Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity and Access Management für VPC Peering
Standardmäßig können -Benutzer keine VPC-Peering-Verbindungen erstellen oder ändern. Um den Zugriff auf VPC-Peering-Ressourcen zu gewähren, ordnen Sie eine IAM-Richtlinie einer IAM-Identität zu, z. B. einer Rolle.
**Topics**
+ [Erstellen einer VPC-Peering-Verbindung](#vpc-peering-iam-create)
+ [Akzeptieren einer VPC-Peering-Verbindung](#vpc-peering-iam-accept)
+ [Sie löschen eine VPC-Peering-Verbindung](#vpc-peering-iam-delete)
+ [Arbeiten innerhalb eines bestimmten Kontos](#vpc-peering-iam-account)
+ [Verwalten von VPC-Peering-Verbindungen in der Konsole](#peering-connection-console-iam)
Eine Liste der Amazon VPC-Aktionen und der unterstützten Ressourcen und Bedingungsschlüssel für jede Aktion finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) in der *Service-Autorisierungsreferenz*.
## Beispiel: Erstellen einer VPC-Peering-Verbindung
Die folgende Richtlinie gewährt Benutzern die Erlaubnis, VPC-Peering-Verbindungsanfragen unter Verwendung von mit VPCs markierten Verbindungen zu erstellen. `Purpose=Peering` In der ersten Anweisung wird ein Bedingungsschlüssel (`ec2:ResourceTag`) auf die VPC-Ressource angewendet. Beachten Sie, dass die VPC-Ressource für die Aktion `CreateVpcPeeringConnection` immer die VPC des Anfragestellers ist.
Die zweite Anweisung erteilt Benutzern die Berechtigung, die Ressourcen für die VPC-Peering-Verbindung zu erstellen, und verwendet daher den Platzhalter \$1 anstelle einer spezifischen Ressourcen-ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Peering"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc-peering-connection/*"
}
]
}
```
------
Die folgende Richtlinie gewährt Benutzern im angegebenen AWS Konto die Berechtigung, VPC-Peering-Verbindungen mit einer beliebigen VPC in der angegebenen Region zu erstellen, jedoch nur, wenn es sich bei der VPC, die die Peering-Verbindung akzeptiert, um eine bestimmte VPC in einem bestimmten Konto handelt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-1234567890abcdef0"
}
}
}
]
}
```
------
## Beispiel: Akzeptieren einer VPC-Peering-Verbindung
Die folgende Richtlinie gewährt Benutzern die Erlaubnis, VPC-Peering-Verbindungsanfragen von einem bestimmten AWS Konto anzunehmen. So wird verhindert, dass Benutzer VPC-Peering-Verbindungsanfragen von unbekannten Konten akzeptieren können. Die Anweisung verwendet den Bedingungsschlüssel `ec2:RequesterVpc`, um dies zu erzwingen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:RequesterVpc": "arn:aws:ec2:us-east-1:111122223333:vpc/*"
}
}
},
{
"Effect":"Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
}
]
}
```
------
Die folgende Richtlinie erlaubt es Benutzern, VPC-Peering-Anfragen zu akzeptieren, wenn ihre VPC über das Tag `Purpose=Peering` verfügt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc-peering-connection/*"
},
{
"Effect": "Allow",
"Action": "ec2:AcceptVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Peering"
}
}
}
]
}
```
------
## Beispiel: Löschen einer VPC-Peering-Verbindung
Die folgende Richtlinie gewährt Benutzern des angegebenen Kontos die Berechtigung, jede VPC-Peering-Verbindung zu löschen, mit Ausnahme derjenigen, die die angegebene VPC verwenden, die sich im selben Konto befindet. In der Richtlinie werden die beiden Bedingungsschlüssel `ec2:AccepterVpc` und `ec2:RequesterVpc` verwendet, da in der ursprünglichen VPC-Peering-Verbindungsanfrage die VPC sowohl die des Anfragestellers als auch die Peer-VPC sein könnte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DeleteVpcPeeringConnection",
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc-peering-connection/*",
"Condition": {
"ArnNotEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0",
"ec2:RequesterVpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0abcdef1234567890"
}
}
}
]
}
```
------
## Beispiel: Arbeiten innerhalb eines bestimmten Kontos
Mit der folgenden Richtlinie wird Benutzern die Berechtigung zum Arbeiten mit VPC-Peering-Verbindungen in einem bestimmten Konto gewährt. Benutzer können VPC-Peering-Verbindungen anzeigen, erstellen, akzeptieren, ablehnen und löschen, sofern sie sich alle innerhalb desselben AWS Kontos befinden.
Die erste Anweisung gewährt Benutzern das Anzeigen aller VPC-Peering-Verbindungen. Für das Element `Resource` ist in diesem Fall das Sternchen (\$1) als Platzhalter erforderlich, da für diese API-Aktion (`DescribeVpcPeeringConnections`) derzeit Berechtigungen auf Ressourcenebene nicht unterstützt werden.
Die zweite Anweisung gewährt Benutzern die Erlaubnis, VPC-Peering-Verbindungen herzustellen, und gewährt zu diesem VPCs Zweck Zugriff auf alle Verbindungen im angegebenen Konto.
Die dritte Anweisung verwendet einen Platzhalter \$1 als Teil des Elements `Action`, um die Genehmigung für alle VPC-Peering-Verbindungsaktionen zu erteilen. Die Bedingungsschlüssel stellen sicher, dass die Aktionen nur auf VPC-Peering-Verbindungen ausgeführt werden können VPCs , die Teil des Kontos sind. Beispielsweise kann ein Benutzer eine VPC-Peering-Verbindung nicht löschen, wenn sich entweder der akzeptierende oder der anfordernde VPC in einem anderen Konto befindet. Benutzer können keine VPC-Peering-Verbindung zwischen VPCs in unterschiedlichen Konten erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeVpcPeeringConnections",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcPeeringConnection",
"ec2:AcceptVpcPeeringConnection"
],
"Resource": "arn:aws:ec2:*:111122223333:vpc/*"
},
{
"Effect": "Allow",
"Action": "ec2:*VpcPeeringConnection",
"Resource": "arn:aws:ec2:*:111122223333:vpc-peering-connection/*",
"Condition": {
"ArnEquals": {
"ec2:AccepterVpc": "arn:aws:ec2:*:111122223333:vpc/*",
"ec2:RequesterVpc": "arn:aws:ec2:*:111122223333:vpc/*"
}
}
}
]
}
```
------
## Beispiel: VPC-Peering-Verbindungen mithilfe der Konsole verwalten
Um VPC-Peering-Verbindungen in der Amazon VPC-Konsole anzuzeigen, müssen Benutzer über die Berechtigung zum Verwenden der Aktion `ec2:DescribeVpcPeeringConnections` verfügen. Um das Dialogfeld **Create VPC Peering Connection (VPC Peering-Verbindung erstellen)** zu verwenden, benötigen Benutzer die Berechtigung zum Verwenden der Aktion `ec2:DescribeVpcs`. Das gibt ihnen die Berechtigung, eine VPC anzeigen und auswählen. Sie können auf alle `ec2:*PeeringConnection`-Aktionen mit Ausnahme von `ec2:DescribeVpcPeeringConnections` Berechtigungen auf Ressourcenebene anwenden.
Die folgende Richtlinie gewährt Benutzern die Berechtigung, VPC-Peering-Verbindungen anzuzeigen und das Dialogfeld **Create VPC Peering Connection** (VPC-Peering-Verbindung erstellen) zu verwenden, um eine VPC-Peering-Verbindung zu erstellen, die nur eine bestimmte Anforderungs-VPC verwendet. Wenn Benutzer versuchen, eine VPC-Peering-Verbindung in einer anderen anfordernden VPC zu erstellen, schlägt die Anfrage fehl.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Action": [
"ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect":"Allow",
"Action": "ec2:CreateVpcPeeringConnection",
"Resource": [
"arn:aws:ec2:*:*:vpc/vpc-1234567890abcdef0",
"arn:aws:ec2:*:*:vpc-peering-connection/*"
]
}
]
}
```
------