本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Direct Connect 中的基础结构安全性
<a name="infrastructure-security"></a>

作为一项托管式服务，AWS Direct Connect 受 AWS 全球网络安全程序的保护。您可以使用 AWS 发布的 API 调用通过网络访问 Direct Connect。客户端必须支持传输层安全性 （TLS) 1.2 或更高版本。我们建议使用 TLS 1.3。客户端还必须支持具有完全向前保密（PFS）的密码套件，例如 Ephemeral Diffie-Hellman（DHE）或 Elliptic Curve Ephemeral Diffie-Hellman（ECDHE）。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

此外，必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者，您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)（AWS STS）生成临时安全凭证来对请求进行签名。

您可以从任何网络位置调用这些 API 操作，但 Direct Connect 支持基于资源的访问策略，其中可以包含基于源 IP 地址的限制。您还可以使用 Direct Connect 策略来控制来自特定 Amazon Virtual Private Cloud (Amazon VPC) 端点或特定 VPC 的访问。事实上，这隔离了在 Direct Connect 网络中仅从特定 VPC 到给定 AWS 资源的网络访问。有关示例，请查看 [Direct Connect 基于身份的策略示例](security_iam_id-based-policy-examples.md)。

## 边界网关协议（BGP）安全
<a name="security-bgp"></a>

互联网在很大程度上依赖于 BGP 来获取网络系统之间的路由信息。BGP 路由有时容易受到恶意攻击或 BGP 劫持。要了解 AWS 如何保护您的网络免受 BGP 劫持，请参阅 [AWS 如何帮助保护互联网路由](https://aws.amazon.com/blogs/networking-and-content-delivery/how-aws-is-helping-to-secure-internet-routing)。