Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern
<a name="access_policies_data-perimeters"></a>

Leitplanken an den Datengrenzen dienen als ständig verfügbare Grenzen, um Ihre Daten über eine Vielzahl von Konten und Ressourcen hinweg zu schützen. AWS Datenperimeter folgen den bewährten IAM-Sicherheitsmethoden, um [Schutzmaßnahmen über mehrere Konten hinweg einzurichten.](best-practices.md#bp-permissions-guardrails) Dieser unternehmensweite Berechtigungs-Integritätsschutz ersetzt nicht Ihre vorhandenen fein abgestuften Zugriffskontrollen. Stattdessen fungieret es als **grob abgestufte Zugriffskontrollen**, die zur Verbesserung Ihrer Sicherheitsstrategie beitragen, indem sie sicherstellen, dass Benutzer, Rollen und Ressourcen eine Reihe definierter Sicherheitsstandards einhalten. 

Bei einem Datenperimeter handelt es sich um eine Reihe von Schutzplanken in Ihrer AWS Umgebung, die sicherstellen, dass nur Ihre vertrauenswürdigen Identitäten auf vertrauenswürdige Ressourcen aus den erwarteten Netzwerken zugreifen. 
+ Vertrauenswürdige Identitäten: Prinzipale (IAM-Rollen oder Benutzer) in Ihren AWS Konten und Diensten, die in Ihrem Namen handeln. AWS 
+ Vertrauenswürdige Ressourcen: Ressourcen, die Ihren AWS Konten oder AWS Diensten gehören, die in Ihrem Namen handeln.
+ Erwartete Netzwerke: Ihre lokalen Rechenzentren und virtuellen privaten Clouds (VPCs) oder Netzwerke von AWS Diensten, die in Ihrem Namen agieren.

**Anmerkung**  
In manchen Fällen müssen Sie Ihr Datenperimeter erweitern, um auch den Zugriff durch Ihre vertrauenswürdigen Geschäftspartner einzuschließen. Sie sollten alle beabsichtigten Datenzugriffsmuster berücksichtigen, wenn Sie eine Definition vertrauenswürdiger Identitäten, vertrauenswürdiger Ressourcen und erwarteter Netzwerke erstellen, die speziell auf Ihr Unternehmen und Ihre Nutzung der AWS-Services zugeschnitten ist.

Datenperimeterkontrollen sollten wie jede andere Sicherheitskontrolle im Rahmen des Informationssicherheits- und Risikomanagementprogramms behandelt werden. Das bedeutet, dass Sie eine Bedrohungsanalyse durchführen sollten, um potenzielle Risiken in Ihrer Cloud-Umgebung zu identifizieren, und dann auf der Grundlage Ihrer eigenen Risikoakzeptanzkriterien geeignete Kontrollen für den Datenperimeter auswählen und implementieren sollten. Um den iterativen, risikobasierten Ansatz zur Implementierung von Datenperimetern besser zu informieren, müssen Sie verstehen, welche Sicherheitsrisiken und Bedrohungsvektoren durch Datenperimeterkontrollen berücksichtigt werden und welche Sicherheitsprioritäten Sie haben.

## Datenperimeter-Kontrollen
<a name="access_policies_data-perimeters-controls"></a>

Mithilfe grob abgestufter Datenperimeterkontrollen können Sie durch die Implementierung verschiedener Kombinationen aus [Richtlinientypen](access_policies.md#access_policy-types) und [Bedingungsschlüsseln](reference_policies_condition-keys.md) sechs verschiedene Sicherheitsziele über drei Datenperimeter hinweg erreichen.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/access_policies_data-perimeters.html)

Sie können sich Datenperimeter so vorstellen, als würden Sie eine feste Grenze um Ihre Daten herum schaffen, um unbeabsichtigte Zugriffsmuster zu verhindern. Obwohl Datenperimeter einen weitreichenden, unbeabsichtigten Zugriff verhindern können, müssen Sie dennoch Entscheidungen zur differenzierten Zugriffssteuerung treffen. Die Einrichtung eines Datenperimeters mindert nicht die Notwendigkeit, Berechtigungen mithilfe von Tools wie [IAM Access Analyzer](what-is-access-analyzer.md) kontinuierlich zu optimieren, um das Prinzip der [geringsten Berechtigungen](best-practices.md#grant-least-privilege) zu erreichen.

Um Datenperimeterkontrollen für Ressourcen durchzusetzen, die derzeit nicht von unterstützt werden RCPs, können Sie ressourcenbasierte Richtlinien verwenden, die Ressourcen direkt zugeordnet sind. Eine Liste der Dienste, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter Richtlinien zur [Ressourcenkontrolle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) () RCPs und. RCPs [AWS Dienste, die mit IAM funktionieren](reference_aws-services-that-work-with-iam.md)

Um die Kontrolle der Netzwerkgrenzen durchzusetzen, empfehlen wir `aws:VpceOrgID`, `aws:VpceOrgPaths` und `aws:VpceAccount` nur zu verwenden, wenn alle Services, auf die Sie den Zugriff einschränken möchten, derzeit unterstützt werden. Die Verwendung dieser Bedingungsschlüssel mit nicht unterstützten Services kann zu unbeabsichtigten Autorisierungsergebnissen führen. Eine Liste der Services, die die Schlüssel unterstützen, finden Sie unter [AWS Kontextschlüssel für globale Bedingungen](reference_policies_condition-keys.md). Wenn Sie die Kontrollen für ein breiteres Spektrum von Services durchsetzen müssen, sollten Sie stattdessen `aws:SourceVpc` und `aws:SourceVpce` verwenden.

## Identitätsperimeter
<a name="access_policies_data-perimeters-identity"></a>

Bei einem Identitätsperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass nur vertrauenswürdige Identitäten auf Ihre Ressourcen zugreifen können und nur vertrauenswürdige Identitäten aus Ihrem Netzwerk zugelassen werden. Zu den vertrauenswürdigen Identitäten gehören in der Regel Principals (Rollen oder Benutzer) in Ihren AWS Konten und AWS Diensten, die in Ihrem Namen handeln. Alle anderen Identitäten gelten als nicht vertrauenswürdig und werden durch den Identitätsperimeter blockiert, sofern keine ausdrückliche Ausnahme gewährt wird.

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Identitätsperimeterkontrollen auf Grundlage Ihrer Definition vertrauenswürdiger Identitäten. Verwenden Sie diese Schlüssel in Ressourcenkontrollrichtlinien, um den Zugriff auf Ressourcen einzuschränken, oder in [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html), um den Zugriff auf Ihre Netzwerke einzuschränken.

### Identitäten, die Ihnen gehören
<a name="data-perimeters-identity-owned-by-you"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um IAM-Prinzipale zu definieren, die Sie in Ihrem erstellen und verwalten. AWS-Konten
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass IAM-Prinzipale, die die Anfrage stellen, zur angegebenen Organisation in AWS Organizations gehören.
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths)— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass der IAM-Benutzer, die IAM-Rolle, der AWS STS Verbundbenutzerprinzipal, der SAML-Bundprinzipal, der OIDC-Verbundprinzipal oder Root-Benutzer des AWS-Kontos der, für den die Anfrage gestellt wurde, zur angegebenen Organisationseinheit (OU) in gehören. AWS Organizations
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass nur das in der Richtlinie angegebene Hauptkonto auf Ressourcen zugreifen kann.

### Identitäten von Diensten, die in Ihrem Namen handeln AWS
<a name="data-perimeters-identity-owned-by-service"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um es AWS Diensten zu ermöglichen, ihre eigenen Identitäten für den Zugriff auf Ihre Ressourcen zu verwenden, wenn sie in Ihrem Namen handeln.
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) und [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (oder [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) und [aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)) – Mit diesen Bedingungsschlüsseln können Sie sicherstellen, dass [AWS-Service -Prinzipale](reference_policies_elements_principal.md#principal-services) beim Zugriff auf Ihre Ressourcen dies nur im Namen einer Ressource in der angegebenen Organisation, Organisationseinheit oder einem Konto in AWS Organizations tun.

Weitere Informationen finden Sie unter [Einrichtung eines Datenperimeters unter AWS: Nur vertrauenswürdigen Identitäten den Zugriff auf Unternehmensdaten erlauben](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/).

## Ressourcenperimeter
<a name="access_policies_data-perimeters-resource"></a>

Ein Ressourcenperimeter ist eine Reihe grob abgestufter, präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur auf vertrauenswürdige Ressourcen zugreifen können und von Ihrem Netzwerk aus nur auf vertrauenswürdige Ressourcen zugegriffen werden kann. Zu den vertrauenswürdigen Ressourcen gehören in der Regel Ressourcen, die Ihren AWS Konten oder AWS Diensten gehören, die in Ihrem Namen handeln.

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Ressourcenperimeterkontrollen auf Grundlage Ihrer Definition vertrauenswürdiger Ressourcen. Verwenden Sie diese Schlüssel in [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), um einzuschränken, auf welche Ressourcen über Ihre Identitäten zugegriffen werden kann, oder in [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html), um einzuschränken, auf welche Ressourcen von Ihren Netzwerken aus zugegriffen werden kann.

### Ressourcen in Ihrem Besitz
<a name="data-perimeters-resource-owned-by-you"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um AWS Ressourcen zu definieren, die Sie in Ihrem erstellen und verwalten. AWS-Konten
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisation in AWS Organizations gehört.
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisationseinheit (OE) in AWS Organizations gehört.
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zum angegebenen AWS-Konto gehört.

### Ressourcen von AWS Diensten, die in Ihrem Namen handeln
<a name="data-perimeters-resource-owned-by-service"></a>

In einigen Fällen müssen Sie möglicherweise den Zugriff auf AWS eigene Ressourcen gewähren, d. h. auf Ressourcen, die nicht zu Ihrer Organisation gehören und auf die Ihre Prinzipale oder in Ihrem Namen handelnde AWS Dienste zugreifen. Weitere Informationen zu diesen Szenarien finden Sie unter [Einrichtung eines Datenperimeters unter AWS: Nur vertrauenswürdige Ressourcen aus meiner Organisation zulassen](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/).

## Netzwerkperimeter
<a name="access_policies_data-perimeters-network"></a>

Bei einem Netzwerkperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur über erwartete Netzwerke auf Ressourcen zugreifen können und dass auf Ihre Ressourcen nur über erwartete Netzwerke zugegriffen werden kann. Zu den erwarteten Netzwerken gehören in der Regel Ihre lokalen Rechenzentren und virtuelle private Clouds (VPCs) sowie Netzwerke von AWS Diensten, die in Ihrem Namen agieren. 

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Netzwerkperimeterkontrollen auf Grundlage Ihrer Definition erwarteter Netzwerke. Verwenden Sie diese Schlüssel in [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), um Netzwerke einzuschränken, von denen aus Ihre Identitäten kommunizieren können, oder in [Ressourcensteuerungsrichtlinien (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html), um den Ressourcenzugriff auf erwartete Netzwerke einzuschränken.

### Netzwerke, die Ihnen gehören
<a name="data-perimeters-network-owned-by-you"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um Netzwerke zu definieren, die Ihre Mitarbeiter und Anwendungen voraussichtlich für den Zugriff auf Ihre Ressourcen verwenden werden, z. B. den IP-CIDR-Bereich Ihres Unternehmens und Ihr VPCs
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die IP-Adresse des Anforderers innerhalb eines angegebenen IP-Bereichs liegt.
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass der VPC-Endpunkt, durch den die Anfrage läuft, zur angegebenen VPC gehört.
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Anfrage über den angegebenen VPC-Endpunkt läuft.
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount)— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass Anfragen über VPC-Endpunkte kommen, die dem angegebenen AWS Konto gehören.
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths)— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass Anfragen über VPC-Endpunkte kommen, die Konten gehören, die der angegebenen Organisationseinheit (OU) in gehören. AWS Organizations
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid) – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass Anfragen über VPC-Endpunkte im Besitz von Konten in der angegebenen Organisation in AWS Organizations laufen.

`aws:VpceAccount`, `aws:VpceOrgPaths` und `aws:VpceOrgID` sind besonders nützlich für die Implementierung von Netzwerkperimeterkontrollen, die automatisch mit der Nutzung Ihrer VPC-Endpunkte skaliert werden, ohne dass Richtlinien aktualisiert werden müssen, wenn Sie neue Endpunkte erstellen. Eine Liste der AWS-Services , die diese Schlüssel unterstützen, finden Sie unter [AWS Kontextschlüssel für globale Bedingungen](reference_policies_condition-keys.md).

### Netzwerke von AWS Diensten, die in Ihrem Namen handeln
<a name="data-perimeters-network-owned-by-service"></a>

Sie können die folgenden Bedingungsschlüssel verwenden, um AWS Diensten den Zugriff auf Ihre Ressourcen von ihren Netzwerken aus zu ermöglichen, wenn sie in Ihrem Namen handeln.
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice)— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass Sie Anfragen im Namen Ihres Auftraggebers über [Forward Access Sessions (FAS)](access_forward_access_sessions.md) (FAS) stellen AWS-Services können.
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice)— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass AWS-Services Sie über [AWS Dienstprinzipale](reference_policies_elements_principal.md#principal-services)

 Es gibt weitere Szenarien, in denen Sie AWS-Services den Zugriff auf Ihre Ressourcen von außerhalb Ihres Netzwerks zulassen müssen. Weitere Informationen finden Sie unter [Einrichtung eines Datenperimeters unter AWS: Zugriff auf Unternehmensdaten nur von erwarteten Netzwerken aus zulassen](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/).

## Ressourcen, um mehr über Datenperimeter zu erfahren
<a name="access_policies_data-perimeters-resources"></a>

Die folgenden Ressourcen können Ihnen dabei helfen, mehr über Datenperimeter in AWS zu erfahren.
+ [Datenperimeter aktiviert AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/) — Erfahren Sie mehr über Datenperimeter und ihre Vorteile und Anwendungsfälle.
+  [Blogbeitragsserie: Einrichtung eines Datenperimeters am AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/) — In diesen Blogbeiträgen finden Sie ausführliche Anleitungen zur Einrichtung Ihres Datenperimeters in großem Maßstab, einschließlich wichtiger Sicherheits- und Implementierungsaspekte.
+  [Beispiele für Datenperimeterrichtlinien](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c) — Dieses GitHub Repository enthält Beispielrichtlinien, die einige gängige Muster behandeln, um Sie bei der Implementierung eines Datenperimeters zu unterstützen. AWS
+ [Datenperimeter-Helfer](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file) – Dieses Tool unterstützt Sie bei der Gestaltung und Prognose der Auswirkungen Ihrer Datenperimeter-Kontrollen, indem es die Zugriffsaktivität in Ihren [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)-Protokollen analysiert.