As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conformidade com FIPS no Amazon Serverless OpenSearch
<a name="fips-compliance-opensearch-serverless"></a>

O Amazon OpenSearch Serverless oferece suporte ao Federal Information Processing Standards (FIPS) 140-2, que é um padrão do governo dos EUA e do Canadá que especifica requisitos de segurança para módulos criptográficos que protegem informações confidenciais. Quando você se conecta a endpoints habilitados para FIPS com o OpenSearch Serverless, as operações criptográficas ocorrem usando bibliotecas criptográficas validadas por FIPS.

OpenSearch Os endpoints FIPS sem servidor estão disponíveis Regiões da AWS onde o FIPS é suportado. Esses endpoints usam o TLS 1.2 ou posteriores e algoritmos criptográficos validados por FIPS em todas as comunicações. Para saber mais, consulte [Conformidade com FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) no *Guia do usuário de acesso verificado pela AWS *.

**Topics**
+ [Usando endpoints FIPS com Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless)
+ [Use endpoints FIPS com AWS SDKs](#using-fips-endpoints-aws-sdks)
+ [Configurar grupos de segurança para endpoints da VPC](#configuring-security-groups-vpc-endpoints)
+ [Usar o endpoint FIPS da VPC](#using-fips-vpc-endpoint)
+ [Verificar a conformidade com FIPS](#verifying-fips-compliance)
+ [Resolver problemas de conectividade de endpoint FIPS em zonas hospedadas privadas](serverless-fips-endpoint-issues.md)

## Usando endpoints FIPS com Serverless OpenSearch
<a name="using-fips-endpoints-opensearch-serverless"></a>

 Regiões da AWS Onde o FIPS é suportado, as coleções OpenSearch sem servidor são acessíveis por meio de terminais padrão e compatíveis com FIPS. Para saber mais, consulte [Conformidade com FIPS](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html) no *Guia do usuário de acesso verificado pela AWS *.

Nos exemplos a seguir, substitua *collection\$1id* e *Região da AWS* por seu ID de coleção e seu Região da AWS.
+ **Endpoint padrão**: **https://*collection\$1id*.*Região da AWS*.aoss.amazonaws.com**.
+ **Endpoints conformes com FIPS**: **https://*collection\$1id*.*Região da AWS*.aoss-fips.amazonaws.com**.

Da mesma forma, os OpenSearch painéis podem ser acessados por meio de terminais padrão e compatíveis com FIPS:
+ **Endpoint padrão do Dashboards**: **https://*collection\$1id*.*Região da AWS*.aoss.amazonaws.com/\$1dashboards**.
+ **Endpoint do Dashboards conforme com FIPS**: **https://*collection\$1id*.*Região da AWS*.aoss-fips.amazonaws.com/\$1dashboards**.

**nota**  
Em regiões habilitadas para FIPS, tanto os endpoints padrão quanto os endpoints conformes com FIPS fornecem criptografia conforme com FIPS. Os endpoints específicos para FIPS ajudam você a atender aos requisitos de conformidade que exigem especificamente o uso de endpoints com **FIPS** no nome.

## Use endpoints FIPS com AWS SDKs
<a name="using-fips-endpoints-aws-sdks"></a>

Ao usar AWS SDKs, você pode especificar o endpoint FIPS ao criar o cliente. No exemplo a seguir, substitua *collection\$1id* e *Região da AWS* por seu ID de coleção e seu Região da AWS.

```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Região da AWS.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)
```

## Configurar grupos de segurança para endpoints da VPC
<a name="configuring-security-groups-vpc-endpoints"></a>

Para garantir a comunicação adequada com seu endpoint Amazon VPC (VPC) compatível com FIPS, crie ou modifique um grupo de segurança para permitir o tráfego HTTPS de entrada (porta TCP 443) dos recursos em sua VPC que precisam acessar o Serverless. OpenSearch Depois, associe esse grupo de segurança ao endpoint da VPC durante a criação ou modificando o endpoint após a criação. Para saber mais, consulte [Criar um grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) no *Guia do usuário da Amazon VPC*.

## Usar o endpoint FIPS da VPC
<a name="using-fips-vpc-endpoint"></a>

Depois de criar o VPC endpoint compatível com FIPS, você pode usá-lo para acessar o OpenSearch Serverless a partir de recursos dentro da sua VPC. Para usar o endpoint para operações de API, configure o SDK para usar o endpoint FIPS regional, como descrito na seção [Usando endpoints FIPS com Serverless OpenSearch](#using-fips-endpoints-opensearch-serverless). Para acessar os OpenSearch painéis, use a URL específica dos painéis da coleção, que será roteada automaticamente pelo VPC endpoint compatível com FIPS quando acessada de dentro da sua VPC. Para obter mais informações, consulte [Usando OpenSearch painéis com o Amazon Service OpenSearch](dashboards.md).

## Verificar a conformidade com FIPS
<a name="verifying-fips-compliance"></a>

Para verificar se suas conexões com o OpenSearch Serverless estão usando criptografia compatível com FIPS, use para monitorar as chamadas de API feitas AWS CloudTrail para o Serverless. OpenSearch Verifique se o `eventSource` campo nos CloudTrail registros é exibido `aoss-fips.amazonaws.com` para chamadas de API. 

Para acessar os OpenSearch painéis, você pode usar as ferramentas do desenvolvedor do navegador para inspecionar os detalhes da conexão TLS e verificar se os conjuntos de criptografia compatíveis com FIPS estão sendo usados. 

# Resolver problemas de conectividade de endpoint FIPS em zonas hospedadas privadas
<a name="serverless-fips-endpoint-issues"></a>

Os endpoints FIPS funcionam com coleções Amazon OpenSearch Serverless que têm acesso público. Para coleções da VPC recém-criadas que usam endpoints da VPC recém-criados, os endpoints FIPS funcionam como esperado. Para outras coleções da VPC, talvez seja necessário realizar a configuração manual para garantir que os endpoints FIPS funcionem corretamente.

**Para configurar zonas hospedadas privadas FIPS no Amazon Route 53**

1. Abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Revise as zonas hospedadas:

   1. Localize as zonas hospedadas nas quais Regiões da AWS suas coleções estão.

   1. Verifique os padrões de nomenclatura da zona hospedada:
      + Formato não FIPS: `region.aoss.amazonaws.com`.
      + Formato FIPS: `region.aoss-fips.amazonaws.com`.

   1. Confirme que **Tipo** está definido como **Zona hospedada privada** para todas as zonas hospedadas.

1. Se a zona hospedada privada FIPS estiver faltando:

   1. Selecione a zona hospedada privada não FIPS correspondente.

   1. Copie as VPCs informações **associadas**. Por exemplo: `vpc-1234567890abcdef0 | us-east-2`.

   1. Encontre o registro de domínio curinga. Por exemplo: `*.us-east-2.aoss.amazonaws.com`.

   1. Copie as informações de **Valor/rotear tráfego para**. Por exemplo: `uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws`.

1. Crie a zona hospedada privada FIPS:

   1. Crie uma nova zona hospedada privada com o formato FIPS. Por exemplo: `us-east-2.aoss-fips.amazonaws.com`.

   1.  VPCsEm **Associado**, insira as informações de VPC que você copiou da zona hospedada privada não FIPS.

1. Adicione uma nova regra com as seguintes configurações:

   1. Nome do registro: \$1

   1. Tipo de registro: CNAME

   1. Valor: insira as informações de **Valor/rotear tráfego para** que você copiou anteriormente.

## Problemas comuns
<a name="serverless-fips-endpoint-common-problems"></a>

Se você tiver problemas de conectividade com os endpoints da VPC compatíveis com FIPS, use as informações a seguir para ajudar a resolver o problema.
+ Falhas na resolução de DNS: você não consegue resolver o nome de domínio do endpoint FIPS em sua VPC
+ Tempos limite de conexão: suas solicitações para o endpoint FIPS atingem o tempo limite
+ Erros de acesso negado: ocorre falha na autenticação ou autorização ao usar endpoints FIPS
+ Faltam registros de zona hospedada privada para coleções somente VPC

**Para solucionar problemas de conectividade de endpoints FIPS**

1. Verifique a configuração de zona hospedada privada:

   1. Confirme se existe uma zona hospedada privada para o domínio do endpoint FIPS (`*.region.aoss-fips.amazonaws.com`.

   1. Verifique se a zona hospedada privada está associada à VPC correta.

      Para saber mais, consulte [Zonas hospedadas privadas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted- zones-private.html) no *Guia do desenvolvedor do Amazon Route 53* e [Gerenciar nomes do DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) no *Guia do AWS PrivateLink *.

1. Teste a resolução do DNS:

   1. Conecte-se a uma instância do EC2 na sua VPC.

   1. Execute este comando: .

      ```
      nslookup collection-id.region.aoss-fips.amazonaws.com
      ```

   1. Confirme se a resposta inclui o endereço IP privado do endpoint da VPC.

      Para saber mais, consulte [Políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#endpoint-dns-verification) e [Atributos de DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc- dns-troubleshooting) no *Guia do usuário da Amazon VPC*.

1. Verifique as configurações do grupo de segurança:

   1. Verifique se o grupo de segurança conectado ao endpoint da VPC permite tráfego HTTPS (porta 443) vindo de seus recursos.

   1. Confirme se os grupos de segurança dos recursos permitem tráfego de saída para o endpoint da VPC.

   Para saber mais, consulte [Políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-security-groups) no *Guia da AWS PrivateLink * e [Grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html#SecurityGroupRules) no *Guia do usuário da Amazon VPC*.

1. Revise a configuração de ACL da rede:

   1. Verifique se a rede ACLs permite tráfego entre seus recursos e o VPC endpoint.

     Para obter mais informações, consulte [Rede ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network- acls.html#nacl-troubleshooting) no Guia do *usuário da Amazon VPC*.

1. Revise a política de endpoint:

   1. Verifique se a política de VPC endpoint permite as ações necessárias em seus recursos sem servidor. OpenSearch 

     Para saber mais, consulte [Permissões necessárias de endpoint da VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html#serverless-vpc-permissions) e [Política de endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints- access.html#vpc-endpoint-policies) no *Guia do AWS PrivateLink *.

**dica**  
Se você usa resolvedores de DNS personalizados em sua VPC, configure-os para encaminhar solicitações de `*.amazonaws.com` domínios para os servidores. AWS