Amazon MWAA 上 VPC 中的安全性

本頁說明用於保護 Apache 氣流環境之 Amazon 受管工作流程的 Amazon VPC 元件，以及這些元件所需的組態。

內容

• 條款
• 安全性概觀
• 網路存取控制清單 (ACL)
  • (建議使用) ACL 範例
• VPC security groups (VPC 安全群組)
  • (建議) 範例所有存取自我參照安全性群組
  • (選擇性) 限制連接埠 5432 輸入存取權的安全性群組範例
  • (選擇性) 限制連接埠 443 輸入存取權的安全性群組範例
• VPC 端點原則 (僅限私人路由)
  • (建議) 允許所有存取的 VPC 端點原則範例
  • (建議使用) 允許儲存貯體存取的 Amazon S3 閘道端點政策範例

條款

公共路由

可存取網際網路的 Amazon VPC 人雲端網路。

私人路由

無法存取網際網路的 Amazon VPC 人雲端網路。

安全性概觀

安全群組和存取控制清單 (ACL) 提供了使用您指定的規則控制 Amazon VPC 中子網路和執行個體之間的網路流量的方法。

• 進出子網路的網路流量可由存取控制清單 (ACL) 控制。您只需要一個 ACL，並且相同的 ACL 可以在多個環境中使用。

• 進出執行個體的網路流量可由 Amazon VPC 安全群組控制。您可以在每個環境中使用一到五個安全群組。

• 進出執行個體的網路流量也可以由 VPC 端點原則控制。如果您的組織不允許在 Amazon VPC 內存取網際網路，而且您使用的是具有私有路由的 Amazon 虛擬私人雲端網路，則 VPC 端點和 Apache Airflow VPC 擬私人雲端節點需要AWS VPC 端點政策。

網路存取控制清單 (ACL)

網路存取控制清單 (ACL) 可以在子網路層級管理 (透過允許或拒絕規則) 輸入和輸出流量。ACL 是無狀態的，這意味著輸入和輸出規則必須單獨且明確地指定。它可用來指定虛擬私人雲端網路中執行個體允許進出的網路流量類型。

每個 Amazon VPC 都有一個預設 ACL，允許所有輸入和輸出流量。您可以編輯預設 ACL 規則，或建立自訂 ACL 並將其附加至子網路。一個子網路在任何時候都只能附加一個 ACL，但一個 ACL 可以附加到多個子網路。

(建議使用) ACL 範例

以下範例顯示可用於具有公有路由或私有路由之 Amazon VPC 的 Amazon VPC 的入站和輸出 ACL 規則。

規則編號	Type	通訊協定	連接埠範圍	來源	允許/拒絕
100	所有 IPv4 流量	全部	全部	0.0.0.0/0	允許
*	所有 IPv4 流量	全部	全部	0.0.0.0/0	拒絕

VPC security groups (VPC 安全群組)

VPC 安全群組充當虛擬防火牆，可在執行個體層級控制網路流量。安全群組是可設定狀態的，也就是說，當允許輸入連線時，就可以回覆。它用於指定 VPC 網路中執行個體允許進入的網路流量類型。

每個 Amazon VPC 都有一個預設安全群組。默認情況下，它沒有輸入規則。它具有允許所有出站流量的出站規則。您可以編輯預設安全群組規則，或建立自訂安全群組並將其附加到 Amazon VPC。在 Amazon MWAA 上，您需要設定輸入和輸出規則，以引導 NAT 閘道上的流量。

(建議) 範例所有存取自我參照安全性群組

下列範例顯示輸入安全群組規則，該規則允許使用公有路由或私有路由的 Amazon VPC 適用於 Amazon VPC 的所有流量。此範例中的安全性群組是本身的自我參照規則。

Type	通訊協定	來源類型	來源
所有流量	全部	全部	政治機構 -0909 第 8E81919 年/-組 my-mwaa-vpc-security

下列範例顯示輸出安全性群組規則。

Type	通訊協定	來源類型	來源
所有流量	全部	全部	0.0.0.0/0

(選擇性) 限制連接埠 5432 輸入存取權的安全性群組範例

下列範例顯示允許您環境使用 Amazon Aurora PostgreSQL 中繼資料資料庫 (由 Amazon MWAA 擁有) 連接埠 5432 上所有 HTTPS 流量的輸入安全群組規則。

注意

如果您選擇使用此規則限制流量，則需要新增另一個規則，以允許連接埠 443 上的 TCP 流量。

Type	通訊協定	連接埠範圍	來源類型	來源
自訂 TCP	TCP	5432	自訂	政治機構 -0909 第 8E81919 年/-組 my-mwaa-vpc-security

(選擇性) 限制連接埠 443 輸入存取權的安全性群組範例

下列範例顯示允許 Apache 氣流網頁伺服器連接埠 443 上所有 TCP 流量的輸入安全性群組規則。

Type	通訊協定	連接埠範圍	來源類型	來源
HTTPS	TCP	443	自訂	政治機構 -0909 第 8E81919 年/-組 my-mwaa-vpc-security

VPC 端點原則 (僅限私人路由)

VPC 端點 (AWS PrivateLink) 原則可控制您私有子網路中 AWS 服務的存取。VPC 端點政策是您附加至 VPC 閘道或介面端點的 IAM 資源政策。本節說明每個 VPC 端點的 VPC 端點原則所需的權限。

我們建議針對您建立的每個允許完整存取所有 AWS 服務的 VPC 端點使用 VPC 介面端點原則，並使用專門針對 AWS 權限的執行角色。

(建議) 允許所有存取的 VPC 端點原則範例

下列範例顯示具有私有路由之 Amazon VPC 的 VPC 介面端點政策。

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

(建議使用) 允許儲存貯體存取的 Amazon S3 閘道端點政策範例

以下範例顯示 VPC 閘道端點政策，該政策可針對具有私有路由的 Amazon VPC 提供 Amazon ECR 操作所需的 Amazon S3 儲存貯體的存取權。除了存放 DAG 和支援檔案的儲存貯體之外，還需要擷取 Amazon ECR 映像。

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-region-starport-layer-bucket/*"]
    }
  ]
}