# 屏蔽 VPC 和子网的公共访问权限
<a name="security-vpc-bpa"></a>

VPC 屏蔽公共访问权限（BPA）是一项集中式安全功能，可让您以权威方式屏蔽整个 AWS 账户对 VPC 资源的公共互联网访问，从而确保符合安全要求，同时为特定的例外情况和审计功能提供灵活性。

VPC BPA 功能有以下几种模式：
+ **双向**：进出此区域互联网网关和仅出口互联网网关的所有流量（排除的 VPC 和子网除外）均被阻止。
+ **仅入口**：此区域 VPC 的所有互联网流量（排除的 VPC 或子网除外）均被阻止。仅允许进出 NAT 网关和仅出口互联网网关的流量，因为这些网关仅允许建立出站连接。

您也可以针对不想阻止的流量为此功能创建“排除项”。排除是一种可以应用于单个 VPC 或子网的模式，可将其排除在账户的 VPC BPA 模式之外，并允许双向或仅出口访问。

排除可以采用以下任一模式：
+ **双向**：允许进出已排除 VPC 和子网的所有互联网流量。
+ **仅出口**：允许来自已排除 VPC 和子网的出站互联网流量。进入已排除 VPC 和子网的入站互联网流量已被阻止。这仅在 VPC BPA 设置为“双向”时适用。

**Topics**
+ [VPC BPC BPA 基础知识](security-vpc-bpa-basics.md)
+ [评测 VPC BPA 的影响并监控 VPC BPA](security-vpc-bpa-assess-impact-main.md)
+ [高级示例](security-vpc-bpa-example.md)