Auto-sync: 2026-04-29 00:02

wiki/concepts/VPC-Association-Authorization.md

@@ -0,0 +1,36 @@
+---
+title: "VPC Association Authorization"
+type: concept
+tags:
+  - AWS
+  - DNS
+  - Networking
+  - Multi-Account
+last_updated: 2026-04-28
+---
+
+## Definition
+
+VPC Association Authorization（VPC 关联授权）是 AWS Route 53 私有托管区（PHZ）跨账号关联的安全机制。当一个 VPC（属于账户 A）需要关联另一个账户（B）拥有的 Private Hosted Zone 时，必须先由 PHZ 所有者（账户 B）创建授权记录，明确允许该 VPC 的关联请求，然后由 VPC 所有者（账户 A）执行实际的关联操作。
+
+## Aliases
+- VPC Association Authorization
+- PHZ Cross-Account Association
+- 跨账号 PHZ 授权
+
+## Key Characteristics
+
+- **两步流程**：① PHZ 拥有者执行 `associate-vpc-with-hosted-zone` 并传入 `vpc` 参数（对方账户的 VPC）进行授权；② VPC 拥有者在自己的账户中完成关联操作
+- **安全边界**：授权机制确保只有经过明确批准的 VPC 才能解析 PHZ 中的私有域名，防止未授权访问
+- **Terraform 支持**：两步流程均可通过 Terraform 声明式管理，推荐由 DNS 账号集中执行授权操作
+- **解除关联**：同理，解除关联也需要 PHZ 拥有者先撤销授权
+- **适用场景**：在 Landing Zone 多账号架构中，业务账户的 VPC 需关联 DNS 账户托管的 PHZ
+
+## Related Concepts
+- [[Private-Hosted-Zone]] — 授权的目标对象
+- [[AWS-Landing-Zone]] — 多账号环境下的典型应用场景
+- [[Route-53-Resolver]] — 与 PHZ 协同工作的解析引擎
+- [[AWS-RAM]] — 可用于跨账号共享 Resolver Rules；PHZ 关联授权是另一种跨账号资源共享机制
+
+## Sources
+- [[ctp-topic-19-configuring-dns-within-aws-lzs]]