Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Sicherheit in Ihrem VPC bei Amazon MWAA

Fokusmodus
Sicherheit in Ihrem VPC bei Amazon MWAA - Amazon Managed Workflows für Apache Airflow

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Auf dieser Seite werden die VPC Amazon-Komponenten beschrieben, die zur Sicherung Ihrer Amazon Managed Workflows for Apache Airflow-Umgebung verwendet werden, sowie die für diese Komponenten erforderlichen Konfigurationen.

Bedingungen

Öffentliches Routing

Ein VPC Amazon-Netzwerk, das Zugang zum Internet hat.

Privates Routing

Ein VPC Amazon-Netzwerk ohne Zugang zum Internet.

Überblick über die Sicherheit

Sicherheitsgruppen und Zugriffskontrolllisten (ACLs) bieten Möglichkeiten, den Netzwerkverkehr in den Subnetzen und Instances in Ihrem Amazon VPC mithilfe von von Ihnen festgelegter Regeln zu kontrollieren.

  • Der Netzwerkverkehr zu und von einem Subnetz kann über Zugriffskontrolllisten () ACLs gesteuert werden. Sie benötigen nur eineACL, und dieselbe ACL kann in mehreren Umgebungen verwendet werden.

  • Der Netzwerkverkehr zu und von einer Instance kann von einer VPC Amazon-Sicherheitsgruppe gesteuert werden. Sie können zwischen einer und fünf Sicherheitsgruppen pro Umgebung verwenden.

  • Der Netzwerkverkehr zu und von einer Instance kann auch durch VPC Endpunktrichtlinien gesteuert werden. Wenn Ihr Unternehmen den Internetzugang innerhalb Ihres VPC Amazon-Netzwerks nicht zulässt und Sie ein VPC Amazon-Netzwerk mit privatem Routing verwenden, ist eine VPC Endpunktrichtlinie für die Endgeräte und Apache AWS VPC VPC Airflow-Endpunkte erforderlich.

Listen zur Netzwerkzugriffskontrolle () ACLs

Eine Netzwerkzugriffskontrollliste (ACL) kann eingehenden und ausgehenden Verkehr auf Subnetzebene verwalten (anhand von Regeln zum Zulassen oder Verweigern). An ACL ist statuslos, was bedeutet, dass Regeln für eingehenden und ausgehenden Datenverkehr getrennt und explizit angegeben werden müssen. Es wird verwendet, um die Arten von Netzwerkverkehr anzugeben, die zu den Instances in einem Netzwerk ein- oder ausgehen dürfen. VPC

Jeder Amazon VPC hat eine StandardeinstellungACL, die den gesamten eingehenden und ausgehenden Verkehr zulässt. Sie können die ACL Standardregeln bearbeiten oder benutzerdefinierte Regeln erstellen ACL und sie an Ihre Subnetze anhängen. An ein Subnetz kann immer nur eines ACL angeschlossen sein, aber eines ACL kann an mehrere Subnetze angehängt werden.

(Empfohlenes) Beispiel ACLs

Das folgende Beispiel zeigt die eingehenden und ausgehenden ACL Regeln, die für ein Amazon VPC mit öffentlichem Routing oder privatem Routing verwendet werden können.

Nummer der Regel Typ Protocol (Protokoll) Port-Bereich Source Erlauben/Verweigern

100

Der gesamte IPv4 Verkehr

Alle

Alle

0.0.0.0/0

Sobald Sie die Details auf dieser Seite überprüft haben, klicken Sie auf

*

Der gesamte IPv4 Verkehr

Alle

Alle

0.0.0.0/0

Deny

VPCSicherheitsgruppen

Eine VPCSicherheitsgruppe fungiert als virtuelle Firewall, die den Netzwerkverkehr auf Instanzebene steuert. Eine Sicherheitsgruppe ist statusbehaftet, was bedeutet, dass sie antworten darf, wenn eine eingehende Verbindung zugelassen ist. Sie wird verwendet, um die Arten von Netzwerkverkehr anzugeben, die von den Instanzen in einem VPC Netzwerk empfangen werden dürfen.

Jeder Amazon VPC hat eine Standardsicherheitsgruppe. Standardmäßig gibt es keine Regeln für eingehenden Datenverkehr. Es gibt eine ausgehende Regel, die den gesamten ausgehenden Verkehr zulässt. Sie können die Standardregeln für Sicherheitsgruppen bearbeiten oder eine benutzerdefinierte Sicherheitsgruppe erstellen und sie an Ihr Amazon anhängenVPC. Bei Amazon MWAA müssen Sie Regeln für eingehenden und ausgehenden Datenverkehr konfigurieren, um den Datenverkehr auf Ihre NAT Gateways zu leiten.

(Empfohlen) Beispiel für eine selbstreferenzierende Sicherheitsgruppe für alle Zugriffe

Das folgende Beispiel zeigt die Regeln für eingehende Sicherheitsgruppen, die den gesamten Datenverkehr für einen Amazon VPC mit öffentlichem oder privatem Routing zulassen. Die Sicherheitsgruppe in diesem Beispiel ist eine Regel, die sich selbst auf sich selbst bezieht.

Typ Protokoll Art der Quelle Quelle

Gesamter Datenverkehr

Alle

Alle

sg-0909e8e81919/-group my-mwaa-vpc-security

Das folgende Beispiel zeigt die Regeln für ausgehende Sicherheitsgruppen.

Typ Protokoll Art der Quelle Quelle

Gesamter Datenverkehr

Alle

Alle

0.0.0.0/0

(Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 5432 einschränkt

Das folgende Beispiel zeigt die Regeln für eingehende Sicherheitsgruppen, die den gesamten HTTPS Datenverkehr auf Port 5432 für die Amazon Aurora SQL Postgre-Metadatendatenbank (Eigentum von AmazonMWAA) für Ihre Umgebung zulassen.

Anmerkung

Wenn Sie den Datenverkehr mithilfe dieser Regel einschränken möchten, müssen Sie eine weitere Regel hinzufügen, um den TCP Verkehr auf Port 443 zuzulassen.

Typ Protocol (Protokoll) Port-Bereich Source type (Quellentyp) Quelle

Benutzerdefiniert TCP

TCP

5432

Benutzerdefiniert

sg-0909e8e81919/-group my-mwaa-vpc-security

(Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 443 einschränkt

Das folgende Beispiel zeigt die Regeln für eingehende Sicherheitsgruppen, die den gesamten TCP Datenverkehr auf Port 443 für den Apache Airflow-Webserver zulassen.

Typ Protocol (Protokoll) Port-Bereich Source type (Quellentyp) Quelle

HTTPS

TCP

443

Benutzerdefiniert

sg-0909e8e81919/-group my-mwaa-vpc-security

VPCEndpunktrichtlinien (nur privates Routing)

Eine VPCEndpoint (AWS PrivateLink) -Richtlinie steuert den Zugriff auf AWS Dienste von Ihrem privaten Subnetz aus. Eine VPC Endpunktrichtlinie ist eine IAM Ressourcenrichtlinie, die Sie an Ihren VPC Gateway- oder Schnittstellenendpunkt anhängen. In diesem Abschnitt werden die Berechtigungen beschrieben, die für die VPC Endpunktrichtlinien für jeden VPC Endpunkt erforderlich sind.

Wir empfehlen, für jeden der von Ihnen erstellten VPC Endpoints eine VPC Schnittstellen-Endpunktrichtlinie zu verwenden, die vollen Zugriff auf alle AWS Dienste ermöglicht, und Ihre Ausführungsrolle ausschließlich für AWS Berechtigungen zu verwenden.

(Empfohlen) Beispiel für eine VPC Endpunktrichtlinie, um allen Zugriff zuzulassen

Das folgende Beispiel zeigt eine VPC Schnittstellenendpunktrichtlinie für einen Amazon VPC mit privatem Routing.

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" } ] }

(Empfohlen) Beispiel für eine Amazon S3 S3-Gateway-Endpunktrichtlinie zum Zulassen des Bucket-Zugriffs

Das folgende Beispiel zeigt eine VPC Gateway-Endpunktrichtlinie, die den Zugriff auf die Amazon S3 S3-Buckets ermöglicht, die für ECR Amazon-Operationen für einen Amazon VPC mit privatem Routing erforderlich sind. Dies ist erforderlich, damit Ihr ECR Amazon-Bild abgerufen werden kann, zusätzlich zu dem Bucket, in dem Ihre Dateien DAGs und die unterstützenden Dateien gespeichert sind.

{ "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"] } ] }
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.