Amazon MWAA の VPC のセキュリティ - Amazon Managed Workflows for Apache Airflow
用語セキュリティの概要ネットワークアクセスコントロールリスト (ACL)VPC セキュリティグループVPC エンドポイントポリシー (プライベートルーティングのみ)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MWAA の VPC のセキュリティ

このページでは、Amazon Managed Workflows for Apache Airflow 環境の保護に使用される Amazon VPC コンポーネントと、これらのコンポーネントに必要な設定について説明します。

用語

パブリックルーティング

インターネットにアクセスできる Amazon VPC ネットワーク。

プライベート・ルーティング

インターネットにアクセスできない Amazon VPC ネットワーク。

セキュリティの概要

セキュリティグループとアクセスコントロールリスト (ACL) は、指定されたルールを使用して、Amazon VPC のサブネットとインスタンス全体のネットワークトラフィックを制御する方法を提供します。

  • サブネットとの間のネットワークトラフィックは、アクセス制御リスト(ACL)によって制御することができます。必要な ACL は 1 つだけで、同じ ACL を複数の環境で使用できます。

  • インスタンスに出入りするネットワークトラフィックは、Amazon VPC セキュリティグループによって制御できます。  1 つの環境につき 1 ~ 5 つのセキュリティグループを使用できます。

  • インスタンスとの間で送受信されるネットワークトラフィックは、VPC エンドポイントポリシーでも制御できます。Amazon VPC 内のインターネットアクセスが組織で許可されておらず、プライベートルーティングで Amazon VPC ネットワークを使用している場合は、VPC エンドポイントAWS と Apache Airflow VPC エンドポイントに VPC エンドポイントポリシーが必要です。

ネットワークアクセスコントロールリスト (ACL)

ネットワークアクセスコントロールリスト (ACL) は、サブネットレベルでインバウンドまたはアウトバウンドのトラフィックを許可または拒否ルールで管理できます。ACL はステートレスです。つまり、インバウンドルールとアウトバウンドルールは、別々に明示的に指定する必要があります。VPC ネットワーク内のインスタンスに出入りできるネットワークトラフィックの種類を指定するために使用されます。

すべての Amazon VPC には、インバウンドトラフィックとアウトバウンドトラフィックを許可するデフォルト ACL があります。デフォルト ACL ルールを編集することも、カスタム ACL を作成してサブネットにアタッチすることもできます。サブネットには常に 1 つの ACL しかアタッチできませんが、1 つの ACL を複数のサブネットにアタッチできます。

(推奨) ACL の例

次の の例では、パブリックルーティングまたはプライベートルーティングを持つ Amazon VPC に使用できるインバウンド ACL ルールとアウトバウンド ACL ルールを表示します。

ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否

100

すべての IPv4 トラフィック

すべて

すべて

0.0.0.0/0

許可

*

すべての IPv4 トラフィック

すべて

すべて

0.0.0.0/0

拒否

VPC セキュリティグループ

VPC セキュリティ・グループは、インスタンスレベルでネットワーク・トラフィックを制御する仮想ファイアウォールの役割を果たします。セキュリティグループはステートフルです。つまり、インバウンド接続が許可されると、リプレイが許可されます。VPC ネットワーク内のインスタンスから許可されるネットワークトラフィックのタイプを指定するために使用されます。

すべての Amazon VPC にはデフォルトのセキュリティグループがあります。デフォルトでは、インバウンドルールはありません。すべてのアウトバウンドトラフィックを許可するアウトバウンドルールがあります。デフォルトのセキュリティグループルールを編集するか、カスタムセキュリティグループを作成して Amazon VPC にアタッチできます。Amazon MWAA では、NAT ゲートウェイにトラフィックを誘導するインバウンドルールとアウトバウンドルールを設定する必要があります。

(推奨) 全アクセス自己参照型セキュリティグループの例

次の の例では、パブリックルーティングまたはプライベートルーティングを持つ Amazon VPC のすべてのトラフィックを許可するインバウンドセキュリティグループルールを表示します。この例のセキュリティグループは、自己参照規則です。

タイプ プロトコル ソースタイプ 送信元

すべてのトラフィック

すべて

すべて

sg-0909e8e81919 / my-mwaa-vpc-セキュリティグループ

次の の例では、アウトバウンドセキュリティグループルールを表示します。

タイプ プロトコル ソースタイプ 送信元

すべてのトラフィック

すべて

すべて

0.0.0.0/0

(オプション)ポート5432 へのインバウンド・アクセスを制限するセキュリティグループの例

次の例では、Amazon Aurora PostgreSQL メタデータデータベース (Amazon MWAA が所有する) のポート 5432 上のすべての HTTPS トラフィックを許可するインバウンドセキュリティグループルールを表示します。

注記

このルールを使用してトラフィックを制限する場合は、ポート 443 で TCP トラフィックを許可するルールをもう 1 つ追加する必要があります。

タイプ プロトコル ポート範囲 ソースの種類 送信元

カスタム TCP

TCP

5432

カスタム

sg-0909e8e81919 / my-mwaa-vpc-セキュリティグループ

(オプション)ポート 443 へのインバウンド・アクセスを制限するセキュリティ・グループの例

次の の例では、Apache Airflow ウェブサーバー用のポート 443 上のすべての TCP トラフィックを許可するインバウンドセキュリティグループルールを表示します。

タイプ プロトコル ポート範囲 ソースの種類 送信元

HTTPS

TCP

443

カスタム

sg-0909e8e81919 / my-mwaa-vpc-セキュリティグループ

VPC エンドポイントポリシー (プライベートルーティングのみ)

VPC エンドポイント (AWS PrivateLink) ポリシーは、プライベートサブネットからの AWS サービスへのアクセスを制御します。VPC エンドポイントポリシーは、VPC ゲートウェイまたはインターフェイスのエンドポイントにアタッチする IAM リソースポリシーです。このセクションでは、各 VPC エンドポイントの VPC エンドポイントポリシーに必要な権限について説明します。

すべての AWS サービスへのフルアクセスを許可する VPC エンドポイントごとに VPC インターフェイスエンドポイントポリシーを使用し、アクセス AWS 許可のためにのみ実行ロールを使用することをお勧めします。

(推奨) すべてのアクセスを許可する VPC エンドポイントポリシーの例

次の例は、プライベートルーティングを使用する Amazon VPC の VPC インターフェイスエンドポイントポリシーを示しています。

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    }
  ]
}

(推奨) バケットアクセスを許可する Amazon S3 ゲートウェイエンドポイントポリシーの例

次の例は、プライベートルーティングを使用する Amazon VPC の Amazon ECR オペレーションに必要な Amazon S3 バケットへのアクセスを提供する VPC ゲートウェイエンドポイントポリシーを示しています。DAG とサポートファイルが保存されているバケットに加えて、Amazon ECR イメージを取得にも必要です。

{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-us-east-1-starport-layer-bucket/*"]
    }
  ]
}