Amazon OpenSearch Serverless의 FIPS 규정 준수 - Amazon OpenSearch Service
OpenSearch Serverless에서 FIPS 엔드포인트 사용AWS SDK에서 FIPS 엔드포인트 사용VPC 엔드포인트의 보안 그룹 구성FIPS VPC 엔드포인트 사용FIPS 규정 준수 검증

Amazon OpenSearch Serverless의 FIPS 규정 준수

Amazon OpenSearch Serverless는 미국 및 캐나다 정부 보안 표준으로, 기밀 정보를 보호하는 암호 모듈의 보안 요건을 규정한 연방 정보 처리 표준(FIPS) 140-2를 지원합니다. OpenSearch Serverless를 사용하여 FIPS 지원 엔드포인트에 연결하면 FIPS 검증 암호화 라이브러리를 사용하여 암호화 작업이 수행됩니다.

OpenSearch Serverless FIPS 엔드포인트는 FIPS가 지원되는 AWS 리전에서 사용할 수 있습니다. 이러한 엔드포인트는 모든 통신에 TLS 1.2 이상과 FIPS 검증 암호화 알고리즘을 사용합니다. 자세한 내용은 AWS Verified·Access 사용 설명서FIPS 규정 준수를 참조하세요.

주제

OpenSearch Serverless에서 FIPS 엔드포인트 사용

FIPS가 지원되는 AWS 리전에서는 표준 및 FIPS 호환 엔드포인트를 통해 OpenSearch Serverless 컬렉션에 액세스할 수 있습니다. 자세한 내용은 AWS Verified·Access 사용 설명서FIPS 규정 준수를 참조하세요.

다음 예제에서 collection_idAWS 리전을 컬렉션 ID 및 해당 AWS 리전으로 바꿉니다.

  • 표준 엔드포인트https://collection_id.AWS 리전.aoss.amazonaws.com.

  • FIPS 준수 엔드포인트https://collection_id.AWS 리전.aoss-fips.amazonaws.com.

마찬가지로, 표준 및 FIPS 준수 엔드포인트를 통해 OpenSearch Dashboards에 액세스할 수 있습니다.

  • 표준 Dashboards 엔드포인트 - https://collection_id.AWS 리전.aoss.amazonaws.com/_dashboards.

  • FIPS 준수 Dashboards 엔드포인트 - https://collection_id.AWS 리전.aoss-fips.amazonaws.com/_dashboards.

참고

FIPS 지원 리전에서는 표준 엔드포인트와 FIPS 준수 엔드포인트가 모두 FIPS 준수 암호화를 제공합니다. FIPS별 엔드포인트는 이름에 FIPS가 포함된 엔드포인트를 사용하도록 명시적으로 요구하는 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.

AWS SDK에서 FIPS 엔드포인트 사용

AWS SDK 사용할 경우, 클라이언트를 생성할 때 FIPS 엔드포인트를 지정할 수 있습니다. 다음 예에서 collection_idAWS 리전을 컬렉션 ID 및 해당 AWS 리전으로 바꿉니다.

# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.AWS 리전.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

VPC 엔드포인트의 보안 그룹 구성

FIPS 준수 Amazon VPC(VPC) 엔드포인트와 원활하게 통신하려면 OpenSearch Serverless에 액세스해야 하는 VPC의 리소스에서 인바운드 HTTPS 트래픽(TCP 포트 443)을 허용하도록 보안 그룹을 생성하거나 수정합니다. 그런 다음 생성 중에 또는 생성 후에 엔드포인트를 수정하여 이 보안 그룹을 VPC 엔드포인트와 연결합니다. 자세한 내용을 알아보려면 Amazon VPC 사용 설명서보안 그룹 생성을 참조하세요.

FIPS VPC 엔드포인트 사용

FIPS 준수 VPC 엔드포인트를 생성한 후, 이를 사용하여 VPC 내의 리소스에서 OpenSearch Serverless에 액세스할 수 있습니다. API 작업에 엔드포인트를 사용하려면 OpenSearch Serverless에서 FIPS 엔드포인트 사용 섹션에서 설명하는 대로 리전 FIPS 엔드포인트를 사용하도록 SDK를 구성합니다. OpenSearch Dashboards 액세스의 경우 VPC 내에서 액세스할 때 FIPS 준수 VPC 엔드포인트를 통해 자동으로 라우팅되는 컬렉션별 Dashboards URL을 사용합니다. 자세한 내용은 Amazon OpenSearch Service와 함께 OpenSearch Dashboards 사용 섹션을 참조하세요.

FIPS 규정 준수 검증

OpenSearch Serverless에 대한 연결이 FIPS 준수 암호화를 사용하고 있는지 확인하려면 AWS CloudTrail을 사용하여 OpenSearch Serverless에 대한 API 직접 호출을 모니터링합니다. API 직접 호출에 대해 CloudTrail 로그의 eventSource 필드에 aoss-fips.amazonaws.com이 표시되는지 확인합니다.

OpenSearch Dashboards 액세스의 경우 브라우저 개발자 도구를 사용하여 TLS 연결 세부 정보를 검사하고 FIPS 준수 암호 제품군이 사용되고 있는지 확인할 수 있습니다.