翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon MWAA の VPC のセキュリティ
このページでは、Apache Airflow 用 Amazon マネージドワークフロー環境の保護に使用される Amazon VPC コンポーネントと、これらのコンポーネントに必要な設定について説明します。
目次
用語
- パブリックルーティング
-
インターネットにアクセスできる Amazon VPC ネットワーク。
- プライベート・ルーティング
-
インターネットにアクセスできない Amazon VPC ネットワーク。
セキュリティの概要
セキュリティグループとアクセスコントロールリスト (ACL) は、指定されたルールを使用して Amazon VPC のサブネットとインスタンス全体のネットワークトラフィックを制御する方法を提供します。
-
サブネットとの間のネットワークトラフィックは、アクセス制御リスト(ACL)によって制御することができます。必要な ACL は 1 つだけで、同じ ACL を複数の環境で使用できます。
-
インスタンスに出入りするネットワークトラフィックは、Amazon VPC セキュリティグループによって制御できます。 1 つの環境につき 1 ~ 5 つのセキュリティグループを使用できます。
-
インスタンスとの間で送受信されるネットワークトラフィックは、VPC エンドポイントポリシーでも制御できます。組織がAmazon VPC 内のインターネットアクセスを許可しておらず、プライベートルーティングで Amazon VPC ネットワークを使用している場合は、「AWS VPC エンドポイントと Apache Airflow VPC エンドポイント」 には VPC エンドポイントポリシーが必要です。
ネットワークアクセスコントロールリスト (ACL)
「ネットワークアクセスコントロールリスト (ACL)」 は、サブネットレベルでインバウンドまたはアウトバウンドのトラフィックを許可または拒否ルールで管理できます。ACL はステートレスです。つまり、インバウンドルールとアウトバウンドルールは、別々に明示的に指定する必要があります。VPC ネットワーク内のインスタンスに出入りできるネットワークトラフィックの種類を指定するために使用されます。
すべての Amazon VPC には、インバウンドトラフィックとアウトバウンドトラフィックを許可するデフォルト ACL があります。デフォルト ACL ルールを編集することも、カスタム ACL を作成してサブネットにアタッチすることもできます。サブネットには常に 1 つの ACL しかアタッチできませんが、1 つの ACL を複数のサブネットにアタッチできます。
(推奨) ACL の例
次の例は、パブリックルーティングまたはプライベートルーティングを使用する Amazon VPC の Amazon VPC で使用できるインバウンドおよびアウトバウンド ACL ルールを示しています。
| ルール番号 | タイプ | プロトコル | ポート範囲 | 送信元 | 許可/拒否 |
|---|---|---|---|---|---|
|
100 |
すべての IPv4 トラフィック |
すべて |
すべて |
0.0.0.0/0 |
許可 |
|
* |
すべての IPv4 トラフィック |
すべて |
すべて |
0.0.0.0/0 |
拒否 |
VPC セキュリティグループ
「VPC セキュリティ・グループ」は、インスタンスレベルでネットワーク・トラフィックを制御する仮想ファイアウォールの役割を果たします。セキュリティグループはステートフルです。つまり、インバウンド接続が許可されると、リプレイが許可されます。VPC ネットワーク内のインスタンスから許可されるネットワークトラフィックのタイプを指定するために使用されます。
すべての Amazon VPC にはデフォルトのセキュリティグループがあります。デフォルトでは、インバウンドルールはありません。すべてのアウトバウンドトラフィックを許可するアウトバウンドルールがあります。デフォルトのセキュリティグループルールを編集するか、カスタムセキュリティグループを作成して Amazon VPC にアタッチできます。Amazon MWAA では、NAT ゲートウェイにトラフィックを誘導するインバウンドルールとアウトバウンドルールを設定する必要があります。
(推奨) 全アクセス自己参照型セキュリティグループの例
以下は、パブリックルーティングまたはプライベートルーティングを持つAmazon VPCのすべてのトラフィックを許可するインバウンドセキュリティグループルールを示しています。この例のセキュリティグループは、自己参照規則です。
| タイプ | プロトコル | ソースタイプ | ソース |
|---|---|---|---|
|
すべてのトラフィック |
すべて |
すべて |
sg-0909e8e81919 / my-mwaa-vpc-security-group |
次の例は、アウトバウンドセキュリティグループのルールを示しています。
| タイプ | プロトコル | ソースタイプ | ソース |
|---|---|---|---|
|
すべてのトラフィック |
すべて |
すべて |
0.0.0.0/0 |
(オプション)ポート5432 へのインバウンド・アクセスを制限するセキュリティグループの例
次の例は、お客様の環境の Amazon Aurora PostgreSQL メタデータデータベース (Amazon MWAA が所有) のポート 5432 でのすべての HTTPS トラフィックを許可するインバウンドセキュリティグループのルールを示しています。
注記
このルールを使用してトラフィックを制限する場合は、ポート 443 で TCP トラフィックを許可するルールをもう 1 つ追加する必要があります。
| タイプ | プロトコル | ポート範囲 | ソースタイプ | ソース |
|---|---|---|---|---|
|
カスタム TCP |
TCP |
5432 |
カスタム |
sg-0909e8e81919 / my-mwaa-vpc-security-group |
(オプション)ポート443へのインバウンド・アクセスを制限するセキュリティ・グループの例
次の例は、Apache Airflow Web サーバーのポート 443 上のすべての TCP トラフィックを許可するインバウンドセキュリティグループのルールを示しています。
| タイプ | プロトコル | ポート範囲 | ソースタイプ | ソース |
|---|---|---|---|---|
|
HTTPS |
TCP |
443 |
カスタム |
sg-0909e8e81919 / my-mwaa-vpc-security-group |
VPC エンドポイントポリシー (プライベートルーティングのみ)
VPC エンドポイント (AWS PrivateLink) ポリシーは、プライベートサブネットからの AWS サービスへのアクセスを制御します。VPC エンドポイントポリシーは、VPC ゲートウェイまたはインターフェイスのエンドポイントにアタッチする IAM リソースポリシーです。このセクションでは、各 VPC エンドポイントの VPC エンドポイントポリシーに必要な権限について説明します。
すべての AWS サービスへのフルアクセスを許可する VPC エンドポイントごとに VPC インターフェイスエンドポイントポリシーを使用し、アクセス AWS 許可のためにのみ実行ロールを使用することをお勧めします。
(推奨) すべてのアクセスを許可する VPC エンドポイントポリシーの例
次の例は、プライベートルーティングを使用する Amazon VPC の VPC インターフェイスエンドポイントポリシーを示しています。
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" } ] }
(推奨) バケットアクセスを許可する Amazon S3 ゲートウェイエンドポイントポリシーの例
以下の例は、プライベートルーティングを使用する Amazon VPC の Amazon ECR オペレーションに必要な Amazon S3 バケットへのアクセスを提供する VPC ゲートウェイエンドポイントポリシーを示しています。DAG とサポートファイルが保存されているバケットに加えて、Amazon ECR イメージを取得にも必要です。
{ "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"] } ] }
