기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon OpenSearch Serverless의 FIPS 규정 준수
Amazon OpenSearch Serverless는 민감한 정보를 보호하는 암호화 모듈에 대한 보안 요구 사항을 지정하는 미국 및 캐나다 정부 표준인 FIPS(Federal Information Processing Standards) 140-2를 지원합니다. OpenSearch Serverless를 사용하여 FIPS 지원 엔드포인트에 연결하면 FIPS 검증 암호화 라이브러리를 사용하여 암호화 작업이 수행됩니다.
OpenSearch Serverless FIPS 엔드포인트는 FIPS가 지원되는 AWS 리전 에서 사용할 수 있습니다. 이러한 엔드포인트는 모든 통신에 TLS 1.2 이상 및 FIPS 검증 암호화 알고리즘을 사용합니다. 자세한 내용은 AWS Verified·Access 사용 설명서의 FIPS 규정 준수를 참조하세요.
주제
OpenSearch Serverless에서 FIPS 엔드포인트 사용
FIPS가 지원되는 AWS 리전 에서는 표준 및 FIPS 호환 엔드포인트를 통해 OpenSearch Serverless 컬렉션에 액세스할 수 있습니다. 자세한 내용은 AWS Verified·Access 사용 설명서의 FIPS 규정 준수를 참조하세요.
다음 예제에서 collection_id 및 region을 컬렉션 ID 및 해당 로 바꿉니다 AWS 리전.
-
표준 엔드포인트 -
https://.collection_id.region.aoss.amazonaws.com -
FIPS 준수 엔드포인트 -
https://.collection_id.region.aoss-fips.amazonaws.com
마찬가지로 OpenSearch 대시보드는 표준 및 FIPS 준수 엔드포인트를 통해 액세스할 수 있습니다.
-
표준 대시보드 엔드포인트 -
https://.collection_id.region.aoss.amazonaws.com/_dashboards -
FIPS 준수 대시보드 엔드포인트 -
https://.collection_id.region.aoss-fips.amazonaws.com/_dashboards
API 작업의 경우 FIPS 준수 엔드포인트는 다음 형식을 따릅니다.
aoss-fips.region.amazonaws.com
다음은 미국 동부(버지니아 북부) 리전의 엔드포인트 예제입니다.
aoss-fips.us-east-1.amazonaws.com
참고
FIPS 지원 리전에서는 표준 및 FIPS 준수 엔드포인트가 모두 FIPS 준수 암호화를 제공합니다. FIPS별 엔드포인트는 이름에 FIPS가 포함된 엔드포인트를 사용하도록 특별히 요구하는 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.
에서 FIPS 엔드포인트 사용 AWS CLI
OpenSearch Serverless 작업에 FIPS 엔드포인트를 사용하도록 AWS CLI 를 구성하려면 API 호출 시 --endpoint-url 파라미터를 FIPS 엔드포인트로 설정합니다.
aws opensearchserverless create-collection \ --name my-collection \ --type SEARCH \ --endpoint-urlhttps://aoss-fips.us-east-1.amazonaws.com
구성 파일() AWS CLI 에 다음을 추가하여 OpenSearch Serverless용 FIPS 엔드포인트를 항상 사용하도록 AWS CLI 를 구성할 수도 있습니다.~/.aws/config
[profile your-profile-name] aoss-fips = true
SDKs에서 AWS FIPS 엔드포인트 사용
AWS SDKs 사용하는 경우 클라이언트를 생성할 때 FIPS 엔드포인트를 지정할 수 있습니다.
// Java SDK example AmazonOpenSearchServerlessClientBuilder clientBuilder = AmazonOpenSearchServerlessClientBuilder.standard() .withEndpointConfiguration(new AwsClientBuilder.EndpointConfiguration( "https://aoss-fips.us-east-1.amazonaws.com", "us-east-1")) .withCredentials(credentialsProvider); AmazonOpenSearchServerless client = clientBuilder.build();
# Python SDK example import boto3 client = boto3.client( 'opensearchserverless', region_name='us-east-1', endpoint_url='https://aoss-fips.us-east-1.amazonaws.com' )
VPC 엔드포인트에 대한 보안 그룹 구성
FIPS 준수 Amazon VPC(VPC) 엔드포인트와 적절하게 통신하려면 OpenSearch Serverless에 액세스해야 하는 VPC의 리소스에서 인바운드 HTTPS 트래픽(TCP 포트 443)을 허용하도록 보안 그룹을 생성하거나 수정합니다. 그런 다음 생성 중에 또는 생성 후 엔드포인트를 수정하여이 보안 그룹을 VPC 엔드포인트와 연결합니다. 자세한 내용을 알아보려면 Amazon VPC 사용 설명서의 보안 그룹 생성을 참조하세요.
FIPS VPC 엔드포인트 사용
FIPS 준수 VPC 엔드포인트를 생성한 후 이를 사용하여 VPC 내의 리소스에서 OpenSearch Serverless에 액세스할 수 있습니다. API 작업에 엔드포인트를 사용하려면 OpenSearch Serverless에서 FIPS 엔드포인트 사용 섹션에 설명된 대로 리전 FIPS 엔드포인트를 사용하도록 또는 SDK를 구성합니다 AWS CLI . OpenSearch 대시보드 액세스의 경우 VPC 내에서 액세스할 때 FIPS 준수 VPC 엔드포인트를 통해 자동으로 라우팅되는 컬렉션별 대시보드 URL을 사용합니다. 자세한 내용은 Amazon OpenSearch Service와 함께 OpenSearch Dashboards 사용 단원을 참조하십시오.
FIPS 규정 준수 확인
OpenSearch Serverless에 대한 연결이 FIPS 준수 암호화를 사용하고 있는지 확인하려면 AWS CloudTrail 를 사용하여 OpenSearch Serverless에 대한 API 호출을 모니터링합니다. API 호출에 aoss-fips.amazonaws.com 대해 CloudTrail 로그의 eventSource 필드가 표시되는지 확인합니다.
OpenSearch Dashboards 액세스의 경우 브라우저 개발자 도구를 사용하여 TLS 연결 세부 정보를 검사하고 FIPS 준수 암호 제품군이 사용되고 있는지 확인할 수 있습니다.
