Conformidade com FIPS no Amazon OpenSearch sem Servidor

O Amazon OpenSearch sem Servidor é compatível com o FIPS (Federal Information Processing Standards) 140-2, que é um padrão do governo dos EUA e do Canadá que especifica os requisitos de segurança para módulos criptográficos que protegem informações sensíveis. Quando você se conecta a endpoints habilitados para FIPS com o OpenSearch sem Servidor, as operações criptográficas ocorrem usando bibliotecas criptográficas validadas para FIPS.

Os endpoints FIPS do OpenSearch sem Servidor estão disponíveis nas Regiões da AWS compatíveis com FIPS. Esses endpoints usam o TLS 1.2 ou posteriores e algoritmos criptográficos validados por FIPS em todas as comunicações. Para obter mais informações, consulte Conformidade com FIPS no Guia do usuário de acesso verificado pela AWS.

Uso de endpoints FIPS com o OpenSearch sem Servidor

Em Regiões da AWS compatíveis com FIPS, as coleções do OpenSearch sem Servidor podem ser acessadas tanto por endpoints padrão quanto por endpoints conformes com FIPS. Para obter mais informações, consulte Conformidade com FIPS no Guia do usuário de acesso verificado pela AWS.

Nos exemplos a seguir, substitua collection_id e Região da AWS pelo ID e a Região da AWS da coleção.

Da mesma forma, os OpenSearch Dashboards podem ser acessados tanto por endpoints padrão quanto por endpoints conformes com FIPS:

Usar endpoints FIPS com os SDKs da AWS

Ao usar SDKs da AWS, você pode especificar o endpoint FIPS ao criar o cliente. No exemplo a seguir, substitua collection_id e Região da AWS pelo ID e a Região da AWS da coleção.

# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Região da AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Configurar grupos de segurança para endpoints da VPC

Para garantir a comunicação adequada com o endpoint da Amazon VPC (VPC) conforme com FIPS, crie ou modifique um grupo de segurança para permitir o tráfego HTTPS de entrada (porta TCP 443) dos recursos em sua VPC que precisam acessar o OpenSearch sem Servidor. Depois, associe esse grupo de segurança ao endpoint da VPC durante a criação ou modificando o endpoint após a criação. Para obter mais informações, consulte Criar um grupo de segurança no Guia do usuário da Amazon VPC.

Usar o endpoint FIPS da VPC

Depois de criar o endpoint da VPC conforme com FIPS, você pode usá-lo para acessar o OpenSearch sem Servidor a partir dos recursos da VPC. Para usar o endpoint para operações de API, configure o SDK para usar o endpoint FIPS regional, como descrito na seção Uso de endpoints FIPS com o OpenSearch sem Servidor. Para acessar o OpenSearch Dashboards, use a URL do Dashboards específica para a coleção, que automaticamente definirá a rota pelo endpoint da VPC conforme com FIPS quando acessado da VPC. Para obter mais informações, consulte Uso do OpenSearch Dashboards com o Amazon OpenSearch Service.

Verificar a conformidade com FIPS

Para verificar se as conexões com o OpenSearch sem Servidor estão usando criptografia conforme com FIPS, use o AWS CloudTrail para monitorar as chamadas de API feitas para o OpenSearch sem Servidor. Verifique se o campo eventSource nos logs do CloudTrail exibem aoss-fips.amazonaws.com para chamadas de API.

Para acessar o OpenSearch Dashboards, você pode usar as ferramentas de desenvolvedor do navegador para inspecionar os detalhes de conexão TLS e verificar se pacotes de criptografia conformes com FIPS estão sendo usados.