Uso de puntos finales FIPS con Serverless OpenSearch Utilice los puntos finales de FIPS con AWS SDKs Configurar grupos de seguridad para puntos de conexión de VPC Uso del punto de conexión de VPC compatible con FIPS Verificar el cumplimiento de FIPS

Conformidad con FIPS en Amazon Serverless OpenSearch

Amazon OpenSearch Serverless es compatible con los estándares federales de procesamiento de información (FIPS) 140-2, que son estándares gubernamentales de EE. UU. y Canadá que especifican los requisitos de seguridad para los módulos criptográficos que protegen la información confidencial. Cuando se conecta a puntos de conexión compatibles con FIPS con OpenSearch Serverless, las operaciones criptográficas se realizan mediante bibliotecas criptográficas validadas por FIPS.

OpenSearch Los puntos finales FIPS sin servidor están disponibles en los lugares en los que se admite FIPS. Regiones de AWS Estos puntos de conexión utilizan TLS 1.2 o una versión posterior y algoritmos criptográficos validados FIPS para todas las comunicaciones. Para obtener más información, consulte Cumplimiento FIPS en la Guía del usuario de AWS Verified Access.

Temas

Uso de puntos finales FIPS con Serverless OpenSearch
Utilice los puntos finales de FIPS con AWS SDKs
Configurar grupos de seguridad para puntos de conexión de VPC
Uso del punto de conexión de VPC compatible con FIPS
Verificar el cumplimiento de FIPS
Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas

Uso de puntos finales FIPS con Serverless OpenSearch

Regiones de AWS Cuando se admite FIPS, se puede acceder a las colecciones OpenSearch sin servidor a través de puntos de conexión estándar y compatibles con FIPS. Para obtener más información, consulte Cumplimiento FIPS en la Guía del usuario de AWS Verified Access.

En los siguientes ejemplos, sustituya collection_id y por su identificador de colección y el Región de AWS suyo. Región de AWS

Puntos de conexión estándar: https://collection_id.Región de AWS.aoss.amazonaws.com.
Punto de conexión compatible con FIPS: https://collection_id.Región de AWS.aoss-fips.amazonaws.com.

Del mismo modo, se puede acceder a los OpenSearch paneles de control a través de puntos de conexión estándar y compatibles con el FIPS:

Punto de conexión estándar de Dashboards: https://collection_id.Región de AWS.aoss.amazonaws.com/_dashboards.
Punto de conexión de Dashboards compatible con FIPS: https://collection_id.Región de AWS.aoss-fips.amazonaws.com/_dashboards.

nota

En las regiones habilitadas para FIPS, tanto los puntos de conexión estándar como los compatibles con FIPS proporcionan criptografía compatible con FIPS. Los puntos de conexión específicos de FIPS lo ayudan a cumplir con los requisitos de cumplimiento que exigen específicamente el uso de puntos de conexión con FIPS en el nombre.

Utilice los puntos finales de FIPS con AWS SDKs

Cuando lo utilice AWS SDKs, puede especificar el punto final de FIPS al crear el cliente. En el siguiente ejemplo, sustituya collection_id y Región de AWS por su identificador de colección y el suyo Región de AWS.


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Región de AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Configurar grupos de seguridad para puntos de conexión de VPC

Para garantizar una comunicación adecuada con su punto final de Amazon VPC (VPC) compatible con FIPS, cree o modifique un grupo de seguridad para permitir el tráfico HTTPS entrante (puerto TCP 443) desde los recursos de su VPC que necesitan acceder a Serverless. OpenSearch Luego, asocie este grupo de seguridad con su punto de conexión de VPC durante la creación o modificando el punto de conexión después de la creación. Para obtener más información, consulte Crear un grupo de seguridad en la Guía del usuario de Amazon VPC.

Uso del punto de conexión de VPC compatible con FIPS

Después de crear el punto final de la VPC compatible con FIPS, puede usarlo para OpenSearch acceder a Serverless desde los recursos de su VPC. Para usar el punto de conexión en operaciones de API, configure su SDK para usar el punto de conexión regional FIPS según se describe en la sección Uso de puntos finales FIPS con Serverless OpenSearch. Para acceder a los OpenSearch paneles, utilice la URL de paneles específica de la colección, que se enrutará automáticamente por el punto final de la VPC compatible con FIPS cuando se acceda a ellos desde su VPC. Para obtener más información, consulte Uso de OpenSearch cuadros de mando con Amazon Service OpenSearch.

Verificar el cumplimiento de FIPS

Para comprobar que tus conexiones a Serverless utilizan criptografía compatible con FIPS, OpenSearch úsala para supervisar las llamadas de API realizadas a Serverless. AWS CloudTrail OpenSearch Comprueba que el eventSource campo de los registros muestre las llamadas a la API CloudTrail . aoss-fips.amazonaws.com

Para acceder a los OpenSearch paneles de control, puede utilizar las herramientas de desarrollo del navegador para inspeccionar los detalles de la conexión TLS y comprobar que se utilizan conjuntos de cifrado compatibles con el FIPS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso a la red

Solución de problemas de zonas alojadas privadas de FIPS