VPC 的安全最佳实践 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

VPC 的安全最佳实践

以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。

  • 向 VPC 添加子网时,请选择多个可用区(AZ)以确保这些子网中托管的资源具有高可用性。可用区是一个 Amazon 区域中具有冗余电源、联网和连接的一个或多个离散数据中心。可用区使您能够使生产级应用程序具有高可用性、容错能力和可扩展性。有关向多个可用区添加子网的更多信息,请参阅 创建 VPC

  • 使用网络 ACL 控制对子网的访问,并使用安全组来控制到子网中的 EC2 实例的流量。有关更多信息,请参阅 使用网络 ACL 控制指向子网的流量使用安全组控制到资源的流量

  • 使用 Amazon Identity and Access Management(IAM)身份联合验证、用户和角色,管理对 Amazon 资源和 API 的访问。有关更多信息,请参阅适用于 Amazon VPC 的 Identity and Access Management

  • 将 Amazon CloudWatch 与 VPC 流日志结合使用,监控您的 VPC 中传入和传出网络接口的 IP 流量。有关更多信息,请参阅将流日志发布到 CloudWatch Logs

有关 VPC 安全性的常见问题的答案,请参阅 Amazon VPC 常见问题解答中的安全性和筛选