可用区中的EBS卷如何仅限于特定的AWS帐户及其用户?
在亚马逊网络服务中,EC2实例在可用区中创建的子网中启动,同样是在VPC中。因此,VPC可以看作是一个容器,只有AWS账户及其用户才能访问它。但在创建EBS卷时,只要求/提供可用区,并且相同的EBS卷可以附加到任何EC2实例,而不管其所属的私有网络(当然,仅针对相同的AWS账户)。我的问题是- AWS如何防止其他AWS账户看到AZ中存在的该EBS卷?AWS是否对该实现进行了抽象?
回答 2
Stack Overflow用户
发布于 2019-03-05 06:53:29
亚马逊VPC是一种虚拟构造,用于根据传统网络连接虚拟计算机。资源(如EC2实例、RDS数据库)可以通过私有网络连接,私有网络决定了它们之间的网络流量。这不一定是资源的物理创建方式。
可用区是一个物理数据中心(或一组数据中心)。资源是在AZ中创建的,AZ决定了它们的物理位置。例如,Amazon EBS卷驻留在数据中心,因此它只在一个AZ中。支持与同一可用区内同一账号下的任意EC2实例逻辑连接。
Amazon EBS卷通过对资源不可见的背板连接。它只是神奇地“附加”到实例上。它不使用与VPC相同的网络。
亚马逊EBS服务将仅向同一亚马逊网络服务帐户中的EC2实例提供EBS卷。
Stack Overflow用户
发布于 2019-03-04 19:14:01
根据AWS Shared Responsibility Model的说法
亚马逊网络服务责任“云的安全”-亚马逊网络服务负责保护运行亚马逊网络服务云中提供的所有服务的基础设施。此基础设施由运行AWS云服务的硬件、软件、网络和设施组成。
AWS提供帐户之间的所有资源隔离,此实施是抽象的,是AWS责任的一部分。
另外,推荐使用Encrypt EBS Volumes,免费且不影响音量性能。
https://stackoverflow.com/questions/54979872
复制相似问题
腾讯云开发者
