Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Conformité à la norme FIPS dans Amazon Serverless OpenSearch
<a name="fips-compliance-opensearch-serverless"></a>

Amazon OpenSearch Serverless prend en charge les normes fédérales de traitement de l'information (FIPS) 140-2, une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Lorsque vous vous connectez à des points de terminaison compatibles FIPS avec OpenSearch Serverless, les opérations cryptographiques sont effectuées à l'aide de bibliothèques cryptographiques validées par FIPS.

OpenSearch Les points de terminaison FIPS sans serveur sont disponibles Régions AWS là où le protocole FIPS est pris en charge. Ces points de terminaison utilisent le protocole TLS 1.2 ou version ultérieure et des algorithmes cryptographiques validés par le protocole FIPS pour toutes les communications. Pour plus d'informations, consultez la section [Conformité à la norme FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) dans le *Guide de l'utilisateur de l'accès AWS vérifié*.

**Topics**
+ [Utilisation de points de terminaison FIPS avec Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless)
+ [Utilisez les points de terminaison FIPS avec AWS SDKs](#using-fips-endpoints-aws-sdks)
+ [Configuration des groupes de sécurité pour les points de terminaison VPC](#configuring-security-groups-vpc-endpoints)
+ [Utiliser le point de terminaison VPC FIPS](#using-fips-vpc-endpoint)
+ [Vérifiez la conformité à la norme FIPS](#verifying-fips-compliance)
+ [Résoudre les problèmes de connectivité des terminaux FIPS dans les zones hébergées privées](serverless-fips-endpoint-issues.md)

## Utilisation de points de terminaison FIPS avec Serverless OpenSearch
<a name="using-fips-endpoints-opensearch-serverless"></a>

 Régions AWS Lorsque la norme FIPS est prise en charge, les collections OpenSearch sans serveur sont accessibles via des points de terminaison standard et conformes à la norme FIPS. Pour plus d'informations, consultez la section [Conformité à la norme FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) dans le *Guide de l'utilisateur de l'accès AWS vérifié*.

Dans les exemples suivants, remplacez *collection\$1id* et *Région AWS* par votre identifiant de collection et son Région AWS.
+ **Point de terminaison standard** —**https://*collection\$1id*.*Région AWS*.aoss.amazonaws.com**.
+ Point de terminaison **conforme à la norme FIPS —**. **https://*collection\$1id*.*Région AWS*.aoss-fips.amazonaws.com**

De même, les OpenSearch tableaux de bord sont accessibles via des points de terminaison standard et conformes à la norme FIPS :
+ Point de **terminaison standard des tableaux** de bord —**https://*collection\$1id*.*Région AWS*.aoss.amazonaws.com/\$1dashboards**.
+ Point de terminaison de **tableaux de bord conforme à la norme FIPS —**. **https://*collection\$1id*.*Région AWS*.aoss-fips.amazonaws.com/\$1dashboards**

**Note**  
Dans les régions compatibles FIPS, les points de terminaison standard et conformes à la norme FIPS fournissent une cryptographie conforme à la norme FIPS. **Les points de terminaison spécifiques à FIPS vous aident à répondre aux exigences de conformité qui imposent spécifiquement l'utilisation de points de terminaison dont le nom est FIPS.**

## Utilisez les points de terminaison FIPS avec AWS SDKs
<a name="using-fips-endpoints-aws-sdks"></a>

Lors de l'utilisation AWS SDKs, vous pouvez spécifier le point de terminaison FIPS lors de la création du client. Dans l'exemple suivant, remplacez *collection\$1id* et *Région AWS* par votre identifiant de collection et son Région AWS.

```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Région AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)
```

## Configuration des groupes de sécurité pour les points de terminaison VPC
<a name="configuring-security-groups-vpc-endpoints"></a>

Pour garantir une communication correcte avec votre point de terminaison Amazon VPC (VPC) conforme à la norme FIPS, créez ou modifiez un groupe de sécurité afin d'autoriser le trafic HTTPS entrant (port TCP 443) en provenance des ressources de votre VPC qui doivent accéder à Serverless. OpenSearch Associez ensuite ce groupe de sécurité à votre point de terminaison VPC lors de la création ou en modifiant le point de terminaison après sa création. Pour plus d'informations, veuillez consulter [Création d'un groupe de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) dans le *Guide de l'utilisateur Amazon VPC*.

## Utiliser le point de terminaison VPC FIPS
<a name="using-fips-vpc-endpoint"></a>

Après avoir créé le point de terminaison VPC conforme à la norme FIPS, vous pouvez l'utiliser pour OpenSearch accéder à Serverless à partir des ressources de votre VPC. Pour utiliser le point de terminaison pour les opérations d'API, configurez votre SDK pour utiliser le point de terminaison FIPS régional, comme décrit dans la [Utilisation de points de terminaison FIPS avec Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless) section. Pour accéder aux OpenSearch tableaux de bord, utilisez l'URL des tableaux de bord spécifique à la collection, qui sera automatiquement acheminée via le point de terminaison VPC conforme à la norme FIPS lors de l'accès depuis votre VPC. Pour de plus amples informations, veuillez consulter [Utilisation de OpenSearch tableaux de bord avec Amazon Service OpenSearch](dashboards.md).

## Vérifiez la conformité à la norme FIPS
<a name="verifying-fips-compliance"></a>

Pour vérifier que vos connexions à OpenSearch Serverless utilisent une cryptographie conforme à la norme FIPS, utilisez-la AWS CloudTrail pour surveiller les appels d'API effectués vers Serverless. OpenSearch Vérifiez que le `eventSource` champ dans les CloudTrail journaux s'affiche `aoss-fips.amazonaws.com` pour les appels d'API. 

Pour accéder aux OpenSearch tableaux de bord, vous pouvez utiliser les outils de développement du navigateur pour inspecter les détails de connexion TLS et vérifier que des suites de chiffrement conformes à la norme FIPS sont utilisées. 

# Résoudre les problèmes de connectivité des terminaux FIPS dans les zones hébergées privées
<a name="serverless-fips-endpoint-issues"></a>

Les points de terminaison FIPS fonctionnent avec les collections Amazon OpenSearch Serverless accessibles au public. Pour les collections VPC nouvellement créées qui utilisent des points de terminaison VPC nouvellement créés, les points de terminaison FIPS fonctionnent comme prévu. Pour les autres collections VPC, vous devrez peut-être effectuer une configuration manuelle pour garantir le bon fonctionnement des points de terminaison FIPS.

**Pour configurer les zones hébergées privées FIPS dans Amazon Route 53**

1. Ouvrez la console Route 53 à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Passez en revue vos zones hébergées :

   1. Localisez les zones hébergées dans lesquelles se trouvent Régions AWS vos collections.

   1. Vérifiez les modèles de dénomination des zones hébergées :
      + Format non FIPS :. `region.aoss.amazonaws.com`
      + Format FIPS :`region.aoss-fips.amazonaws.com`.

   1. Vérifiez que le **type** de toutes vos zones hébergées est défini sur **Zone hébergée privée**.

1. Si la zone hébergée privée FIPS est absente :

   1. Sélectionnez la zone hébergée privée non FIPS correspondante.

   1. Copiez les VPCs informations **associées**. Par exemple : `vpc-1234567890abcdef0 | us-east-2`.

   1. Trouvez l'enregistrement de domaine générique. Par exemple : `*.us-east-2.aoss.amazonaws.com`.

   1. Copiez le **trafic Value/Route dans les** informations. Par exemple :`uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`.

1. Créez la zone hébergée privée FIPS :

   1. Créez une nouvelle zone hébergée privée au format FIPS. Par exemple : `us-east-2.aoss-fips.amazonaws.com`.

   1. Dans **Associated VPCs**, entrez les informations VPC que vous avez copiées depuis la zone hébergée privée non FIPS.

1. Ajoutez un nouvel enregistrement avec les paramètres suivants :

   1. Nom de l'enregistrement : \$1

   1. Type d'enregistrement : CNAME

   1. Valeur : Entrez la **valeur/l'itinéraire du trafic vers** les informations que vous avez copiées précédemment.

## Problèmes courants
<a name="serverless-fips-endpoint-common-problems"></a>

Si vous rencontrez des problèmes de connectivité avec vos points de terminaison VPC conformes à la norme FIPS, utilisez les informations suivantes pour résoudre le problème.
+ Défaillances de résolution DNS : vous ne pouvez pas résoudre le nom de domaine du point de terminaison FIPS au sein de votre VPC
+ Expiration des délais de connexion : le délai d'expiration de vos demandes adressées au point de terminaison FIPS
+ Erreurs d'accès refusé - L'authentification ou l'autorisation échoue lors de l'utilisation de points de terminaison FIPS
+ Enregistrements de zone hébergée privée manquants pour les collections réservées aux VPN

**Pour résoudre les problèmes de connectivité des terminaux FIPS**

1. Vérifiez la configuration de votre zone hébergée privée :

   1. Vérifiez qu'une zone hébergée privée existe pour le domaine de point de terminaison FIPS (`*.region.aoss-fips.amazonaws.com`.

   1. Vérifiez que la zone hébergée privée est associée au VPC approprié.

      Pour plus d'informations, consultez les [sections Zones hébergées privées](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) dans le *guide du développeur Amazon Route 53* et [Gérer les noms DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) dans le *AWS PrivateLink guide*.

1. Testez la résolution DNS :

   1. Connectez-vous à une instance EC2 de votre VPC.

   1. Exécutez la commande suivante :

      ```
      nslookup collection-id.region.aoss-fips.amazonaws.com
      ```

   1. Vérifiez que la réponse inclut l'adresse IP privée de votre point de terminaison VPC.

      Pour plus d'informations, consultez les [politiques relatives aux points de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification) et [les attributs DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) dans le guide de l'*utilisateur Amazon VPC*.

1. Vérifiez les paramètres de votre groupe de sécurité :

   1. Vérifiez que le groupe de sécurité attaché au point de terminaison VPC autorise le trafic HTTPS (port 443) provenant de vos ressources.

   1. Vérifiez que les groupes de sécurité de vos ressources autorisent le trafic sortant vers le point de terminaison VPC.

   Pour plus d'informations, consultez [les politiques relatives aux terminaux](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) dans le *AWS PrivateLink guide* et les [groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) dans le guide de l'*utilisateur Amazon VPC*.

1. Vérifiez la configuration de votre ACL réseau :

   1. Vérifiez que le réseau ACLs autorise le trafic entre vos ressources et le point de terminaison VPC.

     Pour plus d'informations, consultez la section [Réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) dans le guide de l'*utilisateur Amazon VPC*.

1. Passez en revue votre politique en matière de terminaux :

   1. Vérifiez que la politique de point de terminaison VPC autorise les actions requises sur vos ressources OpenSearch sans serveur.

     *Pour plus d'informations, consultez les sections [Autorisations de point de terminaison VPC requises](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions) et [Politiques relatives aux points de terminaison dans le Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies).AWS PrivateLink *

**Astuce**  
Si vous utilisez des résolveurs DNS personnalisés dans votre VPC, configurez-les `*.amazonaws.com` pour transmettre les demandes de domaines aux AWS serveurs.