As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conformidade com FIPS no Amazon Serverless OpenSearch

O Amazon OpenSearch Serverless oferece suporte ao Federal Information Processing Standards (FIPS) 140-2, que é um padrão do governo dos EUA e do Canadá que especifica requisitos de segurança para módulos criptográficos que protegem informações confidenciais. Quando você se conecta a endpoints habilitados para FIPS com o OpenSearch Serverless, as operações criptográficas ocorrem usando bibliotecas criptográficas validadas por FIPS.

OpenSearch Os endpoints FIPS sem servidor estão disponíveis Regiões da AWS onde o FIPS é suportado. Esses endpoints usam o TLS 1.2 ou posteriores e algoritmos criptográficos validados por FIPS em todas as comunicações. Para saber mais, consulte Conformidade com FIPS no Guia do usuário de acesso verificado pela AWS .

Usando endpoints FIPS com Serverless OpenSearch

Regiões da AWS Onde o FIPS é suportado, as coleções OpenSearch sem servidor são acessíveis por meio de terminais padrão e compatíveis com FIPS. Para saber mais, consulte Conformidade com FIPS no Guia do usuário de acesso verificado pela AWS .

Nos exemplos a seguir, substitua collection_id e Região da AWS por seu ID de coleção e seu Região da AWS.

Da mesma forma, os OpenSearch painéis podem ser acessados por meio de terminais padrão e compatíveis com FIPS:

Use endpoints FIPS com AWS SDKs

Ao usar AWS SDKs, você pode especificar o endpoint FIPS ao criar o cliente. No exemplo a seguir, substitua collection_id e Região da AWS por seu ID de coleção e seu Região da AWS.

# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Região da AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

Configurar grupos de segurança para endpoints da VPC

Para garantir a comunicação adequada com seu endpoint Amazon VPC (VPC) compatível com FIPS, crie ou modifique um grupo de segurança para permitir o tráfego HTTPS de entrada (porta TCP 443) dos recursos em sua VPC que precisam acessar o Serverless. OpenSearch Depois, associe esse grupo de segurança ao endpoint da VPC durante a criação ou modificando o endpoint após a criação. Para saber mais, consulte Criar um grupo de segurança no Guia do usuário da Amazon VPC.

Usar o endpoint FIPS da VPC

Depois de criar o VPC endpoint compatível com FIPS, você pode usá-lo para acessar o OpenSearch Serverless a partir de recursos dentro da sua VPC. Para usar o endpoint para operações de API, configure o SDK para usar o endpoint FIPS regional, como descrito na seção Usando endpoints FIPS com Serverless OpenSearch. Para acessar os OpenSearch painéis, use a URL específica dos painéis da coleção, que será roteada automaticamente pelo VPC endpoint compatível com FIPS quando acessada de dentro da sua VPC. Para obter mais informações, consulte Usando OpenSearch painéis com o Amazon Service OpenSearch.

Verificar a conformidade com FIPS

Para verificar se suas conexões com o OpenSearch Serverless estão usando criptografia compatível com FIPS, use para monitorar as chamadas de API feitas AWS CloudTrail para o Serverless. OpenSearch Verifique se o eventSource campo nos CloudTrail registros é exibido aoss-fips.amazonaws.com para chamadas de API.

Para acessar os OpenSearch painéis, você pode usar as ferramentas do desenvolvedor do navegador para inspecionar os detalhes da conexão TLS e verificar se os conjuntos de criptografia compatíveis com FIPS estão sendo usados.