Utilizzo degli endpoint FIPS con Serverless OpenSearch Utilizza gli endpoint FIPS con AWS SDKs Configurazione dei gruppi di sicurezza per gli endpoint VPC Usa l'endpoint FIPS VPC Verifica la conformità FIPS

Conformità FIPS in Amazon Serverless OpenSearch

Amazon OpenSearch Serverless supporta il Federal Information Processing Standards (FIPS) 140-2, uno standard governativo statunitense e canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. Quando ti connetti a endpoint compatibili con FIPS con OpenSearch Serverless, le operazioni crittografiche avvengono utilizzando librerie crittografiche convalidate FIPS.

OpenSearch Gli endpoint FIPS serverless sono disponibili laddove è supportato FIPS. Regioni AWS Questi endpoint utilizzano TLS 1.2 o versioni successive e algoritmi crittografici convalidati da FIPS per tutte le comunicazioni. Per ulteriori informazioni, consulta la conformità FIPS nella Guida per l'utente ad accesso verificato.AWS

Argomenti

Utilizzo degli endpoint FIPS con Serverless OpenSearch
Utilizza gli endpoint FIPS con AWS SDKs
Configurazione dei gruppi di sicurezza per gli endpoint VPC
Usa l'endpoint FIPS VPC
Verifica la conformità FIPS
Risolvi i problemi di connettività degli endpoint FIPS nelle zone ospitate private

Utilizzo degli endpoint FIPS con Serverless OpenSearch

Regioni AWS Laddove è supportato FIPS, le raccolte OpenSearch Serverless sono accessibili tramite endpoint standard e conformi a FIPS. Per ulteriori informazioni, consulta la conformità FIPS nella Guida per l'utente ad accesso verificato.AWS

Negli esempi seguenti, sostituisci collection_id e Regione AWS con il tuo ID di raccolta e il relativo Regione AWS.

Endpoint standard:https://collection_id.Regione AWS.aoss.amazonaws.com.
Endpoint conforme allo standard FIPS:. https://collection_id.Regione AWS.aoss-fips.amazonaws.com

Allo stesso modo, le OpenSearch dashboard sono accessibili tramite endpoint standard e conformi a FIPS:

Endpoint di dashboard standard:. https://collection_id.Regione AWS.aoss.amazonaws.com/_dashboards
Endpoint di dashboard conformi allo standard FIPS:. https://collection_id.Regione AWS.aoss-fips.amazonaws.com/_dashboards

Nota

Nelle regioni abilitate alla FIPS, gli endpoint standard e conformi allo standard FIPS forniscono una crittografia conforme allo standard FIPS. Gli endpoint specifici per FIPS consentono di soddisfare i requisiti di conformità che impongono specificamente l'uso di endpoint con FIPS nel nome.

Utilizza gli endpoint FIPS con AWS SDKs

Quando si utilizza AWS SDKs, è possibile specificare l'endpoint FIPS durante la creazione del client. Nell'esempio seguente, sostituisci collection_id e Regione AWS con il tuo ID di raccolta e il relativo. Regione AWS


# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Regione AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Configurazione dei gruppi di sicurezza per gli endpoint VPC

Per garantire una comunicazione corretta con il tuo endpoint Amazon VPC (VPC) conforme a FIPS, crea o modifica un gruppo di sicurezza per consentire il traffico HTTPS in entrata (porta TCP 443) dalle risorse del tuo VPC che devono accedere a Serverless. OpenSearch Quindi associa questo gruppo di sicurezza al tuo endpoint VPC durante la creazione o modificando l'endpoint dopo la creazione. Per ulteriori informazioni, consulta Creazione di un gruppo di sicurezza nella Guida per l'utente di Amazon VPC.

Usa l'endpoint FIPS VPC

Dopo aver creato l'endpoint VPC conforme a FIPS, puoi utilizzarlo per accedere OpenSearch a Serverless dalle risorse all'interno del tuo VPC. Per utilizzare l'endpoint per le operazioni API, configura il tuo SDK per utilizzare l'endpoint FIPS regionale come descritto nella sezione. Utilizzo degli endpoint FIPS con Serverless OpenSearch Per accedere alle OpenSearch dashboard, utilizza l'URL Dashboards specifico della raccolta, che verrà indirizzato automaticamente attraverso l'endpoint VPC conforme a FIPS quando vi si accede dall'interno del VPC. Per ulteriori informazioni, consulta Utilizzo delle OpenSearch dashboard con Amazon Service OpenSearch .

Verifica la conformità FIPS

Per verificare che le connessioni a OpenSearch Serverless utilizzino la crittografia conforme a FIPS, utilizza per monitorare le chiamate API effettuate a Serverless. AWS CloudTrail OpenSearch Verifica che il campo nei log venga visualizzato per le chiamate API. eventSource CloudTrail aoss-fips.amazonaws.com

Per accedere alle OpenSearch dashboard, puoi utilizzare gli strumenti di sviluppo del browser per controllare i dettagli della connessione TLS e verificare che vengano utilizzate suite di crittografia conformi a FIPS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Accesso alla rete

Risolvi i problemi relativi alle zone ospitate private FIPS