Amazon OpenSearch 无服务器中的 FIPS 合规性 - Amazon OpenSearch Service
将 FIPS 端点和 OpenSearch 无服务器结合使用将 FIPS 端点与 Amazon SDK 结合使用为 VPC 端点配置安全组使用 FIPS VPC 端点验证 FIPS 合规性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon OpenSearch 无服务器中的 FIPS 合规性

Amazon OpenSearch 无服务器支持联邦信息处理标准(FIPS)140-2,该标准由美国和加拿大政府制定,规定了用于保护敏感信息的加密模块的安全要求。当使用 OpenSearch 无服务器连接到支持 FIPS 的端点时,加密操作将通过经 FIPS 验证的加密库进行。

在支持 FIPS 的 Amazon Web Services 区域 中,可使用 OpenSearch 无服务器 FIPS 端点。这些端点采用 TLS 1.2 或更高版本以及经 FIPS 验证的加密算法处理所有通信。有关更多信息,请参阅《Amazon 已验证访问用户指南》中的 FIPS 合规性

主题

将 FIPS 端点和 OpenSearch 无服务器结合使用

在支持 FIPS 的 Amazon Web Services 区域 中,可通过标准端点和符合 FIPS 标准的端点访问 OpenSearch 无服务器集合。有关更多信息,请参阅《Amazon 已验证访问用户指南》中的 FIPS 合规性

在以下示例中,将 collection_idAmazon Web Services 区域 替换为集合 ID 及其 Amazon Web Services 区域。

  • 标准端点https://collection_id.Amazon Web Services 区域.aoss.amazonaws.com

  • 符合 FIPS 标准的端点https://collection_id.Amazon Web Services 区域.aoss-fips.amazonaws.com

同样,OpenSearch 控制面板可通过标准端点和符合 FIPS 标准的端点进行访问:

  • 标准控制面板端点https://collection_id.Amazon Web Services 区域.aoss.amazonaws.com/_dashboards

  • 符合 FIPS 标准的控制面板端点https://collection_id.Amazon Web Services 区域.aoss-fips.amazonaws.com/_dashboards

注意

在启用 FIPS 的区域中,标准端点和符合 FIPS 标准的端点均提供符合 FIPS 标准的加密技术。FIPS 特定端点可帮助您满足合规性要求,这些要求明确规定必须使用名称中包含 FIPS 的端点。

将 FIPS 端点与 Amazon SDK 结合使用

使用 Amazon SDK 时,可在创建客户端时指定 FIPS 端点。在以下示例中,将 collection_idAmazon Web Services 区域 替换为集合 ID 及其 Amazon Web Services 区域。

# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Amazon Web Services 区域.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

为 VPC 端点配置安全组

为确保与符合 FIPS 标准的 Amazon VPC(VPC)端点进行正常通信,请创建或修改安全组,以允许来自 VPC 内需要访问 OpenSearch 无服务器资源的入站 HTTPS 流量(TCP 端口 443)。然后在创建期间将此安全组与您的 VPC 端点相关联,或者在创建后修改端点。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建安全组

使用 FIPS VPC 端点

创建符合 FIPS 标准的 VPC 端点后,即可通过该端点从 VPC 内部资源访问 OpenSearch 无服务器。要使用端点进行 API 操作,请将 SDK 配置为使用区域性 FIPS 端点,如 将 FIPS 端点和 OpenSearch 无服务器结合使用 部分所述。要访问 OpenSearch 控制面板,使用集合特定的控制面板 URL,当从 VPC 内部访问时,该 URL 将自动通过符合 FIPS 标准的 VPC 端点进行路由。有关更多信息,请参阅 将 OpenSearch 控制面板与 Amazon OpenSearch Service 结合使用

验证 FIPS 合规性

要验证您与 OpenSearch无服务器的连接是否使用符合 FIPS 标准的加密技术,请使用 Amazon CloudTrail 监控对 OpenSearch 无服务器进行的 API 调用。检查 CloudTrail 日志中的 eventSource 字段是否显示 API 调用的 aoss-fips.amazonaws.com

要访问 OpenSearch 控制面板,您可以使用浏览器开发人员工具检查 TLS 连接详细信息,并验证是否使用符合 FIPS 标准的密码套件。