Términos Información general acerca de la seguridad Listas de control de acceso a la red () ACLs VPCgrupos de seguridad VPCpolíticas de puntos finales (solo enrutamiento privado)

Seguridad VPC en tu Amazon MWAA

En esta página se describen los VPC componentes de Amazon que se utilizan para proteger su entorno de Amazon Managed Workflows for Apache Airflow y las configuraciones necesarias para estos componentes.

Contenido

Términos
Información general acerca de la seguridad
Listas de control de acceso a la red () ACLs
- Ejemplo (recomendado) ACLs
VPCgrupos de seguridad
VPCpolíticas de puntos finales (solo enrutamiento privado)
- (Recomendado) Ejemplo de política de VPC puntos finales para permitir todos los accesos
- (Recomendado) Ejemplo de política de puntos de conexión de la puerta de enlace de Amazon S3 que permite el acceso al bucket

Términos

Enrutamiento público: Una VPC red de Amazon con acceso a Internet.
Enrutamiento privado: Una VPC red de Amazon sin acceso a Internet.

Información general acerca de la seguridad

Los grupos de seguridad y las listas de control de acceso (ACLs) proporcionan formas de controlar el tráfico de red en las subredes e instancias de Amazon VPC mediante las reglas que especifique.

El tráfico de red hacia y desde una subred se puede controlar mediante listas de control de acceso ()ACLs. Solo necesita unaACL, y la misma ACL puede usarse en varios entornos.
Un grupo de VPC seguridad de Amazon puede controlar el tráfico de red hacia y desde una instancia. Puede usar entre uno y cinco grupos de seguridad por entorno.
El tráfico de red hacia y desde una instancia también se puede controlar mediante políticas VPC de puntos finales. Si tu organización no permite el acceso a Internet dentro de Amazon VPC y utilizas una VPC red de Amazon con enrutamiento privado, se requiere una política de puntos de VPC conexión para los puntos de enlace y los AWS VPC puntos de enlace de Apache Airflow VPC.

Listas de control de acceso a la red () ACLs

Una lista de control de acceso a la red (ACL) puede administrar (mediante reglas de permiso o rechazo) el tráfico entrante y saliente a nivel de subred. An no ACL tiene estado, lo que significa que las reglas de entrada y salida deben especificarse por separado y de forma explícita. Se utiliza para especificar los tipos de tráfico de red que pueden entrar o salir de las instancias de una red. VPC

Cada Amazon VPC tiene un valor predeterminado ACL que permite todo el tráfico entrante y saliente. Puede editar las ACL reglas predeterminadas o crear una personalizada ACL y adjuntarla a sus subredes. Una subred solo puede tener una ACL conectada en cualquier momento, pero una ACL puede estar conectada a varias subredes.

Ejemplo (recomendado) ACLs

El siguiente ejemplo muestra las ACL reglas de entrada y salida que se pueden usar en Amazon VPC con enrutamiento público o enrutamiento privado.

Número de regla	Tipo	Protocolo	Intervalo de puertos	Fuente	Permitir/Denegar
100	Todo el tráfico IPv4	Todos	Todos	0.0.0.0/0	Permitir
*	Todo IPv4 el tráfico	Todos	Todos	0.0.0.0/0	Denegar

VPCgrupos de seguridad

Un grupo VPC de seguridad actúa como un firewall virtual que controla el tráfico de la red a nivel de instancia. Los grupos de seguridad tienen la característica “con estado”, lo que significa que cuando se permite una conexión entrante, puede responder. Se usa para especificar los tipos de tráfico de red que están permitidos desde las instancias de una VPC red.

Cada Amazon VPC tiene un grupo de seguridad predeterminado. De forma predeterminada, este carece de reglas de entrada. Tiene una regla de salida que permite todo el tráfico saliente. Puedes editar las reglas predeterminadas de los grupos de seguridad o crear un grupo de seguridad personalizado y adjuntarlo a tu AmazonVPC. En AmazonMWAA, debe configurar las reglas de entrada y salida para dirigir el tráfico en sus NAT puertas de enlace.

(Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos

El siguiente ejemplo muestra las reglas de los grupos de seguridad entrantes que permiten todo el tráfico de un Amazon VPC con enrutamiento público o privado. El grupo de seguridad de este ejemplo es una regla con autorreferencia a sí mismo.

Tipo	Protocolo	Tipo de origen	Origen
Todo el tráfico	Todos	Todos	sg-0909e8e81919/-group my-mwaa-vpc-security

En el siguiente ejemplo se muestran las reglas de salida de los grupos de seguridad.

Tipo	Protocolo	Tipo de origen	Origen
Todo el tráfico	Todos	Todos	0.0.0.0/0

(Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432

El siguiente ejemplo muestra las reglas de los grupos de seguridad entrantes que permiten todo el HTTPS tráfico en el puerto 5432 de la base de datos de SQL metadatos Postgre de Amazon Aurora (propiedad de AmazonMWAA) de su entorno.

nota

Si decide restringir el tráfico mediante esta regla, tendrá que añadir otra para permitir el TCP tráfico en el puerto 443.

Tipo	Protocolo	Rango de puerto	Tipo de origen	Origen
Personalizado TCP	TCP	5432	Personalizada	sg-0909e8e81919 /- grupo my-mwaa-vpc-security

(Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443

El siguiente ejemplo muestra las reglas de los grupos de seguridad entrantes que permiten todo el TCP tráfico en el puerto 443 del servidor web Apache Airflow.

Tipo	Protocolo	Rango de puerto	Tipo de origen	Origen
HTTPS	TCP	443	Personalizada	sg-0909e8e81919/-group my-mwaa-vpc-security

VPCpolíticas de puntos finales (solo enrutamiento privado)

Una política VPCde puntos finales (AWS PrivateLink) controla el acceso a AWS los servicios desde su subred privada. Una política de VPC punto final es una política IAM de recursos que se adjunta a su VPC puerta de enlace o punto final de interfaz. En esta sección se describen los permisos necesarios para las políticas de VPC punto final de cada VPC punto final.

Recomendamos utilizar una política de puntos finales de VPC interfaz para cada uno de los VPC puntos finales que haya creado, que permita el acceso total a todos los AWS servicios, y utilizar su función de ejecución exclusivamente para AWS los permisos.

(Recomendado) Ejemplo de política de VPC puntos finales para permitir todos los accesos

El siguiente ejemplo muestra una política de punto final de VPC interfaz para un Amazon VPC con enrutamiento privado.


{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

(Recomendado) Ejemplo de política de puntos de conexión de la puerta de enlace de Amazon S3 que permite el acceso al bucket

El siguiente ejemplo muestra una política de punto final de VPC puerta de enlace que proporciona acceso a los buckets de Amazon S3 necesarios para ECR las operaciones de Amazon en un Amazon VPC con enrutamiento privado. Esto es necesario para poder recuperar tu ECR imagen de Amazon, además del depósito en el que se almacenan tus archivos DAGs y los archivos auxiliares.


{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acerca de las redes

Administración del acceso a puntos de conexión de VPC