本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
解决私有托管区域中的 FIPS 端点连接问题
FIPS 终端节点可与具有公共访问权限的 Amazon OpenSearch 无服务器集合配合使用。对于使用新创建的 VPC 终端节点的新创建的 VPC 集合,FIPS 终端节点按预期运行。对于其他 VPC 集合,您可能需要执行手动设置以确保 FIPS 终端节点正常运行。
在 Amazon Route 53 中配置 FIPS 私有托管区域
-
打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/
。 -
查看您的托管区域:
-
找到 Amazon Web Services 区域 您的馆藏所在的托管区域。
-
验证托管区域的命名模式:
-
非 FIPS 格式:.
region.aoss.amazonaws.com -
FIPS 格式:
region.aoss-fips.amazonaws.com
-
-
确认所有托管区域的类型均设置为私有托管区域。
-
-
如果缺少 FIPS 私有托管区域:
-
选择相应的非 FIPS 私有托管区域。
-
复制关联 VPCs信息。例如:
vpc-1234567890abcdef0 | us-east-2。 -
查找通配符域名记录。例如:
*.us-east-2.aoss.amazonaws.com。 -
将 Value/Route 流量复制到信息。例如:
uoc1c1qsw7poexampleewjeno1pte3rw.3ym756xh7yj.aoss.searchservices.aws。
-
-
创建 FIPS 私有托管区域:
-
使用 FIPS 格式创建新的私有托管区域。例如:
us-east-2.aoss-fips.amazonaws.com。 -
在 “关联” 中 VPCs,输入您从非 FIPS 私有托管区域复制的 VPC 信息。
-
-
使用以下设置添加新记录:
-
记录名称:*
-
记录类型:CNAME
-
值:输入您之前复制的信息的值/路由流量。
-
常见问题
如果您在使用符合 FIPS 标准的 VPC 终端节点时遇到连接问题,请使用以下信息来帮助解决问题。
-
DNS 解析失败-您无法解析 VPC 内的 FIPS 终端节点域名
-
连接超时-您对 FIPS 端点的请求超时
-
访问被拒绝错误-使用 FIPS 端点时身份验证或授权失败
-
缺少仅限 VPC 的集合的私有托管区域记录
对 FIPS 端点连接进行故障排除
-
验证您的私有托管区域配置:
-
确认 FIPS 终端节点域存在私有托管区域(
*.region.aoss-fips.amazonaws.com. -
验证私有托管区域是否与正确的 VPC 相关联。
有关更多信息,请参阅 Amazon Route 53 开发者指南中的私有托管区域和Amazon PrivateLink指南中的管理 DNS 名称。
-
-
测试 DNS 解析度:
-
检查您的安全组设置:
-
验证连接到 VPC 终端节点的安全组是否允许来自您的资源的 HTTPS 流量(端口 443)。
-
确认您的资源的安全组允许流向 VPC 终端节点的出站流量。
有关更多信息,请参阅Amazon PrivateLink 指南中的终端节点策略和 Amazon VPC 用户指南中的安全组。
-
-
查看您的网络 ACL 配置:
-
验证网络是否 ACLs 允许您的资源与 VPC 终端节点之间的流量。
有关更多信息,请参阅 Amazon VPC 用户指南 ACLs中的网络。
-
-
查看您的终端节点政策:
-
检查 VPC 终端节点策略是否允许对您的 OpenSearch 无服务器资源执行所需的操作。
有关更多信息,请参阅Amazon PrivateLink 指南中的所需的 VPC 终端节点权限和终端节点策略。
-
提示
如果您在 VPC 中使用自定义 DNS 解析器,请将其配置为将*.amazonaws.com域名请求转发到 Amazon 服务器。