Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas - Amazon OpenSearch Service
Problemas comunes

Solución de problemas de conectividad de puntos de conexión de FIPS en zonas alojadas privadas

Los puntos de conexión de conexión de FIPS funcionan con las colecciones de Amazon OpenSearch sin servidor que tienen acceso público. Para las nuevas colecciones de VPC que utilizan puntos de conexión de VPC recién creados, los puntos de conexión de FIPS funcionan según lo esperado. Para otras colecciones de VPC, es posible que deba realizar una configuración manual para garantizar que los puntos de conexión de FIPS funcionen correctamente.

Para configurar zonas alojadas privadas de FIPS en Amazon Route 53

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. Revise sus zonas alojadas:

    1. Localice las zonas alojadas en las que se encuentran las Regiones de AWS de sus colecciones.

    2. Compruebe los patrones de nomenclatura de las zonas alojadas:

      • Formato que no es de FIPS: region.aoss.amazonaws.com.

      • Formato que es de FIPS: region.aoss-fips.amazonaws.com.

    3. Confirme que el Tipo de todas sus zonas alojadas esté configurado como Zona alojada privada.

  3. Si falta la zona alojada privada de FIPS:

    1. Seleccione la zona alojada privada no FIPS correspondiente.

    2. Copie la información de las VPC asociadas. Por ejemplo: vpc-1234567890abcdef0 | us-east-2.

    3. Busque el registro de dominio con comodín. Por ejemplo: *.us-east-2.aoss.amazonaws.com.

    4. Copie la información de Valor/Dirigir el tráfico a. Por ejemplo: .:uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws.

  4. Cree la zona alojada privada de FIPS:

    1. Cree una nueva zona alojada privada con el formato de FIPS. Por ejemplo: us-east-2.aoss-fips.amazonaws.com.

    2. En el caso de las VPC asociadas, ingrese la información de la VPC que ha copiado de la zona alojada privada que no es de FIPS.

  5. Agregue una nueva regla con las siguientes opciones de configuración:

    1. Nombre del registro: *

    2. Tipo de registro: CNAME

    3. Valor: ingrese la información de Valor/Dirigir el tráfico a que copió anteriormente.

Problemas comunes

Si tiene problemas de conectividad con los puntos de conexión de VPC compatibles con FIPS, consulte la siguiente información para ayudar a resolverlos.

  • Errores de resolución de DNS: no puede resolver el nombre de dominio del punto de conexión de FIPS en su VPC

  • Tiempos de espera de conexión: se agota el tiempo de espera de sus solicitudes al punto de conexión de FIPS

  • Errores de acceso denegado: la autenticación o la autorización fallan cuando se utilizan puntos de conexión de FIPS

  • Faltan registros de zonas alojadas privadas para colecciones exclusivas de VPC

Para solucionar problemas de conectividad de puntos de conexión de FIPS

  1. Compruebe la configuración de su zona alojada privada:

    1. Confirme que existe una zona alojada privada para el dominio del punto de conexión de FIPS (*.region.aoss-fips.amazonaws.com).

    2. Compruebe que la zona alojada privada esté asociada a la VPC correcta.

      Para obtener más información, consulte Zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53 y Administración de nombres de DNS en la Guía de AWS PrivateLink.

  2. Pruebe de la resolución de DNS:

    1. Conéctese a una instancia de EC2 en su VPC.

    2. Ejecuta el siguiente comando:

      nslookup collection-id.region.aoss-fips.amazonaws.com

    3. Compruebe que la respuesta incluya la dirección IP privada del punto de conexión de VPC.

      Para obtener más información, consulte Políticas de puntos de conexión y Atributos de DNS en la Guía del usuario de Amazon VPC.

  3. Compruebe la configuración del grupo de seguridad:

    1. Compruebe que el grupo de seguridad adjunto al punto de conexión de VPC permita el tráfico HTTPS (puerto 443) desde sus recursos.

    2. Confirme que los grupos de seguridad de sus recursos permitan el tráfico saliente al punto de conexión de VPC.

    Para obtener más información, consulte Políticas de puntos de conexión en la Guía de AWS PrivateLink y Grupos de seguridad en la Guía del usuario de Amazon VPC.

  4. Revise la configuración de la ACL de red:

    1. Compruebe que las ACL de red permiten el tráfico entre sus recursos y el punto de conexión de VPC.

      Para obtener más información, consulte la sección relacionada con las ACL de red en la Guía del usuario de Amazon VPC.

  5. Revise su política de puntos de conexión:

    1. Compruebe que la política de puntos de conexión de VPC permita las acciones necesarias en sus recursos de OpenSearch sin servidor.

      Para obtener más información, consulte Permisos de puntos de conexión de VPC necesarios y Políticas de puntos de conexión en la Guía de AWS PrivateLink.

sugerencia

Si utiliza solucionadores de DNS personalizados en su VPC, configúrelos para que reenvíen las solicitudes de dominios *.amazonaws.com a los servidores de AWS.