Amazon OpenSearch Serverless での FIPS コンプライアンス - Amazon OpenSearch Service
OpenSearch Serverless での FIPS エンドポイントの使用SDK で AWS FIPS エンドポイントを使用する SDKsVPC エンドポイントのセキュリティグループを設定するFIPS VPC エンドポイントを使用するFIPS コンプライアンスを検証する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon OpenSearch Serverless での FIPS コンプライアンス

Amazon OpenSearch Serverless は、連邦情報処理標準 (FIPS) 140-2 をサポートしています。これは、機密情報を保護する暗号化モジュールのセキュリティ要件を指定する米国およびカナダ政府の標準です。OpenSearch Serverless を使用して FIPS 対応エンドポイントに接続すると、FIPS 検証済み暗号化ライブラリを使用して暗号化オペレーションが行われます。

OpenSearch Serverless FIPS エンドポイントは、FIPS がサポートされている AWS リージョン で使用できます。これらのエンドポイントは、すべての通信に TLS 1.2 以降と FIPS 検証済み暗号化アルゴリズムを使用します。詳細については、AWS 「Verified access ユーザーガイド」の「FIPS コンプライアンス」を参照してください。

トピック

OpenSearch Serverless での FIPS エンドポイントの使用

FIPS がサポートされている AWS リージョン では、OpenSearch Serverless コレクションは標準エンドポイントと FIPS 準拠エンドポイントの両方からアクセスできます。詳細については、AWS 「Verified access ユーザーガイド」の「FIPS コンプライアンス」を参照してください。

次の例では、 collection_idAWS リージョンをコレクション ID とその に置き換えます AWS リージョン。

  • 標準エンドポイントhttps://collection_id.AWS リージョン.aoss.amazonaws.com

  • FIPS 準拠のエンドポイントhttps://collection_id.AWS リージョン.aoss-fips.amazonaws.com

同様に、OpenSearch Dashboards には、標準エンドポイントと FIPS 準拠エンドポイントの両方からアクセスできます。

  • Standard Dashboards エンドポイントhttps://collection_id.AWS リージョン.aoss.amazonaws.com/_dashboards

  • FIPS 準拠の Dashboards エンドポイントhttps://collection_id.AWS リージョン.aoss-fips.amazonaws.com/_dashboards

注記

FIPS 対応リージョンでは、標準エンドポイントと FIPS 準拠エンドポイントの両方が FIPS 準拠の暗号化を提供します。FIPS 固有のエンドポイントは、名前に FIPS を使用するエンドポイントの使用を特に義務付けるコンプライアンス要件を満たすのに役立ちます。

SDK で AWS FIPS エンドポイントを使用する SDKs

AWS SDKs を使用する場合は、クライアントの作成時に FIPS エンドポイントを指定できます。次の例では、 collection_idAWS リージョンをコレクション ID とその に置き換えます AWS リージョン。

# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS リージョン.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

VPC エンドポイントのセキュリティグループを設定する

FIPS 準拠の Amazon VPC (VPC) エンドポイントと適切に通信するには、セキュリティグループを作成または変更して、OpenSearch Serverless にアクセスする必要がある VPC 内のリソースからのインバウンド HTTPS トラフィック (TCP ポート 443) を許可します。次に、作成時にこのセキュリティグループを VPC エンドポイントに関連付けるか、作成後にエンドポイントを変更します。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループの作成」を参照してください。

FIPS VPC エンドポイントを使用する

FIPS 準拠の VPC エンドポイントを作成したら、それを使用して VPC 内のリソースから OpenSearch Serverless にアクセスできます。API オペレーションに エンドポイントを使用するには、OpenSearch Serverless での FIPS エンドポイントの使用「」セクションの説明に従って、リージョン FIPS エンドポイントを使用するように SDK を設定します。OpenSearch Dashboards にアクセスするには、コレクション固有の Dashboards URL を使用します。この URL は、VPC 内からアクセスすると、FIPS 準拠の VPC エンドポイントを自動的にルーティングします。詳細については、「Amazon OpenSearch Service での OpenSearch Dashboards の使用」を参照してください。

FIPS コンプライアンスを検証する

OpenSearch Serverless への接続で FIPS 準拠の暗号化が使用されていることを確認するには、 AWS CloudTrail を使用して OpenSearch Serverless に対して行われた API コールをモニタリングします。API コールaoss-fips.amazonaws.comの CloudTrail ログの eventSourceフィールドが表示されていることを確認します。

OpenSearch Dashboards にアクセスするには、ブラウザ開発者ツールを使用して TLS 接続の詳細を検査し、FIPS 準拠の暗号スイートが使用されていることを確認します。