37 lines
1.7 KiB
Markdown
37 lines
1.7 KiB
Markdown
---
|
||
title: "VPC Association Authorization"
|
||
type: concept
|
||
tags:
|
||
- AWS
|
||
- DNS
|
||
- Networking
|
||
- Multi-Account
|
||
last_updated: 2026-04-28
|
||
---
|
||
|
||
## Definition
|
||
|
||
VPC Association Authorization(VPC 关联授权)是 AWS Route 53 私有托管区(PHZ)跨账号关联的安全机制。当一个 VPC(属于账户 A)需要关联另一个账户(B)拥有的 Private Hosted Zone 时,必须先由 PHZ 所有者(账户 B)创建授权记录,明确允许该 VPC 的关联请求,然后由 VPC 所有者(账户 A)执行实际的关联操作。
|
||
|
||
## Aliases
|
||
- VPC Association Authorization
|
||
- PHZ Cross-Account Association
|
||
- 跨账号 PHZ 授权
|
||
|
||
## Key Characteristics
|
||
|
||
- **两步流程**:① PHZ 拥有者执行 `associate-vpc-with-hosted-zone` 并传入 `vpc` 参数(对方账户的 VPC)进行授权;② VPC 拥有者在自己的账户中完成关联操作
|
||
- **安全边界**:授权机制确保只有经过明确批准的 VPC 才能解析 PHZ 中的私有域名,防止未授权访问
|
||
- **Terraform 支持**:两步流程均可通过 Terraform 声明式管理,推荐由 DNS 账号集中执行授权操作
|
||
- **解除关联**:同理,解除关联也需要 PHZ 拥有者先撤销授权
|
||
- **适用场景**:在 Landing Zone 多账号架构中,业务账户的 VPC 需关联 DNS 账户托管的 PHZ
|
||
|
||
## Related Concepts
|
||
- [[Private-Hosted-Zone]] — 授权的目标对象
|
||
- [[AWS-Landing-Zone]] — 多账号环境下的典型应用场景
|
||
- [[Route-53-Resolver]] — 与 PHZ 协同工作的解析引擎
|
||
- [[AWS-RAM]] — 可用于跨账号共享 Resolver Rules;PHZ 关联授权是另一种跨账号资源共享机制
|
||
|
||
## Sources
|
||
- [[ctp-topic-19-configuring-dns-within-aws-lzs]]
|