プライベートホストゾーンの FIPS エンドポイント接続の問題を解決する - Amazon OpenSearch Service
一般的な問題

プライベートホストゾーンの FIPS エンドポイント接続の問題を解決する

FIPS エンドポイントは、パブリックアクセスを持つ Amazon OpenSearch Serverless コレクションと連携します。新しく作成された VPC エンドポイントを使用する新しく作成された VPC コレクションの場合、FIPS エンドポイントは期待どおりに機能します。他の VPC コレクションでは、FIPS エンドポイントが正しく動作するように手動で設定する必要がある場合があります。

Amazon Route 53 で FIPS プライベートホストゾーンを設定するには

  1. Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ホストゾーンを確認します。

    1. コレクションがある AWS リージョン のホストゾーンを見つけます。

    2. ホストゾーンの命名パターンを確認します。

      • 非 FIPS 形式: region.aoss.amazonaws.com

      • FIPS 形式: region.aoss-fips.amazonaws.com

    3. すべてのホストゾーンの [タイプ][プライベートホストゾーン] に設定されていることを確認します。

  3. FIPS プライベートホストゾーンがない場合:

    1. 対応する非 FIPS プライベートホストゾーンを選択します。

    2. [関連付けられた VPC] 情報をコピーします。例: vpc-1234567890abcdef0 | us-east-2

    3. ワイルドカードドメインレコードを見つけます。例: *.us-east-2.aoss.amazonaws.com

    4. [値/トラフィックのルーティング先] 情報をコピーします。例 :uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws

  4. FIPS プライベートホストゾーンを作成します。

    1. FIPS 形式で新しいプライベートホストゾーンを作成します。例: us-east-2.aoss-fips.amazonaws.com

    2. [関連付けられた VPC] には、非 FIPS プライベートホストゾーンからコピーした VPC 情報を入力します。

  5. 以下の設定でルールを追加します。

    1. レコード名: *

    2. レコードタイプ: CNAME

    3. 値: 先ほどコピーした [値/トラフィックのルーティング先] 情報を入力します。

一般的な問題

FIPS 準拠の VPC エンドポイントで接続の問題が発生した場合は、次の情報を使用して問題を解決します。

  • DNS 解決の失敗 – VPC 内の FIPS エンドポイントドメイン名を解決できない

  • 接続タイムアウト – FIPS エンドポイントへのリクエストがタイムアウトする

  • アクセス拒否エラー – FIPS エンドポイントの使用時に認証または認可が失敗する

  • VPC のみのコレクションにプライベートホストゾーンレコードがない

FIPS エンドポイント接続のトラブルシューティングを行うには

  1. プライベートホストゾーンの設定を確認します。

    1. FIPS エンドポイントドメイン (*.region.aoss-fips.amazonaws.com) にプライベートホストゾーンが存在することを確認します。

    2. プライベートホストゾーンが正しい VPC に関連付けられていることを確認します。

      詳細については、「Amazon Route 53 デベロッパーガイド」の「Private hosted zones」および「AWS PrivateLink ガイド」の「Manage DNS names」を参照してください。

  2. DNS 解決をテストします。

    1. VPC の EC2 インスタンスに接続します。

    2. 次のコマンドを実行してください。

      nslookup collection-id.region.aoss-fips.amazonaws.com

    3. レスポンスに VPC エンドポイントのプライベート IP アドレスが含まれていることを確認してください。

      詳細については、「Amazon VPC ユーザーガイド」の「Endpoint policies」および「DNS attributes」を参照してください。

  3. セキュリティグループの設定を確認します。

    1. VPC エンドポイントにアタッチされたセキュリティグループが、リソースからの HTTPS トラフィック (ポート 443) を許可していることを確認します。

    2. リソースのセキュリティグループが VPC エンドポイントへのアウトバウンドトラフィックを許可していることを確認します。

    詳細については、「AWS PrivateLink ガイド」の「Endpoint policies」、および「Amazon VPC ユーザーガイド」の「Security groups」を参照してください。

  4. ネットワーク ACL 設定を確認します。

    1. ネットワーク ACL によってリソースと VPC エンドポイント間のトラフィックが許可されていることを確認します。

      詳細については、「Amazon VPC ユーザーガイド」の「ネットワーク ACL」を参照してください。

  5. エンドポイントポリシーを確認します。

    1. VPC エンドポイントポリシーが OpenSearch Serverless リソースで必要なアクションを許可していることを確認します。

      詳細については、「AWS PrivateLink ガイド」の「VPC endpoint permissions required」および「Endpoints policies」を参照してください。

ヒント

VPC でカスタム DNS リゾルバーを使用する場合は、*.amazonaws.com ドメインに対するリクエストを AWS サーバーに転送するように設定します。