Conformidade com FIPS no Amazon Serverless OpenSearch - OpenSearch Serviço Amazon
Usando endpoints FIPS com Serverless OpenSearch Use endpoints FIPS com o AWS CLIUse endpoints FIPS com AWS SDKsConfigurar grupos de segurança para VPC endpointsUse o endpoint FIPS VPCVerifique a conformidade com o FIPS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conformidade com FIPS no Amazon Serverless OpenSearch

O Amazon OpenSearch Serverless oferece suporte ao Federal Information Processing Standards (FIPS) 140-2, que é um padrão do governo dos EUA e do Canadá que especifica requisitos de segurança para módulos criptográficos que protegem informações confidenciais. Quando você se conecta a endpoints habilitados para FIPS com o OpenSearch Serverless, as operações criptográficas ocorrem usando bibliotecas criptográficas validadas por FIPS.

OpenSearch Os endpoints FIPS sem servidor estão disponíveis Regiões da AWS onde o FIPS é suportado. Esses endpoints usam TLS 1.2 ou posterior e algoritmos criptográficos validados pelo FIPS para todas as comunicações. Para obter mais informações, consulte a conformidade com o FIPS no Guia do usuário de acesso AWS verificado.

Tópicos

Usando endpoints FIPS com Serverless OpenSearch

Regiões da AWS Onde o FIPS é suportado, as coleções OpenSearch sem servidor são acessíveis por meio de terminais padrão e compatíveis com FIPS. Para obter mais informações, consulte a conformidade com o FIPS no Guia do usuário de acesso AWS verificado.

Nos exemplos a seguir, substitua collection_id e region por seu ID de coleção e seu Região da AWS.

  • Ponto final padrãohttps://collection_id.region.aoss.amazonaws.com.

  • Endpoint compatível com FIPS —. https://collection_id.region.aoss-fips.amazonaws.com

Da mesma forma, os OpenSearch painéis podem ser acessados por meio de terminais padrão e compatíveis com FIPS:

  • Endpoint de painéis padrão —. https://collection_id.region.aoss.amazonaws.com/_dashboards

  • Endpoint de painéis compatível com FIPS —. https://collection_id.region.aoss-fips.amazonaws.com/_dashboards

Para operações de API, o endpoint compatível com FIPS segue este formato:

aoss-fips.region.amazonaws.com

Veja a seguir um exemplo de endpoint na região Leste dos EUA (Norte da Virgínia):

aoss-fips.us-east-1.amazonaws.com

nota

Em regiões habilitadas para FIPS, os endpoints padrão e compatíveis com FIPS fornecem criptografia compatível com FIPS. Os endpoints específicos para FIPS ajudam você a atender aos requisitos de conformidade que exigem especificamente o uso de endpoints com FIPS no nome.

Use endpoints FIPS com o AWS CLI

Para configurar o AWS CLI uso de endpoints FIPS para operações OpenSearch sem servidor, defina o --endpoint-url parâmetro como o endpoint FIPS ao fazer chamadas de API:

aws opensearchserverless create-collection \
    --name my-collection \
    --type SEARCH \
    --endpoint-url https://aoss-fips.us-east-1.amazonaws.com

Você também pode configurar o AWS CLI para sempre usar endpoints FIPS para OpenSearch Serverless adicionando o seguinte ao seu arquivo de AWS CLI configuração (): ~/.aws/config

[profile your-profile-name]
aoss-fips = true

Use endpoints FIPS com AWS SDKs

Ao usar AWS SDKs, você pode especificar o endpoint FIPS ao criar o cliente:

// Java SDK example
AmazonOpenSearchServerlessClientBuilder clientBuilder = AmazonOpenSearchServerlessClientBuilder.standard()
    .withEndpointConfiguration(new AwsClientBuilder.EndpointConfiguration(
        "https://aoss-fips.us-east-1.amazonaws.com",
        "us-east-1"))
    .withCredentials(credentialsProvider);
AmazonOpenSearchServerless client = clientBuilder.build();
# Python SDK example
import boto3
client = boto3.client(
    'opensearchserverless',
    region_name='us-east-1',
    endpoint_url='https://aoss-fips.us-east-1.amazonaws.com'
)

Configurar grupos de segurança para VPC endpoints

Para garantir a comunicação adequada com seu endpoint Amazon VPC (VPC) compatível com FIPS, crie ou modifique um grupo de segurança para permitir o tráfego HTTPS de entrada (porta TCP 443) dos recursos em sua VPC que precisam acessar o Serverless. OpenSearch Em seguida, associe esse grupo de segurança ao seu VPC endpoint durante a criação ou modificando o endpoint após a criação. Para obter mais informações, consulte Criar um grupo de segurança no Guia do usuário da Amazon VPC.

Use o endpoint FIPS VPC

Depois de criar o VPC endpoint compatível com FIPS, você pode usá-lo para acessar o OpenSearch Serverless a partir de recursos dentro da sua VPC. Para usar o endpoint para operações de API, configure seu AWS CLI ou o SDK para usar o endpoint FIPS regional, conforme descrito na seção. Usando endpoints FIPS com Serverless OpenSearch Para acessar os OpenSearch painéis, use a URL específica dos painéis da coleção, que será roteada automaticamente pelo VPC endpoint compatível com FIPS quando acessada de dentro da sua VPC. Para obter mais informações, consulte Usando OpenSearch painéis com o Amazon Service OpenSearch .

Verifique a conformidade com o FIPS

Para verificar se suas conexões com o OpenSearch Serverless estão usando criptografia compatível com FIPS, use para monitorar as chamadas de API feitas AWS CloudTrail para o Serverless. OpenSearch Verifique se o eventSource campo nos CloudTrail registros é exibido aoss-fips.amazonaws.com para chamadas de API.

Para acessar os OpenSearch painéis, você pode usar as ferramentas do desenvolvedor do navegador para inspecionar os detalhes da conexão TLS e verificar se os pacotes de criptografia compatíveis com FIPS estão sendo usados.