Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Steuern Sie den Verkehr in VPC Lattice mithilfe von Sicherheitsgruppen - Amazon VPC Lattice
Liste der verwalteten PräfixeSicherheitsgruppenregelnVerwalten von Sicherheitsgruppen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie den Verkehr in VPC Lattice mithilfe von Sicherheitsgruppen

PDFRSS

AWS Sicherheitsgruppen agieren als virtuelle Firewalls und kontrollieren den Netzwerkverkehr zu und von den Entitäten, denen sie zugeordnet sind. Mit VPC Lattice können Sie Sicherheitsgruppen erstellen und sie der VPC-Zuordnung zuweisen, die eine VPC mit einem Servicenetzwerk verbindet, um zusätzliche Sicherheitsvorkehrungen auf Netzwerkebene für Ihr Servicenetzwerk durchzusetzen. Wenn Sie eine VPC über einen VPC-Endpunkt mit einem Servicenetzwerk verbinden, können Sie dem VPC-Endpunkt auch Sicherheitsgruppen zuweisen. Ebenso können Sie Ressourcen-Gateways, die Sie erstellen, Sicherheitsgruppen zuweisen, um den Zugriff auf Ressourcen in Ihrer VPC zu ermöglichen.

Liste der verwalteten Präfixe

VPC Lattice stellt verwaltete Präfixlisten bereit, die die IP-Adressen enthalten, die für die Weiterleitung des Datenverkehrs über das VPC-Lattice-Netzwerk verwendet werden, wenn Sie eine Dienstnetzwerkverbindung verwenden, um Ihre VPC mithilfe einer VPC-Zuordnung mit einem Servicenetzwerk zu verbinden. Dabei handelt es sich entweder um private Verbindungen, um lokale Verbindungen oder um öffentliche Verbindungen, die nicht IPs geroutet werden können. IPs IPs

Sie können in Ihren Sicherheitsgruppenregeln auf die von VPC Lattice verwalteten Präfixlisten verweisen. Dadurch kann der Datenverkehr von den Clients über das VPC-Lattice-Dienstnetzwerk zu den VPC-Lattice-Dienstzielen fließen.

Nehmen wir beispielsweise an, Sie haben eine EC2 Instance als Ziel in der Region USA West (Oregon) registriert (). us-west-2 Sie können der Instanz-Sicherheitsgruppe eine Regel hinzufügen, die eingehenden HTTPS-Zugriff aus der Liste der verwalteten VPC Lattice-Präfixe ermöglicht, sodass der VPC-Lattice-Verkehr in dieser Region die Instance erreichen kann. Wenn Sie alle anderen Regeln für eingehenden Datenverkehr aus der Sicherheitsgruppe entfernen, können Sie verhindern, dass jeder andere Datenverkehr als VPC-Lattice-Verkehr die Instance erreicht.

Die Namen der verwalteten Präfixlisten für VPC Lattice lauten wie folgt:

  • com.amazonaws. region.vpc-Gitter

  • com.amazonaws. region.ipv6.vpc-Gitter

Weitere Informationen finden Sie im Abschnitt zur AWS-verwalteten Präfixliste im Amazon-VPC-Benutzerhandbuch.

Windows-Clients

Die Adressen in den VPC Lattice-Präfixlisten sind verknüpfungslokale Adressen und nicht routbare öffentliche Adressen. Wenn Sie von einem Windows-Client aus eine Verbindung zu VPC Lattice herstellen, müssen Sie die Konfiguration des Windows-Clients aktualisieren, sodass er die IP-Adressen in der Liste der verwalteten Präfixe an die primäre IP-Adresse für den Client weiterleitet. Im Folgenden finden Sie einen Beispielbefehl, der die Konfiguration des Windows-Clients aktualisiert. Dabei 169.254.171.0 ist eine der Adressen in der Liste der verwalteten Präfixe. 

C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

Sicherheitsgruppenregeln

Die Verwendung von VPC Lattice mit oder ohne Sicherheitsgruppen hat keine Auswirkungen auf Ihre bestehende VPC-Sicherheitsgruppenkonfiguration. Sie können jedoch jederzeit Ihre eigenen Sicherheitsgruppen hinzufügen.

Die wichtigsten Überlegungen

  • Sicherheitsgruppenregeln für Clients steuern den ausgehenden Datenverkehr zu VPC Lattice.

  • Sicherheitsgruppenregeln für Ziele steuern den eingehenden Datenverkehr von VPC Lattice zu den Zielen, einschließlich des Zustandsprüfverkehrs.

  • Sicherheitsgruppenregeln für die Verbindung zwischen dem Servicenetzwerk und der VPC steuern, welche Clients auf das VPC Lattice-Dienstnetzwerk zugreifen können.

  • Sicherheitsgruppenregeln für das Ressourcen-Gateway steuern den ausgehenden Verkehr vom Ressourcen-Gateway zu den Ressourcen.

Empfohlene Regeln für ausgehenden Datenverkehr, der vom Ressourcen-Gateway zu einer Datenbankressource fließt

Damit der Datenverkehr vom Ressourcen-Gateway zu den Ressourcen fließen kann, müssen Sie ausgehende Regeln für die offenen Ports und akzeptierte Listener-Protokolle für die Ressourcen erstellen.

Bestimmungsort Protocol (Protokoll) Port-Bereich Kommentar
CIDR range for resource TCP 3306 Lassen Sie den Datenverkehr vom Ressourcen-Gateway zu den Datenbanken zu
Empfohlene Regeln für eingehende Zugriffe für Dienstnetzwerk- und VPC-Zuordnungen

Damit der Datenverkehr vom Client VPCs zu den Diensten fließen kann, die dem Servicenetzwerk zugeordnet sind, müssen Sie Regeln für eingehenden Datenverkehr für die Listener-Ports und Listener-Protokolle für die Dienste erstellen.

Quelle Protocol (Protokoll) Port-Bereich Kommentar
VPC CIDR listener listener Datenverkehr von Clients zu VPC Lattice zulassen
Empfohlene ausgehende Regeln für den Datenverkehr, der von Client-Instances zu VPC Lattice fließt

Standardmäßig gestatten Sicherheitsgruppen allen ausgehenden Datenverkehr. Wenn Sie jedoch benutzerdefinierte Regeln für ausgehenden Datenverkehr haben, müssen Sie ausgehenden Datenverkehr zum VPC Lattice-Präfix für Listener-Ports und Protokolle zulassen, damit Client-Instances eine Verbindung zu allen Diensten herstellen können, die dem VPC Lattice-Dienstnetzwerk zugeordnet sind. Sie können diesen Verkehr zulassen, indem Sie auf die ID der Präfixliste für VPC Lattice verweisen.

Bestimmungsort Protocol (Protokoll) Port-Bereich Kommentar
ID of the VPC Lattice prefix list listener listener Datenverkehr von Clients zu VPC Lattice zulassen
Empfohlene Regeln für eingehenden Datenverkehr von VPC Lattice zu Ziel-Instances

Sie können die Client-Sicherheitsgruppe nicht als Quelle für die Sicherheitsgruppen Ihres Ziels verwenden, da der Datenverkehr von VPC Lattice fließt. Sie können auf die ID der Präfixliste für VPC Lattice verweisen.

Quelle Protocol (Protokoll) Port-Bereich Kommentar
ID of the VPC Lattice prefix list target target Verkehr von VPC Lattice zu Zielen zulassen
ID of the VPC Lattice prefix list health check health check Health Check-Verkehr von VPC Lattice zu Zielen zulassen

Sicherheitsgruppen für eine VPC-Zuordnung verwalten

Sie können die verwenden, AWS CLI um Sicherheitsgruppen auf der VPC anzuzeigen, hinzuzufügen oder zu aktualisieren, um die Netzwerkverbindung zu verwalten. Denken Sie bei der Verwendung von daran AWS CLI, dass Ihre Befehle in der für Ihr Profil AWS-Region konfigurierten Version ausgeführt werden. Wenn Sie die Befehle in einer anderen Region ausführen möchten, ändern Sie entweder die Standardregion für Ihr Profil, oder verwenden Sie den --region-Parameter mit dem Befehl.

Bevor Sie beginnen, vergewissern Sie sich, dass Sie die Sicherheitsgruppe in derselben VPC wie die VPC erstellt haben, die Sie dem Dienstnetzwerk hinzufügen möchten. Weitere Informationen finden Sie unter Steuern des Datenverkehrs zu Ihren Ressourcen mithilfe von Sicherheitsgruppen im Amazon VPC-Benutzerhandbuch

So fügen Sie eine Sicherheitsgruppe hinzu, wenn Sie eine VPC-Zuordnung mithilfe der Konsole erstellen

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich unter VPC Lattice die Option Service networks aus.

  3. Wählen Sie den Namen des Servicenetzwerks aus, um dessen Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte VPC-Zuordnungen erstellen und dann VPC-Zuordnung hinzufügen aus.

  5. Wählen Sie eine VPC und bis zu fünf Sicherheitsgruppen aus.

  6. Wählen Sie Änderungen speichern.

So fügen Sie Sicherheitsgruppen für eine bestehende VPC-Zuordnung mithilfe der Konsole hinzu oder aktualisieren sie

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich unter VPC Lattice die Option Service networks aus.

  3. Wählen Sie den Namen des Servicenetzwerks aus, um dessen Detailseite zu öffnen.

  4. Aktivieren Sie auf der Registerkarte VPC-Zuordnungen das Kontrollkästchen für die Zuordnung und wählen Sie dann Aktionen, Sicherheitsgruppen bearbeiten aus.

  5. Fügen Sie nach Bedarf Sicherheitsgruppen hinzu und entfernen Sie sie.

  6. Wählen Sie Änderungen speichern.

Um eine Sicherheitsgruppe hinzuzufügen, wenn Sie eine VPC-Zuordnung mit dem AWS CLI

Verwenden Sie den Befehl create-service-network-vpc-association und geben Sie die ID der VPC für die VPC-Zuordnung und die ID der hinzuzufügenden Sicherheitsgruppen an.

aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:

{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
Um Sicherheitsgruppen für eine bestehende VPC-Zuordnung hinzuzufügen oder zu aktualisieren, verwenden Sie AWS CLI

Verwenden Sie den Befehl update-service-network-vpc-association und geben Sie die ID des Dienstnetzwerks und IDs der Sicherheitsgruppen an. Diese Sicherheitsgruppen haben Vorrang vor allen zuvor verknüpften Sicherheitsgruppen. Definieren Sie mindestens eine Sicherheitsgruppe, wenn Sie die Liste aktualisieren.

aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
Warnung

Sie können nicht alle Sicherheitsgruppen entfernen. Stattdessen müssen Sie zuerst die VPC-Zuordnung löschen und dann die VPC-Zuordnung ohne Sicherheitsgruppen neu erstellen. Seien Sie vorsichtig, wenn Sie die VPC-Zuordnung löschen. Dadurch wird verhindert, dass der Datenverkehr Dienste erreicht, die sich in diesem Dienstnetzwerk befinden.

Nächstes Thema:

Netzwerk ACLs

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.