Résoudre les problèmes de connectivité des terminaux FIPS dans les zones hébergées privées - Amazon OpenSearch Service
Problèmes courants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résoudre les problèmes de connectivité des terminaux FIPS dans les zones hébergées privées

Les points de terminaison FIPS fonctionnent avec les collections Amazon OpenSearch Serverless accessibles au public. Pour les collections VPC nouvellement créées qui utilisent des points de terminaison VPC nouvellement créés, les points de terminaison FIPS fonctionnent comme prévu. Pour les autres collections VPC, vous devrez peut-être effectuer une configuration manuelle pour garantir le bon fonctionnement des points de terminaison FIPS.

Pour configurer les zones hébergées privées FIPS dans Amazon Route 53

  1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

  2. Passez en revue vos zones hébergées :

    1. Localisez les zones hébergées dans lesquelles se trouvent Régions AWS vos collections.

    2. Vérifiez les modèles de dénomination des zones hébergées :

      • Format non FIPS :. region.aoss.amazonaws.com

      • Format FIPS :region.aoss-fips.amazonaws.com.

    3. Vérifiez que le type de toutes vos zones hébergées est défini sur Zone hébergée privée.

  3. Si la zone hébergée privée FIPS est absente :

    1. Sélectionnez la zone hébergée privée non FIPS correspondante.

    2. Copiez les VPCs informations associées. Par exemple : vpc-1234567890abcdef0 | us-east-2.

    3. Trouvez l'enregistrement de domaine générique. Par exemple : *.us-east-2.aoss.amazonaws.com.

    4. Copiez le trafic Value/Route dans les informations. Par exemple :uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws.

  4. Créez la zone hébergée privée FIPS :

    1. Créez une nouvelle zone hébergée privée au format FIPS. Par exemple : us-east-2.aoss-fips.amazonaws.com.

    2. Dans Associated VPCs, entrez les informations VPC que vous avez copiées depuis la zone hébergée privée non FIPS.

  5. Ajoutez un nouvel enregistrement avec les paramètres suivants :

    1. Nom de l'enregistrement : *

    2. Type d'enregistrement : CNAME

    3. Valeur : Entrez la valeur/l'itinéraire du trafic vers les informations que vous avez copiées précédemment.

Problèmes courants

Si vous rencontrez des problèmes de connectivité avec vos points de terminaison VPC conformes à la norme FIPS, utilisez les informations suivantes pour résoudre le problème.

  • Défaillances de résolution DNS : vous ne pouvez pas résoudre le nom de domaine du point de terminaison FIPS au sein de votre VPC

  • Expiration des délais de connexion : le délai d'expiration de vos demandes adressées au point de terminaison FIPS

  • Erreurs d'accès refusé - L'authentification ou l'autorisation échoue lors de l'utilisation de points de terminaison FIPS

  • Enregistrements de zone hébergée privée manquants pour les collections réservées aux VPN

Pour résoudre les problèmes de connectivité des terminaux FIPS

  1. Vérifiez la configuration de votre zone hébergée privée :

    1. Vérifiez qu'une zone hébergée privée existe pour le domaine de point de terminaison FIPS (*.region.aoss-fips.amazonaws.com.

    2. Vérifiez que la zone hébergée privée est associée au VPC approprié.

      Pour plus d'informations, consultez les sections Zones hébergées privées dans le guide du développeur Amazon Route 53 et Gérer les noms DNS dans le AWS PrivateLink guide.

  2. Testez la résolution DNS :

    1. Connectez-vous à une EC2 instance de votre VPC.

    2. Exécutez la commande suivante :

      nslookup collection-id.region.aoss-fips.amazonaws.com

    3. Vérifiez que la réponse inclut l'adresse IP privée de votre point de terminaison VPC.

      Pour plus d'informations, consultez les politiques relatives aux points de terminaison et les attributs DNS dans le guide de l'utilisateur Amazon VPC.

  3. Vérifiez les paramètres de votre groupe de sécurité :

    1. Vérifiez que le groupe de sécurité attaché au point de terminaison VPC autorise le trafic HTTPS (port 443) provenant de vos ressources.

    2. Vérifiez que les groupes de sécurité de vos ressources autorisent le trafic sortant vers le point de terminaison VPC.

    Pour plus d'informations, consultez les politiques relatives aux terminaux dans le AWS PrivateLink guide et les groupes de sécurité dans le guide de l'utilisateur Amazon VPC.

  4. Vérifiez la configuration de votre ACL réseau :

    1. Vérifiez que le réseau ACLs autorise le trafic entre vos ressources et le point de terminaison VPC.

      Pour plus d'informations, consultez la section Réseau ACLs dans le guide de l'utilisateur Amazon VPC.

  5. Passez en revue votre politique en matière de terminaux :

    1. Vérifiez que la politique de point de terminaison VPC autorise les actions requises sur vos ressources OpenSearch sans serveur.

      Pour plus d'informations, consultez les sections Autorisations de point de terminaison VPC requises et Politiques relatives aux points de terminaison dans le Guide.AWS PrivateLink

Astuce

Si vous utilisez des résolveurs DNS personnalisés dans votre VPC, configurez-les *.amazonaws.com pour transmettre les demandes de domaines aux AWS serveurs.