網絡訪問
本文介紹了網絡安全配置磚的部署和管理賬戶和工作區。
網絡安全概述
磚默認提供一個安全的網絡環境,但如果您的組織有額外的需求,您可以配置網絡安全特性在你磚的資源。並不是所有的安全功能都可用在所有定價層。下表包含的功能概述和他們如何定價計劃一致。
功能 |
定價層 |
---|---|
Customer-managed VPC |
溢價 |
AWS PrivateLink支持 |
企業 |
安全集群連接 |
標準 |
IP訪問列表 |
企業 |
在自己的VPC部署一個工作區
一個AWS的虛擬私有雲(VPC)允許您提供一個邏輯上的孤立部分AWS雲,您可以啟動AWS資源在一個虛擬網絡。VPC是磚集群的網絡位置。默認情況下,磚創建並管理的VPC磚工作區。
你可以提供你自己的VPC主機磚集群,使您保持更多的控製自己的AWS帳戶並限製輸出連接。要利用customer-managed VPC,您必須指定一個VPC當你第一次創建磚工作區。你可以在工作空間共享vpc,但你不能在工作區之間共享子網。有關更多信息,請參見Customer-managed VPC。
使AWS PrivateLink
AWS PrivateLink提供私人連接AWS vpc AWS服務和本地網絡沒有向公眾公開交通網絡。磚支持兩種PrivateLink連接類型:
前端(用戶空間):前端PrivateLink連接允許用戶連接到磚web應用程序中,REST API,磚API在VPC接口連接的端點。
後端(數據平麵控製平麵)從磚:這使得私人連接計算磚工作空間的核心服務。
有關更多信息,請參見使AWS PrivateLink。
集群部署一個工作區與安全連接
所有新工作區創建默認集群安全連接。啟用安全集群連接時,客戶虛擬網絡沒有開放港口和磚運行時的集群節點沒有公共IP地址。這簡化了網絡管理的需要配置端口安全組或網絡對等。更多地了解集群部署一個工作區與安全連接,看到的安全集群連接。
IP訪問列表
驗證用戶身份證明,但是它不執行用戶的網絡位置。從一個不安全的網絡訪問雲服務帶來的安全風險,特別是當用戶授權訪問敏感數據或個人數據。與IP訪問列表,您可以配置數據磚工作區,這樣用戶連接到服務隻有通過現有的網絡安全的周長。
工作區管理員可以指定IP地址(或CIDR範圍)的公共網絡上被允許訪問。這些IP地址可能屬於出口網關或特定的用戶環境。您還可以指定IP地址和子網。有關詳細信息,請參見IP訪問列表工作區。
您還可以使用PrivateLink屏蔽所有公共互聯網訪問數據磚工作區。
還可以控製訪問帳戶控製台使用IP訪問列表使用一個類似的係統,可以通過UI或配置一個API。此功能隻控製控製台訪問帳戶。控製IP地址訪問帳戶控製台,明白了IP訪問列表賬戶控製台。
配置防火牆規則
許多組織使用防火牆阻止基於域名的流量。你必須允許磚域名列表,確保訪問磚資源。有關更多信息,請參見配置域名防火牆規則。