Resolver problemas de conectividade de endpoint FIPS em zonas hospedadas privadas - Amazon OpenSearch Service
Problemas comuns

Resolver problemas de conectividade de endpoint FIPS em zonas hospedadas privadas

Os endpoints FIPS funcionam com coleções do Amazon OpenSearch sem Servidor que têm acesso público. Para coleções da VPC recém-criadas que usam endpoints da VPC recém-criados, os endpoints FIPS funcionam como esperado. Para outras coleções da VPC, talvez seja necessário realizar a configuração manual para garantir que os endpoints FIPS funcionem corretamente.

Para configurar zonas hospedadas privadas FIPS no Amazon Route 53

  1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. Revise as zonas hospedadas:

    1. Localize as zonas hospedadas das Regiões da AWS onde estão suas coleções.

    2. Verifique os padrões de nomenclatura da zona hospedada:

      • Formato não FIPS: region.aoss.amazonaws.com.

      • Formato FIPS: region.aoss-fips.amazonaws.com.

    3. Confirme que Tipo está definido como Zona hospedada privada para todas as zonas hospedadas.

  3. Se a zona hospedada privada FIPS estiver faltando:

    1. Selecione a zona hospedada privada não FIPS correspondente.

    2. Copie as informações das VPCs associadas. Por exemplo: vpc-1234567890abcdef0 | us-east-2.

    3. Encontre o registro de domínio curinga. Por exemplo: *.us-east-2.aoss.amazonaws.com.

    4. Copie as informações de Valor/rotear tráfego para. Por exemplo, .:uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws.

  4. Crie a zona hospedada privada FIPS:

    1. Crie uma nova zona hospedada privada com o formato FIPS. Por exemplo: us-east-2.aoss-fips.amazonaws.com.

    2. Em VPCs associadas, insira as informações da VPC que você copiou da zona hospedada privada não FIPS.

  5. Adicione uma nova regra com as seguintes configurações:

    1. Nome do registro: *

    2. Tipo de registro: CNAME

    3. Valor: insira as informações de Valor/rotear tráfego para que você copiou anteriormente.

Problemas comuns

Se você tiver problemas de conectividade com os endpoints da VPC compatíveis com FIPS, use as informações a seguir para ajudar a resolver o problema.

  • Falhas na resolução de DNS: você não consegue resolver o nome de domínio do endpoint FIPS em sua VPC

  • Tempos limite de conexão: suas solicitações para o endpoint FIPS atingem o tempo limite

  • Erros de acesso negado: ocorre falha na autenticação ou autorização ao usar endpoints FIPS

  • Faltam registros de zona hospedada privada para coleções somente VPC

Para solucionar problemas de conectividade de endpoints FIPS

  1. Verifique a configuração de zona hospedada privada:

    1. Confirme se existe uma zona hospedada privada para o domínio do endpoint FIPS (*.region.aoss-fips.amazonaws.com.

    2. Verifique se a zona hospedada privada está associada à VPC correta.

      Para obter mais informações, consulte Zonas hospedadas privadas no Guia do desenvolvedor do Amazon Route 53 e Gerenciar nomes do DNS no Guia do AWS PrivateLink.

  2. Teste a resolução do DNS:

    1. Conecte-se a uma instância do EC2 na sua VPC.

    2. Execute o seguinte comando:

      nslookup collection-id.region.aoss-fips.amazonaws.com

    3. Confirme se a resposta inclui o endereço IP privado do endpoint da VPC.

      Para obter mais informações, consulte Políticas de endpoint e Atributos de DNS no Guia do usuário da Amazon VPC.

  3. Verifique as configurações do grupo de segurança:

    1. Verifique se o grupo de segurança conectado ao endpoint da VPC permite tráfego HTTPS (porta 443) vindo de seus recursos.

    2. Confirme se os grupos de segurança dos recursos permitem tráfego de saída para o endpoint da VPC.

    Para obter mais informações, consulte Políticas de endpoint no Guia da AWS PrivateLink e Grupos de segurança no Guia do usuário da Amazon VPC.

  4. Revise a configuração de ACL da rede:

    1. Verifique se as ACLs da rede permitem o tráfego entre os recursos e o endpoint da VPC.

      Para obter mais informações, consulte Network ACLs no Guia do usuário da Amazon VPC.

  5. Revise a política de endpoint:

    1. Verifique se a política de endpoint da VPC permite as ações necessárias nos recursos do OpenSearch sem Servidor.

      Para obter mais informações, consulte Permissões necessárias de endpoint da VPC e Política de endpoints no Guia do AWS PrivateLink.

dica

Se você usar resolvedores de DNS personalizados em sua VPC, configure-os para encaminhar solicitações dos domínios *.amazonaws.com para os servidores da AWS.