Sécurité de votre VPC sur Amazon MWAA

Cette page décrit les composants Amazon VPC utilisés pour sécuriser votre environnement Amazon Managed Workflows pour Apache Airflow et les configurations nécessaires pour ces composants.

Table des matières

• Conditions
• Aperçu de la sécurité
• Listes de contrôle d'accès réseau (listes ACL)
  • Exemples d'ACL (recommandés)
• Groupes de sécurité VPC
  • (Recommandé) Exemple de groupe de sécurité autoréférencé à tous les accès
  • (Facultatif) Exemple de groupe de sécurité qui restreint l'accès entrant au port 5432
  • (Facultatif) Exemple de groupe de sécurité qui restreint l'accès entrant au port 443
• Politiques de point de terminaison VPC (routage privé uniquement)
  • (Recommandé) Exemple de politique de point de terminaison VPC pour autoriser tous les accès
  • (Recommandé) Exemple de politique de point de terminaison de la passerelle Amazon S3 pour autoriser l'accès au bucket

Conditions

Routage public

Un réseau Amazon VPC ayant accès à Internet.

Routage privé

Un réseau Amazon VPC sans accès à Internet.

Aperçu de la sécurité

Les groupes de sécurité et les listes de contrôle d'accès (ACL) permettent de contrôler le trafic réseau sur les sous-réseaux et les instances de votre Amazon VPC à l'aide de règles que vous spécifiez.

• Le trafic réseau à destination et en provenance d'un sous-réseau peut être contrôlé par des listes de contrôle d'accès (ACL). Vous n'avez besoin que d'une seule ACL, et la même ACL peut être utilisée sur plusieurs environnements.

• Le trafic réseau à destination et en provenance d'une instance peut être contrôlé par un groupe de sécurité Amazon VPC. Vous pouvez utiliser entre un et cinq groupes de sécurité par environnement.

• Le trafic réseau à destination et en provenance d'une instance peut également être contrôlé par des politiques de point de terminaison VPC. Si l'accès à Internet au sein de votre Amazon VPC n'est pas autorisé par votre organisation et que vous utilisez un réseau Amazon VPC avec un routage privé, une politique de point de terminaison VPC est requise pour les points de terminaison VPC et les points de terminaison VPC AWS Apache Airflow.

Listes de contrôle d'accès réseau (listes ACL)

Une liste de contrôle d'accès réseau (ACL) peut gérer (selon des règles d'autorisation ou de refus) le trafic entrant et sortant au niveau du sous-réseau. Une ACL est apatride, ce qui signifie que les règles entrantes et sortantes doivent être spécifiées séparément et explicitement. Il est utilisé pour spécifier les types de trafic réseau autorisés à entrer ou à sortir des instances d'un réseau VPC.

Chaque Amazon VPC possède une ACL par défaut qui autorise tout le trafic entrant et sortant. Vous pouvez modifier les règles ACL par défaut ou créer une ACL personnalisée et l'associer à vos sous-réseaux. Un sous-réseau ne peut être associé qu'à une seule ACL à la fois, mais une ACL peut être attachée à plusieurs sous-réseaux.

Exemples d'ACL (recommandés)

L'exemple suivant montre les règles ACL entrantes et sortantes qui peuvent être utilisées pour un Amazon VPC pour un Amazon VPC avec routage public ou routage privé.

Numéro de règle	Type	Protocole	Plage de ports	Source	Autoriser/Refuser
100	Tout le trafic IPv4	Tous	Tous	0.0.0.0/0	Autorisation
*	Tout le trafic IPv4	Tous	Tous	0.0.0.0/0	Refuser

Groupes de sécurité VPC

Un groupe de sécurité VPC agit comme un pare-feu virtuel qui contrôle le trafic réseau au niveau de l'instance. Un groupe de sécurité est dynamique, ce qui signifie que lorsqu'une connexion entrante est autorisée, il est autorisé à répondre. Il est utilisé pour spécifier les types de trafic réseau autorisés à entrer depuis les instances d'un réseau VPC.

Chaque Amazon VPC possède un groupe de sécurité par défaut. Par défaut, il n'a aucune règle d'entrée. Il dispose d'une règle de trafic sortant qui autorise tout le trafic sortant. Vous pouvez modifier les règles du groupe de sécurité par défaut ou créer un groupe de sécurité personnalisé et l'associer à votre Amazon VPC. Sur Amazon MWAA, vous devez configurer des règles entrantes et sortantes pour diriger le trafic vers vos passerelles NAT.

(Recommandé) Exemple de groupe de sécurité autoréférencé à tous les accès

L'exemple suivant montre les règles du groupe de sécurité entrant qui autorisent tout le trafic d'un Amazon VPC pour un Amazon VPC avec un routage public ou un routage privé. Dans cet exemple, le groupe de sécurité est une règle d'autoréférencement à lui-même.

Type	Protocole	Type de source	Source
Tout le trafic	Tous	Tous	sg-0909e8e81919/-groupe my-mwaa-vpc-security

L'exemple suivant montre les règles du groupe de sécurité sortant.

Type	Protocole	Type de source	Source
Tout le trafic	Tous	Tous	0.0.0.0/0

(Facultatif) Exemple de groupe de sécurité qui restreint l'accès entrant au port 5432

L'exemple suivant montre les règles du groupe de sécurité entrant qui autorisent tout le trafic HTTPS sur le port 5432 pour la base de données de métadonnées Amazon Aurora PostgreSQL (détenue par Amazon MWAA) pour votre environnement.

Note

Si vous choisissez de restreindre le trafic à l'aide de cette règle, vous devrez en ajouter une autre pour autoriser le trafic TCP sur le port 443.

Type	Protocole	Plage de ports	Source type (Type de source)	Source
TCP personnalisé	TCP	5432	Personnalisé	sg-0909e8e81919/-groupe my-mwaa-vpc-security

(Facultatif) Exemple de groupe de sécurité qui restreint l'accès entrant au port 443

L'exemple suivant montre les règles du groupe de sécurité entrant qui autorisent tout le trafic TCP sur le port 443 pour le serveur Web Apache Airflow.

Type	Protocole	Plage de ports	Source type (Type de source)	Source
HTTPS	TCP	443	Personnalisé	sg-0909e8e81919/-groupe my-mwaa-vpc-security

Politiques de point de terminaison VPC (routage privé uniquement)

Une politique de point de terminaison VPC (AWS PrivateLink) contrôle l'accès aux AWS services depuis votre sous-réseau privé. Une politique de point de terminaison VPC est une politique de ressources IAM que vous attachez à votre passerelle VPC ou à votre point de terminaison d'interface. Cette section décrit les autorisations nécessaires pour les politiques de point de terminaison VPC pour chaque point de terminaison VPC.

Nous vous recommandons d'utiliser une politique de point de terminaison d'interface VPC pour chacun des points de terminaison VPC que vous avez créés, qui autorise un accès complet à tous les AWS services, et d'utiliser votre rôle d'exécution exclusivement pour les autorisations. AWS

(Recommandé) Exemple de politique de point de terminaison VPC pour autoriser tous les accès

L'exemple suivant montre une politique de point de terminaison d'interface VPC pour un Amazon VPC avec routage privé.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

(Recommandé) Exemple de politique de point de terminaison de la passerelle Amazon S3 pour autoriser l'accès au bucket

L'exemple suivant montre une politique de point de terminaison de passerelle VPC qui fournit l'accès aux compartiments Amazon S3 requis pour les opérations Amazon ECR pour un Amazon VPC avec routage privé. Cela est nécessaire pour que votre image Amazon ECR soit récupérée, en plus du compartiment dans lequel sont stockés vos DAG et les fichiers de support.

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
    }
  ]
}