Kepatuhan FIPS di Amazon Tanpa Server OpenSearch - OpenSearch Layanan Amazon
Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch Gunakan titik akhir FIPS dengan AWS CLIGunakan titik akhir FIPS dengan AWS SDKsKonfigurasikan grup keamanan untuk titik akhir VPCGunakan titik akhir VPC FIPSVerifikasi kepatuhan FIPS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kepatuhan FIPS di Amazon Tanpa Server OpenSearch

Amazon OpenSearch Serverless mendukung Federal Information Processing Standards (FIPS) 140-2, yang merupakan standar pemerintah AS dan Kanada yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. Saat Anda terhubung ke titik akhir berkemampuan FIPS dengan OpenSearch Tanpa Server, operasi kriptografi terjadi menggunakan pustaka kriptografi yang divalidasi FIPS.

OpenSearch Titik akhir FIPS tanpa server tersedia di Wilayah AWS tempat FIPS didukung. Endpoint ini menggunakan TLS 1.2 atau yang lebih baru dan algoritma kriptografi yang divalidasi FIPS untuk semua komunikasi. Untuk informasi selengkapnya, lihat kepatuhan FIPS di Panduan Pengguna Akses AWS Terverifikasi.

Topik

Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch

Di Wilayah AWS mana FIPS didukung, koleksi OpenSearch Tanpa Server dapat diakses melalui titik akhir standar dan yang sesuai dengan FIPS. Untuk informasi selengkapnya, lihat kepatuhan FIPS di Panduan Pengguna Akses AWS Terverifikasi.

Dalam contoh berikut, ganti collection_id dan region dengan ID koleksi Anda dan nya Wilayah AWS.

  • Titik akhir standarhttps://collection_id.region.aoss.amazonaws.com.

  • Titik akhir yang sesuai dengan FIPS —. https://collection_id.region.aoss-fips.amazonaws.com

Demikian pula, OpenSearch Dasbor dapat diakses melalui titik akhir standar dan yang sesuai dengan FIPS:

  • Titik akhir Dasbor Standar —. https://collection_id.region.aoss.amazonaws.com/_dashboards

  • Titik akhir Dasbor yang sesuai dengan FIPS —. https://collection_id.region.aoss-fips.amazonaws.com/_dashboards

Untuk pengoperasian API, titik akhir yang sesuai dengan FIPS mengikuti format ini:

aoss-fips.region.amazonaws.com

Berikut ini adalah contoh titik akhir di Wilayah AS Timur (Virginia N.):

aoss-fips.us-east-1.amazonaws.com

catatan

Di Wilayah yang mendukung FIPS, titik akhir standar dan yang sesuai dengan FIPS menyediakan kriptografi yang sesuai dengan FIPS. Titik akhir khusus FIPS membantu Anda memenuhi persyaratan kepatuhan yang secara khusus mengamanatkan penggunaan titik akhir dengan FIPS dalam namanya.

Gunakan titik akhir FIPS dengan AWS CLI

Untuk mengonfigurasi titik akhir FIPS untuk operasi OpenSearch Tanpa Server, setel --endpoint-url parameter ke titik akhir FIPS saat melakukan panggilan API: AWS CLI 

aws opensearchserverless create-collection \
    --name my-collection \
    --type SEARCH \
    --endpoint-url https://aoss-fips.us-east-1.amazonaws.com

Anda juga dapat mengonfigurasi AWS CLI untuk selalu menggunakan titik akhir FIPS untuk OpenSearch Tanpa Server dengan menambahkan yang berikut ke file AWS CLI konfigurasi Anda (): ~/.aws/config

[profile your-profile-name]
aoss-fips = true

Gunakan titik akhir FIPS dengan AWS SDKs

Saat menggunakan AWS SDKs, Anda dapat menentukan titik akhir FIPS saat membuat klien:

// Java SDK example
AmazonOpenSearchServerlessClientBuilder clientBuilder = AmazonOpenSearchServerlessClientBuilder.standard()
    .withEndpointConfiguration(new AwsClientBuilder.EndpointConfiguration(
        "https://aoss-fips.us-east-1.amazonaws.com",
        "us-east-1"))
    .withCredentials(credentialsProvider);
AmazonOpenSearchServerless client = clientBuilder.build();
# Python SDK example
import boto3
client = boto3.client(
    'opensearchserverless',
    region_name='us-east-1',
    endpoint_url='https://aoss-fips.us-east-1.amazonaws.com'
)

Konfigurasikan grup keamanan untuk titik akhir VPC

Untuk memastikan komunikasi yang tepat dengan titik akhir Amazon VPC (VPC) yang sesuai dengan FIPS, buat atau modifikasi grup keamanan untuk mengizinkan lalu lintas HTTPS masuk (port TCP 443) dari sumber daya di VPC Anda yang perlu mengakses Tanpa Server. OpenSearch Kemudian kaitkan grup keamanan ini dengan titik akhir VPC Anda selama pembuatan atau dengan memodifikasi titik akhir setelah pembuatan. Untuk informasi selengkapnya, lihat Membuat grup keamanan di Panduan Pengguna Amazon VPC.

Gunakan titik akhir VPC FIPS

Setelah membuat titik akhir VPC yang sesuai dengan FIPS, Anda dapat menggunakannya untuk mengakses Tanpa OpenSearch Server dari sumber daya dalam VPC Anda. Untuk menggunakan endpoint untuk operasi API, konfigurasikan AWS CLI atau SDK Anda untuk menggunakan endpoint FIPS regional seperti yang dijelaskan di bagian ini. Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch Untuk akses OpenSearch Dasbor, gunakan URL Dasbor khusus koleksi, yang akan secara otomatis merutekan melalui titik akhir VPC yang sesuai dengan FIPS saat diakses dari dalam VPC Anda. Untuk informasi selengkapnya, lihat Menggunakan OpenSearch Dasbor dengan Layanan Amazon OpenSearch .

Verifikasi kepatuhan FIPS

Untuk memverifikasi bahwa koneksi Anda ke OpenSearch Tanpa Server menggunakan kriptografi yang sesuai dengan FIPS, gunakan AWS CloudTrail untuk memantau panggilan API yang dilakukan ke Tanpa Server. OpenSearch Periksa apakah eventSource bidang di CloudTrail log ditampilkan aoss-fips.amazonaws.com untuk panggilan API.

Untuk akses OpenSearch Dasbor, Anda dapat menggunakan alat pengembang browser untuk memeriksa detail koneksi TLS dan memverifikasi bahwa rangkaian sandi yang sesuai dengan FIPS sedang digunakan.