As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança em sua VPC no Amazon MWAA
Esta página descreve os componentes do Amazon VPC usados para proteger seu ambiente Amazon Managed Workflows for Apache Airflow e as configurações necessárias para esses componentes.
Sumário
Termos
- Roteamento público
-
Uma rede do Amazon VPC que tem acesso à Internet.
- Roteamento privado
-
Uma rede do Amazon VPC sem acesso à Internet.
Visão geral de segurança
Grupos de segurança e listas de controle de acesso (ACLs) fornecem maneiras de controlar o tráfego de rede nas sub-redes e instâncias em seu Amazon VPC usando regras que você especifica.
-
O tráfego de rede de e para uma sub-rede pode ser controlado por listas de controle de acesso (ACLs). Você só precisa de uma ACL, e a mesma ACL pode ser usada em vários ambientes.
-
O tráfego de rede de e para uma instância pode ser controlado por um grupo de segurança do Amazon VPC. É possível usar de um a cinco grupos de segurança por ambiente.
-
O tráfego de rede de e para uma instância também pode ser controlado pelas políticas de endpoint da VPC. Se o acesso à Internet em seu Amazon VPC não for permitido pela sua organização e você estiver usando uma rede Amazon VPC com roteamento privado, uma política de endpoint da VPC será necessária para os endpoints da VPC e os endpoints da VPC do Apache Airflow da AWS.
Lista de controle de acesso (ACLs) de rede
Uma lista de controle de acesso (ACL) à rede permite ou nega determinado tráfego de entrada e de saída no nível da sub-rede. Uma ACL não tem estado, o que significa que as regras de entrada e saída devem ser especificadas separadamente e explicitamente. É usado para especificar os tipos de tráfego de rede que são permitidos para entrar ou sair das instâncias em uma rede VPC.
Todo Amazon VPC tem uma ACL padrão que permite todo o tráfego de entrada e saída. É possível editar as regras de ACL padrão ou criar uma ACL personalizada e anexá-la às suas sub-redes. Uma sub-rede só pode ter uma ACL anexada a ela por vez, mas uma ACL pode ser anexada a várias sub-redes.
(Recomendado) Exemplos de ACLs
O exemplo a seguir mostra as regras de ACL de entrada e saída que podem ser usadas para um Amazon VPC com roteamento público ou roteamento privado.
| Número da regra | Tipo | Protocolo | Intervalo de portas | Origem | Permissão/Negação |
|---|---|---|---|---|---|
|
100 |
Todo tráfego IPv4 |
Todos |
Tudo |
0.0.0.0/0 |
Permitir |
|
* |
Todo tráfego IPv4 |
Todos |
Tudo |
0.0.0.0/0 |
Deny |
Grupos de segurança da VPC
Um grupo de segurança VPC atua como um firewall virtual que controla o tráfego em nível de instância. Um grupo de segurança tem estado, o que significa que, quando uma conexão de entrada é permitida, ele pode responder. É usado para especificar os tipos de tráfego de rede que são permitidos para entrar das instâncias em uma rede VPC.
Todo Amazon VPC tem um grupo de segurança padrão. Por padrão, ele não possui regras de entrada. Uma regra de saída que permite todo tráfego de saída. É possível editar as regras padrão do grupo de segurança ou criar um grupo de segurança personalizado e anexá-lo à seu Amazon VPC. No Amazon MWAA, você precisa configurar regras de entrada e saída para direcionar o tráfego em seus gateways NAT.
(Recomendado) Exemplo de grupo de segurança autorreferenciado para todos os acessos
O exemplo a seguir mostra as regras do grupo de segurança de entrada que permitem todo o tráfego de um Amazon VPC para um Amazon VPC com roteamento público ou roteamento privado. O grupo de segurança neste exemplo é uma regra autorreferenciada para si mesmo.
| Tipo | Protocolo | Source type (Tipo de origem) | Origem |
|---|---|---|---|
|
Todo o tráfego |
Tudo |
Todos |
sg-0909e8e81919/-grupo my-mwaa-vpc-security |
O exemplo a seguir mostra as regras do grupo de segurança de saída.
| Tipo | Protocolo | Source type (Tipo de origem) | Origem |
|---|---|---|---|
|
Todo o tráfego |
Tudo |
Tudo |
0.0.0.0/0 |
(Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 5432
O exemplo a seguir mostra as regras do grupo de segurança de entrada que permitem todo o tráfego HTTPS na porta 5432 para o banco de dados de metadados Amazon Aurora PostgreSQL (de propriedade da Amazon MWAA) para seu ambiente.
nota
Se você optar por restringir o tráfego usando essa regra, precisará adicionar outra regra para permitir o tráfego TCP na porta 443.
| Tipo | Protocolo | Intervalo de portas | Tipo de origem | Origem |
|---|---|---|---|---|
|
TCP personalizado |
TCP |
5432 |
Personalizar |
sg-0909e8e81919/-grupo my-mwaa-vpc-security |
(Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 443
O exemplo a seguir mostra as regras do grupo de segurança de entrada que permitem todo o tráfego TCP na porta 443 para o servidor Web Apache Airflow.
| Tipo | Protocolo | Intervalo de portas | Tipo de origem | Origem |
|---|---|---|---|---|
|
HTTPS |
TCP |
443 |
Personalizar |
sg-0909e8e81919/-grupo my-mwaa-vpc-security |
Políticas de endpoint da VPC (somente roteamento privado)
Uma política de VPC endpoint (AWS PrivateLink) controla o acesso aos AWS serviços da sua sub-rede privada. Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa ao gateway de sua VPC endpoint de interface. Esta seção descreve as permissões necessárias para as políticas de endpoint da VPC para cada endpoint da VPC.
Recomendamos usar uma política de endpoint de interface VPC para cada um dos endpoints de VPC que você criou, que permita acesso total a todos os AWS serviços, e usar sua função de execução exclusivamente para obter permissões. AWS
(Recomendado) Exemplo de política de endpoint da VPC para permitir todo o acesso
O exemplo a seguir mostra uma política de endpoint de interface da VPC para um Amazon VPC com roteamento privado.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" } ] }
(Recomendado) Exemplo de política de endpoint do gateway Amazon S3 para permitir acesso ao bucket
O exemplo a seguir mostra uma política de endpoint de gateway de VPC que fornece acesso aos buckets do Amazon S3 exigidos para as operações do Amazon ECR para um Amazon VPC com roteamento privado. Isso é necessário para que sua imagem do Amazon ECR seja recuperada, além do bucket em que seus DAGs e arquivos complementares estão armazenados.
{ "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"] } ] }
