網絡訪問

本文介紹了網絡安全配置磚的部署和管理賬戶和工作區。

網絡安全概述

磚默認提供一個安全的網絡環境,但如果您的組織有額外的需求,您可以配置網絡安全特性在你磚的資源。並不是所有的安全功能都可用在所有定價層。下表包含的功能概述和他們如何定價計劃一致。

功能

定價層

Customer-managed VPC

溢價

AWS PrivateLink支持

企業

安全集群連接

標準

IP訪問列表

企業

在自己的VPC部署一個工作區

一個AWS的虛擬私有雲(VPC)允許您提供一個邏輯上的孤立部分AWS雲,您可以啟動AWS資源在一個虛擬網絡。VPC是磚集群的網絡位置。默認情況下,磚創建並管理的VPC磚工作區。

你可以提供你自己的VPC主機磚集群,使您保持更多的控製自己的AWS帳戶並限製輸出連接。要利用customer-managed VPC,您必須指定一個VPC當你第一次創建磚工作區。你可以在工作空間共享vpc,但你不能在工作區之間共享子網。有關更多信息,請參見Customer-managed VPC

集群部署一個工作區與安全連接

所有新工作區創建默認集群安全連接。啟用安全集群連接時,客戶虛擬網絡沒有開放港口和磚運行時的集群節點沒有公共IP地址。這簡化了網絡管理的需要配置端口安全組或網絡對等。更多地了解集群部署一個工作區與安全連接,看到的安全集群連接

IP訪問列表

驗證用戶身份證明,但是它不執行用戶的網絡位置。從一個不安全的網絡訪問雲服務帶來的安全風險,特別是當用戶授權訪問敏感數據或個人數據。與IP訪問列表,您可以配置數據磚工作區,這樣用戶連接到服務隻有通過現有的網絡安全的周長。

工作區管理員可以指定IP地址(或CIDR範圍)的公共網絡上被允許訪問。這些IP地址可能屬於出口網關或特定的用戶環境。您還可以指定IP地址和子網。有關詳細信息,請參見IP訪問列表工作區

您還可以使用PrivateLink屏蔽所有公共互聯網訪問數據磚工作區。

還可以控製訪問帳戶控製台使用IP訪問列表使用一個類似的係統,可以通過UI或配置一個API。此功能隻控製控製台訪問帳戶。控製IP地址訪問帳戶控製台,明白了IP訪問列表賬戶控製台

配置防火牆規則

許多組織使用防火牆阻止基於域名的流量。你必須允許磚域名列表,確保訪問磚資源。有關更多信息,請參見配置域名防火牆規則

自動化模板選項

使用磚REST api,你的一些安全配置任務可以自動使用起程拓殖。這些模板可以用來配置和部署新工作區以及更新行政配置現有的工作空間。特別是對於大公司的工作區,使用模板可以快速且一致的自動配置。

看到使用模板創建自動化工作空間