“簡而言之,它是相同的配置隻有私人的IP端點的IP訪問列表和禁用公共訪問嗎?”
並不適用於訪問列表私人“誘導多能性”,公共IP(因特網)。相關部分的文檔:
“如果你使用PrivateLink,注意,IP訪問列表僅適用於請求在互聯網上(公共IP地址)。私有IP地址從PrivateLink交通不能被IP訪問列表。阻止特定的私有IP地址PrivateLink流量,使用AWS網絡防火牆”。
一個經驗法則:公共ip隻能連接到公共端點,私人IPs隻能連接到私人端點。
最“安全”的方式隻有通過私人訪問工作區鏈接(您的私人端點),但記住,這隻是你的私人網絡安全。你應該確定所有來源,需要訪問您的工作區(最終用戶、devops代理SCIM服務,其他服務),試著將它們注入你的私人網絡盡可能多。
在某些情況下,你可能仍然需要公開公共端點,因為一些服務/交通隻有從互聯網(例如AAD SCIM供應或(公共)devops構建代理)。在這種情況下,你仍然需要應用訪問列表限製訪問盡可能多的(但是記住,你通常不能控製這些IPs,所以他們可能不時地改變)。
