Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# FIPS-Konformität bei Amazon Serverless OpenSearch
Amazon OpenSearch Serverless unterstützt die Federal Information Processing Standards (FIPS) 140-2, einen Standard der US-amerikanischen und kanadischen Regierung, der Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Wenn Sie mit OpenSearch Serverless eine Verbindung zu FIPS-fähigen Endpunkten herstellen, werden kryptografische Operationen mithilfe von FIPS-validierten kryptografischen Bibliotheken ausgeführt.
OpenSearch Serverlose FIPS-Endpunkte sind dort verfügbar, wo FIPS unterstützt wird. AWS-Regionen Diese Endpunkte verwenden TLS 1.2 oder höher und FIPS-validierte kryptografische Algorithmen für die gesamte Kommunikation. *Weitere Informationen finden Sie unter [FIPS-Konformität](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) im Verified Access-Benutzerhandbuch.AWS *
**Topics**
+ [Verwenden von FIPS-Endpunkten mit Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless)
+ [Verwenden Sie FIPS-Endpunkte mit AWS SDKs](#using-fips-endpoints-aws-sdks)
+ [Sicherheitsgruppen für VPC-Endpoints konfigurieren](#configuring-security-groups-vpc-endpoints)
+ [Verwenden Sie den FIPS VPC-Endpunkt](#using-fips-vpc-endpoint)
+ [Überprüfen Sie die FIPS-Konformität](#verifying-fips-compliance)
+ [Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen](serverless-fips-endpoint-issues.md)
## Verwenden von FIPS-Endpunkten mit Serverless OpenSearch
AWS-Regionen Dort, wo FIPS unterstützt wird, sind OpenSearch serverlose Sammlungen sowohl über Standard- als auch über FIPS-konforme Endpunkte zugänglich. *Weitere Informationen finden Sie unter [FIPS-Konformität](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) im Benutzerhandbuch für verifizierten Zugriff.AWS *
Ersetzen Sie in den folgenden Beispielen *collection\$1id* und *AWS-Region* durch Ihre Sammlungs-ID und deren AWS-Region.
+ **Standardendpunkt** —**https://*collection\$1id*.*AWS-Region*.aoss.amazonaws.com**.
+ **FIPS-konformer** Endpunkt —. **https://*collection\$1id*.*AWS-Region*.aoss-fips.amazonaws.com**
In ähnlicher Weise sind OpenSearch Dashboards sowohl über Standard- als auch über FIPS-konforme Endpunkte zugänglich:
+ **Standard-Dashboard-Endpunkt —.** **https://*collection\$1id*.*AWS-Region*.aoss.amazonaws.com/\$1dashboards**
+ Endpunkt für **FIPS-konforme Dashboards** —. **https://*collection\$1id*.*AWS-Region*.aoss-fips.amazonaws.com/\$1dashboards**
**Anmerkung**
In FIPS-fähigen Regionen bieten sowohl Standard- als auch FIPS-konforme Endpunkte FIPS-konforme Kryptografie. **Die FIPS-spezifischen Endpunkte helfen Ihnen dabei, Compliance-Anforderungen zu erfüllen, die ausdrücklich die Verwendung von Endpunkten mit FIPS im Namen vorschreiben.**
## Verwenden Sie FIPS-Endpunkte mit AWS SDKs
Bei der Verwendung AWS SDKs können Sie den FIPS-Endpunkt bei der Erstellung des Clients angeben. Ersetzen Sie im folgenden Beispiel *collection\$1id* und *AWS-Region* durch Ihre Sammlungs-ID und deren AWS-Region.
```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS-Region.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
hosts = [{'host': host, 'port': 443}],
http_auth = auth,
use_ssl = True,
verify_certs = True,
connection_class = RequestsHttpConnection,
pool_maxsize = 20
)
```
## Sicherheitsgruppen für VPC-Endpoints konfigurieren
Um eine ordnungsgemäße Kommunikation mit Ihrem FIPS-konformen Amazon VPC (VPC) -Endpunkt sicherzustellen, erstellen oder ändern Sie eine Sicherheitsgruppe, um eingehenden HTTPS-Verkehr (TCP-Port 443) von den Ressourcen in Ihrer VPC zuzulassen, die auf Serverless zugreifen müssen. OpenSearch Ordnen Sie diese Sicherheitsgruppe dann während der Erstellung oder indem Sie den Endpunkt nach der Erstellung ändern, VPC VPC-Endpunkt zu. Weitere Informationen finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) im *Amazon-VPC-Benutzerhandbuch*.
## Verwenden Sie den FIPS VPC-Endpunkt
Nachdem Sie den FIPS-kompatiblen VPC-Endpunkt erstellt haben, können Sie ihn verwenden, um von Ressourcen innerhalb Ihrer VPC aus auf OpenSearch Serverless zuzugreifen. Um den Endpunkt für API-Operationen zu verwenden, konfigurieren Sie Ihr SDK so, dass es den regionalen FIPS-Endpunkt verwendet, wie im Abschnitt beschrieben. [Verwenden von FIPS-Endpunkten mit Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless) Verwenden Sie für den Zugriff auf OpenSearch Dashboards die sammlungsspezifische Dashboard-URL, die automatisch über den FIPS-konformen VPC-Endpunkt weitergeleitet wird, wenn von Ihrer VPC aus darauf zugegriffen wird. Weitere Informationen finden Sie unter [Verwenden von OpenSearch Dashboards mit Amazon Service OpenSearch](dashboards.md).
## Überprüfen Sie die FIPS-Konformität
Um zu überprüfen, ob Ihre Verbindungen zu OpenSearch Serverless FIPS-konforme Kryptografie verwenden, verwenden Sie diese Option AWS CloudTrail zur Überwachung von API-Aufrufen an Serverless. OpenSearch Vergewissern Sie sich, dass das `eventSource` Feld in CloudTrail den Protokollen für API-Aufrufe angezeigt wird. `aoss-fips.amazonaws.com`
Für den Zugriff auf OpenSearch Dashboards können Sie Browser-Entwicklertools verwenden, um die TLS-Verbindungsdetails zu überprüfen und sicherzustellen, dass FIPS-konforme Cipher Suites verwendet werden.
# Behebung von Verbindungsproblemen mit FIPS-Endpunkten in privaten gehosteten Zonen
FIPS-Endpunkte funktionieren mit Amazon OpenSearch Serverless-Sammlungen, die öffentlich zugänglich sind. Für neu erstellte VPC-Sammlungen, die neu erstellte VPC-Endpunkte verwenden, funktionieren FIPS-Endpunkte wie erwartet. Für andere VPC-Sammlungen müssen Sie möglicherweise eine manuelle Einrichtung durchführen, um sicherzustellen, dass die FIPS-Endpunkte ordnungsgemäß funktionieren.
**So konfigurieren Sie private, gehostete FIPS-Zonen in Amazon Route 53**
1. Öffnen Sie die Route 53-Konsole unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. Überprüfen Sie Ihre gehosteten Zonen:
1. Suchen Sie die Hosting-Zonen für die Bereiche, in denen sich AWS-Regionen Ihre Sammlungen befinden.
1. Überprüfen Sie die Benennungsmuster für gehostete Zonen:
+ Nicht-FIPS-Format:. `region.aoss.amazonaws.com`
+ FIPS-Format:. `region.aoss-fips.amazonaws.com`
1. Vergewissern Sie sich, dass der **Typ** für alle Ihre gehosteten Zonen auf **Private gehostete Zone** eingestellt ist.
1. Wenn die private gehostete FIPS-Zone fehlt:
1. Wählen Sie die entsprechende private gehostete Nicht-FIPS-Zone aus.
1. Kopieren Sie die **zugehörigen Informationen VPCs**. Beispiel: `vpc-1234567890abcdef0 | us-east-2`.
1. Suchen Sie den Wildcard-Domaineintrag. Beispiel: `*.us-east-2.aoss.amazonaws.com`.
1. Kopieren Sie den **Value/Route-Verkehr** in die Information. Zum Beispiel:. `uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`
1. Erstellen Sie die private gehostete FIPS-Zone:
1. Erstellen Sie eine neue private gehostete Zone im FIPS-Format. Beispiel: `us-east-2.aoss-fips.amazonaws.com`.
1. Geben Sie **unter** Zugeordnet die VPC-Informationen ein VPCs, die Sie aus der privaten Hosting-Zone ohne FIPS kopiert haben.
1. Fügen Sie einen neuen Datensatz mit den folgenden Einstellungen hinzu:
1. Name des Datensatzes: \$1
1. Datensatztyp: CNAME
1. Wert: Geben Sie den **Wert ein/leiten Sie den Verkehr zu** Informationen weiter, die Sie zuvor kopiert haben.
## Häufige Fehler
Wenn Sie Verbindungsprobleme mit Ihren FIPS-kompatiblen VPC-Endpunkten haben, verwenden Sie die folgenden Informationen, um das Problem zu lösen.
+ Fehler bei der DNS-Auflösung — Sie können den FIPS-Endpunktdomänennamen in Ihrer VPC nicht auflösen
+ Verbindungs-Timeouts — Bei Ihren Anfragen an den FIPS-Endpunkt wird das Timeout überschritten
+ Fehler „Zugriff verweigert“ — Die Authentifizierung oder Autorisierung schlägt fehl, wenn FIPS-Endpunkte verwendet werden
+ Fehlende private gehostete Zoneneinträge für Sammlungen, die nur auf VPN basieren
**Um Probleme mit der FIPS-Endpunktkonnektivität zu beheben**
1. Überprüfen Sie die Konfiguration Ihrer privaten gehosteten Zone:
1. Vergewissern Sie sich, dass eine private gehostete Zone für die FIPS-Endpunktdomäne vorhanden ist (`*.region.aoss-fips.amazonaws.com`.
1. Stellen Sie sicher, dass die private gehostete Zone der richtigen VPC zugeordnet ist.
Weitere Informationen finden Sie unter [Private Hosted Zones](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) im *Amazon Route 53 Developer Guide* und [Manage DNS Names](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) im *AWS PrivateLink Guide*.
1. Testen Sie die DNS-Auflösung:
1. Stellen Sie eine Connect zu einer EC2-Instance in Ihrer VPC her.
1. Führen Sie den folgenden Befehl aus:
```
nslookup collection-id.region.aoss-fips.amazonaws.com
```
1. Vergewissern Sie sich, dass die Antwort die private IP-Adresse Ihres VPC-Endpunkts enthält.
Weitere Informationen finden Sie unter [Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification) und [DNS-Attribute](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) im *Amazon VPC-Benutzerhandbuch*.
1. Überprüfen Sie die Einstellungen Ihrer Sicherheitsgruppe:
1. Stellen Sie sicher, dass die mit dem VPC-Endpunkt verbundene Sicherheitsgruppe HTTPS-Verkehr (Port 443) von Ihren Ressourcen zulässt.
1. Vergewissern Sie sich, dass Sicherheitsgruppen für Ihre Ressourcen ausgehenden Datenverkehr zum VPC-Endpunkt zulassen.
Weitere Informationen finden Sie unter [Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) im *AWS PrivateLink Handbuch* und [Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) im *Amazon VPC-Benutzerhandbuch*.
1. Überprüfen Sie Ihre Netzwerk-ACL-Konfiguration:
1. Stellen Sie sicher, dass das Netzwerk den Verkehr zwischen Ihren Ressourcen und dem VPC-Endpunkt ACLs zulässt.
Weitere Informationen finden Sie unter [Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) im *Amazon VPC-Benutzerhandbuch*.
1. Überprüfen Sie Ihre Endpunktrichtlinie:
1. Vergewissern Sie sich, dass die VPC-Endpunktrichtlinie die erforderlichen Aktionen für Ihre OpenSearch serverlosen Ressourcen zulässt.
*Weitere Informationen finden Sie im Handbuch unter [Erforderliche VPC-Endpunktberechtigungen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions) und [Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies).AWS PrivateLink *
**Tipp**
Wenn Sie in Ihrer VPC benutzerdefinierte DNS-Resolver verwenden, konfigurieren Sie sie so, dass Anfragen für `*.amazonaws.com` Domänen an die AWS Server weitergeleitet werden.