本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊 VPC 的加密最佳实践
<a name="vpc"></a>

[Amazon Virtual Private Cloud（亚马逊 VPC）](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)可帮助您将 AWS 资源启动到您定义的虚拟网络中。该虚拟网络类似于您在数据中心中运行的传统网络，并具有使用 AWS的可扩展基础设施的优势。

考虑下面针对该服务的加密最佳实践：
+ 使用以下方法之一对企业网络内信息资产和系统之间的流量 VPCs 进行加密：
  + AWS Site-to-Site VPN 连接
  +  AWS Site-to-Site VPN 和 AWS Direct Connect 连接的组合，提供 IPsec加密的私有连接
  + AWS Direct Connect 支持 MAC Security (MACsec) 的连接，用于加密从公司网络到该 AWS Direct Connect 地点的数据
+ 使用中的 VPC 终端节点将您私密 AWS PrivateLink VPCs 连接到受支持的， AWS 服务 而无需使用 Internet 网关。您可以使用我们的 Site-to-Site VPN 服务 AWS Direct Connect 来建立此连接。您的 VPC 与其他服务之间的流量不会离开 AWS 网络。有关更多信息，请参阅[AWS 服务 通过访问 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
+ 配置[安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html)，仅允许来自与安全协议关联的端口的流量，例如 HTTPS over TCP/443。定期审计安全组及其规则。