本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 管理对VPC莱迪思服务的访问权限 默认情况下,VPC Lattice是安全的,因为您必须明确提供访问哪些服务和资源配置以及哪些VPC的访问权限。您可以通过 VPC 关联或服务网络类型的 VPC 终端节点访问服务。对于多账户方案,您可以使用[AWS Resource Access Manager](sharing.md)跨账户边界共享服务、资源配置和服务网络。 VPC Lattice 提供了一个框架,让您可以在网络的多个层实施 defense-in-depth 策略。 + **第一层** — 服务、资源、VPC 和 VPC 终端节点与服务网络的关联。VPC 可以通过关联或通过 VPC 终端节点连接到服务网络。如果 VPC 未连接到服务网络,则 VPC 中的客户端将无法访问与服务网络关联的服务和资源配置。 + **第二层**:为服务网络提供可选的网络级安全保护,例如安全组和网络 ACL。通过使用这些,您可以允许访问 VPC 中的特定客户端组,而不是 VPC 中的所有客户端。 + **第三层**:可选的 VPC Lattice 验证策略。您可以将验证策略应用于服务网络和单个服务。通常,服务网络上的验证策略由网络或云管理员操作,以实现粗粒度授权。例如,仅允许来自 AWS Organizations中特定组织的经过验证的请求。对于服务级别的验证策略,服务所有者通常会设置细粒度控制,此类控制可能比在服务网络级别应用的粗粒度授权更具限制性。 **注意** 服务网络上的身份验证策略不适用于服务网络中的资源配置。 **访问控制方法** + [验证策略](auth-policies.md) + [安全组](security-groups.md) + [网络 ACL](network-acls.md)