翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon MWAA の VPC のセキュリティ
<a name="vpc-security"></a>

このページでは、Amazon Managed Workflows for Apache Airflow 環境の保護に使用される Amazon VPC コンポーネントと、これらのコンポーネントに必要な設定について説明します。

**Contents**
+ [用語](#networking-security-defs)
+ [セキュリティの概要](#vpc-security-about)
+ [ネットワークアクセスコントロールリスト (ACL)](#vpc-security-acl)
  + [(推奨) ACL の例](#vpc-security-acl-example)
+ [VPC セキュリティグループ](#vpc-security-sg)
  + [(推奨) 全アクセス自己参照型セキュリティグループの例](#vpc-security-sg-example)
  + [(オプション)ポート5432 へのインバウンドアクセスを制限するセキュリティグループの例](#vpc-security-sg-example-port5432)
  + [(オプション)ポート 443 へのインバウンドアクセスを制限するセキュリティ・グループの例](#vpc-security-sg-example-port443)
+ [VPC エンドポイントポリシー (プライベートルーティングのみ)](#vpc-external-vpce-policies)
  + [(推奨) すべてのアクセスを許可する VPC エンドポイントポリシーの例](#vpc-external-vpce-policies-all)
  + [(推奨) バケットアクセスを許可する Amazon S3 ゲートウェイエンドポイントポリシーの例](#vpc-external-vpce-policies-s3)

## 用語
<a name="networking-security-defs"></a>

**パブリックルーティング**  
インターネットにアクセスできる Amazon VPC ネットワーク。

**プライベート・ルーティング**  
インターネットにアクセスできない Amazon VPC ネットワーク。

## セキュリティの概要
<a name="vpc-security-about"></a>

セキュリティグループとアクセスコントロールリスト (ACL) は、指定されたルールを使用して、Amazon VPC のサブネットとインスタンス全体のネットワークトラフィックを制御する方法を提供します。
+ サブネットとの間のネットワークトラフィックは、アクセス制御リスト(ACL)によって制御することができます。必要な ACL は 1 つだけで、同じ ACL を複数の環境で使用できます。
+ インスタンスに出入りするネットワークトラフィックは、Amazon VPC セキュリティグループによって制御できます。　 1 つの環境につき 1 ～ 5 つのセキュリティグループを使用できます。
+ インスタンスとの間で送受信されるネットワークトラフィックは、VPC エンドポイントポリシーでも制御できます。組織が Amazon VPC 内のインターネットアクセスを許可しておらず、*プライベートルーティング* で Amazon VPC ネットワークを使用している場合は、[AWS VPC エンドポイントと Apache Airflow VPC エンドポイント](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-examples) には VPC エンドポイントポリシーが必要です。

## ネットワークアクセスコントロールリスト (ACL)
<a name="vpc-security-acl"></a>

[ネットワークアクセスコントロールリスト (ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) は、*サブネット* レベルでインバウンドまたはアウトバウンドのトラフィックを許可または拒否ルールで管理できます。ACL はステートレスです。つまり、インバウンドルールとアウトバウンドルールは、別々に明示的に指定する必要があります。VPC ネットワーク内のインスタンスに出入りできるネットワークトラフィックの種類を指定するために使用されます。

すべての Amazon VPC には、インバウンドトラフィックとアウトバウンドトラフィックを許可するデフォルト ACL があります。デフォルト ACL ルールを編集することも、カスタム ACL を作成してサブネットにアタッチすることもできます。サブネットには常に 1 つの ACL しかアタッチできませんが、1 つの ACL を複数のサブネットにアタッチできます。

### (推奨) ACL の例
<a name="vpc-security-acl-example"></a>

次の例は、*パブリックルーティング* または *プライベートルーティング* を使用する Amazon VPC で使用できる *インバウンド* および *アウトバウンド* ACL ルールを示しています。


| ルール番号 | タイプ | プロトコル | ポート範囲 | 送信元 | 許可/拒否 | 
| --- | --- | --- | --- | --- | --- | 
|  100  |  すべての IPv4 トラフィック  |  すべて  |  すべて  |  0.0.0.0/0  |  許可  | 
|  \$1  |  すべての IPv4 トラフィック  |  すべて  |  すべて  |  0.0.0.0/0  |  拒否  | 

## VPC セキュリティグループ
<a name="vpc-security-sg"></a>

[VPC セキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) は、*インスタンス* レベルでネットワークトラフィックを制御する仮想ファイアウォールの役割を果たします。セキュリティグループはステートフルです。つまり、インバウンド接続が許可されると、リプレイが許可されます。VPC ネットワーク内のインスタンスから許可されるネットワークトラフィックのタイプを指定するために使用されます。

すべての Amazon VPC にはデフォルトのセキュリティグループがあります。デフォルトでは、インバウンドルールはありません。すべてのアウトバウンドトラフィックを許可するアウトバウンドルールがあります。デフォルトのセキュリティグループルールを編集するか、カスタムセキュリティグループを作成して Amazon VPC にアタッチできます。Amazon MWAA では、NAT ゲートウェイにトラフィックを誘導するインバウンドルールとアウトバウンドルールを設定する必要があります。

### (推奨) 全アクセス自己参照型セキュリティグループの例
<a name="vpc-security-sg-example"></a>

以下は、*パブリックルーティング* または *プライベートルーティング* を持つ Amazon VPC のすべてのトラフィックを許可する *インバウンド* セキュリティグループルールを示しています。この例のセキュリティグループは、自己参照規則です。


| タイプ | プロトコル | ソースタイプ | ソース | 
| --- | --- | --- | --- | 
|  すべてのトラフィック  |  すべて  |  すべて  |  sg-0909e8e81919 / my-mwaa-vpc-security-group  | 

次の例は、*アウトバウンド* セキュリティグループのルールを示しています。


| タイプ | プロトコル | ソースタイプ | ソース | 
| --- | --- | --- | --- | 
|  すべてのトラフィック  |  すべて  |  すべて  |  0.0.0.0/0  | 

### (オプション)ポート5432 へのインバウンドアクセスを制限するセキュリティグループの例
<a name="vpc-security-sg-example-port5432"></a>

次の例は、お客様の環境の Amazon Aurora PostgreSQL メタデータデータベース (Amazon MWAA が所有) のポート 5432 でのすべての HTTPS トラフィックを許可する *インバウンド* セキュリティグループのルールを表示します。

**注記**  
このルールを使用してトラフィックを制限する場合は、ポート 443 で TCP トラフィックを許可するルールをもう 1 つ追加する必要があります。


| タイプ | プロトコル | ポート範囲 | ソースタイプ | ソース | 
| --- | --- | --- | --- | --- | 
|  カスタム TCP  |  TCP  |  5432  |  カスタム  |  sg-0909e8e81919 / my-mwaa-vpc-セキュリティグループ  | 

### (オプション)ポート 443 へのインバウンドアクセスを制限するセキュリティ・グループの例
<a name="vpc-security-sg-example-port443"></a>

次の例は、Apache Airflow Web サーバーのポート 443 上のすべての TCP トラフィックを許可する *インバウンド* セキュリティグループのルールを示しています。


| タイプ | プロトコル | ポート範囲 | ソースタイプ | ソース | 
| --- | --- | --- | --- | --- | 
|  HTTPS  |  TCP  |  443  |  カスタム  |  sg-0909e8e81919 / my-mwaa-vpc-セキュリティグループ  | 

## VPC エンドポイントポリシー (プライベートルーティングのみ)
<a name="vpc-external-vpce-policies"></a>

[VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/mwaa/latest/userguide/vpc-create.html#vpc-create-required) ポリシーは、プライベートサブネットからの AWS サービスへのアクセスを制御します。VPC エンドポイントポリシーは、VPC ゲートウェイまたはインターフェイスのエンドポイントにアタッチする IAM リソースポリシーです。このセクションでは、各 VPC エンドポイントの VPC エンドポイントポリシーに必要なアクセス許可について説明します。

すべての AWS サービスへのフルアクセスを許可する VPC エンドポイントごとに VPC インターフェイスエンドポイントポリシーを使用し、アクセス AWS 許可のためにのみ実行ロールを使用することをお勧めします。

### (推奨) すべてのアクセスを許可する VPC エンドポイントポリシーの例
<a name="vpc-external-vpce-policies-all"></a>

次の例は、*プライベートルーティング* を使用する Amazon VPC の VPC インターフェイスエンドポイントポリシーを示しています。

```
{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    }
  ]
}
```

### (推奨) バケットアクセスを許可する Amazon S3 ゲートウェイエンドポイントポリシーの例
<a name="vpc-external-vpce-policies-s3"></a>

以下の例は、*プライベートルーティング* を使用する Amazon VPC の Amazon ECR オペレーションに必要な Amazon S3 バケットへのアクセスを提供する VPC ゲートウェイエンドポイントポリシーを示しています。DAG とサポートファイルが保存されているバケットに加えて、Amazon ECR イメージを取得にも必要です。

```
{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-us-east-1-starport-layer-bucket/*"]
    }
  ]
}
```