As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança da infraestrutura no AWS Billing Conductor
<a name="infrastructure-security"></a>

Como serviço gerenciado, AWS Billing Conductor é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.

Você usa chamadas de API AWS publicadas para acessar o Billing Conductor pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

# Acesso AWS Billing Conductor usando um endpoint de interface ()AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e. AWS Billing Conductor Você pode acessar o Billing Conductor como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para acessar o Billing Conductor.

Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Billing Conductor.

Para obter mais informações, consulte [Acesso Serviços da AWS por meio AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) do *AWS PrivateLink Guia*.

## Considerações sobre o Billing Conductor
<a name="vpc-endpoint-considerations"></a>

*Antes de configurar um endpoint de interface para o Billing Conductor, consulte [Considerações no Guia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints).AWS PrivateLink *

O Billing Conductor oferece suporte para fazer chamadas para todas as suas ações de API por meio do endpoint da interface.

As políticas de VPC endpoint não são compatíveis com o Billing Conductor. Por padrão, o acesso total ao Billing Conductor é permitido por meio do endpoint da interface. Como alternativa, você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o Billing Conductor por meio do endpoint da interface.

## Crie um endpoint de interface para o Billing Conductor
<a name="vpc-endpoint-create"></a>

Você pode criar um endpoint de interface para o Billing Conductor usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do usuário do AWS PrivateLink *.

Crie um endpoint de interface para o Billing Conductor usando o seguinte nome de serviço:

```
com.amazonaws.region.service-name
```

Se você ativar o DNS privado para o endpoint da interface, poderá fazer solicitações de API ao Billing Conductor usando seu nome de DNS regional padrão. Por exemplo, .`service-name.us-east-1.amazonaws.com`

## Crie uma política de endpoint para seu endpoint de interface.
<a name="vpc-endpoint-policy"></a>

Uma política de endpoint é um recurso do IAM que pode ser anexado ao endpoint de interface. A política de endpoint padrão permite acesso total ao Billing Conductor por meio do endpoint da interface. Para controlar o acesso permitido ao Billing Conductor a partir de sua VPC, anexe uma política de endpoint personalizada ao endpoint da interface.

Uma política de endpoint especifica as seguintes informações:
+ As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).
+ As ações que podem ser realizadas.
+ Os recursos nos quais as ações podem ser executadas.

Para obter mais informações, consulte [Controlar o acesso aos serviços usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *.

**Exemplo: política de VPC endpoint para ações do Billing Conductor**  
Veja a seguir um exemplo de uma política de endpoint personalizado. Quando você anexa essa política ao seu endpoint de interface, ela concede acesso às ações listadas do Billing Conductor para todos os diretores em todos os recursos.

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": "billingconductor:*",
         "Resource":"*"
      }
   ]
}
```