本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的安全性 AWS Outposts
安全 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端的安全性和雲端中的安全性:
+ **雲端的安全性** – AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。 AWS 也為您提供可安全使用的服務。在[AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用的合規計劃 AWS Outposts,請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
如需 安全與合規的詳細資訊 AWS Outposts,請參閱[AWS Outposts 機架常見問答集](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance)。
本文件可協助您了解如何在使用 時套用共同責任模型 AWS Outposts。其中說明如何達成您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 資源。
**Topics**
+ [資料保護](data-protection.md)
+ [身分與存取管理](identity-access-management.md)
+ [基礎設施安全性](infrastructure-security.md)
+ [恢復能力](disaster-recovery-resiliency.md)
+ [法規遵循驗證](compliance-validation.md)
+ [網際網路存取](internet-access.md)
# 中的資料保護 AWS Outposts
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 中的資料保護 AWS Outposts。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。此內容包含 AWS 服務 您使用之 的安全組態和管理任務。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。
如需有關資料隱私權的更多相關資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
## 靜態加密
使用 時 AWS Outposts,所有資料都會進行靜態加密。金鑰材料會包裝到外部金鑰,儲存在抽取式裝置中,也就是 Nitro 安全金鑰 (NSK)。需要 NSK 才能解密 Outposts 機架的資料。
您可以對 EBS 磁碟區和快照使用 Amazon EBS 加密。Amazon EBS 加密使用 AWS Key Management Service (AWS KMS) 和 KMS 金鑰。如需詳細資訊,請參閱《[Amazon EBS 使用者指南》中的 Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。 **
## 傳輸中加密
AWS 會加密 Outpost 與其 AWS 區域之間的傳輸中資料。如需詳細資訊,請參閱[透過服務連結的連線](service-links.md)。
您可以使用 Transport Layer Security (TLS) 等加密通訊協定,對透過本機閘道傳輸到您本機區域網路的敏感資料進行加密。
## 資料刪除
當您停止或終止 EC2 執行個體時,Hypervisor 會先清除配置到該執行個體的記憶體 (設定為零),再將其配置到新的執行個體,而且會重設儲存體的每個區塊。
銷毀 Nitro 安全金鑰會以密碼編譯方式銷毀 Outpost 上的資料。
# 的身分和存取管理 (IAM) AWS Outposts
AWS Identity and Access Management (IAM) 是一種 AWS 服務,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以進行驗證 (登入) 和授權 (具有許可) 來使用 AWS Outposts 資源。您可以免費使用 IAM。
**Topics**
+ [AWS Outposts 如何與 IAM 搭配使用](security_iam_service-with-iam.md)
+ [政策範例](security_iam_id-based-policy-examples.md)
+ [服務連結角色](using-service-linked-roles.md)
+ [AWS 受管政策](security-iam-awsmanpol.md)
# AWS Outposts 如何與 IAM 搭配使用
在您使用 IAM 管理對 AWS Outposts 的存取之前,請先了解哪些 IAM 功能可與 AWS Outposts 搭配使用。
| IAM 功能 | AWS Outposts 支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies) | 是 |
| 資源型政策 | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [政策條件索引鍵 (服務特定)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| ACL | 否 |
| [ABAC (政策中的標籤)](#security_iam_service-with-iam-tags) | 是 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions) | 是 |
| 服務角色 | 否 |
| [服務連結角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
## AWS Outposts 的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### AWS Outposts 的身分型政策範例
若要檢視 AWS Outposts 身分型政策的範例,請參閱 [AWS Outposts 政策範例](security_iam_id-based-policy-examples.md)。
## AWS Outposts 的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要查看 AWS Outposts 動作的清單,請參閱《*服務授權參考*》中的 [定義的動作 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)。
AWS Outposts 中的政策動作在動作之前使用以下字首:
```
outposts
```
如需在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `List` 文字的所有動作,請包含以下動作:
```
"Action": "outposts:List*"
```
## AWS Outposts 的政策資源
**支援政策資源:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
有些 AWS Outposts API 動作支援多個資源。若要在單一陳述式中指定多項資源,請使用逗號分隔 ARN。
```
"Resource": [
"resource1",
"resource2"
]
```
若要查看 AWS Outpost 資源類型及其 ARNs的清單,請參閱*《服務授權參考*》中的 [定義的資源類型 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 [AWS Outposts定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)。
## AWS Outposts 的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要查看 AWS Outposts 條件索引鍵的清單,請參閱《*服務授權參考*》中的 [的條件索引鍵 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys)。若要了解您可以使用條件索引鍵的動作和資源,請參閱 [定義的動作 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)。
若要檢視 AWS Outposts 身分型政策的範例,請參閱 [AWS Outposts 政策範例](security_iam_id-based-policy-examples.md)。
## ABAC 與 AWS Outpost
**支援 ABAC (政策中的標籤):**是
屬性型存取控制 (ABAC) 是一種授權策略,依據稱為標籤的屬性來定義許可。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 搭配 AWS Outposts 使用臨時登入資料
**支援臨時憑證:**是
臨時登入資料提供對 AWS 資源的短期存取,並在您使用聯合或切換角色時自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## AWS Outposts 的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## AWS Outposts 的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理 AWS Outposts 服務連結角色的詳細資訊,請參閱 [的服務連結角色 AWS Outposts](using-service-linked-roles.md)。
# AWS Outposts 政策範例
根據預設,使用者和角色沒有建立或修改 AWS Outpost 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 AWS Outposts 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的 [的動作、資源和條件索引鍵 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [範例:使用資源層級許可](#outposts-policy-examples)
## 政策最佳實務
身分型政策會判斷您帳戶中的某人是否可以建立、存取或刪除 AWS Outpost 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 範例:使用資源層級許可
下列範例使用資源層級許可來授予許可,以便取得指定 Outpost 的相關資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
下列範例使用資源層級許可來授予許可,以便取得指定站點的相關資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# 的服務連結角色 AWS Outposts
AWS Outposts use AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是一種直接連結至 的服務角色類型 AWS Outposts。 AWS Outposts 會定義服務連結角色,並包含代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您的 設定 AWS Outposts 更有效率,因為您不必手動新增必要的許可。 AWS Outposts 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Outposts 擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
您必須先刪除相關的 資源,才能刪除服務連結角色。這可保護您的 AWS Outposts 資源,因為您不會不小心移除存取資源的許可。
## 的服務連結角色許可 AWS Outposts
AWS Outposts 使用名為 **AWSServiceRoleForOutposts\$1*OutpostID*** 的服務連結角色。此角色授予 Outpost 管理聯網資源的許可,以代表您啟用私有連線。此角色也允許 Outposts 建立和設定網路介面、管理安全群組,以及將介面連接到服務連結端點執行個體。這些許可是建立和維護內部部署 Outpost AWS 和服務之間安全、私有連線的必要許可,可確保 Outpost 部署的可靠操作。
AWSServiceRoleForOutpost\$1*OutpostID* 服務連結角色信任下列服務可擔任該角色:
+ `outposts.amazonaws.com`
### 服務連結角色政策
AWSServiceRoleForOutposts\$1*OutpostID* 服務連結角色包含下列政策:
+ [AWSOutpostServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostServiceRolePolicy
此`AWSOutpostsServiceRolePolicy`政策可讓您存取 管理 AWS 的資源 AWS Outposts。
此政策允許 對指定的資源 AWS Outposts 完成下列動作:
+ 動作:在所有 AWS 資源`ec2:DescribeNetworkInterfaces`上
+ 動作:在所有 AWS 資源`ec2:DescribeSecurityGroups`上
+ 動作:在所有 AWS 資源`ec2:DescribeSubnets`上
+ 動作:在所有 AWS 資源`ec2:DescribeVpcEndpoints`上
+ 動作:在下列 AWS 資源`ec2:CreateNetworkInterface`上:
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ 動作:在符合下列條件 AWS `"arn:*:ec2:*:*:network-interface/*"`的資源`ec2:CreateNetworkInterface`上:
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ 動作:在下列 AWS 資源`ec2:CreateSecurityGroup`上:
```
"arn:*:ec2:*:*:vpc/*"
```
+ 動作:在符合下列條件 AWS `"arn:*:ec2:*:*:security-group/*"`的資源`ec2:CreateSecurityGroup`上:
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostPrivateConnectivityPolicy\$1OutpostID
此`AWSOutpostsPrivateConnectivityPolicy_OutpostID`政策允許 對指定的資源 AWS Outposts 完成下列動作:
+ 動作:在符合下列條件的所有 AWS 資源`ec2:AuthorizeSecurityGroupIngress`上:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 動作:在符合下列條件的所有 AWS 資源`ec2:AuthorizeSecurityGroupEgress`上:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 動作:在符合下列條件的所有 AWS 資源`ec2:CreateNetworkInterfacePermission`上:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 動作:在符合下列條件的所有 AWS 資源`ec2:CreateTags`上:
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ 動作:在符合下列條件的所有 AWS 資源`ec2:RevokeSecurityGroupIngress`上:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 動作:在符合下列條件的所有 AWS 資源`ec2:RevokeSecurityGroupEgress`上:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 動作:在符合下列條件的所有 AWS 資源`ec2:DeleteNetworkInterface`上:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 動作:在符合下列條件的所有 AWS 資源`ec2:DeleteSecurityGroup`上:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 建立 的服務連結角色 AWS Outposts
您不需要手動建立服務連結角色,當您在 中為 Outpost 設定私有連線時 AWS 管理主控台, 會為您 AWS Outposts 建立服務連結角色。
如需詳細資訊,請參閱[服務連結私有連線選項](private-connectivity.md)。
## 編輯 的服務連結角色 AWS Outposts
AWS Outposts 不允許您編輯 AWSServiceRoleForOutposts\$1*OutpostID* 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱[《IAM 使用者指南》中的更新服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html)。 **
## 刪除 的服務連結角色 AWS Outposts
如果您不再需要使用服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,就不會有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
如果 AWS Outposts 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
您必須先刪除 Outpost,才能刪除 AWSServiceRoleForOutpost\$1*OutpostID* 服務連結角色。
開始之前,請確定您的 Outpost 並未使用 AWS Resource Access Manager () 共用AWS RAM。如需詳細資訊,請參閱[取消共用共用的 Outpost 資源](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare)。
**刪除 AWSServiceRoleForOutposts\$1*OutpostID* 使用 AWS Outposts 的資源**
請聯絡 AWS 企業支援以刪除您的 Outpost。
**使用 IAM 手動刪除服務連結角色**
如需詳細資訊,請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Outposts 服務連結角色支援的區域
AWS Outposts 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [Outposts 機架](https://aws.amazon.com/outposts/rack/faqs/)的FAQs。
# AWS AWS Outposts 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AWSOutpostsServiceRolePolicy
此政策會連接到服務連結角色,允許 AWS Outposts 代表您執行動作。如需詳細資訊,請參閱[服務連結角色](using-service-linked-roles.md)。
## AWS Outpost 更新 AWS 受管政策
檢視自此服務開始追蹤這些變更以來, AWS Outposts AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AWS Identity and Access Management 服務連結角色 AWSServiceRoleForOutposts\$1OutpostID 的更新 | AWSServiceRoleForOutposts\$1OutpostID 服務連結角色許可已更新,以精簡 如何 AWS Outposts 管理私有連線的網路資源,並更精確地控制服務連結端點執行個體所需的網路界面和安全群組操作。 | 2025 年 4 月 18 日 |
| AWS Outpost 已開始追蹤變更 | AWS Outposts 開始追蹤其 AWS 受管政策的變更。 | 2019 年 12 月 3 日 |
# 中的基礎設施安全 AWS Outposts
作為受管服務, AWS Outposts 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務來設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取 AWS Outpost。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
如需為 Outpost 上所執行 EC2 執行個體和 EBS 磁碟區提供之基礎設施安全的詳細資訊,請參閱《[Amazon EC2 中的基礎設施安全](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html)》。
VPC 流程日誌的運作方式與 AWS 區域中的運作方式相同。這表示可將其發佈至 CloudWatch Logs、Amazon S3 或 Amazon GuardDuty 進行分析。需要將資料傳回區域才能發佈至這些服務,因此當 Outpost 處於中斷連線狀態時,CloudWatch 或其他服務將無法看到資料。
## AWS Outposts 設備上的竄改監控
確保沒有人修改、更改、反向工程或竄改 AWS Outposts equipment. AWS Outposts equipment 可能配備竄改監控,以確保符合 [AWS 服務條款](https://aws.amazon.com/service-terms/)。
# 中的彈性 AWS Outposts
AWS Outposts 專為高度可用性而設計。Outposts 機架的設計採用備援電源和聯網設備。為了提高恢復能力,建議您為 Outpost 提供雙電源和備援網路連線。
為了獲得高可用性,您可以在 Outpost 機架上佈建額外的內建且永遠處於作用中的容量。Outpost 容量組態是專為在生產環境中運作所設計,當您佈建容量時,可支援每個執行個體系列 N\$11 個執行個體。 AWS 建議您為任務關鍵型應用程式配置足夠的額外容量,以便在發生基礎主機問題時進行復原和容錯移轉。您可以使用 Amazon CloudWatch 容量可用性指標並設定警示來監控應用程式的運作狀態、建立 CloudWatch 動作來設定自動復原選項,以及監控 Outpost 在一段時間內的容量使用率。
當您建立 Outpost 時,您可以從 AWS 區域選取可用區域。此可用區域支援控制平面操作,例如回應 API 呼叫、監控 Outpost 及更新 Outpost。若要利用可用區域提供的恢復能力,您可以在多個 Outpost 上部署應用程式,並將每個應用程式連接至不同的可用區域。這可讓您提高應用程式恢復能力,避免依賴單一可用區域。如需區域與可用區域的詳細資訊,請參閱《[AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)》。
您可以使用具有分散策略的放置群組,確保將執行個體放在不同的 Outpost 機架上。這樣做可協助減少相互關聯的故障。如需詳細資訊,請參閱[Outpost 中的放置群組](outposts-optimizations.md#placement-groups-outpost)。
您可以使用 Amazon EC2 Auto Scaling 在 Outpost 中啟動執行個體,並建立 Application Load Balancer 在執行個體之間分配流量。如需詳細資訊,請參閱《[在 AWS Outposts上設定 Application Load Balancer](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/)》。
# 的合規驗證 AWS Outposts
若要了解 AWS 服務 是否在特定合規計劃範圍內,請參閱[AWS 服務 合規計劃範圍內](https://aws.amazon.com/compliance/services-in-scope/)然後選擇您感興趣的合規計劃。如需一般資訊,請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[下載報告 in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)
您使用 時的合規責任 AWS 服務 取決於資料的敏感度、您公司的合規目標,以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務,請參閱 [AWS 安全文件](https://docs.aws.amazon.com/security/)。
# AWS Outposts 工作負載的網際網路存取
本節說明 AWS Outposts 工作負載如何以下列方式存取網際網路:
+ 透過父 AWS 區域
+ 透過本機資料中心的網路
## 透過父 AWS 區域存取網際網路
在此選項中,Outposts 中的工作負載會透過服務連結存取網際網路,然後透過父 AWS 區域中的網際網路閘道 (IGW) 存取網際網路。網際網路的傳出流量可以透過 VPC 中執行個體化的 NAT 閘道。為了提高輸入和輸出流量的安全性,您可以在 AWS 區域中使用 AWS 安全服務 AWS WAF,例如 AWS Shield和 Amazon CloudFront。
如需 Outposts 子網路上的路由表設定,請參閱[本機閘道路由表](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html)。
### 考量事項
+ 在下列情況下使用此選項:
+ 您需要在 AWS 區域中使用多個 AWS 服務來保護網際網路流量的彈性。
+ 您的資料中心或主機代管設施中沒有網際網路點。
+ 在此選項中,流量必須周遊父 AWS 區域,這會引入延遲。
+ 與 AWS 區域中的資料傳輸費用類似,從父可用區域到 Outpost 的資料傳輸會產生費用。若要進一步了解資料傳輸,請參閱 [Amazon EC2 隨需定價](https://aws.amazon.com/ec2/pricing/on-demand/)。
+ 服務連結頻寬的使用率將會增加。
下圖顯示 Outposts 執行個體中的工作負載與網際網路之間經過父 AWS 區域的流量。
![\[顯示 Outposts 執行個體中的工作負載與網際網路之間經過父 AWS 區域的流量。\]](http://docs.aws.amazon.com/zh_tw/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## 透過您本機資料中心的網路進行網際網路存取
在此選項中,位於 Outposts 中的工作負載會透過本機資料中心存取網際網路。存取網際網路的工作負載流量會透過本機網際網路的存在點周遊,並在本機輸出。本機資料中心網路的安全層負責保護 Outposts 工作負載流量。
如需 Outposts 子網路上的路由表設定,請參閱[本機閘道路由表](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html)。
### 考量事項
+ 在下列情況下使用此選項:
+ 您的工作負載需要低延遲存取網際網路服務。
+ 您偏好避免產生資料傳輸 (DTO) 費用。
+ 您想要保留控制平面流量的服務連結頻寬。
+ 您的安全層負責保護 Outposts 工作負載流量。
+ 如果您選擇直接 VPC 路由 (DVR),則必須確保 Outposts CIDRs 不會與內部部署 CIDRs衝突。
+ 如果預設路由 (0/0) 透過本機閘道 (LGW) 傳播,則執行個體可能無法存取服務端點。或者,您可以選擇 VPC 端點以到達所需的服務。
下圖顯示 Outposts 執行個體中的工作負載與網際網路之間經過您本機資料中心的流量。
![\[顯示 Outposts 執行個體中的工作負載與透過資料中心網路的網際網路之間的流量。\]](http://docs.aws.amazon.com/zh_tw/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)