亚马逊 OpenSearch 无服务器中的 FIPS 合规性 - 亚马逊 OpenSearch 服务
将 FIPS 端点与无服务器一起使用 OpenSearch 将 FIPS 端点与 Amazon SDKs为 VPC 终端节点配置安全组使用 FIPS VPC 终端节点验证 FIPS 合规性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 OpenSearch 无服务器中的 FIPS 合规性

Amazon OpenSearch Serverless 支持联邦信息处理标准 (FIPS) 140-2,这是美国和加拿大政府的一项标准,规定了保护敏感信息的加密模块的安全要求。当您使用 S OpenSearch erverless 连接到启用 FIPS 的端点时,加密操作将使用 FIPS 验证的加密库进行。

OpenSearch 在支持 FIPS Amazon Web Services 区域 的地方,可以使用无服务器 FIPS 端点。这些端点对所有通信都使用 TLS 1.2 或更高版本以及 FIPS 验证的加密算法。有关更多信息,请参阅《Amazon 已验证访问用户指南》中的 FIPS 合规性

主题

将 FIPS 端点与无服务器一起使用 OpenSearch

在支持 FIPS Amazon Web Services 区域 的地方,可通过标准端点和兼容 FIPS 的端点访问 OpenSearch 无服务器集合。有关更多信息,请参阅《Amazon 已验证访问用户指南》中的 FIPS 合规性

在以下示例中,Amazon Web Services 区域使用您的集合 ID collection_id 及其替换和 Amazon Web Services 区域。

  • 标准端点https://collection_id.Amazon Web Services 区域.aoss.amazonaws.com.

  • 符合 FIPS 标准的端点 —. https://collection_id.Amazon Web Services 区域.aoss-fips.amazonaws.com

同样,可通过标准端点和符合 FIPS 的端点访问 OpenSearch 控制面板:

  • 标准仪表板端点https://collection_id.Amazon Web Services 区域.aoss.amazonaws.com/_dashboards.

  • 符合 FIPS 标准的仪表板端点 —. https://collection_id.Amazon Web Services 区域.aoss-fips.amazonaws.com/_dashboards

注意

在启用 FIPS 的区域中,标准端点和符合 FIPS 的端点均提供符合 FIPS 的加密技术。特定于 FIPS 的终端节点可帮助您满足合规性要求,这些要求特别要求使用名称中带有 FIPS 的端点。

将 FIPS 端点与 Amazon SDKs

使用时 Amazon SDKs,可以在创建客户端时指定 FIPS 端点。在以下示例中,Amazon Web Services 区域使用您的集合 ID collection_id 及其替换和 Amazon Web Services 区域。

# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://collection_id.Amazon Web Services 区域.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)

为 VPC 终端节点配置安全组

为确保与符合 FIPS 标准的 Amazon VPC (VPC) 终端节点进行正常通信,请创建或修改安全组,以允许来自您的 VPC 中需要访问无服务器的资源的入站 HTTPS 流量(TCP 端口 443)。 OpenSearch 然后在创建期间将此安全组与您的 VPC 终端节点相关联,或者在创建后修改终端节点。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建安全组

使用 FIPS VPC 终端节点

创建符合 FIPS 标准的 VPC 终端节点后,您可以使用它从 VPC 内的资源 OpenSearch 访问无服务器。要使用终端节点进行 API 操作,请将您的 SDK 配置为使用区域 FIPS 终端节点,如将 FIPS 端点与无服务器一起使用 OpenSearch 部分所述。要访问 OpenSearch 控制面板,请使用集合特定的控制面板 URL,从您的 VPC 内部访问时,该网址将自动通过符合 FIPS 的 VPC 终端节点进行路由。有关更多信息,请参阅 在 Amazon OpenSearch 服务中使用 OpenSearch 控制面板

验证 FIPS 合规性

要验证您与 OpenSearch 无服务器的连接是否使用符合 FIPS 的加密技术,请使用监控 Amazon CloudTrail 对无服务器进行的 API 调用。 OpenSearch 检查 CloudTrail 日志中是否显示了 API 调aoss-fips.amazonaws.com用的eventSource字段。

要访问 OpenSearch 控制面板,您可以使用浏览器开发者工具来检查 TLS 连接详细信息并验证是否使用了符合 FIPS 的密码套件。