Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Sicurezza nel tuo VPC su Amazon MWAA

PDF
RSS
Modalità Focus
Sicurezza nel tuo VPC su Amazon MWAA - Amazon Managed Workflows for Apache Airflow
TerminiPanoramica sulla sicurezzaElenchi di controllo degli accessi alla rete () ACLsGruppi di sicurezza VPCPolicy degli endpoint VPC (solo routing privato)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Questa pagina descrive i componenti Amazon VPC utilizzati per proteggere il tuo ambiente Amazon Managed Workflows for Apache Airflow e le configurazioni necessarie per questi componenti.

Termini

Routing pubblico

Una rete Amazon VPC con accesso a Internet.

Routing privato

Una rete Amazon VPC senza accesso a Internet.

Panoramica sulla sicurezza

I gruppi di sicurezza e gli elenchi di controllo degli accessi (ACLs) forniscono modi per controllare il traffico di rete attraverso le sottoreti e le istanze del tuo Amazon VPC utilizzando regole da te specificate.

  • Il traffico di rete da e verso una sottorete può essere controllato da Access Control Lists (). ACLs È necessario un solo ACL e lo stesso ACL può essere utilizzato in più ambienti.

  • Il traffico di rete da e verso un'istanza può essere controllato da un gruppo di sicurezza Amazon VPC. Puoi utilizzare da uno a cinque gruppi di sicurezza per ambiente.

  • Il traffico di rete da e verso un'istanza può essere controllato anche dalle policy degli endpoint VPC. Se l'accesso a Internet all'interno di Amazon VPC non è consentito dalla tua organizzazione e utilizzi una rete Amazon VPC con routing privato, è necessaria una policy sugli endpoint VPC per gli endpoint VPC e gli endpoint AWS VPC Apache Airflow.

Elenchi di controllo degli accessi alla rete () ACLs

Una lista di controllo degli accessi alla rete (ACL) può gestire (mediante regole di autorizzazione o negazione) il traffico in entrata e in uscita a livello di sottorete. Un ACL è stateless, il che significa che le regole in entrata e in uscita devono essere specificate separatamente ed esplicitamente. Viene utilizzato per specificare i tipi di traffico di rete consentiti in entrata o in uscita dalle istanze in una rete VPC.

Ogni Amazon VPC dispone di un ACL predefinito che consente tutto il traffico in entrata e in uscita. Puoi modificare le regole ACL predefinite o creare un ACL personalizzato e collegarlo alle tue sottoreti. A una sottorete può essere collegato un solo ACL alla volta, ma un ACL può essere collegato a più sottoreti.

(Consigliato) Esempio ACLs

L'esempio seguente mostra le regole ACL in entrata e in uscita che possono essere utilizzate per un Amazon VPC con routing pubblico o routing privato.

Numero della regola Tipo Protocollo Intervallo porte Crea Consenti/Nega

100

Tutto IPv4 il traffico

Tutti

Tutti

0.0.0.0/0

Consenso

*

Tutto IPv4 il traffico

Tutti

Tutti

0.0.0.0/0

Rifiuta

Gruppi di sicurezza VPC

Un gruppo di sicurezza VPC funge da firewall virtuale che controlla il traffico di rete a livello di istanza. Un gruppo di sicurezza è dotato di stato, il che significa che quando è consentita una connessione in entrata, è consentito rispondere. Viene utilizzato per specificare i tipi di traffico di rete consentiti dalle istanze in una rete VPC.

Ogni Amazon VPC ha un gruppo di sicurezza predefinito. Per impostazione predefinita, non ha regole in entrata. Ha una regola in uscita che consente tutto il traffico in uscita. Puoi modificare le regole predefinite del gruppo di sicurezza o creare un gruppo di sicurezza personalizzato e collegarlo al tuo Amazon VPC. Su Amazon MWAA, devi configurare le regole in entrata e in uscita per indirizzare il traffico verso i tuoi gateway NAT.

(Consigliato) Esempio di gruppo di sicurezza autoreferenziato per tutti gli accessi

L'esempio seguente mostra le regole del gruppo di sicurezza in entrata che consentono tutto il traffico per un Amazon VPC con routing pubblico o routing privato. Il gruppo di sicurezza in questo esempio è una regola autoreferenziale a se stessa.

Tipo Protocollo Tipo di fonte Origine

Tutto il traffico

Tutti

Tutti

sg-0909e8e81919/-group my-mwaa-vpc-security

L'esempio seguente mostra le regole del gruppo di sicurezza in uscita.

Tipo Protocollo Tipo di fonte Origine

Tutto il traffico

Tutti

Tutti

0.0.0.0/0

(Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 5432

L'esempio seguente mostra le regole del gruppo di sicurezza in entrata che consentono tutto il traffico HTTPS sulla porta 5432 per il database di metadati PostgreSQL di Amazon Aurora (di proprietà di Amazon MWAA) per il tuo ambiente.

Nota

Se scegli di limitare il traffico utilizzando questa regola, dovrai aggiungere un'altra regola per consentire il traffico TCP sulla porta 443.

Tipo Protocollo Intervallo porte Tipo di origine Origine

TCP personalizzato

TCP

5432

Personalizza

sg-0909e8e81919/-group my-mwaa-vpc-security

(Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 443

L'esempio seguente mostra le regole del gruppo di sicurezza in entrata che consentono tutto il traffico TCP sulla porta 443 per il server Web Apache Airflow.

Tipo Protocollo Intervallo porte Tipo di origine Origine

HTTPS

TCP

443

Personalizza

my-mwaa-vpc-securitysg-0909e8e81919/-group

Policy degli endpoint VPC (solo routing privato)

Una policy VPC endpoint (AWS PrivateLink) controlla l'accesso ai AWS servizi dalla tua sottorete privata. Una policy per gli endpoint VPC è una policy delle risorse IAM da collegare al gateway VPC o all'endpoint di interfaccia. Questa sezione descrive le autorizzazioni necessarie per le policy degli endpoint VPC per ogni endpoint VPC.

Ti consigliamo di utilizzare una policy per gli endpoint dell'interfaccia VPC per ciascuno degli endpoint VPC che hai creato che consenta l'accesso completo a tutti i AWS servizi e di utilizzare il tuo ruolo di esecuzione esclusivamente per le autorizzazioni. AWS

(Consigliato) Esempio di policy degli endpoint VPC per consentire tutti gli accessi

L'esempio seguente mostra una policy per gli endpoint dell'interfaccia VPC per un Amazon VPC con routing privato.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

(Consigliato) Esempio di policy degli endpoint del gateway Amazon S3 per consentire l'accesso ai bucket

L'esempio seguente mostra una policy per gli endpoint del gateway VPC che fornisce l'accesso ai bucket Amazon S3 necessari per le operazioni di Amazon ECR per un Amazon VPC con routing privato. Questo è necessario per recuperare la tua immagine Amazon ECR, oltre al bucket in cui sono archiviati i tuoi file DAGs e quelli di supporto.

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
    }
  ]
}

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.