1.7 KiB
1.7 KiB
title, type, tags, last_updated
| title | type | tags | last_updated | ||||
|---|---|---|---|---|---|---|---|
| VPC Association Authorization | concept |
|
2026-04-28 |
Definition
VPC Association Authorization(VPC 关联授权)是 AWS Route 53 私有托管区(PHZ)跨账号关联的安全机制。当一个 VPC(属于账户 A)需要关联另一个账户(B)拥有的 Private Hosted Zone 时,必须先由 PHZ 所有者(账户 B)创建授权记录,明确允许该 VPC 的关联请求,然后由 VPC 所有者(账户 A)执行实际的关联操作。
Aliases
- VPC Association Authorization
- PHZ Cross-Account Association
- 跨账号 PHZ 授权
Key Characteristics
- 两步流程:① PHZ 拥有者执行
associate-vpc-with-hosted-zone并传入vpc参数(对方账户的 VPC)进行授权;② VPC 拥有者在自己的账户中完成关联操作 - 安全边界:授权机制确保只有经过明确批准的 VPC 才能解析 PHZ 中的私有域名,防止未授权访问
- Terraform 支持:两步流程均可通过 Terraform 声明式管理,推荐由 DNS 账号集中执行授权操作
- 解除关联:同理,解除关联也需要 PHZ 拥有者先撤销授权
- 适用场景:在 Landing Zone 多账号架构中,业务账户的 VPC 需关联 DNS 账户托管的 PHZ
Related Concepts
- Private-Hosted-Zone — 授权的目标对象
- AWS-Landing-Zone — 多账号环境下的典型应用场景
- Route-53-Resolver — 与 PHZ 协同工作的解析引擎
- AWS-RAM — 可用于跨账号共享 Resolver Rules;PHZ 关联授权是另一种跨账号资源共享机制