Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conformité à la norme FIPS dans Amazon Serverless OpenSearch

Amazon OpenSearch Serverless prend en charge les normes fédérales de traitement de l'information (FIPS) 140-2, une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Lorsque vous vous connectez à des points de terminaison compatibles FIPS avec OpenSearch Serverless, les opérations cryptographiques sont effectuées à l'aide de bibliothèques cryptographiques validées par FIPS.

OpenSearch Les points de terminaison FIPS sans serveur sont disponibles Régions AWS là où le protocole FIPS est pris en charge. Ces points de terminaison utilisent le protocole TLS 1.2 ou version ultérieure et des algorithmes cryptographiques validés par le protocole FIPS pour toutes les communications. Pour plus d'informations, consultez la section Conformité à la norme FIPS dans le Guide de l'utilisateur de l'accès AWS vérifié.

Utilisation de points de terminaison FIPS avec Serverless OpenSearch

Régions AWS Lorsque la norme FIPS est prise en charge, les collections OpenSearch sans serveur sont accessibles via des points de terminaison standard et conformes à la norme FIPS. Pour plus d'informations, consultez la section Conformité à la norme FIPS dans le Guide de l'utilisateur de l'accès AWS vérifié.

Dans les exemples suivants, remplacez collection_id et region par votre identifiant de collection et son Région AWS.

De même, les OpenSearch tableaux de bord sont accessibles via des points de terminaison standard et conformes à la norme FIPS :

Pour les opérations d'API, le point de terminaison conforme à la norme FIPS suit le format suivant :

aoss-fips.region.amazonaws.com

Voici un exemple de point de terminaison dans la région de l'est des États-Unis (Virginie du Nord) :

aoss-fips.us-east-1.amazonaws.com

Utilisez les points de terminaison FIPS avec AWS CLI

Pour configurer le point AWS CLI de terminaison FIPS pour les opérations OpenSearch sans serveur, définissez le --endpoint-url paramètre sur le point de terminaison FIPS lors des appels d'API :

aws opensearchserverless create-collection \
    --name my-collection \
    --type SEARCH \
    --endpoint-url https://aoss-fips.us-east-1.amazonaws.com

Vous pouvez également configurer le AWS CLI pour toujours utiliser les points de terminaison FIPS pour OpenSearch Serverless en ajoutant ce qui suit à votre fichier de AWS CLI configuration () : ~/.aws/config

[profile your-profile-name]
aoss-fips = true

Utilisez les points de terminaison FIPS avec AWS SDKs

Lors de l'utilisation AWS SDKs, vous pouvez spécifier le point de terminaison FIPS lors de la création du client :

// Java SDK example
AmazonOpenSearchServerlessClientBuilder clientBuilder = AmazonOpenSearchServerlessClientBuilder.standard()
    .withEndpointConfiguration(new AwsClientBuilder.EndpointConfiguration(
        "https://aoss-fips.us-east-1.amazonaws.com",
        "us-east-1"))
    .withCredentials(credentialsProvider);
AmazonOpenSearchServerless client = clientBuilder.build();

# Python SDK example
import boto3
client = boto3.client(
    'opensearchserverless',
    region_name='us-east-1',
    endpoint_url='https://aoss-fips.us-east-1.amazonaws.com'
)

Configuration des groupes de sécurité pour les points de terminaison VPC

Pour garantir une communication correcte avec votre point de terminaison Amazon VPC (VPC) conforme à la norme FIPS, créez ou modifiez un groupe de sécurité afin d'autoriser le trafic HTTPS entrant (port TCP 443) en provenance des ressources de votre VPC qui doivent accéder à Serverless. OpenSearch Associez ensuite ce groupe de sécurité à votre point de terminaison VPC lors de la création ou en modifiant le point de terminaison après sa création. Pour plus d'informations, veuillez consulter Création d'un groupe de sécurité dans le Guide de l'utilisateur Amazon VPC.

Utiliser le point de terminaison VPC FIPS

Après avoir créé le point de terminaison VPC conforme à la norme FIPS, vous pouvez l'utiliser pour OpenSearch accéder à Serverless à partir des ressources de votre VPC. Pour utiliser le point de terminaison pour les opérations d'API, configurez votre point de terminaison AWS CLI ou votre SDK pour utiliser le point de terminaison FIPS régional, comme décrit dans la Utilisation de points de terminaison FIPS avec Serverless OpenSearch section. Pour accéder aux OpenSearch tableaux de bord, utilisez l'URL des tableaux de bord spécifique à la collection, qui sera automatiquement acheminée via le point de terminaison VPC conforme à la norme FIPS lors de l'accès depuis votre VPC. Pour de plus amples informations, veuillez consulter Utilisation de OpenSearch tableaux de bord avec Amazon Service OpenSearch .

Vérifiez la conformité à la norme FIPS

Pour vérifier que vos connexions à OpenSearch Serverless utilisent une cryptographie conforme à la norme FIPS, utilisez-la AWS CloudTrail pour surveiller les appels d'API effectués vers Serverless. OpenSearch Vérifiez que le eventSource champ dans les CloudTrail journaux s'affiche aoss-fips.amazonaws.com pour les appels d'API.

Pour accéder aux OpenSearch tableaux de bord, vous pouvez utiliser les outils de développement du navigateur pour inspecter les détails de connexion TLS et vérifier que des suites de chiffrement conformes à la norme FIPS sont utilisées.