

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊 OpenSearch 无服务器中的 FIPS 合规性
<a name="fips-compliance-opensearch-serverless"></a>

Amazon OpenSearch Serverless 支持联邦信息处理标准 (FIPS) 140-2，这是加拿大政府的一项标准，它规定了保护敏感信息的加密模块的安全要求 U.S。当您使用 OpenSearch Serverless 连接到 FIPS-enabled 端点时，加密操作将使用 FIPS-validated 加密库进行。

OpenSearch 在支持 FIPS AWS 区域 的地方，可以使用无服务器 FIPS 端点。这些端点使用 TLS 1.2 或更高版本以及 FIPS-validated 加密算法进行所有通信。有关更多信息，请参阅《AWS 已验证访问用户指南》**中的 [FIPS 合规性](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html)。

**Topics**
+ [将 FIPS 端点与无服务器一起使用 OpenSearch](#using-fips-endpoints-opensearch-serverless)
+ [将 FIPS 端点与 AWS 软件开发工具包](#using-fips-endpoints-aws-sdks)
+ [为 VPC 端点配置安全组](#configuring-security-groups-vpc-endpoints)
+ [使用 FIPS VPC 端点](#using-fips-vpc-endpoint)
+ [验证 FIPS 合规性](#verifying-fips-compliance)
+ [解决私有托管区中的 FIPS 端点连接问题](serverless-fips-endpoint-issues.md)

## 将 FIPS 端点与无服务器一起使用 OpenSearch
<a name="using-fips-endpoints-opensearch-serverless"></a>

在支持 FIPS AWS 区域 的地方，可通过标准和 FIPS-compliant 端点访问 OpenSearch 无服务器集合。这些 FIPS-compliant 变体适用于 OpenSearch 无服务器集合端点 NextGen 和经典集合端点。有关更多信息，请参阅《AWS 已验证访问用户指南》**中的 [FIPS 合规性](https://docs.aws.amazon.com/verified-access/latest/ug/fips-compliance.html)。

在以下示例中，将{{collection-id}}{{account-id}}、和{{region}}替换为您的馆藏 AWS 账户 ID、ID 和区域。

**NextGen 每个集合的端点**
+ **标准** — **https://{{collection-id}}.aoss.{{region}}.on.aws**
+ **FIPS-compliant** – **https://{{collection-id}}.aoss-fips.{{region}}.on.aws**

**NextGen 每个账户的终端节点**
+ **标准** — **https://{{account-id}}.aoss.{{region}}.on.aws**
+ **FIPS-compliant** – **https://{{account-id}}.aoss-fips.{{region}}.on.aws**

**经典的按集合终端节点**
+ **标准** — **https://{{collection-id}}.{{region}}.aoss.amazonaws.com**
+ **FIPS-compliant** – **https://{{collection-id}}.{{region}}.aoss-fips.amazonaws.com**

NextGen FIPS 终端节点使用 VPC 访问标准 AWS PrivateLink ，与非 FIPS 端点相同。有关更多信息，请参阅 [通过以下方式访问数据平面 AWS PrivateLink](serverless-vpc.md)。

**注意**  
在 FIPS-enabled 区域中，标准和 FIPS-compliant 终端节点都提供 FIPS-compliant 加密。这些 FIPS-specific 终端节点可帮助您满足合规性要求，这些要求特别要求使用名称中带有 **FIPS** 的端点。

## 将 FIPS 端点与 AWS 软件开发工具包
<a name="using-fips-endpoints-aws-sdks"></a>

使用 AWS SDK 时，可以在创建客户端时指定 FIPS 端点。在以下示例中，{{AWS 区域}}使用您的集合 ID {{collection\_id}} 及其替换和 AWS 区域。

```
# Python SDK example
from opensearchpy import OpenSearch, RequestsHttpConnection, AWSV4SignerAuth
import boto3
host = '"https://{{collection_id}}.{{AWS 区域}}.aoss-fips.amazonaws.com"
region = 'us-west-2'
service = 'aoss'
credentials = boto3.Session().get_credentials()
auth = AWSV4SignerAuth(credentials, region, service)
client = OpenSearch(
    hosts = [{'host': host, 'port': 443}],
    http_auth = auth,
    use_ssl = True,
    verify_certs = True,
    connection_class = RequestsHttpConnection,
    pool_maxsize = 20
)
```

## 为 VPC 端点配置安全组
<a name="configuring-security-groups-vpc-endpoints"></a>

为确保与您的 FIPS-compliant Amazon VPC (VPC) 终端节点进行正常通信，请创建或修改安全组，以允许来自您的 VPC 中需要访问 OpenSearch 无服务器的资源的入站 HTTPS 流量（TCP 端口 443）。然后在创建期间将此安全组与您的 VPC 端点相关联，或者在创建后修改端点。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[创建安全组](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)。

## 使用 FIPS VPC 端点
<a name="using-fips-vpc-endpoint"></a>

创建 FIPS-compliant VPC 终端节点后，您可以使用它从 VPC 内的资源访问 OpenSearch 无服务器。要使用端点进行 API 操作，请将 SDK 配置为使用区域性 FIPS 端点，如 [将 FIPS 端点与无服务器一起使用 OpenSearch](#using-fips-endpoints-opensearch-serverless) 部分所述。要访问 OpenSearch 控制面板，请使用集合特定的控制面板 URL，从您的 VPC 内部访问时，该网址将自动通过 FIPS-compliant VPC 终端节点进行路由。有关更多信息，请参阅 [在 Amazon OpenSearch 服务中使用 OpenSearch 控制面板](dashboards.md)。

## 验证 FIPS 合规性
<a name="verifying-fips-compliance"></a>

要验证您与 OpenSearch 无服务器的连接是否使用 FIPS-compliant 加密技术，请使用监控 AWS CloudTrail 对无服务器进行的 API 调用。 OpenSearch 检查 CloudTrail 日志中是否显示了 API 调`aoss-fips.amazonaws.com`用的`eventSource`字段。

要访问 OpenSearch 控制面板，您可以使用浏览器开发者工具来检查 TLS 连接详细信息并验证是否正在使用 FIPS-compliant 密码套件。