Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad VPC en tu Amazon MWAA
En esta página se describen los VPC componentes de Amazon que se utilizan para proteger su entorno de Amazon Managed Workflows for Apache Airflow y las configuraciones necesarias para estos componentes.
Contenido
Términos
- Enrutamiento público
-
Una VPC red de Amazon con acceso a Internet.
- Enrutamiento privado
-
Una VPC red de Amazon sin acceso a Internet.
Información general acerca de la seguridad
Los grupos de seguridad y las listas de control de acceso (ACLs) proporcionan formas de controlar el tráfico de red en las subredes e instancias de Amazon VPC mediante las reglas que especifique.
-
El tráfico de red hacia y desde una subred se puede controlar mediante listas de control de acceso ()ACLs. Solo necesita unaACL, y la misma ACL puede usarse en varios entornos.
-
Un grupo de VPC seguridad de Amazon puede controlar el tráfico de red hacia y desde una instancia. Puede usar entre uno y cinco grupos de seguridad por entorno.
-
El tráfico de red hacia y desde una instancia también se puede controlar mediante políticas VPC de puntos finales. Si tu organización no permite el acceso a Internet dentro de Amazon VPC y utilizas una VPC red de Amazon con enrutamiento privado, se requiere una política de puntos de VPC conexión para los puntos de enlace y los AWS VPC puntos de enlace de Apache Airflow VPC.
Listas de control de acceso a la red () ACLs
Una lista de control de acceso a la red (ACL) puede administrar (mediante reglas de permiso o rechazo) el tráfico entrante y saliente a nivel de subred. An no ACL tiene estado, lo que significa que las reglas de entrada y salida deben especificarse por separado y de forma explícita. Se utiliza para especificar los tipos de tráfico de red que pueden entrar o salir de las instancias de una red. VPC
Cada Amazon VPC tiene un valor predeterminado ACL que permite todo el tráfico entrante y saliente. Puede editar las ACL reglas predeterminadas o crear una personalizada ACL y adjuntarla a sus subredes. Una subred solo puede tener una ACL conectada en cualquier momento, pero una ACL puede estar conectada a varias subredes.
Ejemplo (recomendado) ACLs
El siguiente ejemplo muestra las ACL reglas de entrada y salida que se pueden usar en Amazon VPC con enrutamiento público o enrutamiento privado.
Número de regla | Tipo | Protocolo | Intervalo de puertos | Fuente | Permitir/Denegar |
---|---|---|---|---|---|
100 |
Todo el tráfico IPv4 |
Todos |
Todos |
0.0.0.0/0 |
Permitir |
* |
Todo IPv4 el tráfico |
Todos |
Todos |
0.0.0.0/0 |
Denegar |
VPCgrupos de seguridad
Un grupo VPC de seguridad actúa como un firewall virtual que controla el tráfico de la red a nivel de instancia. Los grupos de seguridad tienen la característica “con estado”, lo que significa que cuando se permite una conexión entrante, puede responder. Se usa para especificar los tipos de tráfico de red que están permitidos desde las instancias de una VPC red.
Cada Amazon VPC tiene un grupo de seguridad predeterminado. De forma predeterminada, este carece de reglas de entrada. Tiene una regla de salida que permite todo el tráfico saliente. Puedes editar las reglas predeterminadas de los grupos de seguridad o crear un grupo de seguridad personalizado y adjuntarlo a tu AmazonVPC. En AmazonMWAA, debe configurar las reglas de entrada y salida para dirigir el tráfico en sus NAT puertas de enlace.
(Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos
El siguiente ejemplo muestra las reglas de los grupos de seguridad entrantes que permiten todo el tráfico de un Amazon VPC con enrutamiento público o privado. El grupo de seguridad de este ejemplo es una regla con autorreferencia a sí mismo.
Tipo | Protocolo | Tipo de origen | Origen |
---|---|---|---|
Todo el tráfico |
Todos |
Todos |
sg-0909e8e81919/-group my-mwaa-vpc-security |
En el siguiente ejemplo se muestran las reglas de salida de los grupos de seguridad.
Tipo | Protocolo | Tipo de origen | Origen |
---|---|---|---|
Todo el tráfico |
Todos |
Todos |
0.0.0.0/0 |
(Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432
El siguiente ejemplo muestra las reglas de los grupos de seguridad entrantes que permiten todo el HTTPS tráfico en el puerto 5432 de la base de datos de SQL metadatos Postgre de Amazon Aurora (propiedad de AmazonMWAA) de su entorno.
nota
Si decide restringir el tráfico mediante esta regla, tendrá que añadir otra para permitir el TCP tráfico en el puerto 443.
Tipo | Protocolo | Rango de puerto | Tipo de origen | Origen |
---|---|---|---|---|
Personalizado TCP |
TCP |
5432 |
Personalizada |
sg-0909e8e81919 /- grupo my-mwaa-vpc-security |
(Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443
El siguiente ejemplo muestra las reglas de los grupos de seguridad entrantes que permiten todo el TCP tráfico en el puerto 443 del servidor web Apache Airflow.
Tipo | Protocolo | Rango de puerto | Tipo de origen | Origen |
---|---|---|---|---|
HTTPS |
TCP |
443 |
Personalizada |
sg-0909e8e81919/-group my-mwaa-vpc-security |
VPCpolíticas de puntos finales (solo enrutamiento privado)
Una política VPCde puntos finales (AWS PrivateLink) controla el acceso a AWS los servicios desde su subred privada. Una política de VPC punto final es una política IAM de recursos que se adjunta a su VPC puerta de enlace o punto final de interfaz. En esta sección se describen los permisos necesarios para las políticas de VPC punto final de cada VPC punto final.
Recomendamos utilizar una política de puntos finales de VPC interfaz para cada uno de los VPC puntos finales que haya creado, que permita el acceso total a todos los AWS servicios, y utilizar su función de ejecución exclusivamente para AWS los permisos.
(Recomendado) Ejemplo de política de VPC puntos finales para permitir todos los accesos
El siguiente ejemplo muestra una política de punto final de VPC interfaz para un Amazon VPC con enrutamiento privado.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" } ] }
(Recomendado) Ejemplo de política de puntos de conexión de la puerta de enlace de Amazon S3 que permite el acceso al bucket
El siguiente ejemplo muestra una política de punto final de VPC puerta de enlace que proporciona acceso a los buckets de Amazon S3 necesarios para ECR las operaciones de Amazon en un Amazon VPC con enrutamiento privado. Esto es necesario para poder recuperar tu ECR imagen de Amazon, además del depósito en el que se almacenan tus archivos DAGs y los archivos auxiliares.
{ "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::prod-
region
-starport-layer-bucket/*"] } ] }