Amazon PrivateLink 通过让数据不再需要暴露于公共互联网,简化了与基于云的应用程序共享的数据的安全性。Amazon PrivateLink 通过亚马逊云科技服务网络,在 VPC、亚马逊云科技服务和本地应用程序之间安全地提供私有连接。通过 Amazon PrivateLink,您可以轻松地跨不同账户和 VPC 连接服务,从而显著简化网络架构。
借助由 Amazon PrivateLink 提供支持的接口 VPC 终端节点,您可以连接到 APN 合作伙伴托管的服务以及 Marketplace 中提供的受支持解决方案。通过为 Gateway Load Balancer 终端节点提供支持,Amazon PrivateLink 可为虚拟网络设备或自定义流量检查逻辑提供同样良好的安全性和性能。
优势
保护流量安全
通过 Amazon PrivateLink 以安全且可扩展的方式将 VPC 连接到亚马逊云科技服务。Amazon PrivateLink 流量不会通过互联网传输,从而降低了遭受暴力攻击和分布式拒绝服务攻击等威胁途径攻击的风险。使用私有 IP 连接和安全组,让服务如同直接在私有网络中托管。
简化网络管理
Amazon PrivateLink 可显著简化您的内部网络架构。您可在自己的组织中跨不同账户和 VPC 连接服务,无需防火墙规则、路径定义或路由表。您不再需要配置互联网网关或 VPC 对等连接。
加速云迁移
借助 Amazon PrivateLink,您可以更轻松地将传统的本地应用程序迁移到在云中托管的 SaaS 产品。由于数据不会暴露于容易泄露的互联网,因此您可以迁移和使用更多云服务,并对流量的安全性和合规性放心。不必再在使用服务和将关键数据暴露于互联网之间两难。
使用案例
安全地访问 SaaS 应用程序
SaaS 提供商从企业客户采集数据,并将这些数据用于日志分析、安全扫描或性能管理。SaaS 提供商将在客户的 VPC 上安装代理或客户端,以生成数据并将数据发送回提供商。使用 SaaS 应用程序时,客户必须在允许从其 VPC 访问互联网(这会使 VPC 资源面临风险)和完全不使用这些应用程序之间进行选择。借助 Amazon PrivateLink,您能够以安全且可扩展的方式将 VPC 连接到亚马逊云科技服务和 SaaS 应用程序。
保持监管合规性
防止个人身份信息 (PII) 在互联网上传输有利于确保对适用法规的遵守。借助 Amazon PrivateLink,您可以通过将您的亚马逊云科技资源与第三方组织提供的亚马逊云科技服务或 VPC 连接起来,从而秘密地共享 PII。VPC 和亚马逊云科技服务之间的 PII 流量不会通过可能遭受攻击的互联网上传输。您可以通过 Amazon PrivateLink 离线共享数据,并继续强制实施监管合规性。
迁移到混合云
轻松地将服务从本地位置迁移到亚马逊云科技的云端。本地应用程序可以通过 Amazon Direct Connect 连接到 Amazon VPC 中的服务终端节点。服务终端节点将通过 Amazon PrivateLink 将流量指向亚马逊云科技服务,同时确保网络流量保持在亚马逊云科技网络中。Amazon PrivateLink 让 SaaS 提供商能够如同在私有网络上托管一样提供服务。并且能够以高度可用且可扩展的方式,通过 Amazon Direct Connect 从云中和本地安全地访问这些服务。
工作原理
Amazon PrivateLink 使您能够安全地将 VPC 连接到受支持的亚马逊云科技服务:连接到您在亚马逊云科技上的服务、由其他亚马逊云科技账户托管的服务、以及第三方服务。由于 VPC 和其中任何一项服务之间的流量都不会离开亚马逊云科技的服务网络,因此不再需要互联网网关、NAT 设备、公有 IP 地址或 VPN 连接与服务进行通信。
要使用 Amazon PrivateLink,请在 VPC 中为一项服务创建一个接口 VPC 终端节点。这会在子网中创建一个具有私有 IP 地址的弹性网络接口 (ENI),用作指向该服务的流量的入口点。通过 Amazon PrivateLink 可用的服务终端节点将在 VPC 中显示为具有私有 IP 的 ENI。
要了解有关 PrivateLink 工作原理的更多信息,请阅读 PrivateLink 文档。