VPC 的安全最佳实践
以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。
-
向 VPC 添加子网以托管应用程序时,请在多个可用区中创建子网。可用区是 Amazon 区域中一个或多个具有冗余电源、网络和连接的离散数据中心。使用可用区可为生产级应用程序提供高可用性、容错能力和可扩展性。有关详细信息,请参阅 Building a Modular and Scalable Virtual Network Architecture with Amazon VPC(《使用 Amazon VPC 构建模块化和可扩展的虚拟网络架构》)。
-
使用网络 ACL 控制对子网的访问,并使用安全组来控制到子网中的 EC2 实例的流量。有关更多信息,请参阅 使用网络 ACL 控制指向子网的流量 和 使用安全组控制到资源的流量。
-
使用 Amazon Identity and Access Management(IAM)身份联合验证、用户和角色,管理对 Amazon 资源和 API 的访问。有关更多信息,请参阅适用于 Amazon VPC 的 Identity and Access Management。
-
将 Amazon CloudWatch 与 VPC 流日志结合使用,监控您的 VPC 中传入和传出网络接口的 IP 流量。有关更多信息,请参阅将流日志发布到 CloudWatch Logs。
有关 VPC 安全性的常见问题的答案,请参阅 Amazon VPC 常见问题解答