Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Auf dieser Seite werden die VPC Amazon-Komponenten beschrieben, die zur Sicherung Ihrer Amazon Managed Workflows for Apache Airflow-Umgebung verwendet werden, sowie die für diese Komponenten erforderlichen Konfigurationen.
Inhalt
Bedingungen
- Öffentliches Routing
-
Ein VPC Amazon-Netzwerk, das Zugang zum Internet hat.
- Privates Routing
-
Ein VPC Amazon-Netzwerk ohne Zugang zum Internet.
Überblick über die Sicherheit
Sicherheitsgruppen und Zugriffskontrolllisten (ACLs) bieten Möglichkeiten, den Netzwerkverkehr in den Subnetzen und Instances in Ihrem Amazon VPC mithilfe von von Ihnen festgelegter Regeln zu kontrollieren.
-
Der Netzwerkverkehr zu und von einem Subnetz kann über Zugriffskontrolllisten () ACLs gesteuert werden. Sie benötigen nur eineACL, und dieselbe ACL kann in mehreren Umgebungen verwendet werden.
-
Der Netzwerkverkehr zu und von einer Instance kann von einer VPC Amazon-Sicherheitsgruppe gesteuert werden. Sie können zwischen einer und fünf Sicherheitsgruppen pro Umgebung verwenden.
-
Der Netzwerkverkehr zu und von einer Instance kann auch durch VPC Endpunktrichtlinien gesteuert werden. Wenn Ihr Unternehmen den Internetzugang innerhalb Ihres VPC Amazon-Netzwerks nicht zulässt und Sie ein VPC Amazon-Netzwerk mit privatem Routing verwenden, ist eine VPC Endpunktrichtlinie für die Endgeräte und Apache AWS VPC VPC Airflow-Endpunkte erforderlich.
Listen zur Netzwerkzugriffskontrolle () ACLs
Eine Netzwerkzugriffskontrollliste (ACL) kann eingehenden und ausgehenden Verkehr auf Subnetzebene verwalten (anhand von Regeln zum Zulassen oder Verweigern). An ACL ist statuslos, was bedeutet, dass Regeln für eingehenden und ausgehenden Datenverkehr getrennt und explizit angegeben werden müssen. Es wird verwendet, um die Arten von Netzwerkverkehr anzugeben, die zu den Instances in einem Netzwerk ein- oder ausgehen dürfen. VPC
Jeder Amazon VPC hat eine StandardeinstellungACL, die den gesamten eingehenden und ausgehenden Verkehr zulässt. Sie können die ACL Standardregeln bearbeiten oder benutzerdefinierte Regeln erstellen ACL und sie an Ihre Subnetze anhängen. An ein Subnetz kann immer nur eines ACL angeschlossen sein, aber eines ACL kann an mehrere Subnetze angehängt werden.
(Empfohlenes) Beispiel ACLs
Das folgende Beispiel zeigt die eingehenden und ausgehenden ACL Regeln, die für ein Amazon VPC mit öffentlichem Routing oder privatem Routing verwendet werden können.
Nummer der Regel | Typ | Protocol (Protokoll) | Port-Bereich | Source | Erlauben/Verweigern |
---|---|---|---|---|---|
100 |
Der gesamte IPv4 Verkehr |
Alle |
Alle |
0.0.0.0/0 |
Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf |
* |
Der gesamte IPv4 Verkehr |
Alle |
Alle |
0.0.0.0/0 |
Deny |
VPCSicherheitsgruppen
Eine VPCSicherheitsgruppe fungiert als virtuelle Firewall, die den Netzwerkverkehr auf Instanzebene steuert. Eine Sicherheitsgruppe ist statusbehaftet, was bedeutet, dass sie antworten darf, wenn eine eingehende Verbindung zugelassen ist. Sie wird verwendet, um die Arten von Netzwerkverkehr anzugeben, die von den Instanzen in einem VPC Netzwerk empfangen werden dürfen.
Jeder Amazon VPC hat eine Standardsicherheitsgruppe. Standardmäßig gibt es keine Regeln für eingehenden Datenverkehr. Es gibt eine ausgehende Regel, die den gesamten ausgehenden Verkehr zulässt. Sie können die Standardregeln für Sicherheitsgruppen bearbeiten oder eine benutzerdefinierte Sicherheitsgruppe erstellen und sie an Ihr Amazon anhängenVPC. Bei Amazon MWAA müssen Sie Regeln für eingehenden und ausgehenden Datenverkehr konfigurieren, um den Datenverkehr auf Ihre NAT Gateways zu leiten.
(Empfohlen) Beispiel für eine selbstreferenzierende Sicherheitsgruppe für alle Zugriffe
Das folgende Beispiel zeigt die Regeln für eingehende Sicherheitsgruppen, die den gesamten Datenverkehr für einen Amazon VPC mit öffentlichem oder privatem Routing zulassen. Die Sicherheitsgruppe in diesem Beispiel ist eine Regel, die sich selbst auf sich selbst bezieht.
Typ | Protokoll | Art der Quelle | Quelle |
---|---|---|---|
Gesamter Datenverkehr |
Alle |
Alle |
sg-0909e8e81919/-group my-mwaa-vpc-security |
Das folgende Beispiel zeigt die Regeln für ausgehende Sicherheitsgruppen.
Typ | Protokoll | Art der Quelle | Quelle |
---|---|---|---|
Gesamter Datenverkehr |
Alle |
Alle |
0.0.0.0/0 |
(Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 5432 einschränkt
Das folgende Beispiel zeigt die Regeln für eingehende Sicherheitsgruppen, die den gesamten HTTPS Datenverkehr auf Port 5432 für die Amazon Aurora SQL Postgre-Metadatendatenbank (Eigentum von AmazonMWAA) für Ihre Umgebung zulassen.
Anmerkung
Wenn Sie den Datenverkehr mithilfe dieser Regel einschränken möchten, müssen Sie eine weitere Regel hinzufügen, um den TCP Verkehr auf Port 443 zuzulassen.
Typ | Protocol (Protokoll) | Port-Bereich | Source type (Quellentyp) | Quelle |
---|---|---|---|---|
Benutzerdefiniert TCP |
TCP |
5432 |
Benutzerdefiniert |
sg-0909e8e81919/-group my-mwaa-vpc-security |
(Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 443 einschränkt
Das folgende Beispiel zeigt die Regeln für eingehende Sicherheitsgruppen, die den gesamten TCP Datenverkehr auf Port 443 für den Apache Airflow-Webserver zulassen.
Typ | Protocol (Protokoll) | Port-Bereich | Source type (Quellentyp) | Quelle |
---|---|---|---|---|
HTTPS |
TCP |
443 |
Benutzerdefiniert |
sg-0909e8e81919/-group my-mwaa-vpc-security |
VPCEndpunktrichtlinien (nur privates Routing)
Eine VPCEndpoint (AWS PrivateLink) -Richtlinie steuert den Zugriff auf AWS Dienste von Ihrem privaten Subnetz aus. Eine VPC Endpunktrichtlinie ist eine IAM Ressourcenrichtlinie, die Sie an Ihren VPC Gateway- oder Schnittstellenendpunkt anhängen. In diesem Abschnitt werden die Berechtigungen beschrieben, die für die VPC Endpunktrichtlinien für jeden VPC Endpunkt erforderlich sind.
Wir empfehlen, für jeden der von Ihnen erstellten VPC Endpoints eine VPC Schnittstellen-Endpunktrichtlinie zu verwenden, die vollen Zugriff auf alle AWS Dienste ermöglicht, und Ihre Ausführungsrolle ausschließlich für AWS Berechtigungen zu verwenden.
(Empfohlen) Beispiel für eine VPC Endpunktrichtlinie, um allen Zugriff zuzulassen
Das folgende Beispiel zeigt eine VPC Schnittstellenendpunktrichtlinie für einen Amazon VPC mit privatem Routing.
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}
(Empfohlen) Beispiel für eine Amazon S3 S3-Gateway-Endpunktrichtlinie zum Zulassen des Bucket-Zugriffs
Das folgende Beispiel zeigt eine VPC Gateway-Endpunktrichtlinie, die den Zugriff auf die Amazon S3 S3-Buckets ermöglicht, die für ECR Amazon-Operationen für einen Amazon VPC mit privatem Routing erforderlich sind. Dies ist erforderlich, damit Ihr ECR Amazon-Bild abgerufen werden kann, zusätzlich zu dem Bucket, in dem Ihre Dateien DAGs und die unterstützenden Dateien gespeichert sind.
{ "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::prod-
region
-starport-layer-bucket/*"] } ] }