Keamanan di Anda VPC di Amazon MWAA

Halaman ini menjelaskan VPC komponen Amazon yang digunakan untuk mengamankan Alur Kerja Terkelola Amazon untuk lingkungan Apache Airflow dan konfigurasi yang diperlukan untuk komponen ini.

Daftar Isi

• Ketentuan
• Ikhtisar keamanan
• Daftar kontrol akses jaringan (ACLs)
  • (Direkomendasikan) Contoh ACLs
• VPCkelompok keamanan
  • (Disarankan) Contoh semua grup keamanan referensi mandiri akses
  • (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 5432
  • (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 443
• VPCkebijakan titik akhir (hanya perutean pribadi)
  • (Disarankan) Contoh kebijakan VPC titik akhir untuk mengizinkan semua akses
  • (Disarankan) Contoh kebijakan titik akhir gateway Amazon S3 untuk mengizinkan akses bucket

Ketentuan

Perutean publik

VPCJaringan Amazon yang memiliki akses ke Internet.

Perutean pribadi

VPCJaringan Amazon tanpa akses ke Internet.

Ikhtisar keamanan

Grup keamanan dan daftar kontrol akses (ACLs) menyediakan cara untuk mengontrol lalu lintas jaringan di seluruh subnet dan instance di Amazon VPC menggunakan aturan yang Anda tentukan.

• Lalu lintas jaringan ke dan dari subnet dapat dikontrol oleh Access Control Lists (ACLs). Anda hanya perlu satuACL, dan hal yang sama ACL dapat digunakan di beberapa lingkungan.

• Lalu lintas jaringan ke dan dari sebuah instans dapat dikontrol oleh grup VPC keamanan Amazon. Anda dapat menggunakan antara satu hingga lima grup keamanan per lingkungan.

• Lalu lintas jaringan ke dan dari sebuah instance juga dapat dikontrol oleh kebijakan VPC endpoint. Jika akses Internet di Amazon Anda tidak VPC diizinkan oleh organisasi Anda dan Anda menggunakan VPC jaringan Amazon dengan perutean pribadi, kebijakan VPC titik akhir diperlukan untuk titik akhir dan AWS VPC titik akhir Apache Airflow. VPC

Daftar kontrol akses jaringan (ACLs)

Daftar kontrol akses jaringan (ACL) dapat mengelola (dengan mengizinkan atau menolak aturan) lalu lintas masuk dan keluar di tingkat subnet. An ACL adalah stateless, yang berarti bahwa aturan masuk dan keluar harus ditentukan secara terpisah dan eksplisit. Ini digunakan untuk menentukan jenis lalu lintas jaringan yang diizinkan masuk atau keluar dari instance dalam VPC jaringan.

Setiap Amazon VPC memiliki default ACL yang memungkinkan semua lalu lintas masuk dan keluar. Anda dapat mengedit ACL aturan default, atau membuat kustom ACL dan melampirkannya ke subnet Anda. Subnet hanya dapat memiliki satu yang ACL melekat padanya kapan saja, tetapi satu ACL dapat dilampirkan ke beberapa subnet.

(Direkomendasikan) Contoh ACLs

Contoh berikut menunjukkan ACL aturan masuk dan keluar yang dapat digunakan untuk Amazon VPC dengan perutean publik atau perutean pribadi.

Nomor aturan	Tipe	Protokol	Rentang port	Sumber	Izinkan/Tolak
100	Semua IPv4 lalu lintas	Semua	Semua	0.0.0.0/0	Izinkan
*	Semua IPv4 lalu lintas	Semua	Semua	0.0.0.0/0	Menyangkal

VPCkelompok keamanan

Grup VPC keamanan bertindak sebagai firewall virtual yang mengontrol lalu lintas jaringan pada tingkat instans. Grup keamanan bersifat stateful, yang berarti bahwa ketika koneksi masuk diizinkan, ia diizinkan untuk membalas. Ini digunakan untuk menentukan jenis lalu lintas jaringan yang diizinkan masuk dari instance dalam VPC jaringan.

Setiap Amazon VPC memiliki grup keamanan default. Secara default, ia tidak memiliki aturan masuk. Ini memiliki aturan keluar yang memungkinkan semua lalu lintas keluar. Anda dapat mengedit aturan grup keamanan default, atau membuat grup keamanan khusus dan melampirkannya ke Amazon AndaVPC. Di AmazonMWAA, Anda perlu mengonfigurasi aturan masuk dan keluar untuk mengarahkan lalu lintas di gateway AndaNAT.

(Disarankan) Contoh semua grup keamanan referensi mandiri akses

Contoh berikut menunjukkan aturan grup keamanan masuk yang memungkinkan semua lalu lintas untuk Amazon VPC dengan perutean publik atau perutean pribadi. Kelompok keamanan dalam contoh ini adalah aturan referensi diri untuk dirinya sendiri.

Tipe	Protokol	Jenis Sumber	Sumber
Semua Lalu lintas	Semua	Semua	sg-0909e8e81919/-kelompok keamanan my-mwaa-vpc

Contoh berikut menunjukkan aturan grup keamanan keluar.

Tipe	Protokol	Jenis Sumber	Sumber
Semua Lalu lintas	Semua	Semua	0.0.0.0/0

(Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 5432

Contoh berikut menunjukkan aturan grup keamanan masuk yang mengizinkan semua HTTPS lalu lintas di port 5432 untuk database metadata Amazon Aurora SQL Postgre (dimiliki oleh Amazon) untuk lingkungan Anda. MWAA

catatan

Jika Anda memilih untuk membatasi lalu lintas menggunakan aturan ini, Anda harus menambahkan aturan lain untuk mengizinkan TCP lalu lintas di port 443.

Tipe	Protokol	Rentang port	Jenis sumber	Sumber
Kustom TCP	TCP	5432	Kustom	sg-0909e8e81919/-kelompok keamanan my-mwaa-vpc

(Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 443

Contoh berikut menunjukkan aturan grup keamanan masuk yang memungkinkan semua TCP lalu lintas pada port 443 untuk server Apache Airflow Web.

Tipe	Protokol	Rentang port	Jenis sumber	Sumber
HTTPS	TCP	443	Kustom	sg-0909e8e81919/-kelompok keamanan my-mwaa-vpc

VPCkebijakan titik akhir (hanya perutean pribadi)

Kebijakan VPCendpoint (AWS PrivateLink) mengontrol akses ke AWS layanan dari subnet pribadi Anda. Kebijakan VPC endpoint adalah kebijakan IAM sumber daya yang Anda lampirkan ke VPC gateway atau titik akhir antarmuka Anda. Bagian ini menjelaskan izin yang diperlukan untuk kebijakan VPC titik akhir untuk setiap VPC titik akhir.

Sebaiknya gunakan kebijakan titik akhir VPC antarmuka untuk setiap VPC titik akhir yang Anda buat yang memungkinkan akses penuh ke semua AWS layanan, dan menggunakan peran eksekusi Anda secara eksklusif untuk AWS izin.

(Disarankan) Contoh kebijakan VPC titik akhir untuk mengizinkan semua akses

Contoh berikut menunjukkan kebijakan titik akhir VPC antarmuka untuk Amazon VPC dengan perutean pribadi.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

(Disarankan) Contoh kebijakan titik akhir gateway Amazon S3 untuk mengizinkan akses bucket

Contoh berikut menunjukkan kebijakan titik akhir VPC gateway yang menyediakan akses ke bucket Amazon S3 yang diperlukan untuk operasi Amazon untuk ECR Amazon dengan perutean pribadiVPC. Ini diperlukan agar ECR gambar Amazon Anda dapat diambil, selain ember tempat file Anda DAGs dan file pendukung disimpan.

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
    }
  ]
}