Uso de puntos de conexión FIPS con OpenSearch sin servidor Uso de puntos de conexión FIPS con SDK de AWS Configurar grupos de seguridad para puntos de conexión de VPC Uso del punto de conexión de VPC compatible con FIPS Verificar el cumplimiento de FIPS

Cumplimiento FIPS en Amazon OpenSearch sin servidor

Amazon OpenSearch sin servidor admite el Estándar Federal de Procesamiento de Información (FIPS) 140-2, un estándar del Gobierno de EE. UU. y Canadá que especifica los requisitos de seguridad para módulos criptográficos que protegen información sensible. Al conectarse a puntos de conexión habilitados para FIPS con OpenSearch sin servidor, las operaciones criptográficas se realizan utilizando bibliotecas criptográficas validadas por FIPS.

Los puntos de conexión FIPS de OpenSearch sin servidor están disponibles en Regiones de AWS donde se admite FIPS. Estos puntos de conexión utilizan TLS 1.2 o una versión posterior y algoritmos criptográficos validados FIPS para todas las comunicaciones. Para obtener más información, consulte Cumplimiento FIPS en la Guía del usuario de AWS Verified Access.

Temas

Uso de puntos de conexión FIPS con OpenSearch sin servidor
Uso de puntos de conexión FIPS con SDK de AWS
Configurar grupos de seguridad para puntos de conexión de VPC
Uso del punto de conexión de VPC compatible con FIPS
Verificar el cumplimiento de FIPS
Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas

Uso de puntos de conexión FIPS con OpenSearch sin servidor

En las Regiones de AWS donde se admite FIPS, las colecciones de OpenSearch sin servidor son accesibles tanto a través de puntos de conexión estándar como compatibles con FIPS. Para obtener más información, consulte Cumplimiento FIPS en la Guía del usuario de AWS Verified Access.

En los siguientes ejemplos, reemplace collection_id y Región de AWS con su ID de colección y su Región de AWS.

Puntos de conexión estándar: https://collection_id.Región de AWS.aoss.amazonaws.com.
Punto de conexión compatible con FIPS: https://collection_id.Región de AWS.aoss-fips.amazonaws.com.

De manera similar, OpenSearch Dashboards son accesibles tanto a través de puntos de conexión estándar como compatibles con FIPS:

Punto de conexión estándar de Dashboards: https://collection_id.Región de AWS.aoss.amazonaws.com/_dashboards.
Punto de conexión de Dashboards compatible con FIPS: https://collection_id.Región de AWS.aoss-fips.amazonaws.com/_dashboards.

nota

En las regiones habilitadas para FIPS, tanto los puntos de conexión estándar como los compatibles con FIPS proporcionan criptografía compatible con FIPS. Los puntos de conexión específicos de FIPS lo ayudan a cumplir con los requisitos de cumplimiento que exigen específicamente el uso de puntos de conexión con FIPS en el nombre.

Uso de puntos de conexión FIPS con SDK de AWS

Al usar SDK de AWS, puede especificar el punto de conexión FIPS al crear el cliente. En el siguiente ejemplo, reemplace collection_id y Región de AWS con su ID de colección y su Región de AWS.


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Región de AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Configurar grupos de seguridad para puntos de conexión de VPC

Para garantizar una comunicación adecuada con su punto de conexión de Amazon VPC compatible con FIPS, cree o modifique un grupo de seguridad para permitir tráfico HTTPS entrante (puerto TCP 443) desde los recursos de su VPC que necesiten acceder a OpenSearch sin servidor. Luego, asocie este grupo de seguridad con su punto de conexión de VPC durante la creación o modificando el punto de conexión después de la creación. Para obtener más información, consulte Crear un grupo de seguridad en la Guía del usuario de Amazon VPC.

Uso del punto de conexión de VPC compatible con FIPS

Después de crear el punto de conexión de VPC compatible con FIPS, puede usarlo para acceder a OpenSearch Serverless desde los recursos dentro de su VPC. Para usar el punto de conexión en operaciones de API, configure su SDK para usar el punto de conexión regional FIPS según se describe en la sección Uso de puntos de conexión FIPS con OpenSearch sin servidor. Para acceder a OpenSearch Dashboards, use la URL de Dashboards específica de la colección, que se enrutará automáticamente a través del punto de conexión de VPC compatible con FIPS cuando se acceda desde dentro de su VPC. Para obtener más información, consulte Utilización de OpenSearch Dashboards con Amazon OpenSearch Service.

Verificar el cumplimiento de FIPS

Para verificar que sus conexiones a OpenSearch sin servidor estén utilizando criptografía compatible con FIPS, use AWS CloudTrail para supervisar las llamadas a la API realizadas a OpenSearch sin servidor. Compruebe que el campo eventSource en los registros de CloudTrail muestre aoss-fips.amazonaws.com para las llamadas a la API.

Para acceder a OpenSearch Dashboards, puede usar las herramientas de desarrollo del navegador para inspeccionar los detalles de la conexión TLS y verificar que se estén utilizando conjuntos de cifrado compatibles con FIPS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso a la red

Solución de problemas de zonas alojadas privadas de FIPS