Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Conformidad con FIPS en Amazon Serverless OpenSearch
<a name="fips-compliance-opensearch-serverless"></a>

Amazon OpenSearch Serverless es compatible con los estándares federales de procesamiento de información (FIPS) 140-2, que son estándares gubernamentales de EE. UU. y Canadá que especifican los requisitos de seguridad para los módulos criptográficos que protegen la información confidencial. Cuando se conecta a puntos de conexión compatibles con FIPS con OpenSearch Serverless, las operaciones criptográficas se realizan mediante bibliotecas criptográficas validadas por FIPS.

OpenSearch Los puntos finales FIPS sin servidor están disponibles en los lugares en los que se admite FIPS. Regiones de AWS Estos puntos de conexión utilizan TLS 1.2 o una versión posterior y algoritmos criptográficos validados FIPS para todas las comunicaciones. Para obtener más información, consulte [Cumplimiento FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) en la *Guía del usuario de AWS Verified Access*.

**Topics**
+ [

## Uso de puntos finales FIPS con Serverless OpenSearch
](#using-fips-endpoints-opensearch-serverless)
+ [

## Utilice los puntos finales de FIPS con AWS SDKs
](#using-fips-endpoints-aws-sdks)
+ [

## Configurar grupos de seguridad para puntos de conexión de VPC
](#configuring-security-groups-vpc-endpoints)
+ [

## Uso del punto de conexión de VPC compatible con FIPS
](#using-fips-vpc-endpoint)
+ [

## Verificar el cumplimiento de FIPS
](#verifying-fips-compliance)
+ [

# Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas
](serverless-fips-endpoint-issues.md)

## Uso de puntos finales FIPS con Serverless OpenSearch
<a name="using-fips-endpoints-opensearch-serverless"></a>

 Regiones de AWS Cuando se admite FIPS, se puede acceder a las colecciones OpenSearch sin servidor a través de puntos de conexión estándar y compatibles con FIPS. Para obtener más información, consulte [Cumplimiento FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) en la *Guía del usuario de AWS Verified Access*.

En los siguientes ejemplos, sustituya *collection\$1id* y por su identificador de colección y el *Región de AWS* suyo. Región de AWS
+ **Puntos de conexión estándar**: **https://*collection\$1id*.*Región de AWS*.aoss.amazonaws.com**.
+ **Punto de conexión compatible con FIPS**: **https://*collection\$1id*.*Región de AWS*.aoss-fips.amazonaws.com**.

Del mismo modo, se puede acceder a los OpenSearch paneles de control a través de puntos de conexión estándar y compatibles con el FIPS:
+ **Punto de conexión estándar de Dashboards**: **https://*collection\$1id*.*Región de AWS*.aoss.amazonaws.com/\$1dashboards**.
+ **Punto de conexión de Dashboards compatible con FIPS**: **https://*collection\$1id*.*Región de AWS*.aoss-fips.amazonaws.com/\$1dashboards**.

**nota**  
En las regiones habilitadas para FIPS, tanto los puntos de conexión estándar como los compatibles con FIPS proporcionan criptografía compatible con FIPS. Los puntos de conexión específicos de FIPS lo ayudan a cumplir con los requisitos de cumplimiento que exigen específicamente el uso de puntos de conexión con **FIPS** en el nombre.

## Utilice los puntos finales de FIPS con AWS SDKs
<a name="using-fips-endpoints-aws-sdks"></a>

Cuando lo utilice AWS SDKs, puede especificar el punto final de FIPS al crear el cliente. En el siguiente ejemplo, sustituya *collection\$1id* y *Región de AWS* por su identificador de colección y el suyo Región de AWS.

```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Región de AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)
```

## Configurar grupos de seguridad para puntos de conexión de VPC
<a name="configuring-security-groups-vpc-endpoints"></a>

Para garantizar una comunicación adecuada con su punto final de Amazon VPC (VPC) compatible con FIPS, cree o modifique un grupo de seguridad para permitir el tráfico HTTPS entrante (puerto TCP 443) desde los recursos de su VPC que necesitan acceder a Serverless. OpenSearch Luego, asocie este grupo de seguridad con su punto de conexión de VPC durante la creación o modificando el punto de conexión después de la creación. Para obtener más información, consulte [Crear un grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) en la *Guía del usuario de Amazon VPC*.

## Uso del punto de conexión de VPC compatible con FIPS
<a name="using-fips-vpc-endpoint"></a>

Después de crear el punto final de la VPC compatible con FIPS, puede usarlo para OpenSearch acceder a Serverless desde los recursos de su VPC. Para usar el punto de conexión en operaciones de API, configure su SDK para usar el punto de conexión regional FIPS según se describe en la sección [Uso de puntos finales FIPS con Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless). Para acceder a los OpenSearch paneles, utilice la URL de paneles específica de la colección, que se enrutará automáticamente por el punto final de la VPC compatible con FIPS cuando se acceda a ellos desde su VPC. Para obtener más información, consulte [Uso de OpenSearch cuadros de mando con Amazon Service OpenSearch](dashboards.md).

## Verificar el cumplimiento de FIPS
<a name="verifying-fips-compliance"></a>

Para comprobar que tus conexiones a Serverless utilizan criptografía compatible con FIPS, OpenSearch úsala para supervisar las llamadas de API realizadas a Serverless. AWS CloudTrail OpenSearch Comprueba que el `eventSource` campo de los registros muestre las llamadas a la API CloudTrail . `aoss-fips.amazonaws.com` 

Para acceder a los OpenSearch paneles de control, puede utilizar las herramientas de desarrollo del navegador para inspeccionar los detalles de la conexión TLS y comprobar que se utilizan conjuntos de cifrado compatibles con el FIPS. 

# Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas
<a name="serverless-fips-endpoint-issues"></a>

Los puntos de enlace FIPS funcionan con las colecciones de Amazon OpenSearch Serverless que tienen acceso público. Para las nuevas colecciones de VPC que utilizan puntos de conexión de VPC recién creados, los puntos de conexión de FIPS funcionan según lo esperado. Para otras colecciones de VPC, es posible que deba realizar una configuración manual para garantizar que los puntos de conexión de FIPS funcionen correctamente.

**Para configurar zonas alojadas privadas de FIPS en Amazon Route 53**

1. Abra la consola de Route 53 en. [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)

1. Revise sus zonas alojadas:

   1. Localice las zonas alojadas en las que se encuentran Regiones de AWS sus colecciones.

   1. Compruebe los patrones de nomenclatura de las zonas alojadas:
      + Formato que no es de FIPS: `region.aoss.amazonaws.com`.
      + Formato que es de FIPS: `region.aoss-fips.amazonaws.com`.

   1. Confirme que el **Tipo** de todas sus zonas alojadas esté configurado como **Zona alojada privada**.

1. Si falta la zona alojada privada de FIPS:

   1. Seleccione la zona alojada privada no FIPS correspondiente.

   1. Copia la VPCs información **asociada**. Por ejemplo: `vpc-1234567890abcdef0 | us-east-2`.

   1. Busque el registro de dominio con comodín. Por ejemplo: `*.us-east-2.aoss.amazonaws.com`.

   1. Copie la información de **Valor/Dirigir el tráfico a**. Por ejemplo: `uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`.

1. Cree la zona alojada privada de FIPS:

   1. Cree una nueva zona alojada privada con el formato de FIPS. Por ejemplo: `us-east-2.aoss-fips.amazonaws.com`.

   1.  VPCsEn **Asociado**, introduzca la información de la VPC que copió de la zona alojada privada que no es de FIPS.

1. Agregue una nueva regla con las siguientes opciones de configuración:

   1. Nombre del registro: \$1

   1. Tipo de registro: CNAME

   1. Valor: ingrese la información de **Valor/Dirigir el tráfico a** que copió anteriormente.

## Problemas comunes
<a name="serverless-fips-endpoint-common-problems"></a>

Si tiene problemas de conectividad con los puntos de conexión de VPC compatibles con FIPS, consulte la siguiente información para ayudar a resolverlos.
+ Errores de resolución de DNS: no puede resolver el nombre de dominio del punto de conexión de FIPS en su VPC
+ Tiempos de espera de conexión: se agota el tiempo de espera de sus solicitudes al punto de conexión de FIPS
+ Errores de acceso denegado: la autenticación o la autorización fallan cuando se utilizan puntos de conexión de FIPS
+ Faltan registros de zonas alojadas privadas para colecciones exclusivas de VPC

**Para solucionar problemas de conectividad de puntos de conexión de FIPS**

1. Compruebe la configuración de su zona alojada privada:

   1. Confirme que existe una zona alojada privada para el dominio del punto de conexión de FIPS (`*.region.aoss-fips.amazonaws.com`).

   1. Compruebe que la zona alojada privada esté asociada a la VPC correcta.

      Para obtener más información, consulte [Zonas alojadas privadas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) en la *Guía para desarrolladores de Amazon Route 53* y [Administración de nombres de DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) en la *Guía de AWS PrivateLink *.

1. Pruebe de la resolución de DNS:

   1. Conéctese a una instancia de EC2 en su VPC.

   1. Use el siguiente comando:

      ```
      nslookup collection-id.region.aoss-fips.amazonaws.com
      ```

   1. Compruebe que la respuesta incluya la dirección IP privada del punto de conexión de VPC.

      Para obtener más información, consulte [Políticas de puntos de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification) y [Atributos de DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) en la *Guía del usuario de Amazon VPC*.

1. Compruebe la configuración del grupo de seguridad:

   1. Compruebe que el grupo de seguridad adjunto al punto de conexión de VPC permita el tráfico HTTPS (puerto 443) desde sus recursos.

   1. Confirme que los grupos de seguridad de sus recursos permitan el tráfico saliente al punto de conexión de VPC.

   Para obtener más información, consulte [Políticas de puntos de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) en la *Guía de AWS PrivateLink * y [Grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) en la *Guía del usuario de Amazon VPC*.

1. Revise la configuración de la ACL de red:

   1. Compruebe que la red ACLs permita el tráfico entre sus recursos y el punto final de la VPC.

     Para obtener más información, consulte [Red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) en la Guía del *usuario de Amazon VPC*.

1. Revise su política de puntos de conexión:

   1. Compruebe que la política de puntos finales de la VPC permita las acciones necesarias en sus recursos OpenSearch sin servidor.

     Para obtener más información, consulte [Permisos de puntos de conexión de VPC necesarios](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions) y [Políticas de puntos de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies) en la *Guía de AWS PrivateLink *.

**sugerencia**  
Si utilizas resolutores de DNS personalizados en tu VPC, configúralos para que reenvíen las `*.amazonaws.com` solicitudes de dominios a AWS los servidores.