本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# SaaS 產品 AWS 聯網服務概觀
<a name="services"></a>

本節討論本指南中參考的 AWS 聯網服務。它也會比較其功能，並說明每個服務的安全考量。

**Topics**
+ [AWS 聯網服務](#services-aws)
+ [比較服務功能](#services-capabilities)
+ [安全功能和考量事項](#services-security-features)

## AWS 聯網服務
<a name="services-aws"></a>

以下是本指南中一致討論 AWS 服務 的 。

### AWS PrivateLink
<a name="privatelink"></a>

[AWS PrivateLink](https://docs.aws.amazon.com/de_de/vpc/latest/privatelink/what-is-privatelink.html)** **是一項雲端原生服務，可在您的客戶已在 中操作時提供存取您的 SaaS 產品 AWS 雲端。您的客戶會透過[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)連線至 SaaS 產品。這是在客戶 的一或多個子網路中佈建的端點網路介面 AWS 帳戶。在本指南的案例中，流量會通過界面 VPC 端點，並到達您帳戶中的 [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html)。Network Load Balancer 會將流量轉送至您已註冊為*端點服務的* SaaS 應用程式。透過[資源 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/use-resource-endpoint.html)， AWS PrivateLink 也可以協助您存取其他資源，例如資料庫。

### Amazon VPC Lattice
<a name="vpc-lattice"></a>

[Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html) 是一種應用程式聯網服務，可協助 SaaS 供應商安全有效地將其服務提供給跨多個 VPCs 和 操作的客戶 AWS 帳戶。客戶透過 VPC Lattice 存取您的 SaaS 產品，可提供一致的網路連線、強大的存取控制和進階流量管理。在這些情況下，流量會透過 VPC Lattice 流向已註冊的應用程式服務。無論您使用哪種運算服務，它都能提供可擴展且安全的通訊。

### VPC 對等互連
<a name="vpc-peering"></a>

[VPC 對](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)等互連是兩個虛擬私有雲端 (VPCs) 之間的網路連線，透過使用私有 IPv4 地址或 IPv6 地址路由它們之間的流量。VPC 對等互連通常會在信任的實體之間使用，就像同一組織內的實體一樣。您的客戶會建立對等請求給其中一個 VPCs。當您接受它時，流量可以在兩個 VPCs之間雙向流動。這種連線方法因其唯一性而突出，因為它涉及兩個 VPCs之間的直接通訊，而不需要管理任何中介服務或基礎設施。

### AWS Transit Gateway
<a name="transit-gateway"></a>

[AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 是集中式網路傳輸中樞，可連接 VPCs、虛擬私有網路 (VPN) 連線、[AWS Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)、VPC 中的第三方虛擬設備，以及其他傳輸閘道。傳輸閘道的每個附件可以有不同的路由表。這可提供最大的路由彈性，並可協助您隔離網路。它通常用於將許多 VPCs連接在一起或進行集中式檢查。

### AWS Site-to-Site VPN
<a name="site-to-site-vpn"></a>

[AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 可以使用網際網路通訊協定安全 (IPsec) 技術，在內部部署網路、遠端辦公室、工廠、其他雲端供應商和 AWS 全球網路之間建立連線。連線是從 中 VPC 中的虛擬私有閘道或傳輸閘道 AWS 雲端 建立到實體或軟體型客戶閘道，該閘道可以位於 AWS 雲端、內部部署或其他 CSP 雲端。連線可以透過網際網路或實體 AWS Direct Connect 連線。也可以使用 進行[加速Site-to-Site連接](https://docs.aws.amazon.com/vpn/latest/s2svpn/accelerated-vpn.html) AWS Global Accelerator。加速連線會將流量路由到 AWS 節點，並降低延遲並改善效能。

### AWS Direct Connect
<a name="direct-connect"></a>

[AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 在內部部署資料中心和 之間建立高速的私有連線 AWS 雲端。透過繞過公有網際網路， Direct Connect 提供更可靠、安全且一致的低延遲連線給 AWS 雲端。客戶連線到其中一個[Direct Connect 位置](https://aws.amazon.com/directconnect/locations/)，然後選擇託管或專用連線 AWS。雖然這是 SaaS 產品不常見的架構選擇，但它非常適合只有少數但大型企業消費者的 SaaS 供應商。

## 比較服務功能
<a name="services-capabilities"></a>

下表概述本指南中 AWS 服務 討論的 支援的功能。以下是此表格中包含的功能說明：
+ **重疊 CIDR 範圍 **– 可以連接具有相同或重疊 CIDR 範圍的兩個或多個網路
+ **雙向通訊** –** **可支援雙向通訊管道，讓 SaaS 取用者可以向 SaaS 供應商公開內部資源，例如資料庫
+ **IPv6** –** **可支援 IPv6，無論是單一或雙堆疊
+ **巨型訊框** –** **可支援巨型訊框，訊框大小上限為 8，500 個 位元組
+ **混合雲端** –** **可支援與內部部署網路的連線
+ **多雲端** – 可支援不同雲端服務供應商上網路之間的連線


| 
| 
| **服務或方法** | **重疊 CIDR 範圍** | **雙向通訊** | **IPv6** | **巨型訊框** | **混合雲端** | **多雲端** | 
| --- |--- |--- |--- |--- |--- |--- |
| **VPC 對等互連** | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) 否 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是5 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) 否 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) 否 | 
| **AWS PrivateLink** | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是1 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) No6 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) No6 | 
| **Amazon VPC Lattice** | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是1 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) No6 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) No6 | 
| **AWS Transit Gateway** | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) 否 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是3 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是3 | 
| **AWS Site-to-Site VPN** | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) 否 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) 否 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | 
| **AWS Direct Connect** | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) 否 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是2 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | 
| **公有網際網路存取**4 | 不適用 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/negative_icon.png) 否 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | ![](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/saas-network-access-options/images/success_icon.png) 是 | 

1. 使用 Amazon [VPC Lattice 中的 VPC 資源](https://docs.aws.amazon.com/vpc-lattice/latest/ug/vpc-resources.html) 

1. 僅適用於私有和傳輸虛擬介面

1. 使用Site-to-Site或 AWS Direct Connect 附件

1. 做為讓應用程式可公開存取之 AWS 資源的一般術語，例如 Application Load Balancer

1. 僅適用於一個 內的對等連線 AWS 區域

1. 可透過環境之間預先存在的第 3 層連線來實現

## 安全功能和考量事項
<a name="services-security-features"></a>

下表概述本指南中 AWS 服務 討論的 安全功能。
+ **身分驗證的方法** – 如何確保只有客戶可以連線到您的服務。傳入請求的另一層級身分驗證通常是必要的，尤其是在共用租用戶環境中。
+ **傳輸中加密** – 描述是否預設提供傳輸中加密。*原生加密*描述為 VPCs、VPC VPCs 或資料中心內的所有流量 AWS 提供的加密。*補充加密*說明您控制且可由個別 服務停止的加密。


| 
| 
| **服務或方法** | **身分驗證的方法** | **傳輸中加密** | 
| --- |--- |--- |
| **VPC 對等互連** | 您對客戶的 AWS 帳戶 和 VPC 啟動對等請求，或接受他們啟動的請求。請參閱[接受或拒絕 VPC 對等互連](https://docs.aws.amazon.com/vpc/latest/peering/accept-vpc-peering-connection.html)。 | 僅限原生加密 | 
| **AWS PrivateLink** | 您可以選擇 AWS 帳戶 允許哪些 為您的服務建立端點。這些帳戶稱為*允許的主體*。請參閱[接受或拒絕連線請求](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests)。 | 僅限原生加密 | 
| **Amazon VPC Lattice** | 您與客戶的 共用 VPC Lattice 服務或服務網路 AWS 帳戶。請參閱[共用您的 VPC Lattice 實體](https://docs.aws.amazon.com/vpc-lattice/latest/ug/sharing.html)。 | 原生加密和補充 TLS 加密 | 
| **AWS Transit Gateway** | 您的客戶從他們的 建立對等連接請求 AWS 帳戶，或者您啟動請求。請參閱 [Amazon VPC Transit Gateways 中的傳輸閘道對等互連附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html)。 | 使用 VPN 連接進行原生加密和補充 IPsec 加密 | 
| **AWS Site-to-Site VPN** | 您可以在客戶的裝置上使用 IPsec 預先共用金鑰或私有憑證。請參閱[AWS Site-to-Site VPN 通道身分驗證選項](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-tunnel-authentication-options.html)。 | 補充 IPsec 加密 | 
| **AWS Direct Connect** | 您的客戶從 建立虛擬介面請求 AWS 帳戶。請參閱[Direct Connect 虛擬介面和託管虛擬介面](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)。 | 可在所選站點進行補充第 2 層加密。請參閱[Direct Connect 位置](https://aws.amazon.com/directconnect/locations/)。 | 
| **公有網際網路存取**1 | 需要自訂身分驗證。 | 可能的補充 TLS 加密 | 

1. 做為讓應用程式可公開存取之 AWS 資源的一般術語，例如 Application Load Balancer