View a markdown version of this page

亚马逊 OpenSearch 无服务器中的 FIPS 合规性 - 亚马逊 OpenSearch 服务
将 FIPS 端点与无服务器一起使用 OpenSearch将 FIPS 端点与 AWS 软件开发工具包为 VPC 端点配置安全组使用 FIPS VPC 端点验证 FIPS 合规性

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 OpenSearch 无服务器中的 FIPS 合规性

Amazon OpenSearch Serverless 支持联邦信息处理标准 (FIPS) 140-2,这是加拿大政府的一项标准,它规定了保护敏感信息的加密模块的安全要求 U.S。当您使用 OpenSearch Serverless 连接到 FIPS-enabled 端点时,加密操作将使用 FIPS-validated 加密库进行。

OpenSearch 在支持 FIPS AWS 区域 的地方,可以使用无服务器 FIPS 端点。这些端点使用 TLS 1.2 或更高版本以及 FIPS-validated 加密算法进行所有通信。有关更多信息,请参阅《AWS 已验证访问用户指南》中的 FIPS 合规性

主题

将 FIPS 端点与无服务器一起使用 OpenSearch

在支持 FIPS AWS 区域 的地方,可通过标准和 FIPS-compliant 端点访问 OpenSearch 无服务器集合。这些 FIPS-compliant 变体适用于 OpenSearch 无服务器集合端点 NextGen 和经典集合端点。有关更多信息,请参阅《AWS 已验证访问用户指南》中的 FIPS 合规性

在以下示例中,将collection-idaccount-id、和region替换为您的馆藏 AWS 账户 ID、ID 和区域。

NextGen 每个集合的端点

  • 标准https://collection-id.aoss.region.on.aws

  • FIPS-complianthttps://collection-id.aoss-fips.region.on.aws

NextGen 每个账户的终端节点

  • 标准https://account-id.aoss.region.on.aws

  • FIPS-complianthttps://account-id.aoss-fips.region.on.aws

经典的按集合终端节点

  • 标准https://collection-id.region.aoss.amazonaws.com

  • FIPS-complianthttps://collection-id.region.aoss-fips.amazonaws.com

NextGen FIPS 终端节点使用 VPC 访问标准 AWS PrivateLink ,与非 FIPS 端点相同。有关更多信息,请参阅 通过以下方式访问数据平面 AWS PrivateLink

注意

在 FIPS-enabled 区域中,标准和 FIPS-compliant 终端节点都提供 FIPS-compliant 加密。这些 FIPS-specific 终端节点可帮助您满足合规性要求,这些要求特别要求使用名称中带有 FIPS 的端点。

将 FIPS 端点与 AWS 软件开发工具包

使用 AWS SDK 时,可以在创建客户端时指定 FIPS 端点。在以下示例中,AWS 区域使用您的集合 ID collection_id 及其替换和 AWS 区域。

# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS 区域.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

为 VPC 端点配置安全组

为确保与您的 FIPS-compliant Amazon VPC (VPC) 终端节点进行正常通信,请创建或修改安全组,以允许来自您的 VPC 中需要访问 OpenSearch 无服务器的资源的入站 HTTPS 流量(TCP 端口 443)。然后在创建期间将此安全组与您的 VPC 端点相关联,或者在创建后修改端点。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建安全组

使用 FIPS VPC 端点

创建 FIPS-compliant VPC 终端节点后,您可以使用它从 VPC 内的资源访问 OpenSearch 无服务器。要使用端点进行 API 操作,请将 SDK 配置为使用区域性 FIPS 端点,如 将 FIPS 端点与无服务器一起使用 OpenSearch 部分所述。要访问 OpenSearch 控制面板,请使用集合特定的控制面板 URL,从您的 VPC 内部访问时,该网址将自动通过 FIPS-compliant VPC 终端节点进行路由。有关更多信息,请参阅 在 Amazon OpenSearch 服务中使用 OpenSearch 控制面板

验证 FIPS 合规性

要验证您与 OpenSearch 无服务器的连接是否使用 FIPS-compliant 加密技术,请使用监控 AWS CloudTrail 对无服务器进行的 API 调用。 OpenSearch 检查 CloudTrail 日志中是否显示了 API 调aoss-fips.amazonaws.com用的eventSource字段。

要访问 OpenSearch 控制面板,您可以使用浏览器开发者工具来检查 TLS 连接详细信息并验证是否正在使用 FIPS-compliant 密码套件。