Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kepatuhan FIPS di Amazon Tanpa Server OpenSearch
<a name="fips-compliance-opensearch-serverless"></a>

Amazon OpenSearch Serverless mendukung Federal Information Processing Standards (FIPS) 140-2, yang merupakan standar pemerintah AS dan Kanada yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. Saat Anda terhubung ke titik akhir berkemampuan FIPS dengan OpenSearch Tanpa Server, operasi kriptografi terjadi menggunakan pustaka kriptografi yang divalidasi FIPS.

OpenSearch Titik akhir FIPS tanpa server tersedia di Wilayah AWS tempat FIPS didukung. Endpoint ini menggunakan TLS 1.2 atau yang lebih baru dan algoritma kriptografi yang divalidasi FIPS untuk semua komunikasi. Untuk informasi selengkapnya, lihat [kepatuhan FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) di *Panduan Pengguna Akses AWS Terverifikasi*.

**Topics**
+ [

## Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch
](#using-fips-endpoints-opensearch-serverless)
+ [

## Gunakan titik akhir FIPS dengan AWS SDKs
](#using-fips-endpoints-aws-sdks)
+ [

## Konfigurasikan grup keamanan untuk titik akhir VPC
](#configuring-security-groups-vpc-endpoints)
+ [

## Gunakan titik akhir VPC FIPS
](#using-fips-vpc-endpoint)
+ [

## Verifikasi kepatuhan FIPS
](#verifying-fips-compliance)
+ [

# Selesaikan masalah konektivitas titik akhir FIPS di zona yang dihosting pribadi
](serverless-fips-endpoint-issues.md)

## Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch
<a name="using-fips-endpoints-opensearch-serverless"></a>

Di Wilayah AWS mana FIPS didukung, koleksi OpenSearch Tanpa Server dapat diakses melalui titik akhir standar dan yang sesuai dengan FIPS. Untuk informasi selengkapnya, lihat [kepatuhan FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) di *Panduan Pengguna Akses AWS Terverifikasi*.

Dalam contoh berikut, ganti *collection\$1id* dan *Wilayah AWS* dengan ID koleksi Anda dan nya Wilayah AWS.
+ **Titik akhir standar** —**https://*collection\$1id*.*Wilayah AWS*.aoss.amazonaws.com**.
+ Titik akhir yang **sesuai dengan FIPS —**. **https://*collection\$1id*.*Wilayah AWS*.aoss-fips.amazonaws.com**

Demikian pula, OpenSearch Dasbor dapat diakses melalui titik akhir standar dan yang sesuai dengan FIPS:
+ **Titik akhir Dasbor Standar** —. **https://*collection\$1id*.*Wilayah AWS*.aoss.amazonaws.com/\$1dashboards**
+ Titik akhir Dasbor yang **sesuai dengan FIPS —**. **https://*collection\$1id*.*Wilayah AWS*.aoss-fips.amazonaws.com/\$1dashboards**

**catatan**  
Di Wilayah yang mendukung FIPS, titik akhir standar dan yang sesuai dengan FIPS menyediakan kriptografi yang sesuai dengan FIPS. **Titik akhir khusus FIPS membantu Anda memenuhi persyaratan kepatuhan yang secara khusus mengamanatkan penggunaan titik akhir dengan FIPS dalam namanya.**

## Gunakan titik akhir FIPS dengan AWS SDKs
<a name="using-fips-endpoints-aws-sdks"></a>

Saat menggunakan AWS SDKs, Anda dapat menentukan titik akhir FIPS saat membuat klien. Dalam contoh berikut, ganti *collection\$1id* dan *Wilayah AWS* dengan ID koleksi Anda dan nya Wilayah AWS.

```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Wilayah AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)
```

## Konfigurasikan grup keamanan untuk titik akhir VPC
<a name="configuring-security-groups-vpc-endpoints"></a>

Untuk memastikan komunikasi yang tepat dengan titik akhir Amazon VPC (VPC) yang sesuai dengan FIPS, buat atau modifikasi grup keamanan untuk mengizinkan lalu lintas HTTPS masuk (port TCP 443) dari sumber daya di VPC Anda yang perlu mengakses Tanpa Server. OpenSearch Kemudian kaitkan grup keamanan ini dengan titik akhir VPC Anda selama pembuatan atau dengan memodifikasi titik akhir setelah pembuatan. Untuk informasi selengkapnya, lihat [Membuat grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) di *Panduan Pengguna Amazon VPC*.

## Gunakan titik akhir VPC FIPS
<a name="using-fips-vpc-endpoint"></a>

Setelah membuat titik akhir VPC yang sesuai dengan FIPS, Anda dapat menggunakannya untuk mengakses Tanpa OpenSearch Server dari sumber daya dalam VPC Anda. Untuk menggunakan titik akhir untuk operasi API, konfigurasikan SDK Anda untuk menggunakan titik akhir FIPS Regional seperti yang dijelaskan di bagian ini. [Menggunakan titik akhir FIPS dengan Tanpa Server OpenSearch](#using-fips-endpoints-opensearch-serverless) Untuk akses OpenSearch Dasbor, gunakan URL Dasbor khusus koleksi, yang akan secara otomatis merutekan melalui titik akhir VPC yang sesuai dengan FIPS saat diakses dari dalam VPC Anda. Untuk informasi selengkapnya, lihat [Menggunakan OpenSearch Dasbor dengan Layanan Amazon OpenSearch](dashboards.md).

## Verifikasi kepatuhan FIPS
<a name="verifying-fips-compliance"></a>

Untuk memverifikasi bahwa koneksi Anda ke OpenSearch Tanpa Server menggunakan kriptografi yang sesuai dengan FIPS, gunakan AWS CloudTrail untuk memantau panggilan API yang dilakukan ke Tanpa Server. OpenSearch Periksa apakah `eventSource` bidang di CloudTrail log ditampilkan `aoss-fips.amazonaws.com` untuk panggilan API. 

Untuk akses OpenSearch Dasbor, Anda dapat menggunakan alat pengembang browser untuk memeriksa detail koneksi TLS dan memverifikasi bahwa rangkaian sandi yang sesuai dengan FIPS sedang digunakan. 

# Selesaikan masalah konektivitas titik akhir FIPS di zona yang dihosting pribadi
<a name="serverless-fips-endpoint-issues"></a>

Titik akhir FIPS berfungsi dengan koleksi Amazon OpenSearch Tanpa Server yang memiliki akses publik. Untuk koleksi VPC yang baru dibuat yang menggunakan titik akhir VPC yang baru dibuat, titik akhir FIPS berfungsi seperti yang diharapkan. Untuk koleksi VPC lainnya, Anda mungkin perlu melakukan penyiapan manual untuk memastikan titik akhir FIPS beroperasi dengan benar.

**Untuk mengonfigurasi zona host pribadi FIPS di Amazon Route 53**

1. Buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Tinjau zona yang dihosting Anda:

   1. Temukan zona yang dihosting untuk koleksi Wilayah AWS Anda.

   1. Verifikasi pola penamaan zona yang dihosting:
      + Format non-FIPS:. `region.aoss.amazonaws.com`
      + Format FIPS:`region.aoss-fips.amazonaws.com`.

   1. Konfirmasikan **Jenis** untuk semua zona yang dihosting disetel ke **Zona host pribadi**.

1. Jika zona host pribadi FIPS tidak ada:

   1. Pilih zona host pribadi non-FIPS yang sesuai.

   1. Salin VPCs informasi **terkait**. Sebagai contoh: `vpc-1234567890abcdef0 | us-east-2`.

   1. Temukan catatan domain wildcard. Sebagai contoh: `*.us-east-2.aoss.amazonaws.com`.

   1. Salin **lalu lintas Nilai/Rute ke informasi**. Misalnya:`uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`.

1. Buat zona host pribadi FIPS:

   1. Buat zona host pribadi baru dengan format FIPS. Sebagai contoh: `us-east-2.aoss-fips.amazonaws.com`.

   1. Untuk **Associated VPCs**, masukkan informasi VPC yang Anda salin dari zona host pribadi non-FIPS.

1. Tambahkan catatan baru dengan pengaturan berikut:

   1. Nama rekam: \$1

   1. Jenis rekaman: CNAME

   1. Nilai: Masukkan **lalu lintas Nilai/Rute ke** informasi yang Anda salin sebelumnya.

## Masalah Umum
<a name="serverless-fips-endpoint-common-problems"></a>

Jika Anda mengalami masalah konektivitas dengan titik akhir VPC yang sesuai dengan FIPS, gunakan informasi berikut untuk membantu menyelesaikan masalah.
+ Kegagalan resolusi DNS - Anda tidak dapat menyelesaikan nama domain titik akhir FIPS dalam VPC Anda
+ Batas waktu koneksi - Permintaan Anda ke waktu akhir titik akhir FIPS
+ Kesalahan akses ditolak - Otentikasi atau otorisasi gagal saat menggunakan titik akhir FIPS
+ Catatan zona yang dihosting pribadi tidak ada untuk koleksi khusus VPC

**Untuk memecahkan masalah konektivitas titik akhir FIPS**

1. Verifikasi konfigurasi Zona Dihosting Pribadi Anda:

   1. Konfirmasikan bahwa Zona Dihosting Pribadi ada untuk domain titik akhir FIPS (. `*.region.aoss-fips.amazonaws.com`

   1. Verifikasi bahwa zona yang dihosting pribadi dikaitkan dengan VPC yang benar.

      Untuk informasi selengkapnya, lihat [Zona yang dihosting pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) di *Panduan Pengembang Amazon Route 53*, dan [Mengelola nama DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) di *AWS PrivateLink Panduan*.

1. Uji resolusi DNS:

   1. Connect ke instans EC2 di VPC Anda.

   1. Jalankan perintah berikut:

      ```
      nslookup collection-id.region.aoss-fips.amazonaws.com
      ```

   1. Konfirmasikan bahwa respons tersebut menyertakan alamat IP pribadi titik akhir VPC Anda.

      Untuk informasi selengkapnya, lihat [Kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification), dan [atribut DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) di Panduan Pengguna Amazon *VPC*.

1. Periksa pengaturan grup keamanan Anda:

   1. Verifikasi bahwa grup keamanan yang dilampirkan ke titik akhir VPC mengizinkan lalu lintas HTTPS (port 443) dari sumber daya Anda.

   1. Konfirmasikan bahwa grup keamanan untuk sumber daya Anda mengizinkan lalu lintas keluar ke titik akhir VPC.

   Untuk informasi selengkapnya, lihat [Kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) di *AWS PrivateLink Panduan*, dan [Grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) di Panduan Pengguna *Amazon VPC*.

1. Tinjau konfigurasi ACL jaringan Anda:

   1. Verifikasi bahwa jaringan ACLs mengizinkan lalu lintas antara sumber daya Anda dan titik akhir VPC.

     Untuk informasi selengkapnya, lihat [ ACLs Jaringan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) dalam *Panduan Pengguna Amazon VPC*.

1. Tinjau kebijakan titik akhir Anda:

   1. Periksa apakah kebijakan titik akhir VPC mengizinkan tindakan yang diperlukan pada sumber daya Tanpa Server Anda. OpenSearch 

     *Untuk informasi selengkapnya, lihat [izin titik akhir VPC yang diperlukan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions), dan kebijakan [Titik Akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies) di Panduan.AWS PrivateLink *

**Tip**  
Jika Anda menggunakan resolver DNS kustom di VPC Anda, konfigurasikan untuk meneruskan permintaan domain ke server. `*.amazonaws.com` AWS