本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon OpenSearch Serverless 中的 FIPS 合規
Amazon OpenSearch Serverless 支援聯邦資訊處理標準 (FIPS) 140-2,這是美國和加拿大政府標準,指定保護敏感資訊之密碼編譯模組的安全要求。當您使用 OpenSearch Serverless 連線至已啟用 FIPS 的端點時,密碼編譯操作會使用 FIPS 驗證的密碼編譯程式庫進行。
OpenSearch Serverless FIPS 端點可在支援 FIPS AWS 區域 的 中使用。這些端點使用 TLS 1.2 或更新版本,以及 FIPS 驗證的密碼編譯演算法進行所有通訊。如需詳細資訊,請參閱AWS 《 驗證存取使用者指南》中的 FIPS 合規。
主題
搭配 OpenSearch Serverless 使用 FIPS 端點
在支援 FIPS AWS 區域 的情況下,OpenSearch Serverless 集合可透過標準和 FIPS 相容端點存取。如需詳細資訊,請參閱AWS 《 驗證存取使用者指南》中的 FIPS 合規。
在下列範例中,將 collection_id 和 region 取代為您的集合 ID 及其 AWS 區域。
-
標準端點 –
https://。collection_id.region.aoss.amazonaws.com -
FIPS 相容端點 –
https://。collection_id.region.aoss-fips.amazonaws.com
同樣地,OpenSearch Dashboards 可透過標準和 FIPS 相容端點存取:
-
標準儀表板端點 –
https://。collection_id.region.aoss.amazonaws.com/_dashboards -
符合 FIPS 標準的儀表板端點 –
https://。collection_id.region.aoss-fips.amazonaws.com/_dashboards
對於 API 操作,符合 FIPS 的端點遵循以下格式:
aoss-fips.region.amazonaws.com
以下是美國東部 (維吉尼亞北部) 區域中的範例端點:
aoss-fips.us-east-1.amazonaws.com
注意
在啟用 FIPS 的區域中,標準和 FIPS 相容的端點都提供 FIPS 相容的密碼編譯。FIPS 特定的端點可協助您滿足合規要求,這些要求特別強制在名稱中使用具有 FIPS 的端點。
搭配 使用 FIPS 端點 AWS CLI
若要 AWS CLI 將 設定為使用 FIPS 端點進行 OpenSearch Serverless 操作,請在進行 API 呼叫時將 --endpoint-url 參數設定為 FIPS 端點:
aws opensearchserverless create-collection \ --name my-collection \ --type SEARCH \ --endpoint-urlhttps://aoss-fips.us-east-1.amazonaws.com
您也可以 AWS CLI 將 設定為一律使用 OpenSearch Serverless 的 FIPS 端點,方法是將下列項目新增至您的 AWS CLI 組態檔案 (~/.aws/config):
[profile your-profile-name] aoss-fips = true
搭配 AWS SDKs 使用 FIPS 端點
使用 AWS SDKs時,您可以在建立用戶端時指定 FIPS 端點:
// Java SDK example AmazonOpenSearchServerlessClientBuilder clientBuilder = AmazonOpenSearchServerlessClientBuilder.standard() .withEndpointConfiguration(new AwsClientBuilder.EndpointConfiguration( "https://aoss-fips.us-east-1.amazonaws.com", "us-east-1")) .withCredentials(credentialsProvider); AmazonOpenSearchServerless client = clientBuilder.build();
# Python SDK example import boto3 client = boto3.client( 'opensearchserverless', region_name='us-east-1', endpoint_url='https://aoss-fips.us-east-1.amazonaws.com' )
設定 VPC 端點的安全群組
為了確保與 FIPS 相容的 Amazon VPC (VPC) 端點進行適當通訊,請建立或修改安全群組,以允許來自 VPC 中需要存取 OpenSearch Serverless 資源的傳入 HTTPS 流量 (TCP 連接埠 443)。然後在建立期間或在建立之後修改端點,將此安全群組與您的 VPC 端點建立關聯。如需詳細資訊,請參閱《Amazon VPC 使用者指南》的建立安全群組。
使用 FIPS VPC 端點
建立符合 FIPS 標準的 VPC 端點後,您可以使用它從 VPC 中的資源存取 OpenSearch Serverless。若要使用 API 操作的端點,請將 AWS CLI 或 SDK 設定為使用區域 FIPS 端點,如 搭配 OpenSearch Serverless 使用 FIPS 端點一節中所述。對於 OpenSearch Dashboards 存取,請使用集合特定的 Dashboards URL,從 VPC 內存取時,該 URL 會自動透過 FIPS 相容 VPC 端點路由。如需詳細資訊,請參閱搭配使用 OpenSearch Dashboards 與 Amazon OpenSearch Service。
驗證 FIPS 合規
若要驗證您對 OpenSearch Serverless 的連線是否使用 FIPS 相容密碼編譯,請使用 AWS CloudTrail 來監控對 OpenSearch Serverless 發出的 API 呼叫。檢查 CloudTrail 日誌中的 eventSource 欄位是否顯示 API aoss-fips.amazonaws.com 呼叫。
對於 OpenSearch Dashboards 存取,您可以使用瀏覽器開發人員工具來檢查 TLS 連線詳細資訊,並確認正在使用符合 FIPS 規範的密碼套件。
