Amazon VPC上 中 的安全性 MWAA - Amazon Managed Workflows for Apache Airflow
條款安全性概觀網路存取控制清單 (ACLs)VPC 安全群組VPC 端點政策 (僅限私有路由)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon VPC上 中 的安全性 MWAA

此頁面說明用於保護 Amazon Managed Workflows for Apache Airflow 環境的 Amazon VPC元件,以及這些元件所需的組態。

條款

公有路由

可存取網際網路的 Amazon VPC 網路。

私有路由

無法存取網際網路的 Amazon VPC 網路。

安全性概觀

安全群組和存取控制清單 (ACLs) 提供VPC使用您指定的規則來控制 Amazon 中子網路和執行個體之間網路流量的方法。

  • 進出子網路的網路流量可由存取控制清單 () 控制ACLs。您只需要一個 ACL,且相同的 ACL 可用於多個環境。

  • 往返執行個體的網路流量可由 Amazon VPC安全群組控制。您可以在每個環境使用一到五個安全群組。

  • 往返執行個體的網路流量也可以由VPC端點政策控制。如果您的組織VPC不允許在 Amazon 內存取網際網路,且您使用具有私有路由 的 Amazon VPC 網路,VPC則端點AWS VPC和 Apache Airflow VPC端點 需要端點政策。

網路存取控制清單 (ACLs)

網路存取控制清單 (ACL) 可以在子網路層級管理 (允許或拒絕規則) 傳入和傳出流量。ACL 是無狀態的,這表示傳入和傳出規則必須分別明確指定。它用於指定允許進出網路中執行個體VPC的網路流量類型。

每個 Amazon VPC都有允許ACL所有傳入和傳出流量的預設值。您可以編輯預設ACL規則,或建立自訂ACL並將其連接至子網路。子網路只能隨時ACL連接一個子網路,但ACL一個可以連接到多個子網路。

(建議) 範例 ACLs

下列範例顯示可用於VPC具有公有路由私有路由的 Amazon 的傳入傳出ACL規則。

規則編號 Type 通訊協定 連接埠範圍 來源 允許/拒絕

100

所有IPv4流量

全部

全部

0.0.0.0/0

允許

*

所有IPv4流量

全部

全部

0.0.0.0/0

拒絕

VPC 安全群組

VPC 安全群組充當虛擬防火牆,可控制執行個體層級的網路流量。安全群組具有狀態,這表示允許傳入連線時,可以回覆。它用於指定允許從網路中執行個體傳入VPC的網路流量類型。

每個 Amazon VPC都有預設的安全群組。根據預設,它沒有傳入規則。它有一個傳出規則,允許所有傳出流量。您可以編輯預設安全群組規則,或建立自訂安全群組,並將其連接至您的 Amazon VPC。在 Amazon 上MWAA,您需要設定傳入和傳出規則,以引導NAT閘道上的流量。

(建議) 所有存取自我參考安全群組的範例

下列範例顯示傳入安全群組規則,允許VPC具有公有路由私有路由 的 Amazon 的所有流量。此範例中的安全群組是自我參照規則。

Type 通訊協定 來源類型 來源

所有流量

全部

全部

sg-0909e8e81919 / my-mwaa-vpc-security-group

下列範例顯示傳出安全群組規則。

Type 通訊協定 來源類型 來源

所有流量

全部

全部

0.0.0.0/0

(選用) 限制連接埠 5432 傳入存取的安全群組範例

下列範例顯示傳入安全群組規則,允許 Amazon Aurora PostgreSQL 中繼資料資料庫 (Amazon 擁有MWAA) 的連接埠 5432 上的所有HTTPS流量用於您的環境。

注意

如果您選擇使用此規則限制流量,則需要新增另一個規則,以允許連接埠 443 上的TCP流量。

Type 通訊協定 連接埠範圍 來源類型 來源

自訂 TCP

TCP

5432

自訂

sg-0909e8e81919 / my-mwaa-vpc-security-group

(選用) 限制連接埠 443 傳入存取的安全群組範例

下列範例顯示傳入安全群組規則,允許 Apache Airflow Web 伺服器 的連接埠 443 上的所有TCP流量。

Type 通訊協定 連接埠範圍 來源類型 來源

HTTPS

TCP

443

自訂

sg-0909e8e81919 / my-mwaa-vpc-security-group

VPC 端點政策 (僅限私有路由)

VPC 端點 (AWS PrivateLink) 政策控制從私有子網路存取 AWS 服務的權限。VPC 端點政策是您連接至VPC閘道或介面端點IAM的資源政策。本節說明每個VPC端點的VPC端點政策所需的許可。

建議您針對您建立的每個VPC端點使用VPC介面端點政策,以允許完全存取所有 AWS 服務,並僅將執行角色用於 AWS 許可。

(建議) 允許所有存取的範例VPC端點政策

下列範例顯示VPC具有私有路由 之 Amazon 的VPC介面端點政策。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

(建議) 允許儲存貯體存取的 Amazon S3 閘道端點政策範例

下列範例顯示VPC閘道端點政策,提供存取VPC具有私有路由 的 Amazon 操作所需的 Amazon S3 儲存貯體。 ECR除了儲存 DAGs和 支援檔案的儲存貯體之外,這是擷取 Amazon ECR映像所需的項目。

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
    }
  ]
}