本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性 AWS Outposts
安全性 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方 AWS 的共同责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将此描述为云的安全性和云中的安全性:
+ **云安全** — AWS 负责保护在 AWS 云中运行 AWS 服务的基础架构。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划合规计划合规计划合](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师定期测试和验证我们安全的有效性。要了解适用的合规计划 AWS Outposts,请参阅按合规计划划分的[范围内的AWSAWS 服务按合规计划](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
有关安全性和合规性的更多信息 AWS Outposts,请参阅[AWS Outposts 机架常见问题解答AWS Outposts 服务器常见问题](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance)。
本文档可帮助您了解在使用时如何应用分担责任模型 AWS Outposts。它说明了如何实现您的安全性和合规性目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的资源。
**Topics**
+ [数据保护](data-protection.md)
+ [Identity and access management](identity-access-management.md)
+ [基础结构安全性](infrastructure-security.md)
+ [恢复能力](disaster-recovery-resiliency.md)
+ [合规性验证](compliance-validation.md)
+ [互联网访问](internet-access.md)
# 中的数据保护 AWS Outposts
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS Outposts。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。此内容包括您 AWS 服务 使用的的安全配置和管理任务。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。
有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
## 静态加密
使用 AWS Outposts,所有数据都处于静态加密状态。密钥材料封装在外部密钥中,而该外部密钥存储可移动设备中,即 Nitro 安全密钥 (NSK)。需要使用 NSK 来解密 Outposts 机架上的数据。
您可以对 EBS 卷和快照使用 Amazon EBS 加密。Amazon EBS 加密使用 AWS Key Management Service (AWS KMS) 和 KMS 密钥。有关更多信息,请参阅《[亚马逊 EBS *用户指南》中的 Amazon EBS* 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。
## 传输中加密
AWS 加密您的 Outpost 与其所在地区之间的传输数据。 AWS 有关更多信息,请参阅 [通过服务链路进行连接](service-links.md)。
您可以使用传输层安全性协议 (TLS) 等加密协议来加密通过本地网关传输到本地网络的传输中敏感数据。
## 数据删除
在停止或终止 EC2 实例时,管理程序将清理分配给实例的内存(设置为零),然后再将内存分配给新实例并重置每个存储块。
销毁 Nitro 安全密钥会以加密方式粉碎您的 Outpost 上的数据。
# 的身份和访问管理 (IAM) AWS Outposts
AWS Identity and Access Management (IAM) 是一项 AWS 服务,可帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员控制谁可以进行身份验证(登录)和授权(有权限)使用 AWS Outposts 资源。使用 IAM 不会产生额外的费用。
**Topics**
+ [AWS Outposts 如何与 IAM 配合使用](security_iam_service-with-iam.md)
+ [策略示例](security_iam_id-based-policy-examples.md)
+ [服务关联角色](using-service-linked-roles.md)
+ [AWS 托管策略](security-iam-awsmanpol.md)
# AWS Outposts 如何与 IAM 配合使用
在使用 IAM 管理对 AWS Outposts 的访问权限之前,请先了解有哪些 IAM 功能可用于 Out AWS posts。
| IAM 功能 | AWS Outposts 支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| 基于资源的策略 | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [策略条件键(特定于服务)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| ACLs | 否 |
| [ABAC(策略中的标签)](#security_iam_service-with-iam-tags) | 是 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [主体权限](#security_iam_service-with-iam-principal-permissions) | 是 |
| 服务角色 | 否 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
## Outposts 基于身份的政策 AWS
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### Outposts 基于身份的策略示例 AWS
要查看 AWS Outposts 基于身份的政策示例,请参阅。[AWS Outposts 政策示例](security_iam_id-based-policy-examples.md)
## AWS Outposts 的政策行动
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看 AWS Outposts 操作列表,请参阅《*服务授权*参[考》 AWS Outposts中定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)。
AWS Outposts 中的策略操作在操作前使用以下前缀:
```
outposts
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
您也可以使用通配符(\$1)指定多个操作。例如,要指定以单词 `List` 开头的所有操作,包括以下操作:
```
"Action": "outposts:List*"
```
## AWS Outposts 的政策资源
**支持策略资源:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
某些 AWS Outposts API 操作支持多种资源。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
]
```
要查看 AWS Outposts 资源类型及其列表 ARNs,请参阅《*服务授权*参考[》 AWS Outposts中定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies)。要了解可以在哪些操作中指定每个资源的 ARN,请参阅 [AWS Outposts定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)。
## AWS Outposts 的策略条件密钥
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看 AWS Outposts 条件键列表,请参阅《*服务授权*参[考》 AWS Outposts中的条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys)。要了解可以使用条件键的操作和资源,请参阅[由定义的操作 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)。
要查看 AWS Outposts 基于身份的政策示例,请参阅。[AWS Outposts 政策示例](security_iam_id-based-policy-examples.md)
## ABAC with Outposts AWS
**支持 ABAC(策略中的标签):**是
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 在 O AWS utposts 中使用临时证书
**支持临时凭证:**是
临时证书提供对 AWS 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## Outposts 的跨服务主体 AWS 权限
**支持转发访问会话(FAS):**是
转发访问会话 (FAS) 使用调用主体的权限 AWS 服务,再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## Outposts 的 AWS 服务相关角色
**支持服务关联角色:**是
服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理 AWS Outposts 服务相关角色的详细信息,请参阅。[的服务相关角色 AWS Outposts](using-service-linked-roles.md)
# AWS Outposts 政策示例
默认情况下,用户和角色无权创建或修改 AWS Outposts 资源。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关 AWS Outposts 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权*参考》 AWS Outposts中的[操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html)。 ARNs
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [示例:使用资源级权限](#outposts-policy-examples)
## 策略最佳实践
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 O AWS utposts 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 示例:使用资源级权限
以下示例使用资源级权限来授予权限,以获取有关指定 Outpost 的信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
以下示例使用资源级权限来授予权限,以获取有关指定站点的信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# 的服务相关角色 AWS Outposts
AWS Outposts 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种直接链接到 AWS Outposts的服务角色。 AWS Outposts 定义服务相关角色,包括代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可以提高您的设置 AWS Outposts 效率,因为您不必手动添加必要的权限。 AWS Outposts 定义其服务相关角色的权限,除非另有定义,否则 AWS Outposts 只能担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在先删除相关 资源后,才能删除服务相关角色。这样可以保护您的 AWS Outposts 资源,因为您不能无意中删除访问资源的权限。
## 的服务相关角色权限 AWS Outposts
AWS Outposts 使用名为 **AWSServiceRoleForOutposts\$1 *OutpostID*** 的服务相关角色。此角色授予 Outposts 管理网络资源的权限,从而代表您启用私有连接。此角色还允许 Outposts 创建和配置网络接口、管理安全组以及将接口附加到服务链接端点实例。这些权限是建立和维护本地 Outpost 与 AWS 服务之间的安全、私密连接所必需的,从而确保 Outpost 部署的可靠运行。
AWSServiceRoleForOutposts\$1 *OutpostID* 服务相关角色信任以下服务来代入该角色:
+ `outposts.amazonaws.com`
### 服务相关角色策略
AWSServiceRoleForOutposts\$1 *OutpostID* 服务相关角色包括以下策略:
+ [AWSOutpostsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostsServiceRolePolicy
该`AWSOutpostsServiceRolePolicy`策略允许访问由管理的 AWS 资源 AWS Outposts。
此策略 AWS Outposts 允许对指定资源完成以下操作:
+ 操作:`ec2:DescribeNetworkInterfaces`对所有 AWS 资源采取行动
+ 操作:`ec2:DescribeSecurityGroups`对所有 AWS 资源采取行动
+ 操作:`ec2:DescribeSubnets`对所有 AWS 资源采取行动
+ 操作:`ec2:DescribeVpcEndpoints`对所有 AWS 资源采取行动
+ 操作:`ec2:CreateNetworkInterface`对以下 AWS 资源采取行动:
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ 操作:`ec2:CreateNetworkInterface`对符合以下条件`"arn:*:ec2:*:*:network-interface/*"`的 AWS 资源执行操作:
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ 操作:`ec2:CreateSecurityGroup`对以下 AWS 资源采取行动:
```
"arn:*:ec2:*:*:vpc/*"
```
+ 操作:`ec2:CreateSecurityGroup`对符合以下条件`"arn:*:ec2:*:*:security-group/*"`的 AWS 资源执行操作:
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostsPrivateConnectivityPolicy\$1OutpostID
该`AWSOutpostsPrivateConnectivityPolicy_OutpostID`策略 AWS Outposts 允许对指定资源完成以下操作:
+ 操作:`ec2:AuthorizeSecurityGroupIngress`对符合以下条件的所有 AWS 资源执行操作:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 操作:`ec2:AuthorizeSecurityGroupEgress`对符合以下条件的所有 AWS 资源执行操作:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 操作:`ec2:CreateNetworkInterfacePermission`对符合以下条件的所有 AWS 资源执行操作:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 操作:`ec2:CreateTags`对符合以下条件的所有 AWS 资源执行操作:
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ 操作:`ec2:RevokeSecurityGroupIngress`对符合以下条件的所有 AWS 资源执行操作:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 操作:`ec2:RevokeSecurityGroupEgress`对符合以下条件的所有 AWS 资源执行操作:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 操作:`ec2:DeleteNetworkInterface`对符合以下条件的所有 AWS 资源执行操作:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 操作:`ec2:DeleteSecurityGroup`对符合以下条件的所有 AWS 资源执行操作:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 为创建服务相关角色 AWS Outposts
您无需手动创建服务关联角色。在中为 Outpost 配置私有连接时 AWS 管理控制台, AWS Outposts 会为您创建服务相关角色。
有关更多信息,请参阅 [服务链路私有连接选项](private-connectivity.md)。
## 编辑服务相关角色 AWS Outposts
AWS Outposts 不允许您编辑 AWSService RoleForOutposts \$1 *OutpostID* 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[更新服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html)。
## 删除的服务相关角色 AWS Outposts
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样,您就可以避免使用当前未监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
如果您尝试删除资源时 AWS Outposts 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
必须先删除 Outpost,然后才能删除 AWSService RoleForOutposts \$1 *OutpostID* 服务相关角色。
在开始之前,请确保没有使用 AWS Resource Access Manager (AWS RAM) 共享您的前哨基地。有关更多信息,请参阅[取消共享的 Outpost](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare) 资源。
**删除 AWSService RoleForOutposts \$1 使用的 AWS Outposts 资源 *OutpostID***
联系 AWS Enterprise Support 删除你的 Outpost
**使用 IAM 手动删除服务关联角色**
有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Outposts 服务相关角色支持的区域
AWS Outposts 支持在提供服务的所有区域中使用服务相关角色。欲了解更多信息,请参阅 [Outp FAQs osts 机架](https://aws.amazon.com/outposts/rack/faqs/)。
# AWS AWS Outposts 的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AWSOutpostsServiceRolePolicy
此政策附属于服务相关角色,该角色允许 Outpo AWS sts 代表您执行操作。有关更多信息,请参阅 [服务关联角色](using-service-linked-roles.md)。
## AWS Outposts 对托管政策的 AWS 更新
查看自该服务开始跟踪这些变更以来 AWS Outposts AWS 托管政策更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| AWS Identity and Access Management 服务相关角色 AWSServiceRoleForOutposts的更新 \$1 OutpostID | AWSServiceRoleForOutposts\$1 OutpostID 服务关联角色权限已更新,以完善私有连接网络资源的 AWS Outposts 管理方式,更精确地控制服务链路端点实例所需的网络接口和安全组操作。 | 2025 年 4 月 18 日 |
| AWS Outposts 开始追踪变更 | AWS Outposts 开始跟踪其 AWS 托管政策的变更。 | 2019 年 12 月 3 日 |
# 基础设施安全 AWS Outposts
作为一项托管服务, AWS Outposts受到 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已发布的 API 调用通过网络访问 AWS Outposts。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
有关为 Outpost 上运行的 EC2 实例和 EBS 卷提供的基础设施安全的更多信息,请参阅 [Amazon EC2 中的基础设施安全](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html)。
VPC 流日志的功能与在 AWS 区域中的功能相同。这意味着它们可以发布到 CloudWatch 日志、Amazon S3 或亚马逊 GuardDuty 进行分析。需要将数据发送回该地区以发布到这些服务,因此,当 Outpost 处于断开连接状态时,这些数据无法从 CloudWatch 或其他服务中看到。
## 对设备进行篡改监 AWS Outposts 控
确保没有人对设备进行修改、改动、逆向工程或篡改。 AWS Outposts AWS Outposts 设备可能配备防篡改监控功能,以确保遵守[AWS 服务条款](https://aws.amazon.com/service-terms/)。
# 韧性在 AWS Outposts
AWS Outposts 旨在实现高可用性。Outposts 机架采用冗余电源和网络设备设计。为了提高弹性,建议您为 Outpost 提供双电源和冗余网络连接。
要获得高可用性,您可以在 Outpost 机架上预配置始终处于活动状态的额外内置容量。Outpost 容量配置专为在生产环境中运行而设计,并且在您为每个实例系列预配置容量后,每个实例系列均支持 N\$11 个实例。 AWS 建议您为任务关键型应用程序分配足够的额外容量,以便在出现潜在主机问题时进行恢复和失效转移。您可以使用 Amazon CloudWatch 容量可用性指标和设置警报来监控应用程序的运行状况,创建 CloudWatch 操作来配置自动恢复选项,并监控 Outposts 随时间推移的容量利用率。
创建 Outpost 时,您可以从一个 AWS 区域中选择一个可用区。此可用区支持控制面板操作,例如响应 API 调用、监控 Outpost 和更新 Outpost 等。要从可用区提供的弹性中受益,您可以将应用程序部署到多个 Outpost 上,并将每个 Outpost 关联到不同的可用区。这样,您既能增强应用程序的弹性,又可避免依赖于单个可用区。有关区域和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
您可以使用具有分布策略的置放群组来确保将实例放置到不同的 Outpost 机架上。这样做可以帮助减少相关的故障。有关更多信息,请参阅 [Outpost 上的置放群组](outposts-optimizations.md#placement-groups-outpost)。
您可以使用 Amazon EC2 Auto Scaling 在 Outpost 中启动实例,并通过创建应用程序负载均衡器在实例之间分配流量。有关更多信息,请参阅[在 AWS Outposts中配置应用程序负载均衡器](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/)。
# 合规性验证 AWS Outposts
要了解是否属于特定合规计划的范围,请参阅AWS 服务 “[按合规计划划分的范围](https://aws.amazon.com/compliance/services-in-scope/)” ”,然后选择您感兴趣的合规计划。 AWS 服务 有关一般信息,请参阅[AWS 合规计划AWS](https://aws.amazon.com/compliance/programs/)。
您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅中的 “[下载报告” 中的 “ AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您在使用 AWS 服务 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。有关您在使用时的合规责任的更多信息 AWS 服务,请参阅[AWS 安全文档](https://docs.aws.amazon.com/security/)。
# AWS Outposts 工作负载的互联网接入
本节介绍 AWS Outposts 工作负载如何通过以下方式访问互联网:
+ 通过父 AWS 区域
+ 通过本地数据中心的网络
## 通过父 AWS 区域访问互联网
在此选项中,Outposts 中的工作负载通过服务链接访问互联网,然后通过父区域的互联网网关 (IGW) 访问互联网。 AWS 通往互联网的出站流量可通过 VPC 中实例化的 NAT 网关传输。为了进一步保护您的入口和出口流量,您可以 CloudFront 在该地区使用 AWS 安全服务 AWS WAF,例如 AWS Shield、和 Amazon。 AWS
有关 Outposts 子网上的路由表设置,请参阅[本地网关路由表](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html)。
### 注意事项
+ 在以下情况下使用此选项:
+ 您需要灵活地通过该 AWS 地区的多种 AWS 服务来保护互联网流量。
+ 您的数据中心或主机托管设施中没有互联网接入点。
+ 在此选项中,流量必须穿过父 AWS 区域,这会带来延迟。
+ 与 AWS 区域中的数据传输费用类似,从父可用区传输到前哨基地的数据会产生费用。要了解有关数据传输的更多信息,请参阅 [Amazon EC2 按需定价](https://aws.amazon.com/ec2/pricing/on-demand/)。
+ 服务链路带宽的利用率将提高。
下图显示了 Outposts 实例中的工作负载与通过父 AWS 区域的互联网之间的流量。
![\[显示 Outposts 实例中的工作负载与通过父 AWS 区域的互联网之间的流量。\]](http://docs.aws.amazon.com/zh_cn/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## 通过本地数据中心的网络访问互联网
在此选项中,驻留在 Outposts 中的工作负载通过您的本地数据中心访问互联网。访问互联网的工作负载流量通过您的本地互联网接入点和本地出口传输。本地数据中心网络的安全层负责确保 Outposts 工作负载流量的安全。
有关 Outposts 子网上的路由表设置,请参阅[本地网关路由表](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html)。
### 注意事项
+ 在以下情况下使用此选项:
+ 您的工作负载需要低延迟访问互联网服务。
+ 您希望避免产生数据传出(DTO)费用。
+ 您想为控制面板流量保留服务链路带宽。
+ 您的安全层负责确保 Outposts 工作负载流量的安全。
+ 如果您选择直接 VPC 路由 (DVR),则必须确保 CIDRs Outposts 不会与本地发生冲突。 CIDRs
+ 如果默认路由(0/0)通过本地网关(LGW)传播,那么实例可能无法到达服务端点。或者,您也可以选择 VPC 端点来访问所需的服务。
下图显示了 Outposts 实例中的工作负载与互联网之间通过您的本地数据中心的流量。
![\[显示 Outposts 实例中的工作负载与互联网之间通过您的数据中心网络的流量。\]](http://docs.aws.amazon.com/zh_cn/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)