VPC セキュリティグループの使用 - Amazon Elastic File System
ソースポートネットワークアクセスに関するセキュリティ上の考慮事項セキュリティグループの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC セキュリティグループの使用

Amazon EFS を使用する場合は、EC2 インスタンスの VPC セキュリティグループと、ファイルシステムに関連付けられた EFS マウントターゲットのセキュリティグループを指定します。セキュリティグループはファイアウォールとして機能し、追加するルールはトラフィックフローを定義します。開始方法の演習では、EFS インスタンスを起動したときに 1 つのセキュリティグループを作成しました。次に、別のセキュリティグループを EFS マウントターゲット (デフォルト VPC のデフォルトのセキュリティグループ) に関連付けました。このアプローチは、開始方法の演習で使用できます。ただし、本稼働システムでは、Amazon EFS で使用するための最小限のアクセス許可でセキュリティグループを設定する必要があります。

EFS ファイルシステムへのインバウンドおよびアウトバウンドのアクセスを許可できます。そのためには、EFS インスタンスがネットワークファイルシステム (NFS) ポートを使用してマウントターゲットを介して EFS ファイルシステムに接続できるようにするルールを追加します。

  • ファイルシステムをマウントする各 EC2 インスタンスには、NFS ポート 2049 のマウントターゲットへのアウトバウンドアクセスを許可するルールを持つセキュリティグループが必要です。

  • EFS マウントターゲットには、ファイルシステムをマウントする各 EC2 インスタンスからの NFS ポート 2049 へのインバウンドアクセスを許可するルールを持つセキュリティグループが必要です。

次の表は、必要な特定のセキュリティグループルールを示しています。

セキュリティグループ ルールタイプ プロトコル ポート 送信元/送信先
EC2 インスタンス アウトバウンド TCP 2049 マウントターゲットセキュリティグループ
マウントターゲット インバウンド TCP 2049 EC2 インスタンスのセキュリティグループ

Amazon EFS を操作するためのソースポート

一連の NFS クライアントをサポートするために、Amazon EFS はソースポートからのすべての接続を許可します。権限のあるユーザーのみが Amazon EFS にアクセスできるようにするには、以下のクライアントのファイアウォールルールを使用することをお勧めします。SSH を使用してファイルシステムを接続し、次のコマンドを実行します。

iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP

このコマンドは、OUTPUT チェーン (-I OUTPUT 1) の開始時に新しいルールを挿入します。このルールは、権限のない非カーネルプロセス (-m owner --uid-owner 1-4294967294) が NFS ポート 2049 () への接続を開くのを防ぎます-m tcp -p tcp –dport 2049

ネットワークアクセスに関するセキュリティ上の考慮事項

ファイルシステムのマウントターゲットの NFS ポート (TCP ポート 2049) の 1 つに接続できる場合にのみ、NFS バージョン 4.1 (NFSv4.1) クライアントはファイルシステムをマウントできます。同様に、このネットワーク接続ができる場合にのみ、NFSv 4.1 クライアントはファイルシステムにアクセスするときにユーザーおよびグループ ID をアサートできます。

このネットワーク接続を行うことができるかどうかは、以下の組み合わせによって管理されます。

  • マウントターゲットの VPC によって提供されるネットワーク分離 – ファイルシステムのマウントターゲットにはパブリック IP アドレスを関連付けることはできません。ファイルシステムをマウントできる唯一のターゲットは次のとおりです。

    • ローカル Amazon VPC 内の Amazon EC2 インスタンス

    • 接続された VPC の EC2 インスタンス

    • AWS Direct Connect と AWS Virtual Private Network (VPN) を使用して Amazon VPC に接続されたオンプレミスサーバー

  • クライアントとマウントターゲットの VPC サブネットのネットワークアクセスコントロールリスト (ACLs)。マウントターゲットのサブネット外からアクセスする場合 – ファイルシステムをマウントするには、クライアントがマウントターゲットの NFS ポート 2049 への TCP 接続を行い、リターントラフィックを受信できる必要があります。

  • すべてのアクセス用のクライアントおよびマウントターゲットの VPC セキュリティグループのルール ファイルシステムをマウントする EC2 インスタンスの場合、次のセキュリティグループルールが有効である必要があります。

    • ファイルシステムには、ネットワークインターフェイスに、インスタンスからの NFS ポート 2049 でのインバウンド接続を有効にするルールを持つセキュリティグループがあるマウントターゲットが必要です。IP アドレス (CIDR 範囲) またはセキュリティグループのいずれかを使用してインバウンド接続を有効化できます。マウントターゲットネットワークインターフェイス上のインバウンド NFS ポートセキュリティグループルールのソースは、ファイルシステムのアクセスコントロールの重要な要素です。NFS ポート 2049 用以外のインバウンドルールとアウトバウンドルールは、ファイルシステムのマウントターゲットのネットワークインターフェイスでは使用されません。

    • マウントインスタンスには、ファイルシステムのマウントターゲットの 1 つで NFS ポート 2049 へのアウトバウンド接続を有効にするセキュリティグループルールを含むネットワークインターフェイスが必要です。IP アドレス (CIDR 範囲) またはセキュリティグループのいずれかを使用してアウトバウンド接続を有効化できます。

詳細については、「マウントターゲットの管理」を参照してください。

セキュリティグループの作成

EC2 インスタンスと EFS マウントターゲットのセキュリティグループを作成するには

以下は、Amazon EFS のセキュリティグループを作成するときに実行する一般的な手順です。セキュリティグループの作成手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループの作成」を参照してください。

  1. EC2 インスタンスの場合は、次のルールを使用してセキュリティグループを作成します。

    • IP アドレスまたはネットワークからのポート 22 での Secure Shell (SSH) を使用したインバウンドアクセスを許可するインバウンドルール。必要に応じて、セキュリティのためにソースアドレスを制限します。

    • NFS ポート 2049 でマウントターゲットセキュリティグループへのアウトバウンドアクセスを許可するアウトバウンドルール。マウントターゲットセキュリティグループを送信先として識別します。

  2. EFS マウントターゲットの場合は、次のルールを使用してセキュリティグループを作成します。

    • EC2 セキュリティグループからの NFS ポート 2049 へのアクセスを許可するインバウンドルール。EC2 セキュリティグループをソースとして識別します。

    注記

    デフォルトのアウトバウンドルールはすべてのアウトバウンドトラフィックを許可するため、アウトバウンドルールを追加する必要はありません。