本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理對 VPC Lattice 服務的存取
根據預設,VPC Lattice 是安全的,因為您必須明確了解要提供 VPCs 存取權的 服務和資源組態。您可以透過 VPC 關聯或 VPC 端點類型服務網路來存取 服務。對於多帳戶案例,您可以使用 AWS Resource Access Manager 跨帳戶邊界共享服務、資源組態和服務網路。
VPC Lattice 提供架構,可讓您在網路的多個層實作defense-in-depth策略。
-
第一層 – 服務、資源、VPC 和 VPC 端點與服務網路的關聯。VPC 可以透過關聯或透過 VPC 端點連接到服務網路。如果 VPC 未連線至服務網路,VPC 中的用戶端無法存取與服務網路相關聯的服務和資源組態。
-
第二層 – 服務網路的選用網路層級安全保護,例如安全群組和網路 ACLs。透過使用這些項目,您可以允許存取 VPC 中的特定用戶端群組,而不是 VPC 中的所有用戶端。
-
第三層 – 選用的 VPC Lattice 驗證政策。您可以將身分驗證政策套用至服務網路和個別服務。一般而言,服務網路上的身分驗證政策是由網路或雲端管理員操作,而且它們會實作粗細授權。例如, 僅允許來自特定組織的已驗證請求 AWS Organizations。對於服務層級的身分驗證政策,通常服務擁有者會設定精細的控制項,其可能比在服務網路層級套用的粗略精細授權更嚴格。
注意
服務網路上的身分驗證政策不適用於服務網路中的資源組態。
