小编Abh*_*ath的帖子

当我配置 AWS Gateway VPC 终端节点时，会创建一个指向网关的路由表条目。这里，网关可以被认为是执行到AWS服务的路由（通过私有网络）。

但是，对于 AWS Inteface VPC 终端节点，可见的只是具有子网私有 IP 地址的网络接口。默认情况下，私有 IP 可以在子网或整个 VPC 内发送流量，前提是安全组和 NACL 允许流量。在这种情况下，似乎没有通往网关或路由器的路由表条目来允许 VPC 外部的流量。

接口如何/在哪里将流量路由到即流量如何离开客户 VPC？

当然，我知道流量最终通过专用网络到达预期的AWS服务，但在这里我试图找出网关或路由器在哪里？AWS 是否隐藏此实施？

我无法理解这样一个事实：一个简单的网络接口可以接受流量并自行将其路由到服务，即自行执行路由？显然，在这种情况下，流量似乎并未流经 VPC 路由器或其他网关设备。

我知道这可能是 AWS 的机密实施，但对于他们如何设计此功能有什么想法/想法吗？

根据 AWS，

网络负载均衡器将流量路由到 Amazon Virtual Private Cloud (Amazon VPC) 内的目标，并且能够每秒处理数百万个请求，同时保持超低延迟

此外，NLB 支持静态/弹性 IP 地址。我的印象是，AWS 通常不推荐 IP 地址，而是要求客户使用 DNS 名称，以便底层硬件可以扩展（并且 IP 地址可以更改）。在 NLB 中，IP 可以保持静态并仍可扩展，但 ALB 上不提供相同的功能，这怎么可能？- AWS 在 NLB 中改进了 ALB 的设计限制吗？或者在 ALB 情况下保留静态 IP 有何技术挑战？

根据此处的AWS 文档-当您以 AWS 账户根用户身份登录时，无法切换角色。

如果我们遵循 AWS 最佳实践，即不使用 root 用户执行操作，则此限制是有意义的，并且支持了 AWS 不允许以 root 用户进行角色切换的原因。然而，当使用存储桶策略时，一个账户中的根用户可以访问另一个账户中的存储桶，而且 AWS 似乎并没有限制这一点，这与角色不同（从技术上讲，两者都是使用资源策略的跨账户操作）。

为什么此“根用户限制”仅适用于角色而不适用于存储桶 - 有任何安全原因吗？

我在同一可用区中有 2 个实例，并且都有公共 IP 地址。我向两个实例添加了一个安全组，允许入站 ICMP ping 的源为同一安全组。当我 ping 私有 IP 地址时，可以 ping 通。但是，当我 ping 公共 IP 地址时，却 ping 失败。

• 作为“源”（或目标）的安全组是否仅限于该组中实例的私有 IP？为什么作为“源”的安全组无法识别公共 IP 地址？

相反，当我将源更改为 0.0.0.0/0 时，ping 公共 IP 会成功。

1. 为什么 AWS 访问密钥（访问密钥 ID 和秘密访问密钥）与控制台访问凭证不同，即冗长且不可读？一把钥匙，无论简单还是复杂，一旦被盗都无济于事，那么为什么不保持简单呢？

2. 除了登录 AWS CLI 之外，在哪些情况下只有访问密钥（访问密钥 ID 和秘密访问密钥）可以提供帮助，并且推荐的使用角色的最佳实践不切实际？

在 AWS 中，在配置 CLB 和 ALB 类型的负载均衡器时，必须关联一个安全组。此关联有助于限制到负载均衡器的流量类型。为什么 NLB 不需要安全组？难道不是安全隐患？我知道这里最好的猜测可能是——“AWS 是这样设计的”，但他们的文档似乎没有解释省略 NLB 安全组配置的推理/优势。