解决私有托管区中的 FIPS 端点连接问题

FIPS 端点可与具有公共访问权限的 Amazon OpenSearch 无服务器集合协同工作。对于使用新创建的 VPC 端点的全新 VPC 集合，FIPS 端点可正常运行。对于其他 VPC 集合，您可能需要执行手动设置以确保 FIPS 端点正常运行。

通过以下网址打开 Route 53 控制台：https://console.aws.amazon.com/route53/。
查看您的托管区：
1. 查找集合所在 Amazon Web Services 区域的托管区。
2. 验证托管区的命名模式：
  - 非 FIPS 格式：region.aoss.amazonaws.com。
  - FIPS 格式：region.aoss-fips.amazonaws.com。
3. 确认所有托管区的类型均设置为私有托管区。
如果缺少 FIPS 私有托管区：
1. 选择相应的非 FIPS 私有托管区。
2. 复制关联的 VPC 信息。例如：vpc-1234567890abcdef0 | us-east-2。
3. 查找通配符域记录。例如：*.us-east-2.aoss.amazonaws.com。
4. 复制值/路由流量至信息。例如：uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws
创建 FIPS 私有托管区：
1. 使用 FIPS 格式创建新的私有托管区。例如：us-east-2.aoss-fips.amazonaws.com。
2. 对于关联的 VPC，输入从非 FIPS 私有托管区复制的 VPC 信息。
使用以下设置添加新的记录：
1. 记录名称：*
2. 记录类型：CNAME
3. 值：输入之前复制的值/路由流量至信息。

常见问题

如果在使用符合 FIPS 标准的 VPC 端点时遇到连接问题，请参考以下信息协助解决该问题。

验证私有托管区配置：
1. 确认 FIPS 端点域存在私有托管区（*.region.aoss-fips.amazonaws.com。
2. 验证私有托管区是否已关联至正确的 VPC。
  
  有关更多信息，请参阅《Amazon Route 53开发人员指南》中的私有托管区以及《Amazon PrivateLink 指南》中的管理 DNS 名称。
测试 DNS 解析：
1. 连接到 VPC 中的 EC2 Linux 实例。
2. 运行以下命令：
```
nslookup collection-id.region.aoss-fips.amazonaws.com
```
3. 确认响应中包含 VPC 端点的私有 IP 地址。
  
  有关更多信息，请参阅《Amazon VPC 用户指南》中的端点策略和 DNS 属性。
检查安全组设置：
1. 验证连接到 VPC 端点的安全组是否允许来自您资源的 HTTPS 流量（端口 443）。
2. 确认资源的安全组允许流向 VPC 端点的出站流量。
有关更多信息，请参阅《Amazon PrivateLink 指南》中的端点策略以及《Amazon VPC 用户指南》中的安全组。
检查网络 ACL 配置：
1. 验证网络 ACL 是否允许资源与 VPC 端点之间的流量。
  
  有关更多信息，请参阅 Amazon VPC 用户指南中的网络 ACL。
查看端点政策：
1. 检查 VPC 端点策略是否允许对 OpenSearch 无服务器资源执行所需的操作。
  
  有关更多信息，请参阅《Amazon PrivateLink 指南》中的所需的 VPC 端点权限以及端点策略。

如果您在 VPC 中使用自定义 DNS 解析器，请将其配置为将 *.amazonaws.com 域请求转发至 Amazon 服务器。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

FIPS 合规性

数据访问控制