Verwenden von FIPS-Endpunkten mit Serverless OpenSearch Verwenden Sie FIPS-Endpunkte mit AWS SDKs Sicherheitsgruppen für VPC-Endpoints konfigurieren Verwenden Sie den FIPS VPC-Endpunkt Überprüfen Sie die FIPS-Konformität

FIPS-Konformität bei Amazon Serverless OpenSearch

Amazon OpenSearch Serverless unterstützt die Federal Information Processing Standards (FIPS) 140-2, einen Standard der US-amerikanischen und kanadischen Regierung, der Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Wenn Sie mit OpenSearch Serverless eine Verbindung zu FIPS-fähigen Endpunkten herstellen, werden kryptografische Operationen mithilfe von FIPS-validierten kryptografischen Bibliotheken ausgeführt.

OpenSearch Serverlose FIPS-Endpunkte sind dort verfügbar, wo FIPS unterstützt wird. AWS-Regionen Diese Endpunkte verwenden TLS 1.2 oder höher und FIPS-validierte kryptografische Algorithmen für die gesamte Kommunikation. Weitere Informationen finden Sie unter FIPS-Konformität im Verified Access-Benutzerhandbuch.AWS

Themen

Verwenden von FIPS-Endpunkten mit Serverless OpenSearch
Verwenden Sie FIPS-Endpunkte mit AWS SDKs
Sicherheitsgruppen für VPC-Endpoints konfigurieren
Verwenden Sie den FIPS VPC-Endpunkt
Überprüfen Sie die FIPS-Konformität
Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen

Verwenden von FIPS-Endpunkten mit Serverless OpenSearch

AWS-Regionen Dort, wo FIPS unterstützt wird, sind OpenSearch serverlose Sammlungen sowohl über Standard- als auch über FIPS-konforme Endpunkte zugänglich. Weitere Informationen finden Sie unter FIPS-Konformität im Benutzerhandbuch für verifizierten Zugriff.AWS

Ersetzen Sie in den folgenden Beispielen collection_id und AWS-Region durch Ihre Sammlungs-ID und deren AWS-Region.

Standardendpunkt —https://collection_id.AWS-Region.aoss.amazonaws.com.
FIPS-konformer Endpunkt —. https://collection_id.AWS-Region.aoss-fips.amazonaws.com

In ähnlicher Weise sind OpenSearch Dashboards sowohl über Standard- als auch über FIPS-konforme Endpunkte zugänglich:

Standard-Dashboard-Endpunkt —. https://collection_id.AWS-Region.aoss.amazonaws.com/_dashboards
Endpunkt für FIPS-konforme Dashboards —. https://collection_id.AWS-Region.aoss-fips.amazonaws.com/_dashboards

Anmerkung

In FIPS-fähigen Regionen bieten sowohl Standard- als auch FIPS-konforme Endpunkte FIPS-konforme Kryptografie. Die FIPS-spezifischen Endpunkte helfen Ihnen dabei, Compliance-Anforderungen zu erfüllen, die ausdrücklich die Verwendung von Endpunkten mit FIPS im Namen vorschreiben.

Verwenden Sie FIPS-Endpunkte mit AWS SDKs

Bei der Verwendung AWS SDKs können Sie den FIPS-Endpunkt bei der Erstellung des Clients angeben. Ersetzen Sie im folgenden Beispiel collection_id und AWS-Region durch Ihre Sammlungs-ID und deren AWS-Region.


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS-Region.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Sicherheitsgruppen für VPC-Endpoints konfigurieren

Um eine ordnungsgemäße Kommunikation mit Ihrem FIPS-konformen Amazon VPC (VPC) -Endpunkt sicherzustellen, erstellen oder ändern Sie eine Sicherheitsgruppe, um eingehenden HTTPS-Verkehr (TCP-Port 443) von den Ressourcen in Ihrer VPC zuzulassen, die auf Serverless zugreifen müssen. OpenSearch Ordnen Sie diese Sicherheitsgruppe dann während der Erstellung oder indem Sie den Endpunkt nach der Erstellung ändern, VPC VPC-Endpunkt zu. Weitere Informationen finden Sie unter Erstellen einer Sicherheitsgruppe im Amazon-VPC-Benutzerhandbuch.

Verwenden Sie den FIPS VPC-Endpunkt

Nachdem Sie den FIPS-kompatiblen VPC-Endpunkt erstellt haben, können Sie ihn verwenden, um von Ressourcen innerhalb Ihrer VPC aus auf OpenSearch Serverless zuzugreifen. Um den Endpunkt für API-Operationen zu verwenden, konfigurieren Sie Ihr SDK so, dass es den regionalen FIPS-Endpunkt verwendet, wie im Abschnitt beschrieben. Verwenden von FIPS-Endpunkten mit Serverless OpenSearch Verwenden Sie für den Zugriff auf OpenSearch Dashboards die sammlungsspezifische Dashboard-URL, die automatisch über den FIPS-konformen VPC-Endpunkt weitergeleitet wird, wenn von Ihrer VPC aus darauf zugegriffen wird. Weitere Informationen finden Sie unter Verwenden von OpenSearch Dashboards mit Amazon Service OpenSearch .

Überprüfen Sie die FIPS-Konformität

Um zu überprüfen, ob Ihre Verbindungen zu OpenSearch Serverless FIPS-konforme Kryptografie verwenden, verwenden Sie diese Option AWS CloudTrail zur Überwachung von API-Aufrufen an Serverless. OpenSearch Vergewissern Sie sich, dass das eventSource Feld in CloudTrail den Protokollen für API-Aufrufe angezeigt wird. aoss-fips.amazonaws.com

Für den Zugriff auf OpenSearch Dashboards können Sie Browser-Entwicklertools verwenden, um die TLS-Verbindungsdetails zu überprüfen und sicherzustellen, dass FIPS-konforme Cipher Suites verwendet werden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Netzwerkzugriff

Beheben Sie private gehostete FIPS-Zonen