终止支持通知:2026 年 10 月 7 日, AWS 将终止对的支持。 AWS Proton 2026 年 10 月 7 日之后,您将无法再访问 AWS Proton 控制台或 AWS Proton 资源。您部署的基础架构将保持不变。有关更多信息,请参阅《[AWS Proton 服务弃用和迁移指南》](https://docs.aws.amazon.com/proton/latest/userguide/proton-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 中的基础设施安全 AWS Proton
作为一项托管服务 AWS Proton ,受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已发布的 API 调用 AWS Proton 通过网络进行访问。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
要改善网络隔离,可以按照下一节所述使用 AWS PrivateLink 。
## AWS Proton 和接口 VPC 终端节点 (AWS PrivateLink)
您可以通过创建接*口 VPC 终端节点在您 AWS Proton 的 VPC* 和之间建立私有连接。接口端点由一项技术提供支持 [AWS PrivateLink](https://aws.amazon.com/privatelink),该技术使您 AWS Proton APIs 无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接即可进行私密访问。您的 VPC 中的实例不需要公有 IP 地址即可与之通信 AWS Proton APIs。您的 VPC 和 VPC 之间的流量 AWS Proton 不会离开亚马逊网络。
每个接口端点均由子网中的一个或多个[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。
### AWS Proton VPC 终端节点的注意事项
在为设置接口 VPC 终端节点之前 AWS Proton,请务必查看 *Amazon VPC 用户指南*中的[接口终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。
AWS Proton 支持从您的 VPC 调用其所有 API 操作。
支持 VPC 终端节点策略 AWS Proton。默认情况下,允许通过终端节点进行完全访问。 AWS Proton 有关更多信息,请参阅《Amazon VPC User Guide》**中的 [Controlling access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
### 为创建接口 VPC 终端节点 AWS Proton
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 AWS Proton 服务创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC User Guide》**中的 [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
AWS Proton 使用以下服务名称创建 VPC 终端节点:
+ com.amazonaws。 {{region}}.proton
例如,如果您为终端节点启用私有 DNS,则可以使用该终端节点的默认 DNS 名称向 AWS Proton 发出 API 请求`proton.{{region}}.amazonaws.com`。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
### 为创建 VPC 终端节点策略 AWS Proton
您可以为 VPC 端点附加控制对 AWS Proton的访问的端点策略。该策略指定以下信息:
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
**示例:用于 AWS Proton 操作的 VPC 终端节点策略**
以下是的终端节点策略示例 AWS Proton。当连接到终端节点时,此策略授予所有委托人对所有资源 AWS Proton 执行所列操作的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"proton:ListServiceTemplates",
"proton:ListServiceTemplateMajorVersions",
"proton:ListServiceTemplateMinorVersions",
"proton:ListServices",
"proton:ListServiceInstances",
"proton:ListEnvironments",
"proton:GetServiceTemplate",
"proton:GetServiceTemplateMajorVersion",
"proton:GetServiceTemplateMinorVersion",
"proton:GetService",
"proton:GetServiceInstance",
"proton:GetEnvironment",
"proton:CreateService",
"proton:UpdateService",
"proton:UpdateServiceInstance",
"proton:UpdateServicePipeline",
"proton:DeleteService"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------