翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon OpenSearch Serverless での FIPS コンプライアンス
Amazon OpenSearch Serverless は、連邦情報処理規格 (Federal Information Processing Standards/FIPS) 140-2 をサポートしています。これは、機密情報を保護する暗号モジュールのセキュリティ要件を規定する、米国およびカナダ政府の基準です。OpenSearch Serverless を使用して FIPS 対応エンドポイントに接続すると、FIPS 検証済み暗号化ライブラリを使用して暗号化オペレーションが行われます。
OpenSearch Serverless FIPS エンドポイントは、FIPS AWS リージョン がサポートされている で使用できます。これらのエンドポイントは、すべての通信に TLS 1.2 以降と FIPS 検証済み暗号化アルゴリズムを使用します。詳細については、「*AWS Verified Access ユーザーガイド*」の「[FIPS 準拠](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html)」を参照してください。
**Topics**
+ [OpenSearch Serverless での FIPS エンドポイントの使用](#using-fips-endpoints-opensearch-serverless)
+ [AWS SDKs](#using-fips-endpoints-aws-sdks)
+ [VPC エンドポイントのセキュリティグループを設定する](#configuring-security-groups-vpc-endpoints)
+ [FIPS VPC エンドポイントを使用する](#using-fips-vpc-endpoint)
+ [FIPS コンプライアンスを検証する](#verifying-fips-compliance)
+ [プライベートホストゾーンの FIPS エンドポイント接続の問題を解決する](serverless-fips-endpoint-issues.md)
## OpenSearch Serverless での FIPS エンドポイントの使用
FIPS がサポートされている AWS リージョン では、OpenSearch Serverless コレクションは標準エンドポイントと FIPS 準拠エンドポイントの両方からアクセスできます。詳細については、「*AWS Verified Access ユーザーガイド*」の「[FIPS 準拠](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html)」を参照してください。
次の例では、*collection\$1id* と *AWS リージョン* をご自身のコレクション ID とその AWS リージョンに置き換えます。
+ **標準エンドポイント** – **https://*collection\$1id*.*AWS リージョン*.aoss.amazonaws.com**
+ **FIPS 準拠のエンドポイント** – **https://*collection\$1id*.*AWS リージョン*.aoss-fips.amazonaws.com**
同様に、OpenSearch Dashboards には、標準エンドポイントと FIPS 準拠エンドポイントの両方からアクセスできます。
+ **標準 Dashboards エンドポイント** – **https://*collection\$1id*.*AWS リージョン*.aoss.amazonaws.com/\$1dashboards**
+ **FIPS 準拠の Dashboards エンドポイント** – **https://*collection\$1id*.*AWS リージョン*.aoss-fips.amazonaws.com/\$1dashboards**
**注記**
FIPS 対応リージョンでは、標準エンドポイントと FIPS 準拠エンドポイントの両方が FIPS 準拠の暗号化を提供します。FIPS 固有のエンドポイントは、名前に **FIPS** が使用されているエンドポイントの使用を特に義務付けるコンプライアンス要件を満たすのに役立ちます。
## AWS SDKs
AWS SDKs を使用する場合は、クライアントの作成時に FIPS エンドポイントを指定できます。次の例では、*collection\$1id* と *AWS リージョン* をご自身のコレクション ID とその AWS リージョンに置き換えます。
```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS リージョン.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
hosts = [{'host': host, 'port': 443}],
http_auth = auth,
use_ssl = True,
verify_certs = True,
connection_class = RequestsHttpConnection,
pool_maxsize = 20
)
```
## VPC エンドポイントのセキュリティグループを設定する
FIPS 準拠の Amazon VPC (VPC) エンドポイントと適切に通信するには、セキュリティグループを作成または変更して、OpenSearch Serverless にアクセスする必要がある VPC 内のリソースからのインバウンド HTTPS トラフィック (TCP ポート 443) を許可します。次に、このセキュリティグループを VPC エンドポイントに関連付けます。これは作成時に行うか、作成後にエンドポイントを変更して行います。詳細については、「*Amazon VPC ユーザーガイド*」の「[セキュリティグループの作成](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)」を参照してください。
## FIPS VPC エンドポイントを使用する
FIPS 準拠の VPC エンドポイントを作成したら、それを使用して VPC 内のリソースから OpenSearch Serverless にアクセスできます。API オペレーションにエンドポイントを使用するには、「[OpenSearch Serverless での FIPS エンドポイントの使用](#using-fips-endpoints-opensearch-serverless)」セクションの説明に従って、リージョン FIPS エンドポイントを使用するように SDK を設定します。OpenSearch Dashboards にアクセスするには、コレクション固有の Dashboards URL を使用します。この URL は、VPC 内からアクセスすると、FIPS 準拠の VPC エンドポイントを自動的にルーティングします。詳細については、「[Amazon OpenSearch Service での OpenSearch Dashboards の使用](dashboards.md)」を参照してください。
## FIPS コンプライアンスを検証する
OpenSearch Serverless への接続で FIPS 準拠の暗号化が使用されていることを確認するには、 AWS CloudTrail を使用して OpenSearch Serverless に対する API コールをモニタリングします。API コールについて、CloudTrail ログの `eventSource` フィールドに `aoss-fips.amazonaws.com` が表示されていることを確認します。
OpenSearch Dashboards にアクセスするには、ブラウザ開発者ツールを使用して TLS 接続の詳細を検査し、FIPS 準拠の暗号スイートが使用されていることを確認します。
# プライベートホストゾーンの FIPS エンドポイント接続の問題を解決する
FIPS エンドポイントは、パブリックアクセスを持つ Amazon OpenSearch Serverless コレクションと連携します。新しく作成された VPC エンドポイントを使用する新しく作成された VPC コレクションの場合、FIPS エンドポイントは期待どおりに機能します。他の VPC コレクションでは、FIPS エンドポイントが正しく動作するように手動で設定する必要がある場合があります。
**Amazon Route 53 で FIPS プライベートホストゾーンを設定するには**
1. Route 53 コンソール ([https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)) を開きます。
1. ホストゾーンを確認します。
1. コレクションがあるホストゾーンを見つけ AWS リージョン ます。
1. ホストゾーンの命名パターンを確認します。
+ 非 FIPS 形式: `region.aoss.amazonaws.com`。
+ FIPS 形式: `region.aoss-fips.amazonaws.com`。
1. すべてのホストゾーンの **[タイプ]** が **[プライベートホストゾーン]** に設定されていることを確認します。
1. FIPS プライベートホストゾーンがない場合:
1. 対応する非 FIPS プライベートホストゾーンを選択します。
1. **[関連付けられた VPC]** 情報をコピーします。例: `vpc-1234567890abcdef0 | us-east-2`。
1. ワイルドカードドメインレコードを見つけます。例: `*.us-east-2.aoss.amazonaws.com`。
1. **[値/トラフィックのルーティング先]** 情報をコピーします。例:`uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`
1. FIPS プライベートホストゾーンを作成します。
1. FIPS 形式で新しいプライベートホストゾーンを作成します。例: `us-east-2.aoss-fips.amazonaws.com`。
1. **[関連付けられた VPC]** には、非 FIPS プライベートホストゾーンからコピーした VPC 情報を入力します。
1. 以下の設定でルールを追加します。
1. レコード名: \$1
1. レコードタイプ: CNAME
1. 値: 先ほどコピーした **[値/トラフィックのルーティング先]** 情報を入力します。
## 一般的な問題
FIPS 準拠の VPC エンドポイントで接続の問題が発生した場合は、次の情報を使用して問題を解決します。
+ DNS 解決の失敗 – VPC 内の FIPS エンドポイントドメイン名を解決できない
+ 接続タイムアウト – FIPS エンドポイントへのリクエストがタイムアウトする
+ アクセス拒否エラー – FIPS エンドポイントの使用時に認証または認可が失敗する
+ VPC のみのコレクションにプライベートホストゾーンレコードがない
**FIPS エンドポイント接続のトラブルシューティングを行うには**
1. プライベートホストゾーンの設定を確認します。
1. FIPS エンドポイントドメイン (`*.region.aoss-fips.amazonaws.com`) にプライベートホストゾーンが存在することを確認します。
1. プライベートホストゾーンが正しい VPC に関連付けられていることを確認します。
詳細については、「*Amazon Route 53 デベロッパーガイド*」の[「Private hosted zones](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html)」および「*AWS PrivateLink ガイド*」の「[Manage DNS names](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html)」を参照してください。
1. DNS 解決をテストします。
1. VPC の EC2 インスタンスに接続します。
1. 次のコマンドを実行します。
```
nslookup collection-id.region.aoss-fips.amazonaws.com
```
1. レスポンスに VPC エンドポイントのプライベート IP アドレスが含まれていることを確認してください。
詳細については、「*Amazon VPC ユーザーガイド*」の「[Endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification)」および「[DNS attributes](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting)」を参照してください。
1. セキュリティグループの設定を確認します。
1. VPC エンドポイントにアタッチされたセキュリティグループが、リソースからの HTTPS トラフィック (ポート 443) を許可していることを確認します。
1. リソースのセキュリティグループが VPC エンドポイントへのアウトバウンドトラフィックを許可していることを確認します。
詳細については、「*AWS PrivateLink ガイド*」の「[Endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups)」、および「*Amazon VPC ユーザーガイド*」の「[Security groups](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules)」を参照してください。
1. ネットワーク ACL 設定を確認します。
1. ネットワーク ACL によってリソースと VPC エンドポイント間のトラフィックが許可されていることを確認します。
詳細については、「Amazon VPC ユーザーガイド」の「[ネットワーク ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting)」を参照してください。
1. エンドポイントポリシーを確認します。
1. VPC エンドポイントポリシーが OpenSearch Serverless リソースで必要なアクションを許可していることを確認します。
詳細については、「*AWS PrivateLink ガイド*」の「[VPC endpoint permissions required](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions)」および「[Endpoints policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies)」を参照してください。
**ヒント**
VPC でカスタム DNS リゾルバーを使用する場合は、`*.amazonaws.com`ドメインのリクエストを AWS サーバーに転送するように設定します。