在AWS中,在VPC中的可用区(又是可用区)中创建的子网内启动EC2实例。因此,可以将VPC视为仅AWS帐户及其用户有权访问的容器。但是,在创建EBS卷时,仅要求/提供“可用区”,并且可以将同一个EBS卷附加到任何EC2实例,无论它属于哪个VPC(当然,仅适用于同一AWS账户)。我的问题是-AWS如何阻止其他AWS账户看到可用区中存在的EBS卷?该实现是由AWS提取的吗?
答案 0 :(得分:1)
Amazon VPC 是一种虚拟结构,用于根据传统网络连接虚拟计算机。资源(例如EC2实例,RDS数据库)可以通过VPC连接,该VPC确定网络流量在它们之间的流动方式。不一定是物理创建资源的方式。
可用区是物理数据中心(或一组数据中心)。资源在可用区中创建,该可用区确定其物理位置。例如,一个Amazon EBS卷位于一个数据中心中,因此它仅位于一个可用区中。它可以逻辑连接到同一可用区中同一帐户中的任何EC2实例。
Amazon EBS卷通过对资源不可见的底板连接。它只是神奇地“附加”到实例。它与VPC使用的网络不同。
Amazon EBS服务将仅向同一AWS账户中的EC2实例提供EBS卷。
答案 1 :(得分:0)
根据AWS Shared Responsibility Model:
AWS的“云安全性”责任-AWS负责 保护运行其中提供的所有服务的基础架构 AWS云。该基础架构由硬件组成, 运行AWS Cloud服务的软件,网络和设施。
AWS提供帐户之间所有资源的隔离,并且此实现是抽象的,并且是AWS职责的一部分。
此外,建议使用Encrypt EBS Volumes,它是免费的,并且不会影响卷性能。