主要观点：

• 在 AWS 中，传统的以网络为中心的“周边”概念在公共云环境中不适用，AWS 的周边实际上由身份与访问管理（IAM）定义。
• 网络中心的周边视图在公共云环境中存在局限性，如公共云服务的 API 端点位于私有网络之外，不受网络中心控制。
• AWS 使用共享责任模型，AWS 负责云的安全，包括 API 端点基础设施的安全，用户则负责使用 IAM 控制 API 端点的使用。
• AWS IAM 的策略不仅适用于身份，还可应用于资源，资源策略可帮助定义周边，VPC 端点也支持资源策略。
• 不应消除网络中心控制，在共享责任模型下，某些情况下用户仍需负责应用网络中心控制，如 EC2 实例内的软件等。

关键信息：

• 以网络为中心的周边由防火墙等定义，在公共云环境中不适用，公共云服务的 API 端点在公共 IP 空间。
• AWS 共享责任模型，AWS 负责云的安全，用户负责 IAM 策略定义等。
• AWS IAM 策略可应用于身份和资源，资源策略可基于网络和 IAM 中心属性定义周边，VPC 端点支持资源策略。
• 网络控制仍有必要，在共享责任模型下，用户需负责某些应用的网络控制。

重要细节：

• 如 VPC 架构图所示，内部资源在 VPC 内受网络中心控制，外部资源如 API 端点不受网络中心控制，VPC 端点虽为私有访问但外部公共端点仍存在。
• 资源策略可基于调用者的源 IP 地址、组织 ID 等条件允许或拒绝访问，VPC 端点的端点策略可进行细粒度访问控制。
• 不同 AWS 服务在共享责任模型中的责任划分不同，如 EC2 实例用户需负责安全，RDS 中 AWS 管理软件但安全仍为共享责任。
• 推荐阅读相关 IAM 文章以加深理解，如关于 AWS IAM 及服务控制策略的文章等。