本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Billing Conductor 中的基礎設施安全性
作為受管服務, AWS Billing Conductor 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及 如何 AWS 保護基礎設施的相關資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取 Billing Conductor。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
# AWS Billing Conductor 使用界面端點存取 (AWS PrivateLink)
您可以使用 在 VPC 和 之間 AWS PrivateLink 建立私有連線 AWS Billing Conductor。您可以像在 VPC 中一樣存取 Billing Conductor,無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 Billing Conductor。
您可以建立由 AWS PrivateLink提供支援的*介面端點*來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可做為目的地為 Billing Conductor 之流量的進入點。
如需詳細資訊,請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 透過 存取 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 。
## Billing Conductor 的考量事項
在您設定 Billing Conductor 的介面端點之前,請檢閱《 *AWS PrivateLink 指南*》中的[考量事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。
Billing Conductor 支援透過界面端點呼叫其所有 API 動作。
Billing Conductor 不支援 VPC 端點政策。根據預設,允許透過界面端點完整存取 Billing Conductor。或者,您可以將安全群組與端點網路介面建立關聯,以控制透過介面端點流向 Billing Conductor 的流量。
## 建立 Billing Conductor 的介面端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 Billing Conductor 建立介面端點AWS CLI。如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」。
使用下列服務名稱建立 Billing Conductor 的介面端點:
```
com.amazonaws.region.service-name
```
如果您為介面端點啟用私有 DNS,您可以使用其預設的區域 DNS 名稱向 Billing Conductor 提出 API 請求。例如 `service-name.us-east-1.amazonaws.com`。
## 為您的介面端點建立端點政策
端點政策為 IAM 資源,您可將其連接至介面端點。預設端點政策允許透過介面端點完整存取 Billing Conductor。若要控制來自 VPC 的 Billing Conductor 允許存取,請將自訂端點政策連接至介面端點。
端點政策會指定以下資訊:
+ 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。
**範例:帳單執行器動作的 VPC 端點政策**
以下是自訂端點政策的範例。當您將此政策連接到介面端點時,它會授予所有資源上所有主體所列出的 Billing Conductor 動作的存取權。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": "billingconductor:*",
"Resource":"*"
}
]
}
```