AWS PrivateLink と Amazon EFS を使用してコンプライアンス要件を維持する

Amazon Elastic File System (Amazon EFS) は、あらゆる分野、あらゆるバーチカルで、世界中の数千社サービスを提供しています。多くのカスタマーには、コンプライアンスまたは規制要件に基づいて、非常に具体的なネットワークとネットワーク管理ポリシーがあります。今日は AWS PrivateLink を使用して Amazon EFS に対して Amazon VPC エンドポイントを作成することにより、コンプライアンスを満たすか、向上させる方法を示します。

Amazon EFS は AWS クラウドサービスとオンプレミスリソースで使用するために Linux ベースのワークロードに対して、単純でスケール自在、伸縮自在な NFS ファイルサービスを提供します。AWS PrivateLink はトラフィックがパブリックインターネットを通過しないようにすることにより、クラウドベースのアプリケーションと共有されるデータのセキュリティを簡素化し、VPC、AWS のサービス、オンプレミスアプリケーション間のプライベート接続を Amazon ネットワークで安全に提供します。

Amazon EFS は AWS PrivateLink を使用するかどうかにかかわらず、すでに業界標準の TLS をサポートして、通過するデータの暗号化 を保護しています。多くのお客様もまた、Amazon EFS API を使用して、EFS ファイルシステムの作成と管理を自動化します。Amazon VPC エンドポイントを使用して、VPC からパブリックインターネットに接続されていない Amazon EFS API を、パブリック IP アドレスを使わずに、また Amazon ネットワークを離れることなく、呼び出すことができます。これにより、適用可能なセキュリティとコンプライアンスの要件を満たし、AWS ネットワーク内にネットワークトラフィックを維持することで、AWS でホストされているサービスに容易にかつ安全にアクセスする上で役立ちます。

AWS PrivateLink を使用するために、Amazon EFS の インターフェイス VPC エンドポイント を VPC で Amazon VPC コンソール、SDK または CLI を使用して作成します。最初にコンソールの使用方法を示します。

VPC コンソールから、[Endpoints] および [Create a New Endpoint] を選択します。

サポートされたサービスのリストから [Amazon EFS] を選択し、EFS のエンドポイントを選択します。

サービスエンドポイントを選択した後で、既存の VPC toサブネットから選択して、VPC 選択に対してプライベート DNS を使用するかどうかを選択し、既存のセキュリティグループを選択するか、新しいセキュリティグループを作成することができます。

カスタム VPC エンドポイントポリシーを作成することもできます。デフォルトのポリシーが下記に示されるように提供されます。[Create endpoint] を選択して、プロセスを完了します。

これで、サブネットで Amazon EFS API リクエストを行うプライベート IP アドレスをもつ Elastic Network Interface (ENI) を作成しました。オンプレミス環境から、または AWS VPN、AWS Direct Connect、VPC Peering を使用して他の VPC から VPC エンドポイントにアクセスすることもできます。

VPC エンドポイント設定、VPC コンソールから VPC ポリシーをいつでも表示し、管理できます。

以下のコメントセクションでフィードバックをお聞かせください。詳細については、Amazon EFS ウェブサイトにアクセスするか、AWS コンソールで始めてください。