屏蔽 VPC 和子网的公共访问权限
VPC 屏蔽公共访问权限(BPA)是一项集中式安全功能,可让您以权威方式屏蔽整个 AWS 账户对 VPC 资源的公共互联网访问,从而确保符合安全要求,同时为特定的例外情况和审计功能提供灵活性。
VPC BPA 功能有以下几种模式:
-
双向:进出此区域互联网网关和仅出口互联网网关的所有流量(排除的 VPC 和子网除外)均被阻止。
-
仅入口:此区域 VPC 的所有互联网流量(排除的 VPC 或子网除外)均被阻止。仅允许进出 NAT 网关和仅出口互联网网关的流量,因为这些网关仅允许建立出站连接。
您也可以针对不想阻止的流量为此功能创建“排除项”。排除是一种可以应用于单个 VPC 或子网的模式,可将其排除在账户的 BPA 模式之外,并允许双向或仅出口访问。
排除可以采用以下任一模式:
-
双向:允许进出已排除 VPC 和子网的所有互联网流量。
-
仅出口:允许来自已排除 VPC 和子网的出站互联网流量。进入已排除 VPC 和子网的入站互联网流量已被阻止。这仅在 BPA 设置为“双向”时适用。
