Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Sécurité de votre VPC sur Amazon MWAA

PDF
RSS
Mode de mise au point
Sécurité de votre VPC sur Amazon MWAA - Amazon Managed Workflows for Apache Airflow
ConditionsAperçu de la sécuritéListes de contrôle d'accès au réseau (ACLs)Groupes de sécurité VPCPolitiques de point de terminaison VPC (routage privé uniquement)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cette page décrit les composants Amazon VPC utilisés pour sécuriser votre environnement Amazon Managed Workflows pour Apache Airflow et les configurations nécessaires pour ces composants.

Conditions

Routage public

Un réseau Amazon VPC ayant accès à Internet.

Routage privé

Un réseau Amazon VPC sans accès à Internet.

Aperçu de la sécurité

Les groupes de sécurité et les listes de contrôle d'accès (ACLs) permettent de contrôler le trafic réseau sur les sous-réseaux et les instances de votre Amazon VPC à l'aide de règles que vous spécifiez.

Listes de contrôle d'accès au réseau (ACLs)

Une liste de contrôle d'accès réseau (ACL) peut gérer (selon des règles d'autorisation ou de refus) le trafic entrant et sortant au niveau du sous-réseau. Une ACL est apatride, ce qui signifie que les règles entrantes et sortantes doivent être spécifiées séparément et explicitement. Il est utilisé pour spécifier les types de trafic réseau autorisés à entrer ou à sortir des instances d'un réseau VPC.

Chaque Amazon VPC possède une ACL par défaut qui autorise tout le trafic entrant et sortant. Vous pouvez modifier les règles ACL par défaut ou créer une ACL personnalisée et l'associer à vos sous-réseaux. Un sous-réseau ne peut être associé qu'à une seule ACL à la fois, mais une ACL peut être attachée à plusieurs sous-réseaux.

Exemple (recommandé) ACLs

L'exemple suivant montre les règles ACL entrantes et sortantes qui peuvent être utilisées pour un Amazon VPC avec un routage public ou un routage privé.

Numéro de règle Type Protocole Plage de ports Source Autoriser/Refuser

100

Tout IPv4 le trafic

Tous

Tous

0.0.0.0/0

Autorisation

*

Tout IPv4 le trafic

Tous

Tous

0.0.0.0/0

Refuser

Groupes de sécurité VPC

Un groupe de sécurité VPC agit comme un pare-feu virtuel qui contrôle le trafic réseau au niveau de l'instance. Un groupe de sécurité est dynamique, ce qui signifie que lorsqu'une connexion entrante est autorisée, il est autorisé à répondre. Il est utilisé pour spécifier les types de trafic réseau autorisés à entrer depuis les instances d'un réseau VPC.

Chaque Amazon VPC possède un groupe de sécurité par défaut. Par défaut, il n'a aucune règle d'entrée. Il dispose d'une règle de trafic sortant qui autorise tout le trafic sortant. Vous pouvez modifier les règles du groupe de sécurité par défaut ou créer un groupe de sécurité personnalisé et l'associer à votre Amazon VPC. Sur Amazon MWAA, vous devez configurer des règles entrantes et sortantes pour diriger le trafic vers vos passerelles NAT.

(Recommandé) Exemple de groupe de sécurité autoréférencé à tous les accès

L'exemple suivant montre les règles du groupe de sécurité entrant qui autorisent tout le trafic pour un Amazon VPC avec un routage public ou un routage privé. Dans cet exemple, le groupe de sécurité est une règle d'autoréférencement à lui-même.

Type Protocole Type de source Source

Tout le trafic

Tous

Tous

sg-0909e8e81919/-groupe my-mwaa-vpc-security

L'exemple suivant montre les règles du groupe de sécurité sortant.

Type Protocole Type de source Source

Tout le trafic

Tous

Tous

0.0.0.0/0

(Facultatif) Exemple de groupe de sécurité qui restreint l'accès entrant au port 5432

L'exemple suivant montre les règles du groupe de sécurité entrant qui autorisent tout le trafic HTTPS sur le port 5432 pour la base de données de métadonnées Amazon Aurora PostgreSQL (détenue par Amazon MWAA) pour votre environnement.

Note

Si vous choisissez de restreindre le trafic à l'aide de cette règle, vous devrez en ajouter une autre pour autoriser le trafic TCP sur le port 443.

Type Protocole Plage de ports Source type (Type de source) Source

TCP personnalisé

TCP

5432

Personnalisé

sg-0909e8e81919/-groupe my-mwaa-vpc-security

(Facultatif) Exemple de groupe de sécurité qui restreint l'accès entrant au port 443

L'exemple suivant montre les règles du groupe de sécurité entrant qui autorisent tout le trafic TCP sur le port 443 pour le serveur Web Apache Airflow.

Type Protocole Plage de ports Source type (Type de source) Source

HTTPS

TCP

443

Personnalisé

sg-0909e8e81919/-groupe my-mwaa-vpc-security

Politiques de point de terminaison VPC (routage privé uniquement)

Une politique de point de terminaison VPC (AWS PrivateLink) contrôle l'accès aux AWS services depuis votre sous-réseau privé. Une politique de point de terminaison VPC est une politique de ressources IAM que vous attachez à votre passerelle VPC ou à votre point de terminaison d'interface. Cette section décrit les autorisations nécessaires pour les politiques de point de terminaison VPC pour chaque point de terminaison VPC.

Nous vous recommandons d'utiliser une politique de point de terminaison d'interface VPC pour chacun des points de terminaison VPC que vous avez créés, qui autorise un accès complet à tous les AWS services, et d'utiliser votre rôle d'exécution exclusivement pour les autorisations. AWS

(Recommandé) Exemple de politique de point de terminaison VPC pour autoriser tous les accès

L'exemple suivant montre une politique de point de terminaison d'interface VPC pour un Amazon VPC avec routage privé.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

(Recommandé) Exemple de politique de point de terminaison de la passerelle Amazon S3 pour autoriser l'accès au bucket

L'exemple suivant montre une politique de point de terminaison de passerelle VPC qui fournit l'accès aux compartiments Amazon S3 requis pour les opérations Amazon ECR pour un Amazon VPC avec routage privé. Cela est nécessaire pour que votre image Amazon ECR soit récupérée, en plus du compartiment dans lequel vos fichiers DAGs et ceux de support sont stockés.

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
    }
  ]
}

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.