Network Firewallを使用する

  • 更新
フォローする

このドキュメントの対象ユーザー

admin-line.png
管理者・環境管理者

 

概要

連携エージェントが作成するセキュリティグループでは、全てのアウトバウンドトラフィックを許可しますが、この設定は運用上、許容されない場合があります。

セキュリティグループの設定の変更、もしくはネットワークACLを使用して、特定のIPアドレス範囲でのアウトバウンドトラフィックを制限することは可能ですが、データソースによっては、対象とすべきIPアドレスの範囲が不定かつ広範囲である場合があり、セキュリティグループもしくはネットワークACLでは設定の実現が困難な場合があります。この場合、AWS Network Firewallを使用して、アウトバウンドトラフィックを制限することができます。

AWS Network Firewallの配置では、専用のサブネットをNATゲートウェイのあるパブリックサブネットの前段に構築し、NATゲートウェイからまでのトラフィックを経由させることで、IPアドレス範囲だけではなく、ドメインを使用したトラフィックの制御を行うことが可能です。

連携エージェントは、VPC内のプライベートサブネットに配置します。実行環境であるAWS Batchに割り当てるパブリックIPアドレスを固定するためには、NATゲートウェイを配置します。これは、エージェントの実行環境であるAWS Batchは、サーバレス構成であるためです。

連携エージェントは、NATゲートウェイを経由してデータソースに接続し、メタデータを取得します。このとき、データソースにアクセスするIPアドレスは、NATゲートウェイが割り当てた固定のパブリックIPアドレスです。

 

AWS構成図の例

以下は、データソースがお客様AWSアカウント外にある場合の例です。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

関連記事