프라이빗 호스팅 영역의 FIPS 엔드포인트 연결 문제 해결 - Amazon OpenSearch Service
공통 문제

프라이빗 호스팅 영역의 FIPS 엔드포인트 연결 문제 해결

FIPS 엔드포인트는 퍼블릭 액세스 권한이 있는 Amazon OpenSearch Serverless 컬렉션에 대해 작동합니다. 새로 생성된 VPC 엔드포인트를 사용하는 새로 생성된 VPC 컬렉션의 경우, FIPS 엔드포인트가 정상적으로 작동합니다. 다른 VPC 컬렉션의 경우 FIPS 엔드포인트가 올바르게 작동하도록 수동으로 설정해야 할 수 있습니다.

Amazon Route 53에서 FIPS 프라이빗 호스팅 영역을 구성하려면

  1. https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 호스팅 영역을 검토합니다.

    1. AWS 리전에서 컬렉션이 있는 호스팅 영역을 찾습니다.

    2. 호스팅 영역 명명 패턴 확인:

      • 비FIPS 형식: region.aoss.amazonaws.com.

      • FIPS 형식: region.aoss-fips.amazonaws.com.

    3. 모든 호스팅 영역의 유형프라이빗 호스팅 영역으로 설정되어 있는지 확인합니다.

  3. FIPS 프라이빗 호스팅 영역이 누락된 경우:

    1. 해당하는 비FIPS 프라이빗 호스팅 영역을 선택합니다.

    2. 연결된 VPC 정보를 복사합니다. 예를 들면 vpc-1234567890abcdef0 | us-east-2입니다.

    3. 와일드카드 도메인 레코드를 찾습니다. 예를 들면 *.us-east-2.aoss.amazonaws.com입니다.

    4. 값/트래픽 라우팅 대상 정보를 복사합니다. 예:.uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws

  4. FIPS 프라이빗 호스팅 영역 생성:

    1. FIPS 형식으로 새 프라이빗 호스팅 영역을 생성합니다. 예를 들면 us-east-2.aoss-fips.amazonaws.com입니다.

    2. 연결된 VPC에 비FIPS 프라이빗 호스팅 영역에서 복사한 VPC 정보를 입력합니다.

  5. 다음 설정으로 새 레코드를 추가합니다.

    1. 레코드 이름: *

    2. 레코드 유형: CNAME

    3. 값: 앞서 복사한 값/트래픽 라우팅 대상 정보를 입력합니다.

공통 문제

FIPS 준수 VPC 엔드포인트 연결 문제가 발생할 경우 다음 정보를 사용하여 문제를 해결하세요.

  • DNS 확인 실패 - VPC 내에서 FIPS 엔드포인트 도메인 이름을 확인할 수 없음

  • 연결 제한 시간 - FIPS 엔드포인트에 대한 요청 제한 시간

  • 액세스 거부 오류 - FIPS 엔드포인트 사용 시 인증 또는 권한 부여 실패

  • VPC 전용 컬렉션에 대한 프라이빗 호스팅 영역 레코드 누락

FIPS 엔드포인트 연결 문제를 해결하려면

  1. 프라이빗 호스팅 영역 구성을 확인합니다.

    1. FIPS 엔드포인트 도메인(*.region.aoss-fips.amazonaws.com)의 프라이빗 호스팅 영역이 존재하는지 확인합니다.

    2. 프라이빗 호스팅 영역이 올바른 VPC와 연결되어 있는지 확인합니다.

      자세한 내용은 Amazon Route 53 개발자 가이드프라이빗 호스팅 영역AWS PrivateLink 가이드DNS 이름 관리를 참조하세요.

  2. DNS 확인 테스트:

    1. VPC에서 EC2 인스턴스에 연결합니다.

    2. 다음 명령을 실행합니다.

      nslookup collection-id.region.aoss-fips.amazonaws.com

    3. 응답에 VPC 엔드포인트의 프라이빗 IP 주소가 포함되어 있는지 확인합니다.

      자세한 내용은 Amazon VPC 사용 설명서에서 엔드포인트 정책DNS 속성을 참조하세요.

  3. 보안 그룹 설정 확인:

    1. VPC 엔드포인트에 연결된 보안 그룹이 리소스의 HTTPS 트래픽(포트 443)을 허용하는지 확인합니다.

    2. 리소스의 보안 그룹이 VPC 엔드포인트로의 아웃바운드 트래픽을 허용하는지 확인합니다.

    자세한 내용은 AWS PrivateLink 가이드엔드포인트 정책Amazon VPC 사용 설명서보안 그룹을 참조하세요.

  4. 네트워크 ACL 구성 검토:

    1. 네트워크 ACL이 리소스와 VPC 엔드포인트 간의 트래픽을 허용하는지 확인합니다.

      자세한 내용을 알아보려면 Amazon VPC 사용 설명서네트워크 ACL을 참조하세요.

  5. 엔드포인트 정책 검토:

    1. VPC 엔드포인트 정책이 OpenSearch Serverless 리소스에 필요한 작업을 허용하는지 확인합니다.

      자세한 내용은 AWS PrivateLink 가이드VPC 엔드포인트 필수 권한엔드포인트 정책을 참조하세요.

작은 정보

VPC에서 사용자 지정 DNS 해석기를 사용하는 경우 *.amazonaws.com 도메인에 대한 요청을 AWS 서버로 전달하도록 구성합니다.