.amazonaws.com/`
In der folgenden Tabelle sind die erforderlichen Ports aufgeführt.
|
|
| Quelle | Ziel | Port | Die Ausgabe des obigen Befehls sieht in etwa folgendermaßen aus (JSON format). |
| --- |--- |--- |--- |
| Quellrechenzentrum | Amazon S3 S3-Dienst URLs | 443 (TCP) | [Kommunikation über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Quellrechenzentrum | AWS-Region-spezifische Konsolenadresse für den Application Migration Service | 443 (TCP) | [Kommunikation zwischen den Quellservern und dem Application Migration Service über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Source-Manager-TCP-443) |
| Quellrechenzentrum | Subnetz für den Bereitstellungsbereich | 1500 (TCP) | [Kommunikation zwischen den Quellservern und dem Staging-Area-Subnetz über TCP-Port 1500](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-1500) |
| Subnetz des Staging-Bereichs | AWS-Region-spezifische Konsolenadresse für den Application Migration Service | 443 (TCP) | [Kommunikation zwischen dem Staging-Area-Subnetz und dem Application Migration Service über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-443-Staging) |
| Subnetz des Staging-Bereichs | Amazon S3 S3-Dienst URLs | 443 (TCP) | [Kommunikation über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Subnetz des Staging-Bereichs | Amazon Elastic Compute Cloud (Amazon EC2) -Endpunkt des Subnetzes AWS-Region | 443 (TCP) | [Kommunikation über TCP-Port 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
**-Einschränkungen**
Der Anwendungsmigrationsdienst ist derzeit nicht in allen AWS-Regionen Betriebssystemen verfügbar.
+ [Unterstützt AWS-Regionen](https://docs.aws.amazon.com/mgn/latest/ug/supported-regions.html)
+ [Unterstützte Betriebssysteme](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
## Architektur
Das folgende Diagramm zeigt die Netzwerkarchitektur für eine typische Migration. Weitere Informationen zu dieser Architektur finden Sie in der [Dokumentation zum Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/Network-Settings-Video.html) und im [Video zur Architektur und Netzwerkarchitektur des Application Migration Service](https://youtu.be/ao8geVzmmRo).
![\[Netzwerkarchitektur für Application Migration Service für eine typische Migration\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/546598b2-8026-4849-a441-eaa2bc2bf6bb.png)
Die folgende detaillierte Ansicht zeigt die Konfiguration der Schnittstellen-VPC-Endpunkte im Staging-Bereich VPC zur Verbindung von Amazon S3 und Application Migration Service.
![\[Netzwerkarchitektur für den Application Migration Service für eine typische Migration — detaillierte Ansicht\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/bd0dfd42-4ab0-466f-b696-804dedcf4513.png)
## Tools
+ [AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)vereinfacht, beschleunigt und reduziert die Kosten für das Rehosten von Anwendungen auf. AWS
+ Mit [Schnittstellen-VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) können Sie eine Verbindung zu Diensten herstellen, die von bereitgestellt werden, AWS PrivateLink ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung erforderlich ist. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit den Ressourcen in dem Service zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht.
## Epen
### Endpunkte für Application Migration Service EC2, Amazon und Amazon S3 erstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie den Schnittstellenendpunkt für den Application Migration Service. | Das Quellrechenzentrum und die Staging-Bereichs-VPC stellen über den Schnittstellenendpunkt, den Sie in der Ziel-Staging-Bereichs-VPC erstellen, eine private Verbindung mit der Application Migration Service-Kontrollebene her. So erstellen Sie den Endpunkt:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Weitere Informationen finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Schnittstellen-Endpunkts in der Amazon VPC-Dokumentation](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). | Leiter der Migration |
| Konfigurieren Sie den Schnittstellenendpunkt für Amazon EC2. | Die Staging-Bereichs-VPC stellt über den Schnittstellenendpunkt, den Sie in der Ziel-Staging-Bereichs-VPC erstellen, eine private Verbindung zur EC2 Amazon-API her. Folgen Sie den Anweisungen in der vorherigen Geschichte, um den Endpunkt zu erstellen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html) | Leiter der Migration |
| Konfigurieren Sie den Schnittstellenendpunkt für Amazon S3. | Das Quellrechenzentrum und die Staging-Bereichs-VPC stellen über den Schnittstellenendpunkt, den Sie in der Ziel-Staging-Bereichs-VPC erstellen, privat eine Verbindung zur Amazon S3 S3-API her. Folgen Sie den Anweisungen in der ersten Geschichte, um den Endpunkt zu erstellen.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Sie verwenden einen Schnittstellenendpunkt, da Gateway-Endpunktverbindungen nicht von einer VPC aus erweitert werden können. (Einzelheiten finden Sie in der [AWS PrivateLink Dokumentation](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html).) | Leiter der Migration |
| Konfigurieren Sie den Amazon S3 Gateway-Endpunkt. | Während der Konfigurationsphase muss der Replikationsserver eine Verbindung zu einem S3-Bucket herstellen, um die Softwareupdates des AWS Replication Servers herunterzuladen. Amazon S3 S3-Schnittstellenendpunkte unterstützen jedoch keine privaten DNS-Namen*, und es gibt keine Möglichkeit,* einem Replikationsserver einen Amazon S3 S3-Endpunkt-DNS-Namen zur Verfügung zu stellen. Um dieses Problem zu beheben, erstellen Sie einen Amazon S3 S3-Gateway-Endpunkt in der VPC, zu der das Staging-Bereichs-Subnetz gehört, und aktualisieren die Routing-Tabellen des Staging-Subnetzes mit den entsprechenden Routen. Weitere Informationen finden Sie in der Dokumentation unter Einen [Gateway-Endpunkt erstellen](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3). AWS PrivateLink | Cloud-Administrator |
| Konfigurieren Sie lokales DNS, um private DNS-Namen für Endgeräte aufzulösen. | Die Schnittstellenendpunkte für Application Migration Service und Amazon EC2 haben private DNS-Namen, die in der VPC aufgelöst werden können. Sie müssen jedoch auch lokale Server konfigurieren, um private DNS-Namen für diese Schnittstellenendpunkte aufzulösen.Es gibt mehrere Möglichkeiten, diese Server zu konfigurieren. In diesem Muster haben wir diese Funktionalität getestet, indem wir lokale DNS-Abfragen an den Amazon Route 53 Resolver eingehenden Endpunkt im Staging-Bereich VPC weitergeleitet haben. Weitere Informationen finden Sie unter [Auflösen von DNS-Abfragen zwischen VPCs und Ihrem Netzwerk](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) in der Route 53-Dokumentation. | Ingenieur für Migration |
### Stellen Sie über eine private Connect eine Verbindung zur Kontrollebene des Application Migration Service her
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Installieren Sie AWS Replication Agent mithilfe von AWS PrivateLink. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Hier ist ein Beispiel für Linux:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Nachdem Sie Ihre Verbindung mit Application Migration Service hergestellt und den AWS Replication Agent installiert haben, folgen Sie den Anweisungen in der [Dokumentation zum Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html), um Ihre Quellserver auf Ihre Ziel-VPC und Ihr Zielsubnetz zu migrieren. | Migrationsingenieur |
## Zugehörige Ressourcen
**Dokumentation zum Anwendungsmigrationsdienst**
+ [Konzepte](https://docs.aws.amazon.com/mgn/latest/ug/CloudEndure-Concepts.html)
+ [Arbeitsablauf bei der Migration](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html)
+ [Schnellstartanleitung](https://docs.aws.amazon.com/mgn/latest/ug/quick-start-guide-gs.html)
+ [HÄUFIG GESTELLTE FRAGEN](https://docs.aws.amazon.com/mgn/latest/ug/FAQ.html)
+ [Fehlersuche](https://docs.aws.amazon.com/mgn/latest/ug/troubleshooting.html)
**Weitere Ressourcen**
+ [Rehosten Ihrer Anwendungen in einer Architektur mit mehreren Konten unter Verwendung AWS von VPC-Schnittstellenendpunkten](https://docs.aws.amazon.com/prescriptive-guidance/latest/rehost-multi-account-architecture-interface-endpoints/) (AWS Prescriptive Guidance Guide Guide)
+ [AWS Application Migration Service — Eine technische Einführung](https://www.aws.training/Details/eLearning?id=71732) (Komplettlösung für Schulung und Zertifizierung)AWS
+ [AWS Application Migration Service Architektur und Netzwerkarchitektur](https://youtu.be/ao8geVzmmRo) (Video)
## Zusätzliche Informationen
**Problembehandlung bei *AWS *****Replication Agent-Installationen auf Linux-Servern**
Wenn Sie auf einem Amazon Linux-Server einen **gcc-Fehler** erhalten, konfigurieren Sie das Paket-Repository und verwenden Sie den folgenden Befehl:
```
## sudo yum groupinstall "Development Tools"
```
# Erstellen Sie Infoblox-Objekte mithilfe von CloudFormation benutzerdefinierten AWS-Ressourcen und Amazon SNS
*Tim Sutton, Amazon Web Services*
## Zusammenfassung
**Hinweis**: AWS Cloud9 ist für Neukunden nicht mehr verfügbar. Bestandskunden von AWS Cloud9 können den Service weiterhin wie gewohnt nutzen. [Weitere Informationen](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Mit dem Infoblox Domain Name System (DNS), dem Dynamic Host Configuration Protocol (DHCP) und der IP-Adressverwaltung ([Infoblox DDI](https://www.infoblox.com/products/ddi/)) können Sie eine komplexe Hybridumgebung zentralisieren und effizient steuern. Mit Infoblox DDI können Sie alle Netzwerkressourcen in einer autoritativen IP-Adressverwaltungsdatenbank (IPAM) ermitteln und aufzeichnen. Darüber hinaus können Sie DNS vor Ort und in der Amazon Web Services (AWS) Cloud verwalten, indem Sie dieselben Appliances verwenden.
Dieses Muster beschreibt, wie eine CloudFormation benutzerdefinierte AWS-Ressource verwendet wird, um Infoblox-Objekte (z. B. DNS-Einträge oder IPAM-Objekte) zu erstellen, indem die Infoblox WAPI-API aufgerufen wird. [Weitere Informationen zur Infoblox-WAPI finden Sie in der WAPI-Dokumentation in der Infoblox-Dokumentation.](https://www.infoblox.com/wp-content/uploads/infoblox-deployment-infoblox-rest-api.pdf)
Durch die Verwendung des Ansatzes dieses Musters erhalten Sie eine einheitliche Ansicht der DNS-Einträge und IPAM-Konfigurationen für Ihre AWS- und lokalen Umgebungen. Außerdem müssen Sie keine manuellen Prozesse mehr durchführen, die Datensätze erstellen und Ihre Netzwerke bereitstellen. Sie können den Ansatz dieses Musters für die folgenden Anwendungsfälle verwenden:
+ Hinzufügen eines A-Eintrags nach dem Erstellen einer Amazon Elastic Compute Cloud (Amazon EC2) -Instanz
+ Hinzufügen eines CNAME-Eintrags nach der Erstellung eines Application Load Balancer
+ Hinzufügen eines Netzwerkobjekts nach dem Erstellen einer Virtual Private Cloud (VPC)
+ Bereitstellung des nächsten Netzwerkbereichs und Verwendung dieses Bereichs zur Erstellung von Subnetzen
Sie können dieses Muster auch erweitern und andere Infoblox-Gerätefunktionen verwenden, z. B. das Hinzufügen verschiedener DNS-Eintragstypen oder die Konfiguration von Infoblox vDiscovery.
Das Muster verwendet ein hub-and-spoke Design, bei dem der Hub Konnektivität zur Infoblox-Appliance in der AWS-Cloud oder vor Ort benötigt und AWS Lambda verwendet, um die Infoblox-API aufzurufen. Der Spoke befindet sich in demselben oder einem anderen Konto in derselben Organisation in AWS Organizations und ruft die Lambda-Funktion mithilfe einer CloudFormation benutzerdefinierten AWS-Ressource auf.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine bestehende Infoblox-Appliance oder ein Infoblox-Grid, das in der AWS-Cloud, vor Ort oder in beiden installiert und mit einem Admin-Benutzer konfiguriert ist, der IPAM- und DNS-Aktionen verwalten kann. Weitere Informationen dazu finden Sie unter [Über Administratorkonten](https://docs.infoblox.com/display/nios86/About+Admin+Accounts) in der Infoblox-Dokumentation.
+ Eine bestehende autoritative DNS-Zone, der Sie Datensätze auf der Infoblox-Appliance hinzufügen möchten. Weitere Informationen dazu finden Sie unter [Konfiguration autoritativer Zonen](https://docs.infoblox.com/display/nios86/Configuring+Authoritative+Zones) in der Infoblox-Dokumentation.
+ Zwei aktive AWS-Konten in AWS Organizations. Ein Konto ist das Hub-Konto und das andere Konto ist das Spoke-Konto.
+ Die Hub- und Spoke-Konten müssen sich in derselben AWS-Region befinden.
+ Die VPC des Hub-Kontos muss eine Verbindung zur Infoblox-Appliance herstellen, beispielsweise mithilfe von AWS Transit Gateway oder VPC-Peering.
+ [AWS Serverless Application Model (AWS SAM),](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) lokal installiert und konfiguriert mit AWS Cloud9 oder AWS. CloudShell
+ Die `ClientTest.yaml` Dateien `Infoblox-Hub.zip` und (angehängt), die in die lokale Umgebung heruntergeladen wurden, die AWS SAM enthält.
**Einschränkungen**
+ Das Service-Token der CloudFormation benutzerdefinierten AWS-Ressource muss aus derselben Region stammen, in der der Stack erstellt wurde. Wir empfehlen, dass Sie in jeder Region ein Hub-Konto verwenden, anstatt in einer Region ein Amazon Simple Notification Service (Amazon SNS) -Thema zu erstellen und die Lambda-Funktion in einer anderen Region aufzurufen.
**Produktversionen**
+ Infoblox WAPI-Version 2.7
## Architektur
Die folgenden Diagramme zeigen den Arbeitsablauf dieses Musters.
![\[Erstellen von Infoblox-Objekten mithilfe von CloudFormation benutzerdefinierten AWS-Ressourcen und Amazon SNS.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/8d609d3f-6f5e-4084-849f-ca191db8055e/images/3594a064-e103-4211-84b7-da67c41ebb15.png)
Das Diagramm zeigt die folgenden Komponenten für die Lösung dieses Musters:
1. Mit CloudFormation benutzerdefinierten AWS-Ressourcen können Sie benutzerdefinierte Bereitstellungslogik in Vorlagen schreiben, die AWS CloudFormation ausführt, wenn Sie Stacks erstellen, aktualisieren oder löschen. Wenn Sie einen Stack erstellen, CloudFormation sendet AWS eine `create` Anfrage an ein SNS-Thema, das von einer Anwendung überwacht wird, die auf einer EC2 Instance ausgeführt wird.
1. Die Amazon SNS SNS-Benachrichtigung von der CloudFormation benutzerdefinierten AWS-Ressource wird mit einem bestimmten AWS Key Management Service (AWS KMS) -Schlüssel verschlüsselt, und der Zugriff ist auf Konten in Ihrer Organisation in Organizations beschränkt. Das SNS-Thema initiiert die Lambda-Ressource, die die Infoblox WAPI-API aufruft.
1. Amazon SNS ruft die folgenden Lambda-Funktionen auf, die die Infoblox-WAPI-URL, den Benutzernamen und das Passwort AWS Secrets Manager Amazon Resource Names () als Umgebungsvariablen verwenden: ARNs
+ `dnsapi.lambda_handler`— Empfängt die `DNSName` `DNSType` ,- und `DNSValue` -Werte von der CloudFormation benutzerdefinierten AWS-Ressource und verwendet diese, um DNS-A-Einträge und CNAMES zu erstellen.
+ `ipaddr.lambda_handler`— Empfängt die`VPCCIDR`, `Type``SubnetPrefix`, und `Network Name` Werte von der CloudFormation benutzerdefinierten AWS-Ressource und verwendet diese, um die Netzwerkdaten zur Infoblox IPAM-Datenbank hinzuzufügen oder die benutzerdefinierte Ressource mit dem nächsten verfügbaren Netzwerk bereitzustellen, das zum Erstellen neuer Subnetze verwendet werden kann.
+ `describeprefixes.lambda_handler`— Ruft die `describe_managed_prefix_lists` AWS-API auf, indem der `"com.amazonaws."+Region+".s3"` Filter verwendet wird, um die erforderlichen Daten abzurufen`prefix ID`.
**Wichtig**
Diese Lambda-Funktionen sind in Python geschrieben und ähneln sich, rufen aber unterschiedlich APIs auf.
1. Sie können das Infoblox-Grid als physische, virtuelle oder cloudbasierte Netzwerk-Appliances bereitstellen. Es kann vor Ort oder als virtuelle Appliance mithilfe einer Reihe von Hypervisoren bereitgestellt werden, darunter Microsoft Hyper-V VMware ESXi, Linux KVM und Xen. Sie können das Infoblox-Grid auch mit einem Amazon Machine Image (AMI) in der AWS-Cloud bereitstellen.
1. Das Diagramm zeigt eine Hybridlösung für das Infoblox-Grid, die DNS und IPAM für Ressourcen in der AWS-Cloud und vor Ort bereitstellt.
**Technologie-Stack**
+ AWS CloudFormation
+ IAM
+ AWS KMS
+ AWS Lambda
+ AWS SAM
+ AWS Secrets Manager
+ Amazon SNS
+ Amazon VPC
## Tools
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und Regionen hinweg zu verwalten.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) unterstützt Sie bei der Erstellung und Kontrolle kryptografischer Schlüssel, um Ihre Daten zu schützen.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einer Organisation konsolidieren können, die Sie erstellen und zentral verwalten.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) hilft Ihnen dabei, hartcodierte Anmeldeinformationen in Ihrem Code, einschließlich Passwörter, durch einen API-Aufruf an Secrets Manager zu ersetzen, um das Geheimnis programmgesteuert abzurufen.
+ Das [AWS Serverless Application Model (AWS SAM)](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) ist ein Open-Source-Framework, mit dem Sie serverlose Anwendungen in der AWS-Cloud erstellen können.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk zu starten. Dieses virtuelle Netzwerk ähnelt einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, mit den Vorteilen der skalierbaren Infrastruktur von AWS.
**Code**
Sie können die `ClientTest.yaml` CloudFormation AWS-Beispielvorlage (beigefügt) verwenden, um den Infoblox-Hub zu testen. Sie können die CloudFormation AWS-Vorlage so anpassen, dass sie die benutzerdefinierten Ressourcen aus der folgenden Tabelle enthält.
| |
| --- |
| Erstellen Sie einen A-Datensatz mithilfe der benutzerdefinierten Infoblox-Spoke-Ressource | Rückgabewerte: `infobloxref `— Infoblox-ReferenzenBeispielressource:
```
ARECORDCustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxDNSFunction
DNSName: 'arecordtest.company.com'
DNSType: 'ARecord'
DNSValue: '10.0.0.1'
``` |
| --- |--- |
| Erstellen Sie einen CNAME-Eintrag mit der benutzerdefinierten Infoblox Spoke-Ressource | **Rückgabewerte:** `infobloxref `— Infoblox-Referenzen**Beispielressource:**CNAMECustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfoblox
DNSFunction
DNSName: 'cnametest.company.com'
DNSType: 'cname'
DNSValue: 'aws.amazon.com'
|
| Erstellen Sie ein Netzwerkobjekt mithilfe der benutzerdefinierten Infoblox Spoke-Ressource | **Rückgabewerte:**`infobloxref `— Infoblox-Referenzen`network`— Netzwerkreichweite (dieselbe wie) `VPCCIDR`**Beispielressource:**VPCCustomResource:
Type: 'Custom::InfobloxAPI'
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: VPC
NetworkName: My-VPC
|
| Rufen Sie das nächste verfügbare Subnetz mithilfe der benutzerdefinierten Infoblox-Spoke-Ressource ab | **Rückgabewerte:**`infobloxref`— Infoblox-Referenzen`network `— Die Netzwerkreichweite des Subnetzes**Beispielressource:**Subnet1CustomResource:
Type: 'Custom::InfobloxAPI'
DependsOn: VPCCustomResource
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: Subnet
SubnetPrefix: !Ref SubnetPrefix
NetworkName: My-Subnet
|
## Epen
### Erstellen und konfigurieren Sie die VPC des Hub-Kontos
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine VPC mit einer Verbindung zur Infoblox-Appliance. | Melden Sie sich bei der AWS-Managementkonsole für Ihr Hub-Konto an und erstellen Sie eine VPC, indem Sie den Schritten in der [Referenzbereitstellung Amazon VPC on the AWS Cloud Quick Start](https://aws-quickstart.github.io/quickstart-aws-vpc/) von AWS Quick Starts folgen.Die VPC muss über eine HTTPS-Konnektivität zur Infoblox-Appliance verfügen. Wir empfehlen, für diese Verbindung ein privates Subnetz zu verwenden. | Netzwerkadministrator, Systemadministrator |
| (Optional) Erstellen Sie die VPC-Endpoints für private Subnetze. | VPC-Endpunkte bieten Konnektivität zu öffentlichen Diensten für Ihre privaten Subnetze. Die folgenden Endpunkte sind erforderlich:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html)Weitere Informationen zum Erstellen von Endpunkten für private Subnetze finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) in der Amazon VPC-Dokumentation. | Netzwerkadministrator, Systemadministrator |
### Stellen Sie den Infoblox-Hub bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die AWS-SAM-Vorlage. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html) | Entwickler, Systemadministrator |
| Stellen Sie die AWS-SAM-Vorlage bereit. | Der `sam deploy` Befehl verwendet die erforderlichen Parameter und speichert sie in der `samconfig.toml` Datei, speichert die CloudFormation AWS-Vorlage und die Lambda-Funktionen in einem S3-Bucket und stellt dann die CloudFormation AWS-Vorlage in Ihrem Hub-Konto bereit. Der folgende Beispielcode zeigt, wie die AWS-SAM-Vorlage bereitgestellt wird:$ sam deploy --guided
Configuring SAM deploy
======================
Looking for config file [samconfig.toml] : Found
Reading default arguments : Success
Setting default arguments for 'sam deploy'
=========================================
Stack Name [Infoblox-Hub]:
AWS Region [eu-west-1]:
Parameter InfobloxUsername:
Parameter InfobloxPassword:
Parameter InfobloxIPAddress [xxx.xxx.xx.xxx]:
Parameter AWSOrganisationID [o-xxxxxxxxx]:
Parameter VPCID [vpc-xxxxxxxxx]:
Parameter VPCCIDR [xxx.xxx.xxx.xxx/16]:
Parameter VPCSubnetID1 [subnet-xxx]:
Parameter VPCSubnetID2 [subnet-xxx]:
Parameter VPCSubnetID3 [subnet-xxx]:
Parameter VPCSubnetID4 []:
#Shows you resources changes to be deployed and require a 'Y' to initiate deploy
Confirm changes before deploy [Y/n]: y
#SAM needs permission to be able to create roles to connect to the resources in your template
Allow SAM CLI IAM role creation [Y/n]: n
Capabilities [['CAPABILITY_NAMED_IAM']]:
Save arguments to configuration file [Y/n]: y
SAM configuration file [samconfig.toml]:
SAM configuration environment [default]:
Sie müssen die `--guided` Option jedes Mal verwenden, da die Infoblox-Anmeldeinformationen nicht in der Datei gespeichert sind. `samconfig.toml` | Entwickler, Systemadministrator |
## Zugehörige Ressourcen
+ [Erste Schritte mit der WAPIs Verwendung von Postman](https://blogs.infoblox.com/community/getting-started-with-wapis-using-postman/) (Infoblox Blog)
+ [Bereitstellung von VNIOs für AWS mithilfe des BYOL-Modells (Infoblox-Dokumentation](https://docs.infoblox.com/display/NAIG/Provisioning+vNIOS+for+AWS+Using+the+BYOL+Model))
+ [quickstart-aws-vpc](https://github.com/aws-quickstart/quickstart-aws-vpc)(GitHub Repo)
+ [describe\$1managed\$1prefix\$1lists](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ec2.html#EC2.Client.describe_managed_prefix_lists) (Dokumentation zum AWS-SDK für Python)
## Anlagen
[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/8d609d3f-6f5e-4084-849f-ca191db8055e/attachments/attachment.zip)
# Erstellen Sie mithilfe von Terraform eine hierarchische IPAM-Architektur mit mehreren Regionen AWS
*Donny Schreiber, Amazon Web Services*
## Zusammenfassung
Die *IP-Adressverwaltung (IPAM)* ist eine wichtige Komponente des Netzwerkmanagements und wird mit der Skalierung ihrer Cloud-Infrastruktur immer komplexer. Ohne richtiges IPAM riskieren Unternehmen IP-Adresskonflikte, verschwendeten Adressraum und komplexe Problemlösungen, die zu Ausfällen und Anwendungsausfällen führen können. Dieses Muster zeigt, wie Sie mithilfe von Terraform eine umfassende IPAM-Lösung für AWS Unternehmensumgebungen implementieren können. HashiCorp [Es hilft Unternehmen dabei, eine hierarchische IPAM-Architektur mit mehreren Regionen zu erstellen, die eine zentralisierte IP-Adressverwaltung für alle Bereiche einer Organisation ermöglicht. AWS-KontenAWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organization-structure)
Dieses Muster hilft Ihnen bei der Implementierung von [Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) mit einer ausgeklügelten vierstufigen Poolhierarchie: Pool der obersten Ebene, regionale Pools, Geschäftsbereichspools und umgebungsspezifische Pools. Diese Struktur unterstützt die ordnungsgemäße Verwaltung von IP-Adressen und ermöglicht gleichzeitig die Delegierung der IP-Verwaltung an die entsprechenden Teams innerhalb der Organisation. Die Lösung verwendet AWS Resource Access Manager (AWS RAM) für die nahtlose gemeinsame Nutzung von IP Address Manager-Pools im gesamten Unternehmen. AWS RAM zentralisiert und standardisiert die IPAM-Spezifikationen, auf die Teams bei allen verwalteten Konten aufbauen können.
Dieses Muster kann Ihnen dabei helfen, Folgendes zu erreichen:
+ Automatisieren Sie die Zuweisung von IP-Adressen für verschiedene AWS-Regionen Geschäftsbereiche und Umgebungen.
+ Setzen Sie die Netzwerkrichtlinien Ihres Unternehmens durch programmatische Validierung durch.
+ Skalieren Sie die Netzwerkinfrastruktur effizient, wenn sich die Geschäftsanforderungen weiterentwickeln.
+ Reduzieren Sie den betrieblichen Aufwand durch die zentrale Verwaltung von IP-Adressräumen.
+ Beschleunigen Sie Cloud-native Workload-Bereitstellungen mit Self-Service-CIDR-Bereichszuweisung.
+ Vermeiden Sie Adresskonflikte durch richtlinienbasierte Kontrollen und Validierungen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine oder mehrere AWS-Konten, die als Organisation verwaltet werden in. AWS Organizations
+ Ein Netzwerk-Hub oder ein Netzwerkverwaltungskonto, das als delegierter IP Address Manager-Administrator dient.
+ AWS Command Line Interface (AWS CLI), [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ [Terraform Version 1.5.0 oder höher, installiert.](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli)
+ AWS [Anbieter für Terraform, konfiguriert.](https://registry.terraform.io/providers/hashicorp/aws/latest/docs)
+ Berechtigungen zur Verwaltung von [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) und [virtuellen privaten Clouds (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), konfiguriert in AWS Identity and Access Management (IAM). [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam.html)
**Einschränkungen**
+ IP Address Manager unterliegt [Dienstkontingenten](https://docs.aws.amazon.com/vpc/latest/ipam/quotas-ipam.html). Das Standarddienstkontingent für Pools beträgt 50 pro Bereich. Wenn diese Bereitstellung für 6 Regionen, 2 Geschäftsbereiche und 4 Umgebungen ausgeführt würde, würden 67 Pools entstehen. Daher könnte eine Erhöhung des Kontingents erforderlich sein.
+ Das Ändern oder Löschen von IP Address Manager-Pools nach der Zuweisung von Ressourcen kann zu Abhängigkeitsproblemen führen. Sie müssen [die Zuweisung freigeben](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html), bevor Sie den Pool löschen können.
+ In IP Address Manager kann es bei der [Ressourcenüberwachung](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) zu leichten Verzögerungen kommen, wenn Ressourcenänderungen berücksichtigt werden. Diese Verzögerung kann etwa 20 Minuten betragen.
+ IP Address Manager kann nicht automatisch die Eindeutigkeit von IP-Adressen in verschiedenen Bereichen erzwingen.
+ Benutzerdefinierte Tags müssen den Best Practices für [AWS Tagging](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) entsprechen. Beispielsweise muss jeder Schlüssel einzigartig sein und darf nicht mit `aws:` beginnen.
+ Bei der Integration von IP Address Manager mit Konten außerhalb Ihrer Organisation gibt es [Überlegungen und Einschränkungen](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam-outside-org-considerations.html).
## Architektur
**Zielarchitektur**
*Konfiguration und Poolhierarchie von IP Address Manager*
Das folgende Diagramm zeigt die logischen Konstrukte der Zielarchitektur. Ein *Bereich* ist der Container der höchsten Ebene in IP Address Manager. Jeder Bereich stellt den IP-Adressraum für ein einzelnes Netzwerk dar. Die *Pools* sind Sammlungen zusammenhängender IP-Adressbereiche (oder CIDR-Bereiche) innerhalb des Bereichs. Pools helfen Ihnen dabei, Ihre IP-Adressen entsprechend Ihren Routing- und Sicherheitsanforderungen zu organisieren. Dieses Diagramm zeigt vier hierarchische Ebenen von Pools: einen Pool der obersten Ebene, regionale Pools, Geschäftsbereichspools und Umgebungspools.
![\[Ein privater Bereich und vier Ebenen von Pools in einer einzigen AWS-Region in einem Netzwerkkonto.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/1e23b2a7-a274-4a19-9097-61d8a31dfbf8.png)
Diese Lösung erstellt eine klare Hierarchie von IP Address Manager-Pools:
1. Der Pool der obersten Ebene umfasst den gesamten IP-Adressraum der Organisation, z. B. `10.176.0.0/12`
1. Die regionalen Pools sind für regionsspezifische Zuweisungen vorgesehen, z. B. für. `10.176.0.0/15` `us-east-1`
1. Bei den Pools der Geschäftsbereiche handelt es sich um domänenspezifische Zuweisungen innerhalb der einzelnen Geschäftsbereiche. AWS-Region Das könnte beispielsweise die Finanzabteilung in der `us-east-1` Region getan haben. `10.176.0.0/16`
1. Bei den Umgebungspools handelt es sich um zweckspezifische Zuweisungen für verschiedene Umgebungen. Die Finanzabteilung in der `us-east-1` Region könnte beispielsweise `10.176.0.0/18` für eine Produktionsumgebung zuständig sein.
Diese Bereitstellungstopologie verteilt die Ressourcen von IP Address Manager geografisch und gewährleistet gleichzeitig die zentrale Steuerung. Im Folgenden sind ihre Funktionen aufgeführt:
+ IP Address Manager wird in einem einzigen Primärserver bereitgestellt AWS-Region.
+ Zusätzliche Regionen sind als [Betriebsregionen](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-region.html) registriert, in denen IP Address Manager Ressourcen verwalten kann.
+ Jede Betriebsregion erhält einen eigenen Adresspool aus dem Pool der obersten Ebene.
+ Ressourcen in allen Betriebsregionen werden zentral über den IP Address Manager in der primären Region verwaltet.
+ Jeder regionale Pool verfügt über eine Gebietsschemaeigenschaft, die mit seiner Region verknüpft ist, sodass Sie Ressourcen ordnungsgemäß zuweisen können.
*Erweiterte Validierung des CIDR-Bereichs*
Diese Lösung wurde entwickelt, um die Bereitstellung ungültiger Konfigurationen zu verhindern. Wenn Sie die Pools über Terraform bereitstellen, wird Folgendes während der Terraform-Planphase validiert:
+ Überprüft, ob alle CIDR-Bereiche der Umgebung in den CIDR-Bereichen der übergeordneten Geschäftseinheit enthalten sind
+ Bestätigt, dass alle CIDR-Bereiche der Geschäftseinheit in den CIDR-Bereichen der übergeordneten Region enthalten sind
+ Überprüft, ob alle regionalen CIDR-Bereiche in den CIDR-Bereichen der obersten Ebene enthalten sind
+ Prüft auf überlappende CIDR-Bereiche innerhalb derselben Hierarchieebene
+ Überprüft die korrekte Zuordnung der Umgebungen zu ihren jeweiligen Geschäftsbereichen
*CIDR-Bereichszuweisung*
Das folgende Diagramm zeigt ein Beispiel dafür, wie Entwickler oder Administratoren neue IP-Adressen erstellen VPCs und ihnen aus den Poolebenen zuweisen können.
![\[Ein privater Bereich und vier Ebenen von Pools in einer einzigen AWS-Region in einem Netzwerkkonto.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/7c3de2e3-e71b-4fc0-abcd-7e88cfab5c87.png)
Das Diagramm zeigt den folgenden Workflow:
1. Über die AWS-Managementkonsole AWS CLI, die oder über Infrastructure as Code (IaC) fordert ein Entwickler oder Administrator den nächsten verfügbaren CIDR-Bereich im `AY3` Umgebungspool an.
1. IP Address Manager weist der VPC den nächsten verfügbaren CIDR-Bereich in diesem Pool zu. `AY3-4` Dieser CIDR-Bereich kann nicht mehr verwendet werden.
**Automatisierung und Skalierung**
Diese Lösung ist auf folgende Skalierbarkeit ausgelegt:
+ **Regionale Erweiterung** — Fügen Sie neue Regionen hinzu, indem Sie die Terraform-Konfiguration um zusätzliche regionale Pooleinträge erweitern.
+ **Wachstum von Geschäftsbereichen** — Support Sie neue Geschäftsbereiche, indem Sie sie zur BU-Konfigurationsübersicht hinzufügen.
+ **Flexibilität der Umgebung** — Konfigurieren Sie verschiedene Umgebungstypen, z. B. Entwicklung oder Produktion, auf der Grundlage der organisatorischen Anforderungen.
+ **Unterstützung mehrerer Konten** — Teilen Sie Pools über alle Konten in Ihrer Organisation. AWS RAM
+ **Automatisierte VPC-Bereitstellung** — Integrieren Sie in VPC-Bereitstellungs-Workflows, um die CIDR-Bereichszuweisung zu automatisieren.
Die hierarchische Struktur ermöglicht auch verschiedene Ebenen der Delegierung und Kontrolle, wie z. B. die folgenden:
+ Netzwerkadministratoren können die Pools der obersten Ebene und die regionalen Pools verwalten.
+ IT-Teams der Geschäftsbereiche haben möglicherweise die Kontrolle über ihre jeweiligen Pools delegiert.
+ Anwendungsteams verwenden möglicherweise IP-Adressen aus ihren zugewiesenen Umgebungspools.
**Anmerkung**
Sie können diese Lösung auch in [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) integrieren. Weitere Informationen finden Sie unter *Integration mit AFT* im Abschnitt [Zusätzliche Informationen](#multi-region-ipam-architecture-additional) dieses Musters.
## Tools
**AWS-Services**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) hilft Ihnen dabei, Ihre Ressourcen sicher gemeinsam zu nutzen AWS-Konten , um den betrieblichen Aufwand zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS. [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) ist eine Funktion von Amazon VPC. Es hilft Ihnen bei der Planung, Nachverfolgung und Überwachung von IP-Adressen für Ihre AWS Workloads.
**Andere Tools**
+ [HashiCorp Terraform](https://www.terraform.io/docs) ist ein Infrastructure-as-Code-Tool (IaC), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können.
**Code-Repository**
Der Code für dieses Muster ist in der [Terraform-Beispielimplementierung für Hierarchical IPAM](https://github.com/aws-samples/sample-amazon-vpc-ipam-terraform) im Repository on verfügbar. AWS** GitHub** Die Repository-Struktur umfasst:
+ **Root-Modul** — Orchestrierung der Bereitstellung und Eingabevariablen.
+ **IPAM-Modul** — Kernimplementierung der in diesem Muster beschriebenen Architektur.
+ **Tags-Modul** — Standardisiertes Tagging für alle Ressourcen.
## Best Practices
Beachten Sie die folgenden bewährten Methoden für die Netzwerkplanung:
+ **Planen Sie zuerst** — Planen Sie Ihren IP-Adressraum vor der Bereitstellung gründlich. Weitere Informationen finden Sie unter [Plan für die Bereitstellung von IP-Adressen](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html).
+ **Vermeiden Sie überlappende CIDR-Bereiche** — Stellen Sie sicher, dass sich die CIDR-Bereiche auf jeder Ebene nicht überschneiden.
+ **Reservieren Sie Pufferspeicher** — Ordnen Sie immer größere CIDR-Bereiche zu, als sofort benötigt werden, um dem Wachstum Rechnung zu tragen.
+ **Dokumentieren Sie die IP-Adresszuweisung** — Bewahren Sie die Dokumentation Ihrer IP-Adresszuweisungsstrategie auf.
Beachten Sie die folgenden bewährten Bereitstellungsmethoden:
+ **Beginnen Sie mit Nichtproduktionsumgebungen** — Stellen Sie die Lösung zunächst in Umgebungen außerhalb der Produktion bereit.
+ **Verwenden Sie die Terraform-Statusverwaltung** — Implementieren Sie die Speicherung und Sperrung von Zuständen aus der Ferne. Weitere Informationen finden Sie unter [State Storage and Locking](https://developer.hashicorp.com/terraform/language/state/backends) in der Terraform-Dokumentation.
+ Versionskontrolle **implementieren — Versionskontrolle** für den gesamten Terraform-Code.
+ ** CI/CD Integration implementieren** — Verwenden Sie CI/CD-Pipelines (Continuous Integration und Continuous Delivery) für wiederholbare Bereitstellungen.
Beachten Sie die folgenden bewährten Methoden für den Betrieb:
+ **Automatischen Import aktivieren** — Konfigurieren Sie einen IP Address Manager-Pool, um vorhandene Ressourcen automatisch zu erkennen und zu importieren. Folgen Sie den Anweisungen unter [Einen IPAM-Pool bearbeiten](https://docs.aws.amazon.com/vpc/latest/ipam/mod-pool-ipam.html), um den automatischen Import zu aktivieren.
+ **IP-Adressnutzung überwachen** — Richten Sie Alarme für Schwellenwerte für die IP-Adressnutzung ein. Weitere Informationen finden Sie unter [Überwachen von IPAM mit Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html).
+ **Regelmäßige Prüfung** — Prüfen Sie regelmäßig die Nutzung von IP-Adressen und deren Einhaltung. Weitere Informationen finden Sie unter [Nachverfolgung der IP-Adressnutzung in IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html).
+ **Ungenutzte Zuweisungen bereinigen — Geben** Sie IP-Adresszuweisungen frei, wenn Ressourcen außer Betrieb genommen werden. Weitere Informationen finden Sie unter [Deprovision CIDRs ](https://docs.aws.amazon.com/vpc/latest/ipam/depro-pool-cidr-ipam.html) aus einem Pool.
Beachten Sie die folgenden bewährten Sicherheitsmethoden:
+ **Implementieren Sie die geringsten Rechte** — Verwenden Sie IAM-Rollen mit den erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie unter [Bewährte Sicherheitsmethoden in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) und [Identitäts- und Zugriffsmanagement in](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) IPAM.
+ **Dienststeuerungsrichtlinien verwenden** — Implementieren Sie Dienststeuerungsrichtlinien (SCPs), um die Verwendung von IP Address Manager in Ihrem Unternehmen durchzusetzen. Weitere Informationen finden Sie unter [IPAM-Verwendung für die VPC-Erstellung erzwingen](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) mit. SCPs
+ **Steuern Sie die gemeinsame Nutzung von Ressourcen** — Verwalten Sie den Umfang der gemeinsamen Nutzung von IP Address Manager-Ressourcen sorgfältig in. AWS RAM Weitere Informationen finden Sie unter [Einen IPAM-Pool gemeinsam nutzen mit AWS RAM](https://docs.aws.amazon.com/vpc/latest/ipam/share-pool-ipam.html).
+ **Tagging erzwingen** — Implementieren Sie obligatorisches Tagging für alle Ressourcen im Zusammenhang mit IP Address Manager. Weitere Informationen finden Sie unter *Tagging-Strategie im Abschnitt* [Zusätzliche](#multi-region-ipam-architecture-additional) Informationen.
## Epen
### Richten Sie ein delegiertes Administratorkonto für IP Address Manager ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| AWS Organizations Funktionen aktivieren. | Stellen Sie sicher, AWS Organizations dass alle Funktionen aktiviert sind. Anweisungen finden Sie AWS Organizations in der AWS Organizations Dokumentation unter [Alle Funktionen für eine Organisation aktivieren mit](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html). | AWS-Administrator |
| Aktivieren Sie die gemeinsame Nutzung von Ressourcen in AWS RAM. | Geben Sie mit dem den folgenden Befehl ein AWS CLI, um die gemeinsame Nutzung von AWS RAM Ressourcen für Ihre Organisation zu aktivieren:aws ram enable-sharing-with-aws-organization
Weitere Informationen finden Sie AWS Organizations in der AWS RAM Dokumentation unter [Aktivieren der gemeinsamen Nutzung von Ressourcen innerhalb](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs). | AWS-Administrator |
| Benennen Sie einen Administrator für IP Address Manager. | Geben Sie im Verwaltungskonto der Organisation mit dem den AWS CLI folgenden Befehl ein. Dabei `123456789012` handelt es sich um die ID des Kontos, das IP Address Manager verwalten soll:aws ec2 enable-ipam-organization-admin-account \
--delegated-admin-account-id 123456789012
In der Regel wird ein Netzwerk- oder Netzwerk-Hub-Konto als delegierter Administrator für IP Address Manager verwendet.Weitere Informationen finden Sie unter [Integrieren von IPAM mit Konten in einer AWS Organisation in](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) der IP Address Manager-Dokumentation. | AWS-Administrator |
### Stellen Sie die Infrastruktur bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Definieren Sie die Netzwerkarchitektur. | Definieren und dokumentieren Sie Ihre Netzwerkarchitektur, einschließlich der CIDR-Bereiche für Regionen, Geschäftsbereiche und Umgebungen. Weitere Informationen finden Sie unter [Plan für die IP-Adressbereitstellung](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html) in der IP Address Manager-Dokumentation. | Netzwerkingenieur |
| Klonen Sie das Repository | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | DevOps Ingenieur |
| Konfigurieren Sie die Variablen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Netzwerkingenieur, Terraform |
| Stellen Sie die Ressourcen des IP Address Managers bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Terraform |
| Bestätigen Sie die Bereitstellung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Allgemein AWS, Netzwerktechniker |
### Überwachung erstellen VPCs und einrichten
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine VPC. | Folgen Sie den Schritten unter [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) in der Amazon VPC-Dokumentation. Wenn Sie den Schritt zur Auswahl eines CIDR-Bereichs für die VPC erreicht haben, weisen Sie den nächsten verfügbaren aus einem Ihrer Regional-, Geschäftsbereichs- und Umgebungspools zu. | Allgemein AWS, Netzwerkadministrator, Netzwerkingenieur |
| Überprüfen Sie die CIDR-Bereichszuweisung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Allgemein AWS, Netzwerkadministrator, Netzwerkingenieur |
| Überwachen Sie den IP-Adressmanager. | Konfigurieren Sie die Überwachung und Alarme im Zusammenhang mit der Zuweisung von IP Address Manager-Ressourcen. Weitere Informationen und Anweisungen finden Sie unter [Überwachen von IPAM mit Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html) und [Überwachen der CIDR-Nutzung nach Ressourcen](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) in der IP Address Manager-Dokumentation. | Allgemeines AWS |
| Erzwingen Sie die Verwendung von IP Address Manager. | Erstellen Sie eine Service Control Policy (SCP) AWS Organizations , nach der Mitglieder in Ihrer Organisation IP Address Manager verwenden müssen, wenn sie eine VPC erstellen. Anweisungen finden Sie unter [IPAM-Verwendung für die VPC-Erstellung erzwingen mit SCPs](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) in der IP Address Manager-Dokumentation. | Allgemein AWS, AWS-Administrator |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Terraform schlägt fehl, da die IP Address Manager-Ressource nicht gefunden wurde | Stellen Sie sicher, dass das IP Address Manager-Administratorkonto ordnungsgemäß delegiert wurde und dass Ihr AWS Anbieter für dieses Konto authentifiziert ist. |
| Die CIDR-Bereichszuweisung schlägt fehl | Stellen Sie sicher, dass der angeforderte CIDR-Bereich in den verfügbaren Bereich des IP Address Manager-Pools passt und sich nicht mit vorhandenen Zuweisungen überschneidet. |
| AWS RAM Probleme teilen | Stellen Sie sicher, dass die gemeinsame Nutzung von Ressourcen für Ihre AWS Organisation aktiviert ist. Stellen Sie sicher, dass der richtige Prinzipal, der Amazon Resource Name (ARN) der Organisation, in der AWS RAM Freigabe verwendet wird. |
| Fehler bei der Validierung der Poolhierarchie | Stellen Sie sicher, dass die CIDR-Bereiche des untergeordneten Pools ordnungsgemäß in den CIDR-Bereichen des übergeordneten Pools enthalten sind und sich nicht mit gleichgeordneten Pools überschneiden. |
| Das Kontingentlimit für IP Address Manager wurde überschritten | Fordern Sie eine Erhöhung des Kontingents für IP Address Manager-Pools an. Weitere Informationen finden Sie unter [Beantragen einer Kontingenterhöhung](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) im *Service-Quotas-Benutzerhandbuch*. |
## Zugehörige Ressourcen
**AWS-Service Dokumentation**
+ [Dokumentation zu Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+ [AWS Resource Access Manager Dokumentation](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ [AWS Organizations Dokumentation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
**AWS Blog-Beiträge**
+ [Verwaltung von IP-Pools über Regionen hinweg VPCs mit Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)
+ [Verwaltung und Prüfung von Netzwerkadressen in großem Umfang mit Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/aws/network-address-management-and-auditing-at-scale-with-amazon-vpc-ip-address-manager/)
**Videos und Anleitungen**
+ [AWS re:Invent 2022: Bewährte Methoden für Amazon VPC-Design und IPAM (0) NET31](https://www.youtube.com/watch?v=XrEHsy_8RYs)
+ [AWS re:Invent 2022: Fortschrittliches VPC-Design und neue Funktionen (01) NET4](https://www.youtube.com/watch?v=tbXTVpwx87o)
## Zusätzliche Informationen
**Integration mit AFT**
Sie können diese Lösung in AWS Control Tower Account Factory for Terraform (AFT) integrieren, um sicherzustellen, dass neu bereitgestellte Konten automatisch die richtigen Netzwerkkonfigurationen erhalten. Durch die Bereitstellung dieser IPAM-Lösung in Ihrem Netzwerk-Hub-Konto können neue Konten, die über AFT erstellt wurden, bei der Erstellung auf die gemeinsam genutzten IP Address Manager-Pools verweisen. VPCs
Das folgende Codebeispiel veranschaulicht die AFT-Integration in eine Kontoanpassung mithilfe von AWS Systems Manager Parameter Store:
```
# Get the IP Address Manager pool ID from Parameter Store
data "aws_ssm_parameter" "dev_ipam_pool_id" {
name = "/org/network/ipam/finance/dev/pool-id"
}
# Create a VPC using the IP Address Manager pool
resource "aws_vpc" "this" {
ipv4_ipam_pool_id = data.aws_ssm_parameter.dev_ipam_pool_id.value
ipv4_netmask_length = 24
tags = {
Name = "aft-account-vpc"
}
}
```
**Strategie zur Kennzeichnung**
Die Lösung implementiert eine umfassende Tagging-Strategie, um das Ressourcenmanagement zu vereinfachen. Das folgende Codebeispiel zeigt, wie es verwendet wird:
```
# Example tag configuration
module "tags" {
source = "./modules/tags"
# Required tags
product_name = "enterprise-network"
feature_name = "ipam"
org_id = "finance"
business_unit = "network-operations"
owner = "network-team"
environment = "prod"
repo = "https://github.com/myorg/ipam-terraform"
branch = "main"
cost_center = "123456"
dr_tier = "tier1"
# Optional tags
optional_tags = {
"project" = "network-modernization"
"stack_role" = "infrastructure"
}
}
```
Diese Tags werden automatisch auf alle IP Address Manager-Ressourcen angewendet. Dies ermöglicht eine konsistente Steuerung, Kostenzuweisung und Ressourcenverwaltung.
# Passen Sie CloudWatch Amazon-Benachrichtigungen an für AWS Network Firewall
*Jason Owens, Amazon Web Services*
## Zusammenfassung
Das Muster hilft Ihnen dabei, die CloudWatch Amazon-Benachrichtigungen anzupassen, die von generiert werden AWS Network Firewall. Sie können vordefinierte Regeln verwenden oder benutzerdefinierte Regeln erstellen, die die Nachricht, die Metadaten und den Schweregrad der Benachrichtigungen bestimmen. Sie können dann auf diese Benachrichtigungen reagieren oder die Antworten anderer Amazon-Dienste wie Amazon automatisieren EventBridge.
In diesem Muster generieren Sie Suricata-kompatible Firewall-Regeln. [Suricata](https://suricata.io/) ist eine Open-Source-Engine zur Erkennung von Bedrohungen. Sie erstellen zunächst einfache Regeln und testen sie dann, um sicherzustellen, dass die CloudWatch Warnungen generiert und protokolliert wurden. Nachdem Sie die Regeln erfolgreich getestet haben, ändern Sie sie, um benutzerdefinierte Meldungen, Metadaten und Schweregrade zu definieren. Anschließend testen Sie erneut, um die Aktualisierungen zu bestätigen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto.
+ AWS Command Line Interface (AWS CLI) auf Ihrer Linux-, macOS- oder Windows-Workstation installiert und konfiguriert. Weitere Informationen finden Sie unter [Installieren oder Aktualisierung auf die neueste Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall für die Verwendung von CloudWatch Logs installiert und konfiguriert. Weitere Informationen finden Sie unter [Protokollieren des Netzwerkverkehrs von AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).
+ Eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance in einem privaten Subnetz einer Virtual Private Cloud (VPC), die durch eine Network Firewall geschützt ist.
**Produktversionen**
+ Verwenden Sie für Version 1 von AWS CLI 1.18.180 oder höher. Verwenden Sie für Version 2 von AWS CLI 2.1.2 oder höher.
+ Die Datei classification.config aus Suricata Version 5.0.2. [Eine Kopie dieser Konfigurationsdatei finden Sie im Abschnitt Zusätzliche Informationen.](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional)
## Architektur
![\[Eine EC2 Instanzanforderung generiert eine Warnung in der Network Firewall, die die Warnung weiterleitet an CloudWatch\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)
Das Architekturdiagramm zeigt den folgenden Arbeitsablauf:
1. [Eine EC2 Amazon-Instance in einem privaten Subnetz stellt eine Anfrage entweder mit [curl](https://curl.se/) oder Wget.](https://www.gnu.org/software/wget/)
1. Die Network Firewall verarbeitet den Datenverkehr und generiert eine Warnung.
1. Die Network Firewall sendet die protokollierten Warnungen an CloudWatch Logs.
## Tools
**AWS-Services**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) hilft Ihnen dabei, die Protokolle all Ihrer Systeme und Anwendungen zu zentralisieren, AWS-Services sodass Sie sie überwachen und sicher archivieren können.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) ist ein Open-Source-Tool, mit dem Sie AWS-Services über Befehle in Ihrer Befehlszeilen-Shell interagieren können.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)ist ein zustandsorientierter, verwalteter Dienst zur Netzwerk-Firewall sowie zur Erkennung und Verhinderung von Eindringlingen für virtuelle private Clouds () in der. VPCs AWS Cloud
**Andere Tools**
+ [curl](https://curl.se/) ist ein Open-Source-Befehlszeilentool und eine Bibliothek.
+ [GNU Wget](https://www.gnu.org/software/wget/) ist ein kostenloses Befehlszeilentool.
## Epen
### Erstellen Sie die Firewallregeln und die Regelgruppe
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen von Regeln. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator, Netzwerkadministrator |
| Erstellen Sie die Regelgruppe. | Geben Sie in der AWS CLI den folgenden Befehl ein. Dadurch wird die Regelgruppe erstellt.❯ aws network-firewall create-rule-group \
--rule-group-name custom --type STATEFUL \
--capacity 10 --rules file://custom.rules \
--tags Key=environment,Value=development
Im Folgenden finden Sie eine Beispielausgabe. Notieren Sie sich die`RuleGroupArn`, die Sie in einem späteren Schritt benötigen.{
"UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
} | AWS-Systemadministrator |
### Aktualisieren Sie die Firewall-Richtlinie
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Rufen Sie den ARN der Firewall-Richtlinie ab. | Geben Sie im AWS CLI den folgenden Befehl ein. Dadurch wird der Amazon-Ressourcenname (ARN) der Firewall-Richtlinie zurückgegeben. Notieren Sie den ARN für die spätere Verwendung in diesem Muster.❯ aws network-firewall describe-firewall \
--firewall-name aws-network-firewall-anfw \
--query 'Firewall.FirewallPolicyArn'
Im Folgenden finden Sie ein Beispiel für einen ARN, der von diesem Befehl zurückgegeben wird."arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"
| AWS-Systemadministrator |
| Aktualisieren Sie die Firewall-Richtlinie. | Kopieren Sie in einem Texteditor den folgenden Code und fügen Sie ihn ein. Ersetze ihn `` durch den Wert, den du im vorherigen Epos aufgezeichnet hast. Speichern Sie die Datei als `firewall-policy-anfw.json`.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": ""
}
]
}Geben Sie den folgenden Befehl in die ein AWS CLI. Für diesen Befehl ist ein [Aktualisierungstoken](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) erforderlich, um die neuen Regeln hinzuzufügen. Das Token wird verwendet, um zu bestätigen, dass sich die Richtlinie seit dem letzten Abruf nicht geändert hat.UPDATETOKEN=(`aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--output text --query UpdateToken`)
aws network-firewall update-firewall-policy \
--update-token $UPDATETOKEN \
--firewall-policy-name firewall-policy-anfw \
--firewall-policy file://firewall-policy-anfw.json
| AWS-Systemadministrator |
| Bestätigen Sie die Richtlinienaktualisierungen. | (Optional) Wenn Sie überprüfen möchten, ob die Regeln hinzugefügt wurden, und das Richtlinienformat anzeigen möchten, geben Sie den folgenden Befehl in die Datei ein AWS CLI.❯ aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--query FirewallPolicy
Im Folgenden finden Sie eine Beispielausgabe.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"
}
]
} | AWS-Systemadministrator |
### Testen Sie die Alarmfunktion
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Generieren Sie Warnmeldungen zum Testen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
| Stellen Sie sicher, dass die Warnmeldungen protokolliert wurden. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
### Aktualisieren Sie die Firewall-Regeln und die Regelgruppe
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Aktualisieren Sie die Firewall-Regeln. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
| Aktualisieren Sie die Regelgruppe. | Führen Sie in der AWS CLI die folgenden Befehle aus. Verwenden Sie den ARN Ihrer Firewall-Richtlinie. Diese Befehle rufen ein Aktualisierungstoken ab und aktualisieren die Regelgruppe mit den Regeländerungen.❯ UPDATETOKEN=(`aws network-firewall \
describe-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \
--output text --query UpdateToken`)
❯ aws network-firewall update-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \
--rules file://custom.rules \
--update-token $UPDATETOKEN
Im Folgenden finden Sie eine Beispielausgabe.{
"UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
}
} | AWS-Systemadministrator |
### Testen Sie die aktualisierte Warnfunktion
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Generieren Sie eine Warnung zum Testen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
| Bestätigen Sie, dass die Warnung geändert wurde. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | AWS-Systemadministrator |
## Zugehörige Ressourcen
**Referenzen**
+ [Senden Sie Benachrichtigungen von AWS Network Firewall an einen Slack-Channel](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html) (AWS Prescriptive Guidance)
+ [Skalierung der Bedrohungsabwehr AWS mit Suricata](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/) (Blogbeitrag)AWS
+ [Bereitstellungsmodelle für AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (AWS Blogbeitrag)
+ [Suricata-Meta-Schlüsselwerke](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html) (Suricata-Dokumentation)
**Tutorials und Videos**
+ [AWS Network Firewall Werkstatt](https://networkfirewall.workshop.aws/)
## Zusätzliche Informationen
Im Folgenden finden Sie die Konfigurationsdatei für die Klassifizierung von Suricata 5.0.2. Diese Klassifizierungen werden bei der Erstellung der Firewallregeln verwendet.
```
# config classification:shortname,short description,priority
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```
# Bereitstellen von Ressourcen in einer AWS Wavelength Zone mithilfe von Terraform
*Zahoor Chaudhrey und Luca Iannario, Amazon Web Services*
## Zusammenfassung
[AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)hilft Ihnen beim Aufbau einer Infrastruktur, die für Multi-Access Edge Computing (MEC) -Anwendungen optimiert ist. *Wellenlängenzonen* sind AWS Infrastrukturbereitstellungen, die AWS Rechen- und Speicherdienste in die 5G-Netzwerke von Kommunikationsdienstanbietern (CSP) einbetten. Der Anwendungsverkehr von 5G-Geräten erreicht Anwendungsserver, die in Wellenlängenzonen laufen, ohne das Telekommunikationsnetz zu verlassen. Folgendes erleichtert die Netzwerkkonnektivität über Wavelength:
+ **Virtuelle private Clouds (VPCs)** — AWS-Konto können VPCs sich über mehrere Availability Zones erstrecken, einschließlich Wellenlängenzonen. Amazon Elastic Compute Cloud (Amazon EC2) -Instances und zugehörige Services werden als Teil Ihrer regionalen VPC angezeigt. VPCs werden in [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) erstellt und verwaltet.
+ **Carrier-Gateway** — Ein Carrier-Gateway ermöglicht die Konnektivität vom Subnetz in der Wellenlängenzone zum CSP-Netzwerk, zum Internet oder AWS-Region über das Netzwerk des CSP. Das Carrier-Gateway dient zwei Zwecken. Es ermöglicht eingehenden Verkehr von einem CSP-Netzwerk an einem bestimmten Standort und ausgehenden Verkehr zum Telekommunikationsnetz und zum Internet.
Dieses Muster und der zugehörige Terraform-Code helfen Ihnen dabei, Ressourcen wie EC2 Amazon-Instances, Amazon Elastic Block Store (Amazon EBS) -Volumes VPCs, Subnetze und ein Carrier-Gateway in einer Wellenlängenzone zu starten.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ Eine integrierte Entwicklungsumgebung (IDE)
+ [Wählen Sie die](https://docs.aws.amazon.com/wavelength/latest/developerguide/get-started-wavelength.html#enable-zone-group) Ziel-Wellenlängenzone aus
+ AWS Command Line Interface (AWS CLI), [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ Terraform Version 1.8.4 oder höher, [installiert](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) (Terraform-Dokumentation)
+ [Terraform AWS Provider Version 5.32.1 oder höher, konfiguriert (Terraform-Dokumentation)](https://hashicorp.github.io/terraform-provider-aws/)
+ Git, [installiert](https://github.com/git-guides/install-git) (GitHub)
+ [Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) zum Erstellen von Amazon VPC-, Wavelength- und Amazon-Ressourcen EC2
**Einschränkungen**
Nicht alle AWS-Regionen unterstützen Wellenlängenzonen. Weitere Informationen finden Sie unter [Verfügbare Wellenlängenzonen](https://docs.aws.amazon.com/wavelength/latest/developerguide/available-wavelength-zones.html) in der Wellenlängen-Dokumentation.
## Architektur
Das folgende Diagramm zeigt, wie Sie ein Subnetz und AWS Ressourcen in einer Wellenlängenzone erstellen können. VPCs die ein Subnetz in einer Wellenlängenzone enthalten, können eine Verbindung zu einem Carrier-Gateway herstellen. Mit einem Carrier-Gateway können Sie eine Verbindung zu den folgenden Ressourcen herstellen:
+ 4G/LTE- und 5G-Geräte im Netzwerk des Telekommunikationsanbieters.
+ Fester drahtloser Zugang für ausgewählte Wavelength Zone-Partner. Weitere Informationen finden Sie unter [Multi-Access AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/multi-access.html).
+ Ausgehender Verkehr zu öffentlichen Internetressourcen.
![\[Ein Carrier-Gateway verbindet AWS-Ressourcen in der Wavelength Zone mit dem CSP-Netzwerk.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/8c507de1-208c-4563-bb58-52388ab2fa6d/images/a4cc0699-0cbc-4f15-ab14-3ae569ced7f4.png)
## Tools
**AWS-Services**
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS.
+ [AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)erweitert die AWS Cloud Infrastruktur auf die 5G-Netzwerke von Telekommunikationsanbietern. Auf diese Weise können Sie Anwendungen entwickeln, die Mobilgeräten und Endbenutzern extrem niedrige Latenzen bieten.
**Andere Tools**
+ [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.
**Code-Repository**
Der Code für dieses Muster ist im Repository GitHub [Creating AWS Wavelength Infrastructure using Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure) verfügbar. Der Terraform-Code stellt die folgende Infrastruktur und Ressourcen bereit:
+ Eine VPC
+ Eine Wellenlängenzone
+ Ein öffentliches Subnetz in der Wellenlängenzone
+ Ein Carrier-Gateway in der Wellenlängenzone
+ Eine EC2 Amazon-Instance in der Wavelength Zone
## Best Practices
+ Vergewissern Sie sich vor der Bereitstellung, dass Sie die neuesten Versionen von Terraform und dem verwenden. AWS CLI
+ Verwenden Sie eine CI/CD-Pipeline (Continuous Integration and Continuous Delivery), um IaC bereitzustellen. Weitere Informationen finden Sie in Blogs unter [Bewährte Methoden für die Verwaltung von Terraform State-Dateien in AWS](https://aws.amazon.com/blogs/devops/best-practices-for-managing-terraform-state-files-in-aws-ci-cd-pipeline/) der CI/CD-Pipeline. AWS
## Epen
### Stellen Sie die Infrastruktur bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Geben Sie den folgenden Befehl ein, um das Repository [Creating AWS Wavelength Infrastructure using Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure) in Ihre Umgebung zu klonen.`git clone git@github.com:aws-samples/terraform-wavelength-infrastructure.git` | DevOps Ingenieur |
| Aktualisieren Sie die Variablen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps Ingenieur, Terraform |
| Initialisieren Sie die Konfiguration. | Geben Sie den folgenden Befehl ein, um das Arbeitsverzeichnis zu initialisieren.terraform init
| DevOps Ingenieur, Terraform |
| Sehen Sie sich eine Vorschau des Terraform-Plans an. | Geben Sie den folgenden Befehl ein, um den Zielstatus mit dem aktuellen Status Ihrer AWS Umgebung zu vergleichen. Dieser Befehl generiert eine Vorschau der Ressourcen, die konfiguriert werden.terraform plan
| DevOps Ingenieur, Terraform |
| Verifizieren und bereitstellen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps Ingenieur, Terraform |
### Validieren und bereinigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen Sie die Bereitstellung der Infrastruktur. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | AWS DevOps, DevOps Ingenieur |
| (Optional) Bereinigen Sie die Infrastruktur. | Wenn Sie alle Ressourcen löschen müssen, die von Terraform bereitgestellt wurden, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps Ingenieur, Terraform |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Konnektivität zu EC2 Amazon-Instances in der AWS-Region. | Weitere Informationen finden Sie unter [Problembehandlung bei der Verbindung mit Ihrer Linux-Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html) oder [Problembehandlung bei der Verbindung mit Ihrer Windows-Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/troubleshooting-windows-instances.html). |
| Konnektivität zu EC2 Amazon-Instances in der Wavelength Zone. | Weitere Informationen finden Sie unter [Fehlerbehebung bei der SSH- oder RDP-Konnektivität zu meinen EC2 Instances, die in einer Wellenlängenzone gestartet wurden](https://repost.aws/knowledge-center/ec2-wavelength-zone-connection-errors). |
| Kapazität in der Wellenlängenzone. | Siehe [Kontingente und Überlegungen für Wellenlängenzonen](https://docs.aws.amazon.com/wavelength/latest/developerguide/wavelength-quotas.html). |
| Mobil- oder Mobilfunkanbieterkonnektivität vom Mobilfunknetz zum AWS-Region. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) |
## Zugehörige Ressourcen
+ [Was ist AWS Wavelength?](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)
+ [Wie AWS Wavelength funktioniert](https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html)
+ [Resilienz in AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/disaster-recovery-resiliency.html)
# Massenmigrieren von DNS-Einträgen in eine private gehostete Zone von Amazon Route 53
*Ram Kandaswamy, Amazon Web Services*
## Zusammenfassung
Netzwerktechniker und Cloud-Administratoren benötigen eine effiziente und einfache Möglichkeit, DNS-Einträge (Domain Name System) zu privaten Hosting-Zonen in Amazon Route 53 hinzuzufügen. Das manuelle Kopieren von Einträgen aus einem Microsoft Excel-Arbeitsblatt an die entsprechenden Stellen in der Route 53 53-Konsole ist mühsam und fehleranfällig. Dieses Muster beschreibt einen automatisierten Ansatz, der den Zeit- und Arbeitsaufwand für das Hinzufügen mehrerer Datensätze reduziert. Es bietet auch eine wiederholbare Reihe von Schritten für die Erstellung mehrerer gehosteter Zonen.
Dieses Muster verwendet Amazon Simple Storage Service (Amazon S3) zum Speichern von Datensätzen. Um effizient mit Daten zu arbeiten, verwendet das Muster aufgrund seiner Einfachheit und der Fähigkeit, ein Python-Wörterbuch (`dict`Datentyp) zu unterstützen, das JSON-Format.
**Anmerkung**
Wenn Sie eine Zonendatei von Ihrem System aus generieren können, sollten Sie stattdessen die [Route 53 53-Importfunktion](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) verwenden.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein Excel-Arbeitsblatt, das private, gehostete Zoneneinträge enthält
+ Vertrautheit mit verschiedenen Typen von DNS-Einträgen wie A-Eintrag, NAPTR-Datensatz (Name Authority Pointer) und SRV-Eintrag (siehe [Unterstützte DNS-Eintragstypen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html))
+ Vertrautheit mit der Sprache Python und ihren Bibliotheken
**Einschränkungen**
+ Das Muster deckt nicht alle Anwendungsszenarien umfassend ab. Beispielsweise [verwendet der Aufruf change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) nicht alle verfügbaren Eigenschaften der API.
+ Im Excel-Arbeitsblatt wird davon ausgegangen, dass der Wert in jeder Zeile eindeutig ist. Es wird erwartet, dass mehrere Werte für jeden vollqualifizierten Domänennamen (FQDN) in derselben Zeile erscheinen. Wenn das nicht der Fall ist, sollten Sie den in diesem Muster bereitgestellten Code ändern, um die erforderliche Verkettung durchzuführen.
+ Das Muster verwendet das AWS-SDK SDK for Python (Boto3), um den Route 53-Service direkt aufzurufen. Sie können den Code so erweitern, dass er einen CloudFormation AWS-Wrapper für die `update_stack` Befehle `create_stack` und verwendet und die JSON-Werte zum Auffüllen von Vorlagenressourcen verwenden.
## Architektur
**Technologie-Stack**
+ Route 53 private gehostete Zonen für die Weiterleitung des Datenverkehrs
+ Amazon S3 zum Speichern der JSON-Ausgabedatei
![\[Workflow für die Massenmigration von DNS-Einträgen in eine private gehostete Route 53 53-Zone.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/a81c29ea-f0c5-4d4a-ba87-93111a0f1ee9/images/2ada844b-4147-4f9f-8883-d22605aa42d8.png)
Der Workflow besteht aus den folgenden Schritten, wie im vorherigen Diagramm dargestellt und im Abschnitt *Epics* beschrieben:
1. Laden Sie ein Excel-Arbeitsblatt mit den Datensatzinformationen in einen S3-Bucket hoch.
1. Erstellen Sie ein Python-Skript, das die Excel-Daten in das JSON-Format konvertiert, und führen Sie es aus.
1. Lesen Sie die Datensätze aus dem S3-Bucket und bereinigen Sie die Daten.
1. Erstellen Sie Datensätze in Ihrer privaten gehosteten Zone.
## Tools
+ [Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) — Amazon Route 53 ist ein hochverfügbarer und skalierbarer DNS-Webservice, der die Domainregistrierung, das DNS-Routing und die Zustandsprüfung übernimmt.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) — Amazon Simple Storage Service (Amazon S3) ist ein Objektspeicherservice. Mit Amazon S3 können Sie jederzeit beliebige Mengen von Daten von überall aus im Internet speichern und aufrufen.
## Epen
### Bereiten Sie Daten für die Automatisierung vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Excel-Datei für Ihre Unterlagen. | Verwenden Sie die Datensätze, die Sie aus Ihrem aktuellen System exportiert haben, um ein Excel-Arbeitsblatt zu erstellen, das die erforderlichen Spalten für einen Datensatz enthält, z. B. den vollqualifizierten Domänennamen (FQDN), den Datensatztyp, die Gültigkeitsdauer (TTL) und den Wert. Bei NAPTR- und SRV-Datensätzen ist der Wert eine Kombination aus mehreren Eigenschaften. Verwenden Sie daher die `concat` Excel-Methode, um diese Eigenschaften zu kombinieren.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-dns-records-in-bulk-to-an-amazon-route-53-private-hosted-zone.html) | Dateningenieur, Excel-Kenntnisse |
| Überprüfen Sie die Arbeitsumgebung. | Erstellen Sie in Ihrer IDE eine Python-Datei, um das Excel-Eingabearbeitsblatt in das JSON-Format zu konvertieren. (Anstelle einer IDE können Sie auch ein SageMaker Amazon-Notebook verwenden, um mit Python-Code zu arbeiten.)Stellen Sie sicher, dass die von Ihnen verwendete Python-Version Version 3.7 oder höher ist. python3 --version
Installieren Sie das **Pandas-Paket**. pip3 install pandas --user
| Allgemeines AWS |
| Konvertiert die Excel-Arbeitsblattdaten in JSON. | Erstellen Sie eine Python-Datei, die den folgenden Code für die Konvertierung von Excel nach JSON enthält.import pandas as pd
data=pd.read_excel('./Book1.xls')
data.to_json(path_or_buf='my.json',orient='records')
wobei `Book1` der Name des Excel-Arbeitsblatts und der Name der JSON-Ausgabedatei `my.json` steht. | Dateningenieur, Python-Kenntnisse |
| Laden Sie die JSON-Datei in einen S3-Bucket hoch. | Laden Sie die Datei `my.json` zu einem S3-Bucket hoch. Weitere Informationen finden Sie unter [Bucket erstellen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) in der Amazon S3 S3-Dokumentation. | App-Developer |
| FqdnName | RecordType | Wert | TTL |
| something.example.org | A | 1.1.1.1 | 900 |
### Datensätze einfügen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine private gehostete Zone. | Verwenden Sie die API [create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) und den folgenden Python-Beispielcode, um eine private gehostete Zone zu erstellen. Ersetzen Sie die Parameter und `vpcId` durch `hostedZoneName` Ihre `vpcRegion` eigenen Werte.import boto3
import random
hostedZoneName ="xxx"
vpcRegion = "us-east-1"
vpcId="vpc-xxxx"
route53_client = boto3.client('route53')
response = route53_client.create_hosted_zone(
Name= hostedZoneName,
VPC={
'VPCRegion: vpcRegion,
'VPCId': vpcId
},
CallerReference=str(random.random()*100000),
HostedZoneConfig={
'Comment': "private hosted zone created by automation",
'PrivateZone': True
}
)
print(response)
Sie können auch ein IaC-Tool (Infrastructure as Code) wie AWS verwenden, CloudFormation um diese Schritte durch eine Vorlage zu ersetzen, die einen Stack mit den entsprechenden Ressourcen und Eigenschaften erstellt. | Cloud-Architekt, Netzwerkadministrator, Python-Kenntnisse |
| Rufen Sie Details als Wörterbuch von Amazon S3 ab. | Verwenden Sie den folgenden Code, um aus dem S3-Bucket zu lesen und die JSON-Werte als Python-Wörterbuch abzurufen. fileobj = s3_client.get_object(
Bucket=bucket_name,
Key='my.json'
)
filedata = fileobj['Body'].read()
contents = filedata.decode('utf-8')
json_content=json.loads(contents)
print(json_content)
wo `json_content` enthält das Python-Wörterbuch. | App-Entwickler, Python-Kenntnisse |
| Saubere Datenwerte für Leerzeichen und Unicode-Zeichen. | Verwenden Sie als Sicherheitsmaßnahme zur Sicherstellung der Richtigkeit der Daten den folgenden Code, um eine Operation mit den Werten in durchzuführen`json_content`. Dieser Code entfernt die Leerzeichen am Anfang und Ende jeder Zeichenfolge. Außerdem wird die `replace` Methode verwendet, um harte (geschützte) Leerzeichen (die `\xa0` Zeichen) zu entfernen.for item in json_content:
fqn_name = unicodedata.normalize("NFKD",item["FqdnName"].replace("u'", "'").replace('\xa0', '').strip())
rec_type = item["RecordType"].replace('\xa0', '').strip()
res_rec = {
'Value': item["Value"].replace('\xa0', '').strip()
}
| App-Entwickler, Python-Kenntnisse |
| Datensätze einfügen. | Verwenden Sie den folgenden Code als Teil der vorherigen `for` Schleife.change_response = route53_client.change_resource_record_sets(
HostedZoneId="xxxxxxxx",
ChangeBatch={
'Comment': 'Created by automation',
'Changes': [
{
'Action': 'UPSERT',
'ResourceRecordSet': {
'Name': fqn_name,
'Type': rec_type,
'TTL': item["TTL"],
'ResourceRecords': res_rec
}
}
]
}
)
Wo `xxxxxxx` ist die Hosting-Zonen-ID aus dem ersten Schritt dieses Epos? | App-Entwickler, Python-Kenntnisse |
## Zugehörige Ressourcen
**Referenzen**
+ [Erstellen von Datensätzen durch Import einer Zonendatei](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) (Amazon Route 53 53-Dokumentation)
+ [Methode create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) (Boto3-Dokumentation)
+ [Methode change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) (Boto3-Dokumentation)
**Anleitungen und Videos**
+ [Das Python-Tutorial](https://docs.python.org/3/tutorial/) (Python-Dokumentation)
+ [DNS-Design mit Amazon Route 53](https://www.youtube.com/watch?v=2y_RBjDkRgY) (YouTube Video, *AWS Online Tech Talks*)
# Ändern Sie HTTP-Header, wenn Sie von F5 zu einem Application Load Balancer auf AWS migrieren
*Sachin Trivedi, Amazon Web Services*
## Zusammenfassung
Wenn Sie eine Anwendung, die einen F5 Load Balancer verwendet, zu Amazon Web Services (AWS) migrieren und einen Application Load Balancer auf AWS verwenden möchten, ist die Migration von F5-Regeln für Header-Änderungen ein häufiges Problem. Ein Application Load Balancer unterstützt keine Header-Änderungen, aber Sie können Amazon CloudFront als Content Delivery Network (CDN) und Lambda @Edge verwenden, um Header zu ändern.
Dieses Muster beschreibt die erforderlichen Integrationen und bietet Beispielcode für die Header-Änderung mithilfe von AWS CloudFront und Lambda @Edge.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine lokale Anwendung, die einen F5-Load Balancer mit einer Konfiguration verwendet, die den HTTP-Header-Wert ersetzt durch `if, else` Weitere Informationen zu dieser Konfiguration finden Sie unter [HTTP: :header](https://clouddocs.f5.com/api/irules/HTTP__header.html) in der F5-Produktdokumentation.
**Einschränkungen**
+ Dieses Muster gilt für die Anpassung des F5-Load Balancer-Headers. Informationen zur Unterstützung anderer Load Balancer von Drittanbietern finden Sie in der Load Balancer-Dokumentation.
+ Die Lambda-Funktionen, die Sie für Lambda @Edge verwenden, müssen sich in der Region USA Ost (Nord-Virginia) befinden.
## Architektur
Das folgende Diagramm zeigt die Architektur auf AWS, einschließlich des Integrationsflusses zwischen dem CDN und anderen AWS-Komponenten.
![\[Architektur für Header-Modifikation mithilfe von Amazon CloudFront und Lambda @Edge\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/00abbe3c-2453-4291-9b24-b488dced4868/images/4ee9a19e-6da2-4c5a-a8bc-19d3918a166e.png)
## Tools
**AWS-Services**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) ─ Ein Application Load Balancer ist ein vollständig verwalteter AWS-Load-Balancing-Service, der auf der siebten Ebene des Open Systems Interconnection (OSI) -Modells funktioniert. Er verteilt den Datenverkehr auf mehrere Ziele und unterstützt erweiterte Routing-Anfragen, die auf HTTP-Headern und -Methoden, Abfragezeichenfolgen und host- oder pfadbasiertem Routing basieren.
+ [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) — Amazon CloudFront ist ein Webservice, der die Verteilung Ihrer statischen und dynamischen Webinhalte wie .html-, .css-, .js- und Bilddateien an Ihre Benutzer beschleunigt. CloudFront stellt Ihre Inhalte über ein weltweites Netzwerk von Rechenzentren bereit, die als Edge-Standorte bezeichnet werden, um die Latenz zu verringern und die Leistung zu verbessern.
+ [Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html) ─ Lambda @Edge ist eine Erweiterung von AWS Lambda, mit der Sie Funktionen ausführen können, um den bereitgestellten Inhalt anzupassen. CloudFront Sie können Funktionen in der Region USA Ost (Nord-Virginia) erstellen und die Funktion dann einer CloudFront Distribution zuordnen, um Ihren Code automatisch auf der ganzen Welt zu replizieren, ohne Server bereitstellen oder verwalten zu müssen. Dies reduziert die Latenz und verbessert die Benutzererfahrung.
**Code**
Der folgende Beispielcode bietet einen Blueprint zum Ändern von CloudFront Antwort-Headern. Folgen Sie den Anweisungen im Abschnitt *Epics*, um den Code bereitzustellen.
```
exports.handler = async (event, context) => {
const response = event.Records[0].cf.response;
const headers = response.headers;
const headerNameSrc = 'content-security-policy';
const headerNameValue = '*.xyz.com';
if (headers[headerNameSrc.toLowerCase()]) {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
console.log(`Response header "${headerNameSrc}" was set to ` +
`"${headers[headerNameSrc.toLowerCase()][0].value}"`);
}
else {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
}
return response;
};
```
## Epen
### Erstellen Sie eine CDN-Distribution
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine CloudFront Webdistribution. | In diesem Schritt erstellen Sie eine CloudFront Verteilung, in der Sie angeben, von CloudFront wo aus Inhalte bereitgestellt werden sollen. Außerdem erfahren Sie, wie Sie die Inhaltsbereitstellung nachverfolgen und verwalten können.Um eine Verteilung mithilfe der Konsole zu erstellen, melden Sie sich bei der AWS-Managementkonsole an, öffnen Sie die [CloudFront Konsole](https://console.aws.amazon.com/cloudfront/v3/home) und folgen Sie dann den Schritten in der [CloudFront Dokumentation](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html). | Cloud-Administrator |
### Lambda @Edge -Funktion erstellen und bereitstellen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Lambda @Edge -Funktion und stellen Sie sie bereit. | Sie können eine Lambda @Edge -Funktion erstellen, indem Sie einen Blueprint zum Ändern von CloudFront Antwortheadern verwenden. (Andere BluePrints sind für verschiedene Anwendungsfälle verfügbar; weitere Informationen finden Sie in der CloudFront Dokumentation unter [Lambda @Edge -Beispielfunktionen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html).) Um eine Lambda @Edge -Funktion zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/modify-http-headers-when-you-migrate-from-f5-to-an-application-load-balancer-on-aws.html) | AWS-Administrator |
| Stellen Sie die Lambda @Edge -Funktion bereit. | Folgen Sie den Anweisungen in [Schritt 4](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html#lambda-edge-how-it-works-tutorial-add-trigger) des *Tutorials: Erstellen einer einfachen Lambda @Edge -Funktion* in der CloudFront Amazon-Dokumentation, um den CloudFront Trigger zu konfigurieren und die Funktion bereitzustellen. | AWS-Administrator |
## Zugehörige Ressourcen
**CloudFront Dokumentation**
+ [Anfrage- und Antwortverhalten für benutzerdefinierte Ursprünge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html)
+ [Mit Distributionen arbeiten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html)
+ [Lambda @Edge -Beispielfunktionen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html)
+ [Anpassung am Edge mit Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html)
+ [Tutorial: Eine einfache Lambda @Edge -Funktion erstellen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html)
# Erstellen Sie einen Bericht mit den Ergebnissen von Network Access Analyzer für eingehenden Internetzugang in mehreren AWS-Konten
*Mike Virgilio, Amazon Web Services*
## Zusammenfassung
Unbeabsichtigter eingehender Internetzugriff auf AWS Ressourcen kann Risiken für den Datenperimeter eines Unternehmens darstellen. [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) ist eine Funktion von Amazon Virtual Private Cloud (Amazon VPC), mit der Sie unbeabsichtigte Netzwerkzugriffe auf Ihre Ressourcen auf Amazon Web Services (AWS) identifizieren können. Sie können Network Access Analyzer verwenden, um Ihre Netzwerkzugriffsanforderungen zu spezifizieren und potenzielle Netzwerkpfade zu identifizieren, die Ihren angegebenen Anforderungen nicht entsprechen. Sie können Network Access Analyzer verwenden, um Folgendes zu tun:
1. Identifizieren Sie AWS Ressourcen, auf die über Internet-Gateways über das Internet zugegriffen werden kann.
1. Stellen Sie sicher, dass Ihre virtuellen privaten Clouds (VPCs) angemessen segmentiert sind, z. B. durch die Isolierung von Produktions- und Entwicklungsumgebungen und die Trennung von Transaktionsworkloads.
Network Access Analyzer analysiert die Bedingungen der end-to-end Netzwerkerreichbarkeit und nicht nur eine einzelne Komponente. Um festzustellen, ob eine Ressource über das Internet zugänglich ist, bewertet Network Access Analyzer das Internet-Gateway, VPC-Routentabellen, Netzwerkzugriffskontrolllisten (ACLs), öffentliche IP-Adressen auf elastischen Netzwerkschnittstellen und Sicherheitsgruppen. Wenn eine dieser Komponenten den Internetzugang verhindert, generiert Network Access Analyzer kein Ergebnis. Wenn eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance beispielsweise über eine offene Sicherheitsgruppe verfügt, die Datenverkehr zulässt, sich die Instance `0/0` aber in einem privaten Subnetz befindet, das von keinem Internet-Gateway aus routbar ist, würde Network Access Analyzer kein Ergebnis generieren. Dies liefert qualitativ hochwertige Ergebnisse, sodass Sie Ressourcen identifizieren können, auf die wirklich über das Internet zugegriffen werden kann.
Wenn Sie Network Access Analyzer ausführen, verwenden Sie [Network Access Scopes](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts), um Ihre Netzwerkzugriffsanforderungen zu spezifizieren. Diese Lösung identifiziert Netzwerkpfade zwischen einem Internet-Gateway und einer elastic network interface. Bei diesem Muster stellen Sie die Lösung in einer zentralen Umgebung Ihrer Organisation bereit, die von allen Konten AWS-Konto in der Organisation verwaltet wird AWS Organizations, und sie analysiert alle Konten in der Organisation. AWS-Region
Bei der Entwicklung dieser Lösung wurde Folgendes berücksichtigt:
+ Die AWS CloudFormation Vorlagen reduzieren den Aufwand, der für die Bereitstellung der AWS Ressourcen in diesem Muster erforderlich ist.
+ Sie können die Parameter in den CloudFormation Vorlagen und im Skript **naa-script.sh** zum Zeitpunkt der Bereitstellung anpassen, um sie an Ihre Umgebung anzupassen.
+ Bash-Scripting stellt automatisch die Network Access Scopes für mehrere Konten parallel bereit und analysiert sie.
+ Ein Python-Skript verarbeitet die Ergebnisse, extrahiert die Daten und konsolidiert dann die Ergebnisse. Sie können wählen, ob Sie den konsolidierten Bericht mit den Ergebnissen von Network Access Analyzer im CSV-Format oder in AWS Security Hub CSPMüberprüfen möchten. Ein Beispiel für den CSV-Bericht finden Sie im Abschnitt [Zusätzliche Informationen](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) dieses Musters.
+ Sie können Ergebnisse korrigieren oder sie von future Analysen ausschließen, indem Sie sie der Datei **naa-exclusions.csv** hinzufügen.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein AWS-Konto zum Hosten von Sicherheitsdiensten und -tools, das als Mitgliedskonto einer Organisation in AWS Organizations verwaltet wird. In diesem Muster wird dieses Konto als Sicherheitskonto bezeichnet.
+ Im Sicherheitskonto müssen Sie über ein privates Subnetz mit ausgehendem Internetzugang verfügen. Anweisungen finden Sie unter [Erstellen eines Subnetzes](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) in der Amazon VPC-Dokumentation. Sie können den Internetzugang mithilfe eines [NAT-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) oder eines [VPC-Schnittstellen-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) einrichten.
+ Zugriff auf das AWS Organizations Verwaltungskonto oder ein Konto, für das Administratorrechte delegiert wurden. CloudFormation Anweisungen finden Sie in der [Dokumentation unter Registrieren eines delegierten Administrators](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html). CloudFormation
+ Aktivieren Sie den vertrauenswürdigen Zugriff zwischen AWS Organizations und CloudFormation. Anweisungen finden Sie AWS Organizations in der CloudFormation Dokumentation unter [Vertrauenswürdigen Zugriff aktivieren mit](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html).
+ Wenn Sie die Ergebnisse auf Security Hub CSPM hochladen, muss Security Hub CSPM für das Konto und den AWS-Region Ort, an dem die Amazon-Instance bereitgestellt wird, aktiviert sein. EC2 Weitere Informationen finden Sie unter [Einrichten AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).
**Einschränkungen**
+ Kontoübergreifende Netzwerkpfade werden derzeit aufgrund von Einschränkungen der Network Access Analyzer-Funktion nicht analysiert.
+ Das Ziel AWS-Konten muss als Organisation in AWS Organizations verwaltet werden. **Wenn Sie das nicht verwenden AWS Organizations, können Sie die CloudFormation Vorlage **naa-execrole.yaml** und das Skript naa-script.sh für Ihre Umgebung aktualisieren.** Stattdessen geben Sie eine Liste der Regionen an, in denen Sie das AWS-Konto IDs Skript ausführen möchten.
+ Die CloudFormation Vorlage ist für die Bereitstellung der EC2 Amazon-Instance in einem privaten Subnetz mit ausgehendem Internetzugang konzipiert. Der AWS Systems Manager Agent (SSM-Agent) benötigt ausgehenden Zugriff, um den Systems Manager-Dienstendpunkt zu erreichen, und Sie benötigen ausgehenden Zugriff, um das Code-Repository zu klonen und Abhängigkeiten zu installieren. Wenn Sie ein öffentliches Subnetz verwenden möchten, müssen Sie die Vorlage **naa-resources.yaml** ändern, um der Amazon-Instance eine [Elastic IP-Adresse](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) zuzuordnen. EC2
## Architektur
**Zielarchitektur**
*Option 1: Auf Ergebnisse in einem Amazon S3 S3-Bucket zugreifen*
![\[Architekturdiagramm für den Zugriff auf den Network Access Analyzer-Ergebnisbericht in einem Amazon S3 S3-Bucket\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)
Das Diagramm zeigt den folgenden Prozess:
1. Wenn Sie die Lösung manuell ausführen, authentifiziert sich der Benutzer mit Session Manager bei der EC2 Amazon-Instance und führt dann das Skript **naa-script.sh** aus. Dieses Shell-Skript führt die Schritte 2—7 aus.
Wenn Sie die Lösung automatisch ausführen, wird das Skript **naa-script.sh** automatisch nach dem Zeitplan gestartet, den Sie im Cron-Ausdruck definiert haben. Dieses Shell-Skript führt die Schritte 2 bis 7 aus. Weitere Informationen finden Sie unter *Automatisierung und Skalierung* am Ende dieses Abschnitts.
1. Die EC2 Amazon-Instance lädt die neueste Datei **naa-exception.csv** aus dem Amazon S3-Bucket herunter. Diese Datei wird später im Prozess verwendet, wenn das Python-Skript die Ausnahmen verarbeitet.
1. Die EC2 Amazon-Instance übernimmt die Rolle `NAAEC2Role` AWS Identity and Access Management (IAM), die Berechtigungen für den Zugriff auf den Amazon S3-Bucket und für die Übernahme der `NAAExecRole` IAM-Rollen in den anderen Konten in der Organisation gewährt.
1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle im Verwaltungskonto der Organisation und generiert eine Liste der Konten in der Organisation.
1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle in den Mitgliedskonten der Organisation (im Architekturdiagramm als *Workload-Konten* bezeichnet) und führt für jedes Konto eine Sicherheitsbewertung durch. Die Ergebnisse werden als JSON-Dateien auf der EC2 Amazon-Instance gespeichert.
1. Die EC2 Amazon-Instance verwendet ein Python-Skript, um die JSON-Dateien zu verarbeiten, die Datenfelder zu extrahieren und einen CSV-Bericht zu erstellen.
1. Die EC2 Amazon-Instance lädt die CSV-Datei in den Amazon S3-Bucket hoch.
1. Eine EventBridge Amazon-Regel erkennt den Datei-Upload und verwendet ein Amazon SNS-Thema, um eine E-Mail zu senden, die den Benutzer darüber informiert, dass der Bericht abgeschlossen ist.
1. Der Benutzer lädt die CSV-Datei aus dem Amazon S3 S3-Bucket herunter. Der Benutzer importiert die Ergebnisse in die Excel-Vorlage und überprüft die Ergebnisse.
*Option 2: Zugriff auf Ergebnisse in AWS Security Hub CSPM*
![\[Architekturdiagramm für den Zugriff auf die Ergebnisse von Network Access Analyzer über AWS Security Hub\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)
Das Diagramm zeigt den folgenden Prozess:
1. Wenn Sie die Lösung manuell ausführen, authentifiziert sich der Benutzer mit Session Manager bei der EC2 Amazon-Instance und führt dann das Skript **naa-script.sh** aus. Dieses Shell-Skript führt die Schritte 2—7 aus.
Wenn Sie die Lösung automatisch ausführen, wird das Skript **naa-script.sh** automatisch nach dem Zeitplan gestartet, den Sie im Cron-Ausdruck definiert haben. Dieses Shell-Skript führt die Schritte 2 bis 7 aus. Weitere Informationen finden Sie unter *Automatisierung und Skalierung* am Ende dieses Abschnitts.
1. Die EC2 Amazon-Instance lädt die neueste Datei **naa-exception.csv** aus dem Amazon S3-Bucket herunter. Diese Datei wird später im Prozess verwendet, wenn das Python-Skript die Ausnahmen verarbeitet.
1. Die EC2 Amazon-Instance übernimmt die `NAAEC2Role` IAM-Rolle, die Berechtigungen für den Zugriff auf den Amazon S3-Bucket und für die Übernahme der `NAAExecRole` IAM-Rollen in den anderen Konten in der Organisation gewährt.
1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle im Verwaltungskonto der Organisation und generiert eine Liste der Konten in der Organisation.
1. Die EC2 Amazon-Instance übernimmt die `NAAExecRole` IAM-Rolle in den Mitgliedskonten der Organisation (im Architekturdiagramm als *Workload-Konten* bezeichnet) und führt für jedes Konto eine Sicherheitsbewertung durch. Die Ergebnisse werden als JSON-Dateien auf der EC2 Amazon-Instance gespeichert.
1. Die EC2 Amazon-Instance verwendet ein Python-Skript, um die JSON-Dateien zu verarbeiten und die Datenfelder für den Import in Security Hub CSPM zu extrahieren.
1. Die EC2 Amazon-Instance importiert die Ergebnisse von Network Access Analyzer in Security Hub CSPM.
1. Eine EventBridge Amazon-Regel erkennt den Import und verwendet ein Amazon SNS-Thema, um eine E-Mail zu senden, die den Benutzer darüber informiert, dass der Vorgang abgeschlossen ist.
1. Der Benutzer sieht sich die Ergebnisse in Security Hub CSPM an.
**Automatisierung und Skalierung**
Sie können diese Lösung so planen, dass das Skript **naa-script.sh** automatisch nach einem benutzerdefinierten Zeitplan ausgeführt wird. Um einen benutzerdefinierten Zeitplan festzulegen, ändern Sie in der CloudFormation Vorlage **naa-resources.yaml** den Parameter. `CronScheduleExpression` Der Standardwert von `0 0 * * 0` führt die Lösung beispielsweise jeden Sonntag um Mitternacht aus. Ein Wert von `0 0 * 1-12 0` würde die Lösung jeden ersten Sonntag im Monat um Mitternacht ausführen. Weitere Informationen zur Verwendung von Cron-Ausdrücken finden Sie unter [Cron- und Rate-Ausdrücke](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) in der Systems Manager Manager-Dokumentation.
Wenn Sie den Zeitplan nach der Bereitstellung des `NAA-Resources` Stacks anpassen möchten, können Sie den Cron-Zeitplan unter manuell bearbeiten. `/etc/cron.d/naa-schedule`
## Tools
**AWS-Services**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) bietet skalierbare Rechenkapazität in der AWS Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS Lambda Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen. AWS-Konten
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)bietet einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS. Es hilft Ihnen auch dabei, Ihre AWS Umgebung anhand der Sicherheitsstandards und bewährten Verfahren der Branche zu überprüfen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)hilft Ihnen bei der Verwaltung Ihrer Anwendungen und Infrastruktur, die in der AWS Cloud ausgeführt werden. Es vereinfacht das Anwendungs- und Ressourcenmanagement, verkürzt die Zeit für die Erkennung und Lösung betrieblicher Probleme und hilft Ihnen, Ihre AWS Ressourcen sicher und in großem Umfang zu verwalten. Dieses Muster verwendet Session Manager, eine Funktion von Systems Manager.
**Code-Repository**
Der Code für dieses Muster ist im GitHub [Network Access Analyzer Multi-Account Analysis-Repository](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis) verfügbar. Das Code-Repository enthält die folgenden Dateien:
+ **naa-script.sh** — Dieses Bash-Skript wird verwendet, um eine Network Access Analyzer-Analyse mehrerer AWS-Konten parallel zu starten. Wie in der CloudFormation Vorlage **naa-resources.yaml** definiert, wird dieses Skript automatisch im `/usr/local/naa` Ordner auf der Amazon-Instance bereitgestellt. EC2
+ **naa-resources.yaml** — Sie verwenden diese CloudFormation Vorlage, um einen Stack im Sicherheitskonto der Organisation zu erstellen. Diese Vorlage stellt alle erforderlichen Ressourcen für dieses Konto bereit, um die Lösung zu unterstützen. Dieser Stack muss vor der Vorlage **naa-execrole.yaml** bereitgestellt werden.
**Anmerkung**
Wenn dieser Stack gelöscht und erneut bereitgestellt wird, müssen Sie den `NAAExecRole` Stacksatz neu erstellen, um die kontenübergreifenden Abhängigkeiten zwischen den IAM-Rollen wiederherzustellen.
+ **naa-execrole.yaml** — Sie verwenden diese CloudFormation Vorlage, um ein Stack-Set zu erstellen, das die `NAAExecRole` IAM-Rolle in allen Konten der Organisation, einschließlich des Verwaltungskontos, bereitstellt.
+ **naa-processfindings.py** — Das Skript **naa-script.sh** ruft dieses Python-Skript automatisch auf, um die JSON-Ausgaben von Network Access Analyzer zu verarbeiten, alle zweifelsfrei funktionierenden Ressourcen in der Datei **naa-exclusions.csv** auszuschließen und dann entweder eine CSV-Datei mit den konsolidierten Ergebnissen zu generieren oder die Ergebnisse in Security Hub CSPM zu importieren.
## Epen
### Bereite dich auf den Einsatz vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Code-Repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Überprüfen Sie die Vorlagen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Erstellen Sie die CloudFormation Stapel
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie Ressourcen im Sicherheitskonto bereit. | Mithilfe der Vorlage **naa-resources.yaml** erstellen Sie einen CloudFormation Stack, der alle erforderlichen Ressourcen im Sicherheitskonto bereitstellt. Anweisungen finden Sie in der Dokumentation unter [Einen Stack erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). CloudFormation Beachten Sie bei der Bereitstellung dieser Vorlage Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Stellen Sie die IAM-Rolle in den Mitgliedskonten bereit. | Verwenden Sie im AWS Organizations Verwaltungskonto oder einem Konto mit delegierten Administratorrechten für die Vorlage **naa-execrole.yaml CloudFormation**, um ein Stack-Set zu erstellen. CloudFormation Das Stack-Set stellt die `NAAExecRole` IAM-Rolle in allen Mitgliedskonten der Organisation bereit. Anweisungen finden Sie in der Dokumentation unter [Erstellen eines Stack-Sets mit vom Service verwalteten Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org). CloudFormation Beachten Sie bei der Bereitstellung dieser Vorlage Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Stellen Sie die IAM-Rolle im Verwaltungskonto bereit. | Mithilfe der Vorlage **naa-execrole.yaml** erstellen Sie einen CloudFormation Stack, der die `NAAExecRole` IAM-Rolle im Verwaltungskonto der Organisation bereitstellt. Das Stack-Set, das Sie zuvor erstellt haben, stellt die IAM-Rolle nicht im Verwaltungskonto bereit. Anweisungen finden Sie in der CloudFormation Dokumentation unter [Einen Stack erstellen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). Beachten Sie bei der Bereitstellung dieser Vorlage Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Führen Sie die Analyse durch
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Passen Sie das Shell-Skript an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Analysieren Sie die Zielkonten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Option 1 — Rufen Sie die Ergebnisse aus dem Amazon S3 S3-Bucket ab. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Option 2 — Überprüfen Sie die Ergebnisse in Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Ergebnisse korrigieren und ausschließen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Korrigieren Sie die Ergebnisse. | Korrigieren Sie alle Ergebnisse, die Sie korrigieren möchten. Weitere Informationen und bewährte Methoden zur Einrichtung eines Perimeters rund um Ihre AWS Identitäten, Ressourcen und Netzwerke finden Sie unter [Building a data perimeter on AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (Whitepaper).AWS | AWS DevOps |
| Schließen Sie Ressourcen mit zweifelsfrei funktionierenden Netzwerkpfaden aus. | Wenn Network Access Analyzer Ergebnisse für Ressourcen generiert, auf die über das Internet zugegriffen werden sollte, können Sie diese Ressourcen zu einer Ausschlussliste hinzufügen. Wenn Network Access Analyzer das nächste Mal ausgeführt wird, wird kein Ergebnis für diese Ressource generiert.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Optional) Aktualisieren Sie das Skript naa-script.sh
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Aktualisieren Sie das Skript naa-script.sh. | Wenn Sie das Skript **naa-script.sh** auf die neueste Version im Repository aktualisieren möchten, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Optional) Bereinigen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie alle bereitgestellten Ressourcen. | Sie können die bereitgestellten Ressourcen in den Konten belassen.Wenn Sie die Bereitstellung aller Ressourcen aufheben möchten, gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Es konnte keine Verbindung mit der EC2 Amazon-Instance mithilfe des Sitzungsmanagers hergestellt werden. | Der SSM-Agent muss in der Lage sein, mit dem Systems Manager Manager-Endpunkt zu kommunizieren. Gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) |
| Bei der Bereitstellung des Stack-Sets werden Sie von der CloudFormation Konsole dazu aufgefordert. `Enable trusted access with AWS Organizations to use service-managed permissions` | Dies weist darauf hin, dass der vertrauenswürdige Zugriff zwischen AWS Organizations und CloudFormation nicht aktiviert wurde. Für die Bereitstellung des vom Service verwalteten Stack-Sets ist ein vertrauenswürdiger Zugriff erforderlich. Wählen Sie die Schaltfläche, um den vertrauenswürdigen Zugriff zu aktivieren. Weitere Informationen finden Sie in der CloudFormation Dokumentation unter [Vertrauenswürdigen Zugriff aktivieren](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html). |
## Zugehörige Ressourcen
+ [Neu — Amazon VPC Network Access Analyzer](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/) (AWS Blogbeitrag)
+ [AWS re:INFORCE 2022 — Validieren Sie effektive Netzwerkzugriffskontrollen auf AWS (NIS202) (Video)](https://youtu.be/aN2P2zeQek0)
+ [Demo — Unternehmensweite Analyse von eingehenden Internetdaten mithilfe des Network Access Analyzer](https://youtu.be/1IFNZWy4iy0) (Video)
## Zusätzliche Informationen
**Beispiel für eine Konsolenausgabe**
Das folgende Beispiel zeigt die Ausgabe der Generierung der Liste der Zielkonten und der Analyse der Zielkonten.
```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa--us-east-1/naa-exclusions.csv to ./naa-exclusions.csv
AWS Management Account:
AWS Accounts being processed...
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```
**Beispiele für CSV-Berichte**
Die folgenden Bilder sind Beispiele für die CSV-Ausgabe.
![\[Beispiel 1 des mit dieser Lösung generierten CSV-Berichts.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)
![\[Beispiel 2 des mit dieser Lösung generierten CSV-Berichts.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)
# Richten Sie die DNS-Auflösung für Hybridnetzwerke in einer Umgebung mit mehreren Konten AWS ein
*Anvesh Koganti, Amazon Web Services*
## Zusammenfassung
Dieses Muster bietet eine umfassende Lösung für die Einrichtung der DNS-Auflösung in hybriden Netzwerkumgebungen, die mehrere Amazon Web Services (AWS) -Konten umfassen. Es ermöglicht die bidirektionale DNS-Auflösung zwischen lokalen Netzwerken und der AWS Umgebung über Amazon Route 53 Resolver Endpunkte. Das Muster bietet zwei Lösungen, um die DNS-Auflösung in einer zentralisierten Architektur mit [mehreren Konten](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html#multi-account-centralized) zu ermöglichen:
+ Bei der *Grundkonfiguration* werden keine Route 53 53-Profile verwendet. Es hilft, die Kosten für kleine bis mittlere Bereitstellungen mit geringerer Komplexität zu optimieren.
+ Das *erweiterte Setup* verwendet Route 53 53-Profile, um den Betrieb zu vereinfachen. Es eignet sich am besten für größere oder komplexere DNS-Bereitstellungen.
**Anmerkung**
Informieren Sie sich vor der Implementierung im Abschnitt *Einschränkungen* über Diensteinschränkungen und Kontingente. Berücksichtigen Sie bei Ihrer Entscheidung Faktoren wie Verwaltungsaufwand, Kosten, betriebliche Komplexität und Teamkompetenz.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Eine Umgebung mit AWS mehreren Konten mit Amazon Virtual Private Cloud (Amazon VPC), die für Shared Services- und Workload-Konten bereitgestellt wird (vorzugsweise über [AWS Control Tower eingerichtet, wobei AWS bewährte Methoden für die Kontostruktur befolgt werden](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html)).
+ Bestehende hybride Konnektivität (AWS Direct Connect oder AWS Site-to-Site VPN) zwischen Ihrem lokalen Netzwerk und der Umgebung. AWS
+ Amazon VPC-Peering oder AWS Cloud WAN für Layer-3-Netzwerkkonnektivität zwischen. AWS Transit Gateway VPCs (Diese Konnektivität ist für den Anwendungsdatenverkehr erforderlich. Sie ist nicht erforderlich, damit die DNS-Auflösung funktioniert. Die DNS-Auflösung funktioniert unabhängig von der Netzwerkkonnektivität zwischen den VPCs.)
+ DNS-Server, die in der lokalen Umgebung ausgeführt werden.
**Einschränkungen**
+ Die Endpunkte, Regeln und Profile von Route 53 Resolver sind regionale Konstrukte und erfordern für globale Organisationen möglicherweise mehrere AWS-Regionen Replikationen.
+ Eine umfassende Liste der Dienstkontingente für Route 53 Resolver, private gehostete Zonen und Profile finden Sie in der Route 53-Dokumentation unter [Kontingente](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DNSLimitations.html).
## Architektur
**Zieltechnologie-Stack**
+ Routet 53 ausgehende und eingehende Endpunkte
+ Route 53 Resolver-Regeln für die bedingte Weiterleitung
+ AWS Resource Access Manager (AWS RAM)
+ Private gehostete Zone von Route 53
**Zielarchitektur**
**Endpunkte für ausgehenden und eingehenden Datenverkehr**
Das folgende Diagramm zeigt den DNS-Auflösungsfluss von AWS zu vor Ort. Dies ist das Konnektivitäts-Setup für ausgehende Auflösungen, bei denen die Domäne lokal gehostet wird. Im Folgenden finden Sie einen allgemeinen Überblick über den Prozess, der bei der Einrichtung erforderlich ist. Einzelheiten finden Sie im Abschnitt [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Stellen Sie ausgehende Route 53-Resolver-Endpunkte in der Shared Services-VPC bereit.
1. Erstellen Sie Route 53 Resolver-Regeln (Weiterleitungsregeln) im Shared Services-Konto für Domänen, die lokal gehostet werden.
1. Teilen und verknüpfen Sie die Regeln mit VPCs anderen Konten, die Ressourcen hosten, die für die Auflösung lokal gehosteter Domänen erforderlich sind. Dies kann je nach Anwendungsfall auf unterschiedliche Weise geschehen, wie später in diesem Abschnitt beschrieben wird.
![\[Eingehende und ausgehende Endpunkte in einem DNS-Auflösungsfluss von AWS zum lokalen Standort.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/d69d4cad-5e2c-4481-9370-2708e8a4f8c1.png)
Nachdem Sie die Konnektivität eingerichtet haben, sind die folgenden Schritte für die Lösung ausgehender Nachrichten erforderlich:
1. Die Amazon Elastic Compute Cloud (Amazon EC2) -Instance sendet eine DNS-Auflösungsanfrage `db.onprem.example.com` an den Route 53-Resolver der VPC an der VPC\$12-Adresse.
1. Route 53 Resolver überprüft die Resolver-Regeln und leitet die Anfrage mithilfe des ausgehenden Endpunkts an den lokalen DNS-Server weiter. IPs
1. Der ausgehende Endpunkt leitet die Anfrage an den lokalen DNS weiter. IPs Der Datenverkehr wird über die etablierte hybride Netzwerkkonnektivität zwischen der Shared Services-VPC und dem lokalen Rechenzentrum übertragen.
1. Der lokale DNS-Server antwortet auf den ausgehenden Endpunkt, der die Antwort dann zurück an den Route 53-Resolver der VPC weiterleitet. Der Resolver gibt die Antwort an die Instanz zurück. EC2
Das nächste Diagramm zeigt den DNS-Auflösungsfluss von der lokalen Umgebung zur. AWS Dies ist das Konnektivitäts-Setup für eingehende Auflösungen, auf denen die Domain gehostet wird. AWS Hier finden Sie einen allgemeinen Überblick über den Prozess, der bei der Einrichtung erforderlich ist. Einzelheiten finden Sie im Abschnitt [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Stellen Sie Resolver-Endpoints für eingehende Anfragen in der Shared Services-VPC bereit.
1. Erstellen Sie private gehostete Zonen im Shared Services-Konto (zentralisierter Ansatz).
1. Ordnen Sie die privat gehosteten Zonen der Shared Services-VPC zu. Teilen Sie diese Zonen und ordnen Sie sie VPCs für die VPC-to-VPC DNS-Auflösung kontoübergreifend zu. Dies kann je nach Anwendungsfall auf unterschiedliche Weise geschehen, wie später in diesem Abschnitt beschrieben wird.
![\[Eingehende und ausgehende Endpunkte in einem lokalen DNS-Auflösungsfluss zu AWS.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/a6f5348c-2041-453e-8939-2b4ee0b7ebd8.png)
Nachdem Sie die Konnektivität eingerichtet haben, sind die folgenden Schritte für die Auflösung eingehender E-Mails erforderlich:
1. Die lokale Ressource sendet eine DNS-Auflösungsanforderung für `ec2.prod.aws.example.com` an den lokalen DNS-Server.
1. Der lokale DNS-Server leitet die Anfrage über die hybride Netzwerkverbindung an den eingehenden Resolver-Endpunkt in der Shared Services-VPC weiter.
1. Der eingehende Resolver-Endpunkt sucht mithilfe des VPC Route 53 Resolvers nach der Anfrage in der zugehörigen privaten gehosteten Zone und erhält die entsprechende IP-Adresse.
1. Diese IP-Adressen werden an den lokalen DNS-Server zurückgesendet, der die Antwort an die lokale Ressource zurückgibt.
Diese Konfiguration ermöglicht es lokalen Ressourcen, AWS private Domainnamen aufzulösen, indem sie Abfragen über die eingehenden Endpunkte an die entsprechende private gehostete Zone weiterleiten. In dieser Architektur sind private gehostete Zonen in einer Shared Services-VPC zentralisiert, was eine zentrale DNS-Verwaltung durch ein einzelnes Team ermöglicht. Diese Zonen können vielen Zonen zugeordnet werden VPCs , um den Anwendungsfall der VPC-to-VPC DNS-Auflösung zu lösen. Alternativ können Sie den Besitz und die Verwaltung der DNS-Domäne an beide delegieren. AWS-Konto In diesem Fall verwaltet jedes Konto seine eigenen privaten gehosteten Zonen und ordnet jede Zone der zentralen Shared Services-VPC zu, um eine einheitliche Lösung mit der lokalen Umgebung zu erreichen. Dieser dezentrale Ansatz würde den Rahmen dieses Musters sprengen. Weitere Informationen finden Sie unter [Skalierung der DNS-Verwaltung auf mehrere Konten und VPCs](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html) im Whitepaper *Hybrid Cloud DNS-Optionen für Amazon VPC*.
Wenn Sie die grundlegenden DNS-Auflösungsabläufe mithilfe von Resolver-Endpunkten einrichten, müssen Sie festlegen, wie Sie die gemeinsame Nutzung und Zuordnung von Resolver-Regeln und privaten Hosting-Zonen in Ihrem System verwalten. AWS-Konten Sie können dies auf zwei Arten angehen: durch selbstverwaltetes Teilen, indem AWS RAM Sie Resolver-Regeln und direkte private Hosting-Zonenzuordnungen verwenden, wie im Abschnitt *Grundeinstellungen* beschrieben, oder über Route 53 53-Profile, wie im Abschnitt *Erweiterte Konfiguration* beschrieben. Die Wahl hängt von den DNS-Verwaltungseinstellungen und den betrieblichen Anforderungen Ihres Unternehmens ab. Die folgenden Architekturdiagramme veranschaulichen eine skalierte Umgebung, die mehrere VPCs verschiedene Konten umfasst, was einer typischen Unternehmensumgebung entspricht.
**Grundlegende Einrichtung**
In der Grundkonfiguration werden bei der Implementierung der Hybrid-DNS-Auflösung in einer AWS Umgebung mit mehreren Konten Resolver-Weiterleitungsregeln und private Hosting-Zonenzuordnungen gemeinsam genutzt AWS RAM , um DNS-Abfragen zwischen lokalen Standorten und Ressourcen zu verwalten. AWS Bei dieser Methode werden zentralisierte Route 53 Resolver-Endpunkte in einer Shared Services-VPC verwendet, die mit Ihrem lokalen Netzwerk verbunden ist, um sowohl eingehende als auch ausgehende DNS-Auflösungen effizient zu handhaben.
+ Für die Auflösung ausgehender Nachrichten werden Resolver-Weiterleitungsregeln im Shared Services-Konto erstellt und dann mit anderen Benutzern gemeinsam genutzt. AWS-Konten AWS RAM Diese gemeinsame Nutzung ist auf Konten innerhalb derselben Region beschränkt. Die Zielkonten können diese Regeln dann ihren eigenen zuordnen VPCs und den Ressourcen in diesen Regeln ermöglichen VPCs , lokale Domainnamen aufzulösen.
+ Für die Auflösung eingehender Nachrichten werden private Hosting-Zonen im Shared Services-Konto erstellt und der Shared Services-VPC zugeordnet. Diese Zonen können dann mithilfe VPCs der Route 53-API oder der AWS Command Line Interface ()AWS CLI anderen Konten zugeordnet werden. AWS SDKs Die zugewiesenen Ressourcen VPCs können dann DNS-Einträge auflösen, die in den privaten gehosteten Zonen definiert sind, wodurch eine einheitliche DNS-Ansicht in Ihrer gesamten AWS Umgebung entsteht.
Das folgende Diagramm zeigt die DNS-Auflösungsflüsse in dieser Basiskonfiguration.
![\[Verwendung der Basiskonfiguration für die Hybrid-DNS-Auflösung in einer AWS-Umgebung mit mehreren Konten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/258e4bcd-e9c6-43b5-bab8-856ca22206b9.png)
Dieses Setup funktioniert gut, wenn Sie in begrenztem Umfang mit einer DNS-Infrastruktur arbeiten. Die Verwaltung kann jedoch schwierig werden, wenn Ihre Umgebung wächst. Der betriebliche Aufwand für die Verwaltung der gemeinsamen Nutzung und Zuordnung von Regeln für private gehostete Zonen und Resolver nimmt mit VPCs der Skalierung erheblich zu. Darüber hinaus können Dienstkontingente wie das Zuweisungslimit von 300 VPC pro privat gehosteter Zone bei groß angelegten Bereitstellungen zu einschränkenden Faktoren werden. Das verbesserte Setup bewältigt diese Herausforderungen.
**Verbessertes Setup**
Route 53 53-Profile bieten eine optimierte Lösung für die Verwaltung der DNS-Auflösung in hybriden Netzwerken über mehrere AWS-Konten Netzwerke hinweg. Anstatt private Hosting-Zonen und Resolver-Regeln einzeln zu verwalten, können Sie DNS-Konfigurationen in einem einzigen Container gruppieren, der problemlos gemeinsam genutzt und auf mehrere Konten in einer VPCs Region angewendet werden kann. Dieses Setup behält die zentralisierte Resolver-Endpunktarchitektur in einer Shared Services-VPC bei und vereinfacht gleichzeitig die Verwaltung von DNS-Konfigurationen erheblich.
Das folgende Diagramm zeigt DNS-Auflösungsflüsse in einer erweiterten Konfiguration.
![\[Verwendung eines erweiterten Setups mit Route 53 53-Profilen für die hybride DNS-Auflösung in einer AWS-Umgebung mit mehreren Konten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/55b9681d-ddb4-4a55-b4ec-fc9afa9870fa.png)
Mit Route 53 53-Profilen können Sie private Hosting-Zonenzuordnungen, Resolver-Weiterleitungsregeln und DNS-Firewallregeln in einer einzigen, gemeinsam nutzbaren Einheit zusammenfassen. Sie können Profile im Shared Services-Konto erstellen und sie mit Mitgliedskonten teilen, indem Sie AWS RAM Wenn ein Profil geteilt und auf Target angewendet wird VPCs, werden alle erforderlichen Verknüpfungen und Konfigurationen automatisch vom Dienst verarbeitet. Dadurch wird der betriebliche Aufwand für die DNS-Verwaltung erheblich reduziert und eine hervorragende Skalierbarkeit für wachsende Umgebungen gewährleistet.
**Automatisierung und Skalierung**
Verwenden Sie Infrastructure-as-Code-Tools (IaC) wie CloudFormation oder Terraform, um Route 53 Resolver-Endpunkte, Regeln, private gehostete Zonen und Profile automatisch bereitzustellen und zu verwalten. Integrieren Sie die DNS-Konfiguration in CI/CD-Pipelines (Continuous Integration and Continuous Delivery), um Konsistenz, Wiederholbarkeit und schnelle Updates zu gewährleisten.
## Tools
**AWS-Services**
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) hilft Ihnen dabei, Ihre Ressourcen sicher gemeinsam zu nutzen, um den betrieblichen Aufwand AWS-Konten zu reduzieren und für Transparenz und Überprüfbarkeit zu sorgen.
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)reagiert rekursiv auf DNS-Abfragen von AWS Ressourcen und ist standardmäßig in allen verfügbar. VPCs Sie können Resolver-Endpunkte und Regeln für bedingte Weiterleitungen erstellen, um DNS-Namespaces zwischen Ihrem lokalen Rechenzentrum und Ihrem aufzulösen. VPCs
+ Die [private gehostete Zone von Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) ist ein Container, der Informationen darüber enthält, wie Route 53 auf DNS-Anfragen für eine Domain und deren Subdomains reagieren soll.
+ Mit [Amazon Route 53 53-Profilen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) können Sie DNS-bezogene Route 53-Konfigurationen für viele VPCs und unterschiedliche AWS-Konten Konfigurationen auf vereinfachte Weise anwenden und verwalten.
## Best Practices
Dieser Abschnitt enthält einige der bewährten Methoden zur Optimierung von Route 53 Resolver. Diese stellen einen Teil der bewährten Methoden für Route 53 dar. Eine umfassende Liste finden Sie unter [Bewährte Methoden für Amazon Route 53.](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices.html)
**Vermeiden Sie Loop-Konfigurationen mit Resolver-Endpunkten**
+ Entwerfen Sie Ihre DNS-Architektur so, dass rekursives Routing verhindert wird, indem Sie VPC-Zuordnungen sorgfältig planen. Wenn eine VPC einen eingehenden Endpunkt hostet, vermeiden Sie es, ihn mit Resolver-Regeln zu verknüpfen, die Zirkelverweise erzeugen könnten.
+ Verwenden Sie diese AWS RAM Option strategisch, wenn Sie DNS-Ressourcen für mehrere Konten gemeinsam nutzen, um saubere Routingpfade aufrechtzuerhalten.
Weitere Informationen finden Sie in der Route 53-Dokumentation unter [Vermeiden von Schleifenkonfigurationen mit Resolver-Endpunkten](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoints.html).
**Skalieren Sie Resolver-Endpunkte**
+ Beachten Sie bei Umgebungen, die eine hohe Anzahl von Abfragen pro Sekunde (QPS) erfordern, dass auf einem Endpunkt ein Limit von 10.000 QPS pro ENI gilt. Einem Endpunkt ENIs können weitere hinzugefügt werden, um DNS QPS zu skalieren.
+ Amazon CloudWatch stellt `InboundQueryVolume` `OutboundQueryVolume` Metriken zur Verfügung (siehe [CloudWatch Dokumentation](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html)). Wir empfehlen Ihnen, Überwachungsregeln einzurichten, die Sie benachrichtigen, wenn der Schwellenwert einen bestimmten Wert überschreitet (z. B. 80 Prozent von 10.000 QPS).
+ Konfigurieren Sie statusbehaftete Sicherheitsgruppenregeln für Resolver-Endpunkte, um zu verhindern, dass Grenzwerte für die Verbindungsverfolgung bei hohem Datenvolumen zu einer Drosselung von DNS-Abfragen führen. Weitere Informationen darüber, wie die Verbindungsverfolgung in Sicherheitsgruppen funktioniert, finden Sie unter [Amazon EC2 Security Group Connection Tracking](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) in der EC2 Amazon-Dokumentation.
Weitere Informationen finden Sie unter [Resolver Endpoint Scaling](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-scaling.html) in der Route 53-Dokumentation.
**Stellen Sie eine hohe Verfügbarkeit für Resolver-Endpunkte bereit**
+ Erstellen Sie aus Redundanzgründen eingehende Endpunkte mit IP-Adressen in mindestens zwei Availability Zones.
+ Stellen Sie zusätzliche Netzwerkschnittstellen bereit, um die Verfügbarkeit bei Wartungsarbeiten oder bei hohem Datenaufkommen sicherzustellen.
Weitere Informationen finden Sie unter [Hochverfügbarkeit für Resolver-Endpunkte](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html) in der Route 53-Dokumentation.
## Epen
### Stellen Sie Route 53 Resolver-Endpunkte bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie einen Endpunkt für eingehenden Datenverkehr bereit. | Route 53 Resolver verwendet den eingehenden Endpunkt, um DNS-Anfragen von lokalen DNS-Resolvern zu empfangen. Anweisungen finden Sie in der Route 53-Dokumentation unter [Weiterleiten eingehender DNS-Abfragen VPCs an Ihren](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html). Notieren Sie sich die IP-Adresse des eingehenden Endpunkts. | AWS-Administrator, Cloud-Administrator |
| Stellen Sie einen ausgehenden Endpunkt bereit. | Route 53 Resolver verwendet den ausgehenden Endpunkt, um DNS-Abfragen an lokale DNS-Resolver zu senden. Anweisungen finden Sie in der Route 53-Dokumentation unter [Weiterleiten ausgehender DNS-Abfragen an Ihr Netzwerk](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html). Notieren Sie sich die ID des Ausgabeendpunkts. | AWS-Administrator, Cloud-Administrator |
### Private Hosting-Zonen von Route 53 konfigurieren und gemeinsam nutzen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine private Hosting-Zone für eine Domain, die auf gehostet wird AWS. | Diese Zone enthält die DNS-Einträge für Ressourcen in einer AWS-gehosteten Domäne (z. B.`prod.aws.example.com`), die von der lokalen Umgebung aus aufgelöst werden sollten. Anweisungen finden Sie in der Route 53-Dokumentation unter [Erstellen einer privaten gehosteten Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).Wenn Sie eine private gehostete Zone erstellen, müssen Sie der Hosting-Zone, die demselben Konto gehört, eine VPC zuordnen. Wählen Sie die Shared Services-VPC für diesen Zweck aus. | AWS-Administrator, Cloud-Administrator |
| Grundlegende Einrichtung: Ordnen Sie die privat gehostete VPCs Zone anderen Konten zu. | Wenn Sie die Basiskonfiguration verwenden (siehe Abschnitt [Architektur](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):Damit Ressourcen im Mitgliedskonto VPCs DNS-Einträge in dieser privaten Hosting-Zone auflösen können, müssen Sie Ihre VPCs mit der Hosting-Zone verknüpfen. Sie müssen die Zuordnung autorisieren und die Zuordnung dann programmgesteuert vornehmen. Anweisungen finden Sie in der Route 53-Dokumentation unter [Zuordnen einer Amazon-VPC und einer privaten gehosteten Zone, die Sie mit different AWS-Konten erstellt haben](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html). | AWS-Administrator, Cloud-Administrator |
| Verbessertes Setup: Konfiguration und gemeinsame Nutzung von Route 53 53-Profilen. | Wenn Sie das erweiterte Setup verwenden (siehe Abschnitt [Architektur](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Je nach Struktur und DNS-Anforderungen Ihrer Organisation müssen Sie möglicherweise mehrere Profile für unterschiedliche Konten oder Workloads erstellen und verwalten. | AWS-Administrator, Cloud-Administrator |
### Konfigurieren und teilen Sie die Route 53 Resolver-Weiterleitungsregeln
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie eine Weiterleitungsregel für eine Domain, die lokal gehostet wird. | Diese Regel weist Route 53 Resolver an, alle DNS-Abfragen für lokale Domänen (z. B.`onprem.example.com`) an lokale DNS-Resolver weiterzuleiten. Um diese Regel zu erstellen, benötigen Sie die IP-Adressen der lokalen DNS-Resolver und die ausgehende Endpunkt-ID. Anweisungen finden Sie in der Route 53-Dokumentation unter [Erstellen von Weiterleitungsregeln](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-creating-rules.html). | AWS-Administrator, Cloud-Administrator |
| Grundlegende Einrichtung: Teilen Sie die Weiterleitungsregel und verknüpfen Sie sie mit Ihren Konten VPCs in anderen Konten. | Wenn du die Basiskonfiguration verwendest:Damit die Weiterleitungsregel wirksam wird, müssen Sie die Regel mit Ihren VPCs anderen Konten teilen und sie mit ihnen verknüpfen. Route 53 Resolver berücksichtigt die Regel dann bei der Auflösung einer Domäne. Anweisungen finden Sie unter [Resolver-Regeln mit anderen teilen AWS-Konten und gemeinsam genutzte Regeln verwenden](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-sharing.html) und [Weiterleitungsregeln mit einer VPC verknüpfen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-associating-rules.html) in der Route 53-Dokumentation. | AWS-Administrator, Cloud-Administrator |
| Verbessertes Setup: Konfiguration und gemeinsame Nutzung von Route 53 53-Profilen. | Wenn Sie das erweiterte Setup verwenden:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Je nach Struktur und DNS-Anforderungen Ihrer Organisation müssen Sie möglicherweise mehrere Profile für unterschiedliche Konten oder Workloads erstellen und verwalten. | AWS-Administrator, Cloud-Administrator |
### Konfigurieren Sie lokale DNS-Resolver für die Integration AWS
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie die bedingte Weiterleitung in den lokalen DNS-Resolvern. | Damit DNS-Abfragen zur Auflösung AWS von der lokalen Umgebung aus gesendet werden können, müssen Sie die bedingte Weiterleitung in den lokalen DNS-Resolvern so konfigurieren, dass sie auf die IP-Adresse des eingehenden Endpunkts verweist. Dadurch werden die DNS-Resolver angewiesen, alle DNS-Abfragen für die AWS-gehostete Domäne (z. B. für`prod.aws.example.com`) an die IP-Adresse des eingehenden Endpunkts weiterzuleiten, damit sie vom Route 53-Resolver aufgelöst werden. | Netzwerkadministrator |
### Überprüfen Sie die end-to-end DNS-Auflösung in einer Hybridumgebung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Testen Sie die DNS-Auflösung AWS von der lokalen Umgebung aus. | Führen Sie von einer Instanz in einer VPC aus, der die Weiterleitungsregel zugeordnet ist, eine DNS-Abfrage für eine lokal gehostete Domäne (z. B. für`db.onprem.example.com`). | Netzwerkadministrator |
| Testen Sie die DNS-Auflösung von der lokalen Umgebung bis. AWS | Führen Sie von einem lokalen Server aus die DNS-Auflösung für eine AWS-gehostete Domäne durch (z. B. für). `ec2.prod.aws.example.com` | Netzwerkadministrator |
## Zugehörige Ressourcen
+ [Hybrid-Cloud-DNS-Optionen für Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html) (AWS Whitepaper)
+ [Arbeiten mit privat gehosteten Zonen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (Route 53-Dokumentation)
+ [Erste Schritte mit Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) (Route 53-Dokumentation)
+ [Vereinfachen Sie die DNS-Verwaltung in einer Umgebung mit mehreren Konten mit Route 53 Resolver (Blogbeitrag](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/))AWS
+ [Vereinheitlichen Sie die DNS-Verwaltung mithilfe von Amazon Route 53 53-Profilen mit mehreren VPCs und AWS-Konten](https://aws.amazon.com/blogs/aws/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/) (AWS Blogbeitrag)
+ [Migration Ihrer DNS-Umgebung mit mehreren Konten zu Amazon Route 53 Profiles](https://aws.amazon.com/blogs/networking-and-content-delivery/migrating-your-multi-account-dns-environment-to-amazon-route-53-profiles/) (AWS Blogbeitrag)
+ [Verwendung von Amazon Route 53 53-Profilen für skalierbare AWS Umgebungen mit mehreren Konten](https://aws.amazon.com/blogs/networking-and-content-delivery/using-amazon-route-53-profiles-for-scalable-multi-account-aws-environments/) (AWS Blogbeitrag)
# Stellen Sie sicher, dass ELB-Load Balancer eine TLS-Terminierung erfordern
*Priyanka Chaudhary, Amazon Web Services*
## Zusammenfassung
In der Amazon Web Services (AWS) -Cloud verteilt Elastic Load Balancing (ELB) den eingehenden Anwendungsdatenverkehr automatisch auf mehrere Ziele, z. B. Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Container, IP-Adressen und AWS Lambda Lambda-Funktionen. Die Load Balancer verwenden Listener, um die Ports und Protokolle zu definieren, die der Load Balancer verwendet, um Traffic von Benutzern anzunehmen. Application Load Balancer treffen Routing-Entscheidungen auf Anwendungsebene und verwenden die Protokolle. HTTP/HTTPS Classic Load Balancer treffen Routing-Entscheidungen entweder auf der Transportschicht, indem sie die Protokolle TCP oder Secure Sockets Layer (SSL) verwenden, oder auf Anwendungsebene, indem sie HTTP/HTTPS verwenden.
Dieses Muster bietet eine Sicherheitskontrolle, die mehrere Ereignistypen für Application Load Balancers und Classic Load Balancers untersucht. Wenn die Funktion aufgerufen wird, überprüft AWS Lambda das Ereignis und stellt sicher, dass der Load Balancer konform ist.
Die Funktion initiiert ein Amazon CloudWatch Events-Ereignis bei den folgenden API-Aufrufen: [CreateLoadBalancer[CreateLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerListeners.html)](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancer.html), [DeleteLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_DeleteLoadBalancerListeners.html), [CreateLoadBalancerPolicy](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerPolicy.html), [SetLoadBalancerPoliciesOfListener](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_SetLoadBalancerPoliciesOfListener.html), [CreateListener[DeleteListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_DeleteListener.html)](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_CreateListener.html), und [ModifyListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_ModifyListener.html). Wenn das Ereignis eines davon erkennt APIs, ruft es AWS Lambda auf, das ein Python-Skript ausführt. Das Python-Skript überprüft, ob der Listener ein SSL-Zertifikat enthält und ob die angewendete Richtlinie Transport Layer Security (TLS) verwendet. Wenn festgestellt wird, dass es sich bei der SSL-Richtlinie um etwas anderes als TLS handelt, sendet die Funktion eine Amazon Simple Notification Service (Amazon SNS) -Benachrichtigung mit den entsprechenden Informationen an den Benutzer.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
**Einschränkungen**
+ Diese Sicherheitskontrolle sucht nicht nach vorhandenen Load Balancers, es sei denn, die Load Balancer-Listener werden aktualisiert.
+ Diese Sicherheitskontrolle ist regional. Sie müssen es in jeder AWS-Region bereitstellen, die Sie überwachen möchten.
## Architektur
**Zielarchitektur**
![\[Sicherstellen, dass Load Balancer eine TLS-Terminierung erfordern.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/da99cda2-ac34-4791-a2bd-d37264d8d3d9/images/af92b3c8-32bb-45eb-a2a8-d8276fb3e824.png)
**Automatisierung und Skalierung**
+ Wenn Sie [AWS Organizations](https://aws.amazon.com/organizations/) verwenden, können Sie [AWS Cloudformation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) verwenden, StackSets um diese Vorlage in mehreren Konten bereitzustellen, die Sie überwachen möchten.
## Tools
**AWS-Services**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) — AWS CloudFormation hilft Ihnen dabei, Ihre AWS-Ressourcen zu modellieren und einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus zu verwalten. Sie können eine Vorlage verwenden, um Ihre Ressourcen und ihre Abhängigkeiten zu beschreiben und sie zusammen als Stapel zu starten und zu konfigurieren, anstatt Ressourcen einzeln zu verwalten.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) — Amazon CloudWatch Events bietet einen Stream von Systemereignissen, die Änderungen an AWS-Ressourcen beschreiben, nahezu in Echtzeit.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) — AWS Lambda ist ein Rechenservice, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html) — Amazon Simple Storage Service (Amazon S3) ist ein hoch skalierbarer Objektspeicherservice, der für eine Vielzahl von Speicherlösungen verwendet werden kann, darunter Websites, mobile Anwendungen, Backups und Data Lakes.
+ [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) — Amazon Simple Notification Service (Amazon SNS) koordiniert und verwaltet die Zustellung oder den Versand von Nachrichten zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Abonnenten erhalten die veröffentlichten Mitteilungen zu den Themen, die sie abonniert haben. Alle Abonnenten eines Themas erhalten dieselben Mitteilungen.
**Code**
Dieses Muster umfasst die folgenden Anlagen:
+ `ELBRequirestlstermination.zip`— Der Lambda-Code für die Sicherheitskontrolle.
+ `ELBRequirestlstermination.yml`— Die CloudFormation Vorlage, die das Ereignis und die Lambda-Funktion einrichtet.
## Epen
### Richten Sie den S3-Bucket ein
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Definieren Sie den S3-Bucket. | Wählen oder erstellen Sie in der [Amazon S3 S3-Konsole](https://console.aws.amazon.com/s3/) einen S3-Bucket, um die Lambda-Code-ZIP-Datei zu hosten. Dieser S3-Bucket muss sich in derselben AWS-Region befinden wie der Load Balancer, den Sie auswerten möchten. Ein S3-Bucket-Name ist weltweit eindeutig, und der Namespace wird von allen AWS-Konten gemeinsam genutzt. Der S3-Bucket-Name darf keine führenden Schrägstriche enthalten. | Cloud-Architekt |
| Laden Sie den Lambda-Code hoch. | Laden Sie den Lambda-Code (`ELBRequirestlstermination.zip`Datei), der im Abschnitt *Anlagen* bereitgestellt wird, in den S3-Bucket hoch. | Cloud-Architekt |
### Stellen Sie die CloudFormation Vorlage bereit
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Starten Sie die CloudFormation AWS-Vorlage. | Öffnen Sie die [ CloudFormation AWS-Konsole](https://console.aws.amazon.com/cloudformation/) in derselben AWS-Region wie Ihr S3-Bucket und stellen Sie die angehängte Vorlage bereit`ELBRequirestlstermination.yml`. Weitere Informationen zur Bereitstellung von CloudFormation AWS-Vorlagen finden Sie in der CloudFormation Dokumentation unter [Erstellen eines Stacks auf der CloudFormation AWS-Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). | Cloud-Architekt |
| Vervollständigen Sie die Parameter in der Vorlage. | Wenn Sie die Vorlage starten, werden Sie zur Eingabe der folgenden Informationen aufgefordert:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/verify-that-elb-load-balancers-require-tls-termination.html) | Cloud-Architekt |
### Bestätigen Sie das Abonnement
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Bestätigen Sie das Abonnement. | Wenn die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet sie eine Abonnement-E-Mail an die von Ihnen angegebene E-Mail-Adresse. Sie müssen dieses E-Mail-Abonnement bestätigen, um Benachrichtigungen über Verstöße zu erhalten. | Cloud-Architekt |
## Zugehörige Ressourcen
+ [Einen Stack auf der CloudFormation AWS-Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) erstellen ( CloudFormation AWS-Dokumentation)
+ [Was ist AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) (AWS Lambda Lambda-Dokumentation)
+ [Was ist ein Classic Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) (ELB-Dokumentation)
+ [Was ist ein Application Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) (ELB-Dokumentation)
## Anlagen
[Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip](samples/p-attach/da99cda2-ac34-4791-a2bd-d37264d8d3d9/attachments/attachment.zip)
# AWS-Netzwerk-Firewall-Protokolle und -Metriken mithilfe von Splunk anzeigen
*Ivo Pinto, Amazon Web Services*
## Zusammenfassung
Viele Unternehmen verwenden [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) als zentralisiertes Aggregations- und Visualisierungstool für Logs und Metriken aus verschiedenen Quellen. Dieses Muster hilft Ihnen, Splunk so zu konfigurieren, dass mithilfe des Splunk-Add-Ons für [AWS Protokolle und Metriken der AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) von [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) abgerufen werden.
Um dies zu erreichen, erstellen Sie eine schreibgeschützte AWS Identity and Access Management (IAM) -Rolle. Splunk Add-On für AWS verwendet diese Rolle für den Zugriff. CloudWatch Sie konfigurieren das Splunk Add-On für AWS zum Abrufen von Metriken und Protokollen von. CloudWatch Schließlich erstellen Sie Visualisierungen in Splunk aus den abgerufenen Protokolldaten und Metriken.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ [Ein Splunk-Konto](https://www.splunk.com/)
+ Eine Splunk Enterprise-Instanz, Version 8.2.2 oder höher
+ Ein aktives AWS-Konto
+ Network Firewall, [eingerichtet](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) und [konfiguriert](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html), um Protokolle an Logs zu CloudWatch senden
**Einschränkungen**
+ Splunk Enterprise muss als Cluster von Amazon Elastic Compute Cloud (Amazon EC2) -Instances in der AWS-Cloud bereitgestellt werden.
+ Das Sammeln von Daten mithilfe einer automatisch erkannten IAM-Rolle für Amazon EC2 wird in den AWS-Regionen China nicht unterstützt.
## Architektur
![\[AWS-Netzwerk-Firewall und Splunk-Protokollierungsarchitektur\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)
Das Diagramm veranschaulicht folgende Vorgänge:
1. Die Network Firewall veröffentlicht CloudWatch Protokolle in Logs.
1. Splunk Enterprise ruft Metriken und Protokolle von ab. CloudWatch
Um Beispielmetriken und Logs in dieser Architektur aufzufüllen, generiert ein Workload Traffic, der über den Netzwerk-Firewall-Endpunkt ins Internet geleitet wird. Dies wird durch die Verwendung von [Routentabellen](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables) erreicht. Obwohl dieses Muster eine einzelne Amazon EC2 EC2-Instance als Workload verwendet, kann dieses Muster für jede Architektur gelten, sofern die Network Firewall so konfiguriert ist, dass sie CloudWatch Protokolle an Logs sendet.
Diese Architektur verwendet auch eine Splunk Enterprise-Instanz in einer anderen Virtual Private Cloud (VPC). Die Splunk-Instance kann sich jedoch an einem anderen Standort befinden, z. B. in derselben VPC wie der Workload, sofern sie den erreichen kann. CloudWatch APIs
## Tools
**AWS-Services**
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) hilft Ihnen dabei, die Protokolle all Ihrer Systeme, Anwendungen und AWS-Services zu zentralisieren, sodass Sie sie überwachen und sicher archivieren können.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) bietet skalierbare Rechenkapazität in der AWS-Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.
+ Die [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) ist ein zustandsbehafteter, verwalteter Netzwerk-Firewall sowie Service zur Erkennung und Verhinderung von Eindringlingen VPCs in der AWS-Cloud.
**Andere Tools**
+ [Splunk](https://www.splunk.com/) unterstützt Sie bei der Überwachung, Visualisierung und Analyse von Protokolldaten.
## Epen
### Erstellen einer IAM-Rolle
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Erstellen Sie die IAM-Richtlinie. | Folgen Sie den Anweisungen [unter Richtlinien mit dem JSON-Editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) erstellen, um die IAM-Richtlinie zu erstellen, die schreibgeschützten Zugriff auf die CloudWatch Logs-Daten und -Metriken gewährt. CloudWatch Fügen Sie die folgende -Richtlinie in den JSON-Editor ein.{
"Statement": [
{
"Action": [
"cloudwatch:List*",
"cloudwatch:Get*",
"network-firewall:List*",
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"network-firewall:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
} | AWS-Administrator |
| Erstellen Sie eine neue IAM-Rolle. | Folgen Sie den Anweisungen unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html), um die IAM-Rolle zu erstellen, auf die das Splunk Add-On für AWS zugreift. CloudWatch Wählen Sie für **Berechtigungsrichtlinien die** Richtlinie aus, die Sie zuvor erstellt haben. | AWS-Administrator |
| Weisen Sie den EC2-Instances im Splunk-Cluster die IAM-Rolle zu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | AWS-Administrator |
### Installieren Sie das Splunk-Add-On für AWS
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Das -Add-on installieren. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk-Administrator |
| Konfigurieren Sie die AWS-Anmeldeinformationen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Weitere Informationen [finden Sie in der Splunk-Dokumentation unter Suchen Sie eine IAM-Rolle in Ihrer Splunk-Plattform-Instance](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance). | Splunk-Administrator |
### Konfigurieren Sie den Splunk-Zugriff auf CloudWatch
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Konfigurieren Sie den Abruf von Netzwerk-Firewall-Protokollen aus CloudWatch Protokollen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Standardmäßig ruft Splunk die Protokolldaten alle 10 Minuten ab. **Dies ist ein konfigurierbarer Parameter unter Erweiterte Einstellungen.** Weitere Informationen finden [Sie in der Splunk-Dokumentation unter Konfiguration einer CloudWatch Log-Eingabe mit Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web). | Splunk-Administrator |
| Konfigurieren Sie den Abruf von Netzwerk-Firewall-Metriken von CloudWatch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Standardmäßig ruft Splunk die Metrikdaten alle 5 Minuten ab. **Dies ist ein konfigurierbarer Parameter unter Erweiterte Einstellungen.** Weitere Informationen finden Sie in der Splunk-Dokumentation unter [Eine CloudWatch Eingabe mithilfe von Splunk Web konfigurieren](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web). | Splunk-Administrator |
### Erstellen Sie Splunk-Visualisierungen mithilfe von Abfragen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Sehen Sie sich die wichtigsten Quell-IP-Adressen an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk-Administrator |
| Paketstatistiken anzeigen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk-Administrator |
| Sehen Sie sich die am häufigsten verwendeten Quellports an. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk-Administrator |
## Zugehörige Ressourcen
**AWS-Dokumentation**
+ [Eine Rolle zum Delegieren von Berechtigungen an einen AWS-Service erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (IAM-Dokumentation)
+ [IAM-Richtlinien erstellen (IAM-Dokumentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start))
+ [Protokollierung und Überwachung in der AWS-Netzwerk-Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (Netzwerk-Firewall-Dokumentation)
+ [Routentabellenkonfigurationen für die AWS-Netzwerk-Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (Netzwerk-Firewall-Dokumentation)
**AWS-Blogbeiträge**
+ [Bereitstellungsmodelle für AWS Network Firewall](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
**AWS Marketplace**
+ [Splunk Enterprise Amazon Machine Image (AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)
# Mehr Muster
**Topics**
+ [Greifen Sie mithilfe von Session Manager und Amazon EC2 Instance Connect auf einen Bastion-Host zu](access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.md)
+ [Greifen Sie privat auf Container-Anwendungen auf Amazon ECS zu, indem Sie AWS Fargate PrivateLink, AWS und einen Network Load Balancer verwenden](access-container-applications-privately-on-amazon-ecs-by-using-aws-fargate-aws-privatelink-and-a-network-load-balancer.md)
+ [Greifen Sie mithilfe von AWS PrivateLink und einem Network Load Balancer privat auf Container-Anwendungen auf Amazon ECS zu](access-container-applications-privately-on-amazon-ecs-by-using-aws-privatelink-and-a-network-load-balancer.md)
+ [Zentralisieren Sie die DNS-Auflösung mithilfe von AWS Managed Microsoft AD und vor Ort von Microsoft Active Directory](centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.md)
+ [Erstellen Sie ein Portal für Mikro-Frontends mithilfe AWS Amplify von Angular und Module Federation](create-amplify-micro-frontend-portal.md)
+ [Stellen Sie eine Amazon API Gateway Gateway-API auf einer internen Website mithilfe von privaten Endpunkten und einem Application Load Balancer bereit](deploy-an-amazon-api-gateway-api-on-an-internal-website-using-private-endpoints-and-an-application-load-balancer.md)
+ [Stellen Sie detektivattributebasierte Zugriffskontrollen für öffentliche Subnetze bereit, indem Sie AWS Config](deploy-detective-attribute-based-access-controls-for-public-subnets-by-using-aws-config.md)
+ [Implementieren Sie präventive attributebasierte Zugriffskontrollen für öffentliche Subnetze](deploy-preventative-attribute-based-access-controls-for-public-subnets.md)
+ [Aktivieren Sie verschlüsselte Verbindungen für PostgreSQL-DB-Instances in Amazon RDS](enable-encrypted-connections-for-postgresql-db-instances-in-amazon-rds.md)
+ [Erweitern VRFs Sie mit AWS Transit Gateway Connect auf AWS](extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.md)
+ [Migrieren Sie einen F5 BIG-IP-Workload zu F5 BIG-IP VE auf dem AWS Cloud](migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud.md)
+ [Migrieren Sie NGINX Ingress Controller, wenn Sie den Amazon EKS Auto Mode aktivieren](migrate-nginx-ingress-controller-eks-auto-mode.md)
+ [Beibehaltung von routingfähigem IP-Speicherplatz in VPC-Designs mit mehreren Konten für Subnetze ohne Arbeitslast](preserve-routable-ip-space-in-multi-account-vpc-designs-for-non-workload-subnets.md)
+ [Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie](prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.md)
+ [Benachrichtigungen von der AWS-Netzwerk-Firewall an einen Slack-Channel senden](send-alerts-from-aws-network-firewall-to-a-slack-channel.md)
+ [Statische Inhalte in einem Amazon S3 S3-Bucket über eine VPC mithilfe von Amazon bereitstellen CloudFront](serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.md)
+ [Richten Sie die Notfallwiederherstellung für Oracle JD Edwards EnterpriseOne mit AWS Elastic Disaster Recovery ein](set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.md)
+ [Verwenden Sie BMC Discovery-Abfragen, um Migrationsdaten für die Migrationsplanung zu extrahieren](use-bmc-discovery-queries-to-extract-migration-data-for-migration-planning.md)
+ [Verwenden Sie die Network Firewall, um die DNS-Domänennamen aus der Servernamenanzeige für ausgehenden Datenverkehr zu erfassen](use-network-firewall-to-capture-the-dns-domain-names-from-the-server-name-indication-sni-for-outbound-traffic.md)