Uso de puntos finales FIPS con Serverless OpenSearch Utilice los puntos finales de FIPS con AWS SDKs Configurar grupos de seguridad para puntos finales de VPC Utilice el punto final de VPC FIPS Verifica el cumplimiento de la FIPS

Conformidad con FIPS en Amazon Serverless OpenSearch

Amazon OpenSearch Serverless es compatible con los estándares federales de procesamiento de información (FIPS) 140-2, que son estándares gubernamentales de EE. UU. y Canadá que especifican los requisitos de seguridad para los módulos criptográficos que protegen la información confidencial. Cuando se conecta a puntos de conexión compatibles con FIPS con OpenSearch Serverless, las operaciones criptográficas se realizan mediante bibliotecas criptográficas validadas por FIPS.

OpenSearch Los puntos finales FIPS sin servidor están disponibles en los lugares en los que se admite FIPS. Regiones de AWS Estos puntos finales utilizan TLS 1.2 o una versión posterior y algoritmos criptográficos validados por FIPS para todas las comunicaciones. Para obtener más información, consulte el cumplimiento de las normas FIPS en la Guía del usuario sobre el acceso verificado.AWS

Temas

Uso de puntos finales FIPS con Serverless OpenSearch
Utilice los puntos finales de FIPS con AWS SDKs
Configurar grupos de seguridad para puntos finales de VPC
Utilice el punto final de VPC FIPS
Verifica el cumplimiento de la FIPS
Resolver los problemas de conectividad de los terminales FIPS en zonas alojadas privadas

Uso de puntos finales FIPS con Serverless OpenSearch

Regiones de AWS Cuando se admite FIPS, se puede acceder a las colecciones OpenSearch sin servidor a través de puntos de conexión estándar y compatibles con FIPS. Para obtener más información, consulte el cumplimiento de FIPS en la Guía del usuario de acceso verificado.AWS

En los siguientes ejemplos, sustituya collection_id y Región de AWS por su identificador de colección y el suyo Región de AWS.

Punto final estándar —https://collection_id.Región de AWS.aoss.amazonaws.com.
Punto final compatible con FIPS —. https://collection_id.Región de AWS.aoss-fips.amazonaws.com

Del mismo modo, se puede acceder a los OpenSearch paneles de control a través de puntos de conexión estándar y compatibles con FIPS:

Punto final de los cuadros de mando estándar:. https://collection_id.Región de AWS.aoss.amazonaws.com/_dashboards
Punto final de paneles de control compatible con FIPS —. https://collection_id.Región de AWS.aoss-fips.amazonaws.com/_dashboards

nota

En las regiones habilitadas para FIPS, tanto los puntos finales estándar como los que cumplen con FIPS proporcionan una criptografía compatible con FIPS. Los puntos de conexión específicos de FIPS le ayudan a cumplir con los requisitos de conformidad que exigen específicamente el uso de puntos de enlace con el nombre FIPS.

Utilice los puntos finales de FIPS con AWS SDKs

Cuando lo utilice AWS SDKs, puede especificar el punto final de FIPS al crear el cliente. En el siguiente ejemplo, sustituya collection_id y Región de AWS por su identificador de colección y el suyo Región de AWS.


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Región de AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Configurar grupos de seguridad para puntos finales de VPC

Para garantizar una comunicación adecuada con su punto final de Amazon VPC (VPC) compatible con FIPS, cree o modifique un grupo de seguridad para permitir el tráfico HTTPS entrante (puerto TCP 443) desde los recursos de su VPC que necesitan acceder a Serverless. OpenSearch A continuación, asocie este grupo de seguridad al punto final de la VPC durante la creación o modifique el punto final después de la creación. Para obtener más información, consulte Crear un grupo de seguridad en la Guía del usuario de Amazon VPC.

Utilice el punto final de VPC FIPS

Después de crear el punto final de la VPC compatible con FIPS, puede usarlo para OpenSearch acceder a Serverless desde los recursos de su VPC. Para usar el punto de conexión para las operaciones de la API, configura tu SDK para usar el punto de conexión FIPS regional, tal y como se describe en la sección. Uso de puntos finales FIPS con Serverless OpenSearch Para acceder a los OpenSearch paneles, utilice la URL de paneles específica de la colección, que se enrutará automáticamente por el punto final de la VPC compatible con FIPS cuando se acceda a ellos desde su VPC. Para obtener más información, consulte Uso de OpenSearch cuadros de mando con Amazon Service OpenSearch .

Verifica el cumplimiento de la FIPS

Para comprobar que sus conexiones a OpenSearch Serverless utilizan criptografía compatible con FIPS, utilícela AWS CloudTrail para supervisar las llamadas de API realizadas a Serverless. OpenSearch Comprueba que el eventSource campo de los registros muestre las llamadas a la API CloudTrail . aoss-fips.amazonaws.com

Para acceder a los OpenSearch paneles de control, puede utilizar las herramientas de desarrollo del navegador para inspeccionar los detalles de la conexión TLS y comprobar que se utilizan conjuntos de cifrado compatibles con el FIPS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso a la red

Solucione los problemas de las zonas alojadas privadas de FIPS