Amazon OpenSearch Serverless での FIPS コンプライアンス - Amazon OpenSearch Service
OpenSearch Serverless での FIPS エンドポイントの使用AWS SDK で FIPS エンドポイントを使用するVPC エンドポイントのセキュリティグループを設定するFIPS VPC エンドポイントを使用するFIPS コンプライアンスを検証する

Amazon OpenSearch Serverless での FIPS コンプライアンス

Amazon OpenSearch Serverless は、連邦情報処理規格 (Federal Information Processing Standards/FIPS) 140-2 をサポートしています。これは、機密情報を保護する暗号モジュールのセキュリティ要件を規定する、米国およびカナダ政府の基準です。OpenSearch Serverless を使用して FIPS 対応エンドポイントに接続すると、FIPS 検証済み暗号化ライブラリを使用して暗号化オペレーションが行われます。

OpenSearch Serverless FIPS エンドポイントは、FIPS がサポートされている AWS リージョン で使用できます。これらのエンドポイントは、すべての通信に TLS 1.2 以降と FIPS 検証済み暗号化アルゴリズムを使用します。詳細については、「AWS Verified Access ユーザーガイド」の「FIPS 準拠」を参照してください。

トピック

OpenSearch Serverless での FIPS エンドポイントの使用

FIPS がサポートされている AWS リージョン では、OpenSearch Serverless コレクションは標準エンドポイントと FIPS 準拠エンドポイントの両方からアクセスできます。詳細については、「AWS Verified Access ユーザーガイド」の「FIPS 準拠」を参照してください。

次の例では、collection_idAWS リージョン をご自身のコレクション ID とその AWS リージョン に置き換えます。

  • 標準エンドポイントhttps://collection_id.AWS リージョン.aoss.amazonaws.com

  • FIPS 準拠のエンドポイントhttps://collection_id.AWS リージョン.aoss-fips.amazonaws.com

同様に、OpenSearch Dashboards には、標準エンドポイントと FIPS 準拠エンドポイントの両方からアクセスできます。

  • 標準 Dashboards エンドポイントhttps://collection_id.AWS リージョン.aoss.amazonaws.com/_dashboards

  • FIPS 準拠の Dashboards エンドポイントhttps://collection_id.AWS リージョン.aoss-fips.amazonaws.com/_dashboards

注記

FIPS 対応リージョンでは、標準エンドポイントと FIPS 準拠エンドポイントの両方が FIPS 準拠の暗号化を提供します。FIPS 固有のエンドポイントは、名前に FIPS が使用されているエンドポイントの使用を特に義務付けるコンプライアンス要件を満たすのに役立ちます。

AWS SDK で FIPS エンドポイントを使用する

AWS SDK を使用する場合は、クライアント作成時に FIPS エンドポイントを指定できます。次の例では、collection_idAWS リージョン をご自身のコレクション ID とその AWS リージョン に置き換えます。

# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS リージョン.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

VPC エンドポイントのセキュリティグループを設定する

FIPS 準拠の Amazon VPC (VPC) エンドポイントと適切に通信するには、セキュリティグループを作成または変更して、OpenSearch Serverless にアクセスする必要がある VPC 内のリソースからのインバウンド HTTPS トラフィック (TCP ポート 443) を許可します。次に、このセキュリティグループを VPC エンドポイントに関連付けます。これは作成時に行うか、作成後にエンドポイントを変更して行います。詳細については、「Amazon VPC ユーザーガイド」の「Create a security group」を参照してください。

FIPS VPC エンドポイントを使用する

FIPS 準拠の VPC エンドポイントを作成したら、それを使用して VPC 内のリソースから OpenSearch Serverless にアクセスできます。API オペレーションにエンドポイントを使用するには、「OpenSearch Serverless での FIPS エンドポイントの使用」セクションの説明に従って、リージョン FIPS エンドポイントを使用するように SDK を設定します。OpenSearch Dashboards にアクセスするには、コレクション固有の Dashboards URL を使用します。この URL は、VPC 内からアクセスすると、FIPS 準拠の VPC エンドポイントを自動的にルーティングします。詳細については、「Amazon OpenSearch Service での OpenSearch Dashboards の使用」を参照してください。

FIPS コンプライアンスを検証する

OpenSearch Serverless への接続で FIPS 準拠の暗号化が使用されていることを確認するには、AWS CloudTrail を使用して OpenSearch Serverless に対する API コールをモニタリングします。API コールについて、CloudTrail ログの eventSource フィールドに aoss-fips.amazonaws.com が表示されていることを確認します。

OpenSearch Dashboards にアクセスするには、ブラウザ開発者ツールを使用して TLS 接続の詳細を検査し、FIPS 準拠の暗号スイートが使用されていることを確認します。