Amazon Quick Suite 中的基础设施安全

Quick Suite 以 Web 应用程序的形式交付，托管在专用的 Amazon EC2 主机上，与 AWS 虚拟私有云 (VPCs) 分开。您无需在自己的主机上部署 Amazon Quick Suite，而是通过区域公共终端节点访问 Amazon Quick Suite 服务。Amazon Quick Suite 通过安全的互联网连接从区域终端节点访问数据源。要访问位于公司网络内部的数据源，请将网络配置为允许从 Amazon Quick Suite 公有 IP 地址块之一进行访问。我们建议您考虑使用 VPC（专用于您 AWS 账户的虚拟网络）。

有关更多信息，请参阅下列内容：

作为一项托管服务，Quick Suite 受到《亚马逊网络服务：安全流程概述》论文中描述的 AWS 全球网络安全程序的保护。

如果您使用 AWS 已发布的 API 调用通过网络访问 Amazon Quick Suite，则客户端必须支持传输层安全 (TLS) 1.2 或更高版本。客户端还必须支持具有完全向前保密（PFS）的密码套件，例如 Ephemeral Diffie-Hellman（DHE）或 Elliptic Curve Ephemeral Diffie-Hellman（ECDHE）。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

此外，必须使用访问密钥 ID 和与 AWS Identity and Access Management (IAM) 委托人关联的私有访问密钥对请求进行签名。或者，您可以使用 AWS Security Token Service（AWS STS）生成临时安全凭证来对请求进行签名。

您可以从任何网络位置调用这些 API 操作，但是 Amazon Quick Suite 确实支持基于资源的访问策略，其中可能包括基于源 IP 地址的限制。您还可以使用 Amazon Quick Suite 策略来控制来自特定亚马逊虚拟私有云（亚马逊 VPC）终端节点或特定终端节点的访问 VPCs。实际上，这可以将对给定 Amazon Quick Suite 资源的网络访问与 AWS 网络中的特定 VPC 隔离开来。有关在 VPC 中使用 Amazon Quick Suite 的更多信息，请参阅使用 Amazon Quick Suite 连接到亚马逊 VPC。