Amazon EC2インスタンスとマウントターゲットにVPCセキュリティグループを使用する
Amazon EFS を使用する場合は、EC2 インスタンスの Amazon EC2 セキュリティグループと、ファイルシステムに関連付けられている EFS マウントターゲットのセキュリティグループを指定します。セキュリティグループはファイアウォールとして機能し、追加するルールはトラフィックフローを定義します。「使用開始」の演習では、EC2 インスタンスを起動したときに 1 つのセキュリティグループを作成します。次に、別のセキュリティグループを EFS マウントターゲット (デフォルト VPC のデフォルトのセキュリティグループ) に関連付けました。この方法は、「使用開始」の演習で機能します。ただし、本番稼働用システムでは、EFS で使用するための最小限のアクセス許可でセキュリティグループを設定する必要があります。
EFS ファイルシステムへのインバウンドおよびアウトバウンドのアクセスを許可できます。これを行うには、ネットワークファイルシステム (NFS) ポートを使用するマウントターゲット経由で EC2 インスタンスが Amazon EFS ファイルシステムにアクセスできるようにルールを追加します。セキュリティグループを作成および更新するには、以下のステップを実行します。
EC2 インスタンスとマウントターゲットのセキュリティグループを作成するには
-
VPC に 2 つのセキュリティグループを作成します。
手順については、Amazon VPC User Guide のセキュリティグループを作成するの「セキュリティグループを作成するには」の手順を参照してください。
-
Amazon VPC マネジメントコンソールを以下から開きhttps://console.aws.amazon.com/vpc/
、これらのセキュリティグループのデフォルトルールを確認します。どちらのセキュリティグループにも、トラフィックが出ていくことを許可するアウトバウンドルールのみが設定されている必要があります。
セキュリティグループに必要なアクセスを更新するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
EC2 セキュリティグループにルールを追加して、任意のホストからの Secure Shell (SSH) を使用したインバウンドアクセスを許可します。オプションで、[ソース] アドレスを制限します。
デフォルトのアウトバウンドルールですべてのトラフィックを残すことができるためアウトバウンドルールを追加する必要はありません。もしそうでない場合には、NFS ポート上の TCP 接続を開き、マウントターゲットのセキュリティグループを送信先として識別するアウトバウンドルールを追加する必要があります。
手順については、「Amazon VPC ユーザーガイド」の「ルールを追加または削除する」を参照してください。
-
マウントターゲットのインバウンドルールとアウトバウンドルールを追加します。
-
マウントターゲットのセキュリティグループにインバウンドルールを追加して、EC2 セキュリティグループからのインバウンドアクセスを許可します。EC2 セキュリティグループをソースとして識別します。
すべての NFS ポートで TCP 接続を開くアウトバウンドルールを追加します。EC2 セキュリティグループのデスティネーションを指定します。
手順については、「Amazon VPC ユーザーガイド」の「ルールを追加または削除する」を参照してください。
-
-
両方のセキュリティグループがインバウンドおよびアウトバウンドアクセスを許可することを確認します。
セキュリティグループの詳細については、「Linux インスタンス用の Amazon EC2 セキュリティグループ」を参照してください。