プライベートホストゾーンの FIPS エンドポイント接続の問題を解決する - Amazon OpenSearch Service
一般的な問題

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プライベートホストゾーンの FIPS エンドポイント接続の問題を解決する

FIPS エンドポイントは、パブリックアクセスを持つ Amazon OpenSearch Serverless コレクションで動作します。新しく作成された VPC エンドポイントを使用する新しく作成された VPC コレクションの場合、FIPS エンドポイントは期待どおりに機能します。他の VPC コレクションでは、FIPS エンドポイントが正しく動作するように手動で設定する必要がある場合があります。

Amazon Route 53 で FIPS プライベートホストゾーンを設定するには

  1. Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ホストゾーンを確認します。

    1. コレクションがあるホストゾーンを見つけ AWS リージョン ます。

    2. ホストゾーンの命名パターンを確認します。

      • 非 FIPS 形式: region.aoss.amazonaws.com

      • FIPS 形式: region.aoss-fips.amazonaws.com

    3. すべてのホストゾーンのタイププライベートホストゾーンに設定されていることを確認します。

  3. FIPS プライベートホストゾーンがない場合:

    1. 対応する非 FIPS プライベートホストゾーンを選択します。

    2. 関連付けられた VPCs情報をコピーします。例: vpc-1234567890abcdef0 | us-east-2

    3. ワイルドカードドメインレコードを見つけます。例: *.us-east-2.aoss.amazonaws.com

    4. Value/Route トラフィックを情報にコピーします。例:uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws

  4. FIPS プライベートホストゾーンを作成します。

    1. FIPS 形式で新しいプライベートホストゾーンを作成します。例: us-east-2.aoss-fips.amazonaws.com

    2. 関連付けられた VPCs、FIPS 以外のプライベートホストゾーンからコピーした VPC 情報を入力します。

  5. 次の設定で新しいレコードを追加します。

    1. レコード名: *

    2. レコードタイプ: CNAME

    3. 値: 先ほどコピーした情報への Value/Route トラフィックを入力します。

一般的な問題

FIPS 準拠の VPC エンドポイントで接続の問題が発生した場合は、次の情報を使用して問題を解決します。

  • DNS 解決の失敗 - VPC 内の FIPS エンドポイントドメイン名を解決できません

  • 接続タイムアウト - FIPS エンドポイントへのリクエストがタイムアウトします

  • アクセス拒否エラー - FIPS エンドポイントの使用時に認証または認可が失敗する

  • VPC のみのコレクションのプライベートホストゾーンレコードがない

FIPS エンドポイント接続のトラブルシューティングを行うには

  1. プライベートホストゾーンの設定を確認します。

    1. FIPS エンドポイントドメイン () にプライベートホストゾーンが存在することを確認します*.region.aoss-fips.amazonaws.com

    2. プライベートホストゾーンが正しい VPC に関連付けられていることを確認します。

      詳細については、「Amazon Route 53 デベロッパーガイド」の「プライベートホストゾーン」およびAWS PrivateLink 「 ガイド」の「DNS 名の管理」を参照してください。

  2. DNS 解決をテストする:

    1. VPC の EC2 インスタンスに接続します。

    2. 次のコマンドを実行してください。

      nslookup collection-id.region.aoss-fips.amazonaws.com

    3. レスポンスに VPC エンドポイントのプライベート IP アドレスが含まれていることを確認します。

      詳細については、「Amazon VPC ユーザーガイド」の「エンドポイントポリシー」および「DNS 属性」を参照してください。

  3. セキュリティグループの設定を確認します。

    1. VPC エンドポイントにアタッチされたセキュリティグループが、リソースからの HTTPS トラフィック (ポート 443) を許可していることを確認します。

    2. リソースのセキュリティグループが VPC エンドポイントへのアウトバウンドトラフィックを許可していることを確認します。

    詳細については、「 AWS PrivateLink ガイド」の「エンドポイントポリシー」および「Amazon VPC ユーザーガイド」の「セキュリティグループ」を参照してください。

  4. ネットワーク ACL 設定を確認します。

    1. ネットワーク ACLsリソースと VPC エンドポイント間のトラフィックを許可していることを確認します。

      詳細については、「Amazon VPC ユーザーガイド」の「ネットワーク ACL」を参照してください。

  5. エンドポイントポリシーを確認します。

    1. VPC エンドポイントポリシーが OpenSearch Serverless リソースで必要なアクションを許可していることを確認します。

      詳細については、「 AWS PrivateLink ガイド」の「必要な VPC エンドポイントのアクセス許可」および「エンドポイントポリシー」を参照してください。

ヒント

VPC でカスタム DNS リゾルバーを使用する場合は、*.amazonaws.comドメインのリクエストを AWS サーバーに転送するように設定してください。