本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon MWAA 上 VPC 的安全性
此頁面說明用於保護 Amazon Managed Workflows for Apache Airflow 環境的 Amazon VPC 元件,以及這些元件所需的組態。
**Contents**
+ [條款](#networking-security-defs)
+ [安全性概觀](#vpc-security-about)
+ [網路存取控制清單 (ACL)](#vpc-security-acl)
+ [(建議) 範例 ACLs](#vpc-security-acl-example)
+ [VPC security groups (VPC 安全群組)](#vpc-security-sg)
+ [(建議) 所有存取自我參考安全群組的範例](#vpc-security-sg-example)
+ [(選用) 限制連接埠 5432 傳入存取的安全群組範例](#vpc-security-sg-example-port5432)
+ [(選用) 限制連接埠 443 傳入存取的安全群組範例](#vpc-security-sg-example-port443)
+ [VPC 端點政策 (僅限私有路由)](#vpc-external-vpce-policies)
+ [(建議) 允許所有存取的 VPC 端點政策範例](#vpc-external-vpce-policies-all)
+ [(建議) 允許儲存貯體存取的 Amazon S3 閘道端點政策範例](#vpc-external-vpce-policies-s3)
## 條款
**公有路由**
可存取網際網路的 Amazon VPC 網路。
**私有路由**
無法存取網際網路的 Amazon VPC 網路。
## 安全性概觀
安全群組和存取控制清單 (ACLs) 提供使用您指定的規則來控制 Amazon VPC 中子網路和執行個體之間網路流量的方法。
+ 往返子網路的網路流量可由存取控制清單 (ACLs) 控制。您只需要一個 ACL,而且相同的 ACL 可用於多個環境。
+ 往返執行個體的網路流量可由 Amazon VPC 安全群組控制。您可以在每個環境使用一到五個安全群組。
+ 往返執行個體的網路流量也可以由 VPC 端點政策控制。如果您的組織不允許 Amazon VPC 內的網際網路存取,而且您使用具有*私有路由*的 Amazon VPC 網路,則 VPC 端點[AWS 和 Apache Airflow VPC 端點需要 VPC 端點](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-examples)政策。
## 網路存取控制清單 (ACL)
[網路存取控制清單 (ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 可以在*子網路*層級管理 (透過允許或拒絕規則) 傳入和傳出流量。ACL 無狀態,這表示傳入和傳出規則必須分別明確指定。它用於指定允許進出 VPC 網路中執行個體的網路流量類型。
每個 Amazon VPC 都有預設 ACL,允許所有傳入和傳出流量。您可以編輯預設 ACL 規則,或建立自訂 ACL 並將其連接至子網路。子網路隨時只能連接一個 ACL,但一個 ACL 可以連接到多個子網路。
### (建議) 範例 ACLs
下列範例顯示*傳入*和*傳出* ACL 規則,可用於具有*公有路由*或*私有路由*的 Amazon VPC。
| 規則編號 | Type | 通訊協定 | 連接埠範圍 | 來源 | 允許/拒絕 |
| --- | --- | --- | --- | --- | --- |
| 100 | 所有 IPv4 流量 | 全部 | 全部 | 0.0.0.0/0 | 允許 |
| \$1 | 所有 IPv4 流量 | 全部 | 全部 | 0.0.0.0/0 | 拒絕 |
## VPC security groups (VPC 安全群組)
[VPC 安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)可做為虛擬防火牆,控制*執行個體*層級的網路流量。安全群組具有狀態,這表示允許傳入連線時,允許其回覆。它用於指定 VPC 網路中執行個體在 中允許的網路流量類型。
每個 Amazon VPC 都有預設的安全群組。根據預設,它沒有傳入規則。它具有允許所有傳出流量的傳出規則。您可以編輯預設安全群組規則,或建立自訂安全群組並將其連接至您的 Amazon VPC。在 Amazon MWAA 上,您需要設定傳入和傳出規則,以引導 NAT 閘道上的流量。
### (建議) 所有存取自我參考安全群組的範例
下列範例顯示*傳入*安全群組規則,允許具有*公有路由*或*私有路由*的 Amazon VPC 的所有流量。此範例中的安全群組是自我參考規則。
| Type | 通訊協定 | 來源類型 | 來源 |
| --- | --- | --- | --- |
| 所有流量 | 全部 | 全部 | sg-0909e8e81919 / my-mwaa-vpc-security-group |
下列範例顯示*傳出*安全群組規則。
| Type | 通訊協定 | 來源類型 | 來源 |
| --- | --- | --- | --- |
| 所有流量 | 全部 | 全部 | 0.0.0.0/0 |
### (選用) 限制連接埠 5432 傳入存取的安全群組範例
下列範例顯示*傳入*安全群組規則,允許 Amazon Aurora PostgreSQL 中繼資料資料庫 (Amazon MWAA 擁有) 在連接埠 5432 上的所有 HTTPS 流量用於您的環境。
**注意**
如果您選擇使用此規則限制流量,則需要新增另一個規則,以允許連接埠 443 上的 TCP 流量。
| Type | 通訊協定 | 連接埠範圍 | Source type (來源類型) | 來源 |
| --- | --- | --- | --- | --- |
| 自訂 TCP | TCP | 5432 | Custom | sg-0909e8e81919 / my-mwaa-vpc-security-group |
### (選用) 限制連接埠 443 傳入存取的安全群組範例
下列範例顯示*傳入*安全群組規則,允許連接埠 443 上 Apache Airflow Web 伺服器的所有 TCP 流量。
| Type | 通訊協定 | 連接埠範圍 | Source type (來源類型) | 來源 |
| --- | --- | --- | --- | --- |
| HTTPS | TCP | 443 | Custom | sg-0909e8e81919 / my-mwaa-vpc-security-group |
## VPC 端點政策 (僅限私有路由)
[VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/mwaa/latest/userguide/vpc-create.html#vpc-create-required) 政策控制從私有子網路存取 AWS 服務的權限。VPC 端點政策是您連接到 VPC 閘道或介面端點的 IAM 資源政策。本節說明每個 VPC 端點的 VPC 端點政策所需的許可。
建議您針對您建立的每個 VPC 端點使用 VPC 介面端點政策,以允許完整存取所有 AWS 服務,並僅針對 AWS 許可使用您的執行角色。
### (建議) 允許所有存取的 VPC 端點政策範例
下列範例顯示具有*私有路由*之 Amazon VPC 的 VPC 介面端點政策。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}
```
### (建議) 允許儲存貯體存取的 Amazon S3 閘道端點政策範例
下列範例提供 VPC 閘道端點政策,可讓您存取具有*私有路由*之 Amazon VPC 的 Amazon ECR 操作所需的 Amazon S3 儲存貯體。除了存放 DAGs和支援檔案的儲存貯體之外,這是擷取 Amazon ECR 映像的必要項目。
```
{
"Statement": [
{
"Sid": "Access-to-specific-bucket-only",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::prod-us-east-1-starport-layer-bucket/*"]
}
]
}
```