Términos Información general acerca de la seguridad Listas de control de acceso (ACL) de red Grupos de seguridad de la VPC Políticas de puntos de conexión de VPC (solo enrutamiento privado)

Seguridad en la VPC en Amazon MWAA

En esta página se describen los componentes de Amazon VPC que se utilizan para proteger su entorno de Amazon Managed Workflows para Apache Airflow y las configuraciones necesarias para estos componentes.

Contenido

Términos
Información general acerca de la seguridad
Listas de control de acceso (ACL) de red
- (Recomendado) Ejemplos de ACL
Grupos de seguridad de la VPC
Políticas de puntos de conexión de VPC (solo enrutamiento privado)
- (Recomendado) Ejemplo de política de punto de conexión de VPC que permite todos los accesos
- (Recomendado) Ejemplo de política de puntos de conexión de la puerta de enlace de Amazon S3 que permite el acceso al bucket

Términos

Enrutamiento público: Red de Amazon VPC con acceso a Internet.
Enrutamiento privado: Una red de Amazon VPC sin acceso a Internet.

Información general acerca de la seguridad

Los grupos de seguridad y las listas de control de acceso (ACL) ofrecen maneras de controlar el tráfico de red en las subredes e instancias de su Amazon VPC mediante las reglas que usted especifique.

El tráfico de red entrante y saliente de una subred se puede controlar mediante listas de control de acceso (ACL). Solo necesita una ACL y la misma ACL se puede usar en varios entornos.
Un grupo de seguridad de Amazon VPC puede controlar el tráfico de red entrante y saliente de una instancia. Puede usar entre uno y cinco grupos de seguridad por entorno.
El tráfico de red entrante y saliente de una instancia también se puede controlar mediante políticas de punto de conexión de VPC. Si su organización no permite que se acceda a Internet dentro de su Amazon VPC y utiliza una red de Amazon VPC con enrutamiento privado, se necesita una política de puntos de conexión de VPC para los puntos de conexión de VPC de AWS y los puntos de conexión de VPC de Apache Airflow.

Listas de control de acceso (ACL) de red

Una lista de control de acceso (ACL) de red puede administrar (mediante reglas de permiso o de rechazo) el tráfico entrante y saliente a nivel de subred. Una ACL no tiene estado, lo que significa que las reglas de entrada y salida se deben especificar de manera independiente y explícita. Se usa para especificar los tipos de tráfico de red que está permitido que entren o salgan de las instancias de una red de VPC.

Todas las Amazon VPC incluyen una ACL predeterminada que permite todo el tráfico de entrada y salida. Puede editar las reglas de ACL predeterminadas o crear una ACL personalizada y adjuntarla a sus subredes. Una subred solo puede tener una ACL conectada a ella en cualquier momento, pero una ACL se puede conectar a varias subredes.

(Recomendado) Ejemplos de ACL

En el siguiente ejemplo, se muestran las reglas de ACL de entrada y salida que se pueden usar para una Amazon VPC con enrutamiento público o privado.

Número de regla	Tipo	Protocolo	Intervalo de puertos	Fuente	Permitir/Denegar
100	Todo el tráfico IPv4	Todos	Todos	0.0.0.0/0	Permitir
*	Todo el tráfico IPv4	Todos	Todos	0.0.0.0/0	Denegar

Grupos de seguridad de la VPC

Un grupo de seguridad VPC funciona como un firewall virtual que controla el tráfico a nivel de instancia. Los grupos de seguridad tienen la característica “con estado”, lo que significa que cuando se permite una conexión entrante, puede responder. Se usan para especificar los tipos de tráfico de red permitidos desde las instancias de una red de VPC.

Todas las Amazon VPC incluyen un grupo de seguridad predeterminado. De forma predeterminada, este carece de reglas de entrada. Tiene una regla de salida que permite todo el tráfico saliente. Puede editar las reglas predeterminadas del grupo de seguridad o crear un grupo de seguridad personalizado y adjuntarlo a su Amazon VPC. En Amazon MWAA, debe configurar las reglas de entrada y salida para dirigir el tráfico en sus puertas de enlace NAT.

(Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos

En el siguiente ejemplo, se muestran las reglas de entrada del grupo de seguridad que permiten todo el tráfico a una Amazon VPC con enrutamiento público o privado. El grupo de seguridad de este ejemplo es una regla con autorreferencia a sí mismo.

Tipo	Protocolo	Tipo de origen	Origen
Todo el tráfico	Todos	Todos	sg-0909e8e81919 / my-mwaa-vpc-security-group

En el siguiente ejemplo se muestran las reglas de salida de los grupos de seguridad.

Tipo	Protocolo	Tipo de origen	Origen
Todo el tráfico	Todos	Todos	0.0.0.0/0

(Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432

En el siguiente ejemplo se muestra las reglas de entrada de los grupos de seguridad que permiten todo el tráfico HTTPS en el puerto 5432 para la base de datos de metadatos PostgreSQL de Amazon Aurora (propiedad de Amazon MWAA) de su entorno.

nota

Si decide restringir el tráfico mediante esta regla, tendrá que añadir otra que permita el tráfico TCP en el puerto 443.

Tipo	Protocolo	Rango de puerto	Tipo de origen	Origen
TCP personalizada	TCP	5432	Personalizada	sg-0909e8e81919 / my-mwaa-vpc-security-group

(Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443

En el siguiente ejemplo se muestran las reglas de entrada del grupo de seguridad que permiten todo el tráfico TCP del puerto 443 del servidor web de Apache Airflow.

Tipo	Protocolo	Rango de puerto	Tipo de origen	Origen
HTTPS	TCP	443	Personalizada	sg-0909e8e81919 / my-mwaa-vpc-security-group

Políticas de puntos de conexión de VPC (solo enrutamiento privado)

Una política de punto de conexión de VPC (AWS PrivateLink) controla el acceso a los servicios de AWS desde su subred privada. Una política de punto de conexión de VPC es una política de recursos de IAM que se adjunta a un punto de conexión de VPC. En esta sección, se describen los permisos necesarios para las políticas de puntos de conexión de VPC para cada punto de conexión de VPC.

Le recomendamos que utilice una política de VPC de tipo interfaz para cada uno de los puntos de conexión de VPC que haya creado que permita el acceso total a todos los servicios de AWS, y que utilice su rol de ejecución exclusivamente para los permisos de AWS.

(Recomendado) Ejemplo de política de punto de conexión de VPC que permite todos los accesos

En el siguiente ejemplo se muestra una política de punto de conexión de interfaz de VPC para una Amazon VPC con enrutamiento privado.


{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

(Recomendado) Ejemplo de política de puntos de conexión de la puerta de enlace de Amazon S3 que permite el acceso al bucket

En el siguiente ejemplo se muestra una política de puntos de conexión de la puerta de enlace de VPC que proporciona acceso a los bucket de Amazon S3 necesarios para las operaciones de Amazon ECR de una Amazon VPC con enrutamiento privado. Esto es necesario para poder recuperar la imagen de Amazon ECR, además del bucket en el que se almacenan los DAG y los archivos auxiliares.


{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acerca de las redes

Administración del acceso a puntos de conexión de VPC