Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Outposts
Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für gelten AWS Outposts, finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Weitere Informationen zu Sicherheit und Compliance für AWS Outposts finden Sie in den [häufig gestellten Fragen zu AWS Outposts](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance).
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung anwenden können AWS Outposts. Es zeigt Ihnen, wie Sie Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Sie bei der Überwachung und Sicherung Ihrer Ressourcen unterstützen.
**Topics**
+ [Datenschutz](data-protection.md)
+ [Identity and Access Management](identity-access-management.md)
+ [Sicherheit der Infrastruktur](infrastructure-security.md)
+ [Ausfallsicherheit](disaster-recovery-resiliency.md)
+ [Compliance-Validierung](compliance-validation.md)
+ [Internetzugang](internet-access.md)
# Datenschutz in AWS Outposts
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS Outposts. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt umfasst die Sicherheitskonfiguration und die Verwaltungsaufgaben für AWS-Services das, was Sie verwenden.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind.
Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
## Verschlüsselung im Ruhezustand
Mit AWS Outposts werden alle Daten im Ruhezustand verschlüsselt. Das Schlüsselmaterial befindet sich in einem externen Schlüssel, der auf einem austauschbaren Gerät gespeichert ist, dem Nitro Security Key (NSK).
Sie können die Amazon EBS-Verschlüsselung für Ihre EBS-Volumes und -Snapshots verwenden. Die Amazon EBS-Verschlüsselung verwendet AWS Key Management Service (AWS KMS) und KMS-Schlüssel. Weitere Informationen finden Sie unter [Amazon EBS Encryption](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) im *Amazon EBS-Benutzerhandbuch*.
## Verschlüsselung während der Übertragung
AWS verschlüsselt Daten, die während der Übertragung zwischen Ihrem Outpost und seiner Region übertragen werden. AWS Weitere Informationen finden Sie unter [Konnektivität über Service Link](service-links.md).
Sie können ein Verschlüsselungsprotokoll wie Transport Layer Security (TLS) verwenden, um sensible Daten während der Übertragung über das lokale Gateway zu Ihrem lokalen Netzwerk zu verschlüsseln.
## Löschen von Daten
Wenn Sie eine EC2-Instance stoppen oder beenden, wird der ihr zugewiesene Speicher vom Hypervisor gesäubert (mit Null überschrieben), bevor er einer neuen Instance zugewiesen wird. Jeder Speicherblock wird zurückgesetzt.
Durch die Zerstörung des Nitro-Sicherheitsschlüssels werden die Daten auf Ihrem Outpost kryptografisch vernichtet.
# Identitäts- und Zugriffsmanagement (IAM) für AWS Outposts
AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS Outposts Sie können IAM ohne zusätzliche Kosten nutzen.
**Topics**
+ [So funktioniert AWS Outposts mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für Richtlinien](security_iam_id-based-policy-examples.md)
+ [Service-verknüpfte Rollen](using-service-linked-roles.md)
+ [AWS verwaltete Richtlinien](security-iam-awsmanpol.md)
# So funktioniert AWS Outposts mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf AWS Outposts zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für Outposts verfügbar sind. AWS
| IAM-Feature | AWS Unterstützung für Outposts |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| Ressourcenbasierte Richtlinien | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| ACLs | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions) | Ja |
| Servicerollen | Nein |
| [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
## Identitätsbasierte Richtlinien für Outposts AWS
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Outposts AWS
Beispiele für identitätsbasierte Richtlinien von AWS Outposts finden Sie unter. [AWS Politische Beispiele für Outposts](security_iam_id-based-policy-examples.md)
## Politische Maßnahmen für AWS Outposts
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der AWS Outposts-Aktionen finden Sie unter [Actions defined by AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions) in der *Service Authorization Reference.*
Richtlinienaktionen in AWS Outposts verwenden das folgende Präfix vor der Aktion:
```
outposts
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `List` beginnen, einschließlich der folgenden Aktion:
```
"Action": "outposts:List*"
```
## Politische Ressourcen für AWS Outposts
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Einige AWS Outposts API-Aktionen unterstützen mehrere Ressourcen. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2"
]
```
Eine Liste der AWS Outposts-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Ressourcentypen definiert von AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies) in der *Service Authorization Reference.* Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Outposts definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
## Schlüssel zu den Policy-Bedingungen für AWS Outposts
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Bedingungsschlüssel von AWS Outposts finden Sie unter [Bedingungsschlüssel für AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys) in der *Service Authorization Reference.* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Aktionen definiert von AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
Beispiele für identitätsbasierte Richtlinien von AWS Outposts finden Sie unter. [AWS Politische Beispiele für Outposts](security_iam_id-based-policy-examples.md)
## ABAC mit Outposts AWS
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Temporäre Anmeldeinformationen mit AWS Outposts verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Zugangsdaten ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Serviceübergreifende Prinzipalberechtigungen für Outposts AWS
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anfrage, Anfragen an AWS-Service nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicebezogene Rollen für Outposts AWS
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von dienstbezogenen AWS Outposts-Rollen finden Sie unter. [Mit Diensten verknüpfte Rollen für AWS Outposts](using-service-linked-roles.md)
# AWS Politische Beispiele für Outposts
Standardmäßig sind Benutzer und Rollen nicht berechtigt, AWS Outposts-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von AWS Outposts definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html) in der *Service Authorization Reference.*
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Beispiel: Nutzen von Berechtigungen auf Ressourcenebene](#outposts-policy-examples)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS Outposts-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Beispiel: Nutzen von Berechtigungen auf Ressourcenebene
Im folgenden Beispiel werden Berechtigungen auf Ressourcenebene verwendet, um die Berechtigung zum Abrufen von Informationen über den angegebenen Outpost zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
Im folgenden Beispiel werden Berechtigungen auf Ressourcenebene verwendet, um die Berechtigung zum Abrufen von Informationen über den angegebenen Standort zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# Mit Diensten verknüpfte Rollen für AWS Outposts
AWS Outposts verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, mit der direkt verknüpft ist. AWS Outposts AWS Outposts definiert dienstbezogene Rollen und umfasst alle Berechtigungen, die erforderlich sind, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle macht Ihre Einrichtung AWS Outposts effizienter, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Outposts definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Outposts kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle nur löschen, nachdem Sie zuvor die zugehörigen Ressourcen gelöscht haben. Dadurch werden Ihre AWS Outposts Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
## Mit dem Dienst verknüpfte Rollenberechtigungen für AWS Outposts
AWS Outposts verwendet die mit dem Dienst verknüpfte Rolle mit dem Namen **AWSServiceRoleForOutposts\$1 *OutpostID***. Diese Rolle gewährt Outposts die Erlaubnis, Netzwerkressourcen zu verwalten, um private Konnektivität in Ihrem Namen zu ermöglichen. Diese Rolle ermöglicht es Outposts auch, Netzwerkschnittstellen zu erstellen und zu konfigurieren, Sicherheitsgruppen zu verwalten und Schnittstellen an Service Link-Endpunktinstanzen anzuhängen. Diese Berechtigungen sind erforderlich, um die sichere, private Verbindung zwischen Ihrem lokalen Outpost und den AWS Diensten herzustellen und aufrechtzuerhalten und so den zuverlässigen Betrieb Ihrer Outpost-Bereitstellung zu gewährleisten.
Die mit dem AWSService RoleForOutposts *OutpostID* Dienst verknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `outposts.amazonaws.com`
### Richtlinien für dienstbezogene Rollen
Die *OutpostID* dienstbezogene Rolle AWSService RoleForOutposts \$1 umfasst die folgenden Richtlinien:
+ [AWSOutpostsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostsServiceRolePolicy
Die `AWSOutpostsServiceRolePolicy` Richtlinie ermöglicht den Zugriff auf AWS Ressourcen, die von verwaltet werden AWS Outposts.
Diese Richtlinie ermöglicht AWS Outposts es, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen:
+ Aktion: `ec2:DescribeNetworkInterfaces` für alle AWS Ressourcen
+ Aktion: `ec2:DescribeSecurityGroups` für alle AWS Ressourcen
+ Aktion: `ec2:DescribeSubnets` für alle AWS Ressourcen
+ Aktion: `ec2:DescribeVpcEndpoints` für alle AWS Ressourcen
+ Maßnahme: `ec2:CreateNetworkInterface` in Bezug auf die folgenden AWS Ressourcen:
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ Aktion: `ec2:CreateNetworkInterface` für die AWS Ressource`"arn:*:ec2:*:*:network-interface/*"`, die die folgende Bedingung erfüllt:
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ Aktion: `ec2:CreateSecurityGroup` für die folgenden AWS Ressourcen:
```
"arn:*:ec2:*:*:vpc/*"
```
+ Aktion: `ec2:CreateSecurityGroup` für die AWS Ressource`"arn:*:ec2:*:*:security-group/*"`, die die folgende Bedingung erfüllt:
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostsPrivateConnectivityPolicy\$1OutpostID
Die `AWSOutpostsPrivateConnectivityPolicy_OutpostID` Richtlinie ermöglicht AWS Outposts es, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `ec2:AuthorizeSecurityGroupIngress` für alle AWS Ressourcen, die die folgende Bedingung erfüllen:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Aktion: `ec2:AuthorizeSecurityGroupEgress` für alle AWS Ressourcen, die die folgende Bedingung erfüllen:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Aktion: `ec2:CreateNetworkInterfacePermission` für alle AWS Ressourcen, die die folgende Bedingung erfüllen:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Aktion: `ec2:CreateTags` für alle AWS Ressourcen, die die folgende Bedingung erfüllen:
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ Aktion: `ec2:RevokeSecurityGroupIngress` für alle AWS Ressourcen, die die folgende Bedingung erfüllen:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Aktion: `ec2:RevokeSecurityGroupEgress` für alle AWS Ressourcen, die die folgende Bedingung erfüllen:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Aktion: `ec2:DeleteNetworkInterface` für alle AWS Ressourcen, die die folgende Bedingung erfüllen:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Aktion: `ec2:DeleteSecurityGroup` für alle AWS Ressourcen, die die folgende Bedingung erfüllen:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen Sie eine serviceverknüpfte Rolle für AWS Outposts
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die private Konnektivität für Ihren Outpost in der konfigurieren AWS-Managementkonsole, AWS Outposts erstellt die serviceverknüpfte Rolle für Sie.
Weitere Informationen finden Sie unter [Private Verbindungsoptionen für Service Link](private-connectivity.md).
## Bearbeiten Sie eine serviceverknüpfte Rolle für AWS Outposts
AWS Outposts erlaubt es Ihnen nicht, die mit dem *OutpostID* Dienst AWSService RoleForOutposts \$1 verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Aktualisieren einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) im *IAM-Benutzerhandbuch*.
## Löschen Sie eine dienstverknüpfte Rolle für AWS Outposts
Wenn Sie eine Funktion oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise vermeiden Sie, dass eine ungenutzte Einheit nicht aktiv überwacht oder gewartet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Wenn der AWS Outposts Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Sie müssen Ihren Outpost löschen, bevor Sie die mit dem *OutpostID* Dienst AWSService RoleForOutposts \$1 verknüpfte Rolle löschen können.
Bevor Sie beginnen, stellen Sie sicher, dass Ihr Outpost nicht mit AWS Resource Access Manager () geteilt wird.AWS RAM Weitere Informationen findest du unter Aufheben der gemeinsamen [Nutzung einer geteilten Outpost-Ressource](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare).
**Um AWS Outposts Ressourcen zu löschen, die von \$1 verwendet werden AWSService RoleForOutposts *OutpostID***
Wenden Sie sich an den AWS Enterprise Support, um Ihren Outpost zu löschen.
**So löschen Sie die -servicegebundene Rolle mit IAM**
Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für AWS Outposts dienstbezogene Rollen
AWS Outposts unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie in den [Racks FAQs für Outposts](https://aws.amazon.com/outposts/rack/faqs/).
# AWS verwaltete Richtlinien für AWS Outposts
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSOutposts ServiceRolePolicy
Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es AWS Outposts ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Service-verknüpfte Rollen](using-service-linked-roles.md).
## AWS Outposts Aktualisierungen AWS verwalteter Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für AWS Outposts an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| Aktualisierungen der dienstbezogenen Rolle \$1 AWS Identity and Access Management AWSService RoleForOutposts OutpostID | Die Berechtigungen für die OutpostID dienstverknüpfte Rolle AWSServiceRoleForOutposts\$1 wurden aktualisiert, um die AWS Outposts Verwaltung von Netzwerkressourcen für private Konnektivität zu verfeinern. Für Service Link-Endpunktinstanzen sind genauere Kontrollen der Netzwerkschnittstellen- und Sicherheitsgruppenoperationen erforderlich. | 18. April 2025 |
| AWS Outposts haben begonnen, Änderungen zu verfolgen | AWS Outposts begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 03. Dezember 2019 |
# Sicherheit der Infrastruktur in AWS Outposts
Als verwalteter Service ist AWS Outposts durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf AWS Outposts zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Weitere Informationen zur Infrastruktursicherheit für die EC2-Instances und EBS-Volumes, die auf Ihrem Outpost ausgeführt werden, finden Sie unter [Infrastruktursicherheit in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html).
VPC-Flow-Logs funktionieren genauso wie in einer AWS Region. Das bedeutet, dass sie zur Analyse in CloudWatch Logs, Amazon S3 oder Amazon GuardDuty veröffentlicht werden können. Daten müssen zur Veröffentlichung in diesen Diensten an die Region zurückgesendet werden, sodass sie für CloudWatch oder andere Dienste nicht sichtbar sind, wenn der Outpost nicht verbunden ist.
## Überwachung von Manipulationen an Geräten AWS Outposts
Stellen Sie sicher, dass niemand die Geräte modifiziert, verändert, zurückentwickelt oder manipuliert. AWS Outposts AWS Outposts [Geräte können mit einer Manipulationsüberwachung ausgestattet werden, um die Einhaltung der AWS Servicebedingungen sicherzustellen.](https://aws.amazon.com/service-terms/)
# Belastbarkeit in AWS Outposts
AWS Outposts ist so konzipiert, dass es hochverfügbar ist. Outposts-Racks sind mit redundanter Strom- und Netzwerkausrüstung ausgestattet. Für zusätzliche Stabilität empfehlen wir, dass Sie zwei Stromquellen und redundante Netzwerkkonnektivität für Ihren Outpost bereitstellen.
Für eine hohe Verfügbarkeit können Sie zusätzliche integrierte und immer aktive Kapazitäten auf Outposts-Racks bereitstellen. Outpost-Kapazitätskonfigurationen sind für den Betrieb in Produktionsumgebungen konzipiert und unterstützen N\$11-Instances für jede Instance-Familie, wenn Sie die entsprechende Kapazität bereitstellen. AWS empfiehlt, dass Sie Ihren unternehmenskritischen Anwendungen ausreichend zusätzliche Kapazität zuweisen, um Wiederherstellung und Failover zu ermöglichen, wenn ein zugrunde liegendes Hostproblem vorliegt. Sie können die CloudWatch Amazon-Kapazitätsverfügbarkeitsmetriken verwenden und Alarme einrichten, um den Zustand Ihrer Anwendungen zu überwachen, CloudWatch Aktionen zur Konfiguration automatischer Wiederherstellungsoptionen zu erstellen und die Kapazitätsauslastung Ihrer Outposts im Laufe der Zeit zu überwachen.
Wenn Sie einen Outpost erstellen, wählen Sie eine Availability Zone aus einer AWS Region aus. Diese Availability Zone unterstützt Operationen der Steuerebene wie die Beantwortung von API-Aufrufen, die Überwachung des Outpost und die Aktualisierung des Outpost. Um von der Ausfallsicherheit der Availability Zones zu profitieren, können Sie Anwendungen auf mehreren Outposts bereitstellen, die jeweils mit einer anderen Availability Zone verbunden sind. Auf diese Weise können Sie zusätzliche Ausfallsicherheit für Anwendungen aufbauen und die Abhängigkeit von einer einzigen Availability Zone vermeiden. Weitere Informationen über Regionen und Availability Zones finden Sie unter [Globale AWS -Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
Sie können eine Platzierungsgruppe mit einer Spread-Strategie verwenden, um sicherzustellen, dass Instances in unterschiedlichen Outposts-Racks platziert werden. Auf diese Weise können Sie korrelierte Ausfälle reduzieren. Weitere Informationen finden Sie unter [Platzierungsgruppen auf Outposts](outposts-optimizations.md#placement-groups-outpost).
Sie können Instances in Outposts mithilfe von Amazon EC2 Auto Scaling starten und einen Application Load Balancer erstellen, um den Datenverkehr zwischen den Instances zu verteilen. Weitere Informationen finden Sie unter [Konfigurieren eines Application Load Balancerauf AWS Outposts](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/).
# Konformitätsprüfung für AWS Outposts
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Internetzugang für AWS Outposts Workloads
In diesem Abschnitt wird erklärt, wie AWS Outposts Workloads auf folgende Weise auf das Internet zugreifen können:
+ Durch die übergeordnete Region AWS
+ Über das Netzwerk Ihres lokalen Rechenzentrums
## Internetzugang über die übergeordnete AWS Region
Bei dieser Option greifen die Workloads in den Outposts über den Service Link und dann über das Internet-Gateway (IGW) in der übergeordneten Region auf das Internet zu. AWS Der ausgehende Datenverkehr zum Internet kann über das in Ihrer VPC instanziierte NAT-Gateway erfolgen. Für zusätzliche Sicherheit für Ihren eingehenden und ausgehenden Datenverkehr können Sie AWS Sicherheitsdienste wie AWS WAF AWS Shield, und Amazon CloudFront in der AWS Region verwenden.
Informationen zur Einstellung der Routentabelle im Outposts-Subnetz finden Sie unter [Routentabellen für lokale Gateways](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Überlegungen
+ Verwenden Sie diese Option, wenn:
+ Sie benötigen Flexibilität bei der Sicherung des Internetverkehrs mit mehreren AWS Diensten in der AWS Region.
+ Sie verfügen in Ihrem Rechenzentrum oder Ihrer Colocation-Einrichtung nicht über einen Internet-Präsenzpunkt.
+ Bei dieser Option muss der Datenverkehr die übergeordnete AWS Region durchqueren, was zu Latenz führt.
+ Ähnlich wie bei Datenübertragungsgebühren in AWS Regionen fallen für die Datenübertragung von der übergeordneten Availability Zone zum Outpost Gebühren an. Weitere Informationen zur Datenübertragung finden Sie unter [Amazon EC2 On-Demand-Preise](https://aws.amazon.com/ec2/pricing/on-demand/).
+ Die Auslastung der Service Link-Bandbreite wird zunehmen.
Die folgende Abbildung zeigt den Datenverkehr zwischen dem Workload in der Outposts-Instance und dem Internet, der durch die übergeordnete AWS Region fließt.
![\[Zeigt den Verkehr zwischen dem Workload in der Outposts-Instanz und dem Internet, der durch die übergeordnete AWS Region fließt.\]](http://docs.aws.amazon.com/de_de/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## Internetzugang über das Netzwerk Ihres lokalen Rechenzentrums
Bei dieser Option greifen die Workloads in den Outposts über Ihr lokales Rechenzentrum auf das Internet zu. Der Workload-Verkehr, der auf das Internet zugreift, durchläuft Ihren lokalen Internet-Präsenzpunkt und geht lokal aus. Die Sicherheitsebene des Netzwerks Ihres lokalen Rechenzentrums ist für die Sicherung des Workload-Datenverkehrs von Outposts verantwortlich.
Informationen zur Einstellung der Routentabelle im Outposts-Subnetz finden Sie unter [Routentabellen für lokale Gateways](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Überlegungen
+ Verwenden Sie diese Option, wenn:
+ Ihre Workloads erfordern einen Zugriff auf Internetdienste mit geringer Latenz.
+ Sie möchten vermeiden, dass Gebühren für ausgehende Datenübertragungen (DTO) anfallen.
+ Sie möchten die Service Link-Bandbreite für den Verkehr auf der Kontrollebene beibehalten.
+ Ihre Sicherheitsebene ist für die Sicherung des Workload-Verkehrs von Outposts verantwortlich.
+ Wenn Sie sich für Direct VPC Routing (DVR) entscheiden, müssen Sie sicherstellen, dass die Outposts CIDRs nicht mit den lokalen in Konflikt geraten. CIDRs
+ Wenn die Standardroute (0/0) über das lokale Gateway (LGW) weitergegeben wird, können Instances möglicherweise nicht zu den Service-Endpunkten gelangen. Alternativ können Sie VPC-Endpunkte auswählen, um den gewünschten Service zu erreichen.
Die folgende Abbildung zeigt den Datenverkehr zwischen dem Workload in der Outposts-Instanz und dem Internet, der über Ihr lokales Rechenzentrum fließt.
![\[Zeigt den Verkehr zwischen dem Workload in der Outposts-Instanz und dem Internet an, der über das Netzwerk Ihres Rechenzentrums fließt.\]](http://docs.aws.amazon.com/de_de/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)