recursos dentro da sua VPC. Para usar o endpoint para operações de API, configure o SDK para usar o endpoint FIPS regional, como descrito na seção [Usando endpoints FIPS com Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless). Para acessar os OpenSearch painéis, use a URL específica dos painéis da coleção, que será roteada automaticamente pelo VPC endpoint quando acessada de dentro da sua FIPS-compliant VPC. Para obter mais informações, consulte [Usando OpenSearch painéis com o Amazon Service OpenSearch](dashboards.md).
## Verificar a conformidade com FIPS
Para verificar se suas conexões com o OpenSearch Serverless estão usando FIPS-compliant criptografia, use AWS CloudTrail para monitorar as chamadas de API feitas para o Serverless. OpenSearch Verifique se o `eventSource` campo nos CloudTrail registros é exibido `aoss-fips.amazonaws.com` para chamadas de API.
Para acessar os OpenSearch painéis, você pode usar as ferramentas do desenvolvedor do navegador para inspecionar os detalhes da conexão TLS e verificar se os conjuntos de FIPS-compliant criptografia estão sendo usados.