本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 《 AWS 计费指挥家》中的基础设施安全
<a name="infrastructure-security"></a>

作为一项托管服务 AWS Billing Conductor ，受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息，请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境，请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。

您可以使用 AWS 已发布的 API 调用通过网络访问 Billing Conductor。客户端必须支持以下内容：
+ 传输层安全性协议（TLS）。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 具有完全向前保密（PFS）的密码套件，例如 DHE（临时 Diffie-Hellman）或 ECDHE（临时椭圆曲线 Diffie-Hellman）。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

# AWS Billing Conductor 使用接口端点进行访问 (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

您可以使用 AWS PrivateLink 在您的 VPC 和之间创建私有连接 AWS Billing Conductor。您可以像在您的 VPC 中一样访问 Billing Conductor，无需使用互联网网关、NAT 设备、VPN Direct Connect 连接或连接。您的 VPC 中的实例不需要公有 IP 地址即可访问 Billing Conductor。

您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口，是发往 Billing Conductor 的流量的入口点。

有关更多信息，请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[AWS 服务 通过访问](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。

## 计费导体的注意事项
<a name="vpc-endpoint-considerations"></a>

在为 Billing Conductor 设置接口端点之前，请查看*AWS PrivateLink 指南*中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。

Billing Conductor 支持通过接口端点调用其所有 API 操作。

Billing Conductor 不支持 VPC 终端节点策略。默认情况下，允许通过接口端点对 Billing Conductor 进行完全访问。或者，您可以将安全组与端点网络接口关联，以控制通过接口终端节点流向 Billing Conductor 的流量。

## 为计费指挥家创建接口端点
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Billing Conductor 创建接口终端节点。有关更多信息，请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用以下服务名称为 Billing Conductor 创建接口终端节点：

```
com.amazonaws.region.service-name
```

如果您为接口终端节点启用私有 DNS，则可以使用其默认区域 DNS 名称向 Billing Conductor 发出 API 请求。例如 `service-name.us-east-1.amazonaws.com`。

## 为 VPC 端点创建端点策略
<a name="vpc-endpoint-policy"></a>

端点策略是一种 IAM 资源，您可以将其附加到接口端点。默认终端节点策略允许通过接口端点对 Billing Conductor 进行完全访问。要控制允许从您的 VPC 访问 Billing Conductor 的权限，请将自定义终端节点策略附加到接口终端节点。

端点策略指定以下信息：
+ 可执行操作的主体（AWS 账户、IAM 用户和 IAM 角色）。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**示例：账单指挥操作的 VPC 终端节点策略**  
以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时，它会向所有资源的所有委托人授予访问列出的 Billing Conductor 操作的权限。

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": "billingconductor:*",
         "Resource":"*"
      }
   ]
}
```