Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien
Eine Endpunktrichtlinie ist eine ressourcenbasierte Richtlinie, die Sie an einen VPC-Endpunkt anhängen, um zu steuern, welche AWS Prinzipale den Endpunkt für den Zugriff auf einen verwenden können. AWS-Service
Eine Endpunktrichtlinie setzt keine identitätsbasierten Richtlinien oder ressourcenbasierten Richtlinien außer Kraft oder ersetzt sie. Beispiel: Wenn Sie einen Schnittstellenendpunkt verwenden, um eine Verbindung zu Amazon S3 herzustellen, können Sie auch Amazon-S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Endpunkten oder VPCs zu steuern.
**Topics**
+ [Überlegungen](#vpc-endpoint-policy-considerations)
+ [Standard-Endpunktrichtlinie](#default-endpoint-policy)
+ [Richtlinien für Schnittstellenendpunkte](#vpc-endpoint-policies-interface)
+ [Prinzipale für Gateway-Endpunkte](#vpc-endpoint-policies-gateway)
+ [Aktualisieren einer VPC-Endpunktrichtlinie](#update-vpc-endpoint-policy)
## Überlegungen
+ Eine Endpunktrichtlinie ist ein JSON-Richtliniendokument, das die IAM-Richtliniensprache verwendet. Sie muss ein [Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)-Element enthalten. Die Größe einer Endpunktrichtlinie darf 20.480 Zeichen (einschließlich Leerzeichen) nicht überschreiten.
+ Wenn Sie eine Schnittstelle oder einen Gateway-Endpunkt für einen erstellen AWS-Service, können Sie dem Endpunkt eine einzelne Endpunktrichtlinie zuordnen. Sie können die [Endpunktrichtlinie jederzeit aktualisieren](#update-vpc-endpoint-policy). Wenn Sie keine Endpunktrichtlinie anfügen, fügen wir die [Standard-Endpunktrichtlinie](#default-endpoint-policy) hinzu.
+ Nicht alle AWS-Services unterstützen Endpunktrichtlinien. Wenn an AWS-Service keine Endpunktrichtlinien unterstützt, gewähren wir vollen Zugriff auf jeden Endpunkt für den Service. Weitere Informationen finden Sie unter [Anzeigen der Unterstützung für Endpunkt-Richtlinien](aws-services-privatelink-support.md#vpce-endpoint-policy-support).
+ Wenn Sie einen VPC-Endpunkt für einen anderen Endpunktservice als einen AWS-Service erstellen, lassen wir vollen Zugriff auf den Endpunkt zu.
+ Sie können keine Platzhalterzeichen (\* oder?) verwenden oder [numerische Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Numeric) mit globalen Kontextschlüsseln, die auf vom System generierte Bezeichner verweisen (z. B. oder). `aws:PrincipalAccount` `aws:SourceVpc`
+ Wenn Sie einen [Bedingungsoperator für Zeichenfolgen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) verwenden, müssen Sie vor oder nach jedem Platzhalterzeichen mindestens sechs aufeinanderfolgende Zeichen verwenden.
+ Wenn Sie einen ARN in einem Ressourcen- oder Bedingungselement angeben, kann der Kontoteil des ARN eine Konto-ID oder ein Platzhalterzeichen enthalten, jedoch nicht beides.
+ Nachdem Sie eine Endpunktrichtlinie aktualisiert haben, kann es einige Minuten dauern, bis die Änderungen wirksam werden.
## Standard-Endpunktrichtlinie
Die Standard-Endpunktrichtlinie lässt vollen Zugriff auf den Endpunkt zu.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
## Richtlinien für Schnittstellenendpunkte
Beispiele für Endpunktrichtlinien für finden Sie AWS-Services unter[AWS-Services die sich integrieren in AWS PrivateLink](aws-services-privatelink-support.md). Die erste Spalte der Tabelle enthält Links zur jeweiligen AWS PrivateLink Dokumentation AWS-Service. Wenn ein AWS-Service Endpunktrichtlinien unterstützt, enthält seine Dokumentation Beispiele für Endpunktrichtlinien.
## Prinzipale für Gateway-Endpunkte
Bei Gateway-Endpunkten muss das `Principal` Element auf eingestellt sein`*`. Verwenden Sie den `aws:PrincipalArn` Bedingungsschlüssel, um einen Prinzipal anzugeben.
```
"Condition": {
"StringEquals": {
"aws:PrincipalArn": "{{arn:aws:iam::123456789012:user/endpointuser}}"
}
}
```
Wenn Sie den Prinzipal im folgenden Format angeben, wird der Zugriff Root-Benutzer des AWS-Kontos nur, nicht allen Benutzern und Rollen für das Konto gewährt.
```
"AWS": "{{account_id}}"
```
Beispiele für Endpunktrichtlinien für Gateway-Endpunkte finden Sie in den folgenden Themen:
+ [Endpunkte für Amazon S3](vpc-endpoints-s3.md#edit-vpc-endpoint-policy-s3)
+ [Endpunkte für DynamoDB](vpc-endpoints-ddb.md#iam-policies-ddb)
## Aktualisieren einer VPC-Endpunktrichtlinie
Gehen Sie wie folgt vor, um eine Endpunktrichtlinie für einen AWS-Service zu aktualisieren. Nachdem Sie eine Endpunktrichtlinie aktualisiert haben, kann es einige Minuten dauern, bis die Änderungen wirksam werden.
**Ändern einer Endpunktrichtlinie mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie den VPC-Endpunkt.
1. Wählen Sie **Actions** (Aktionen), **Manage policy** (Verwalten von Richtlinien).
1. Wählen Sie **Full Access** (Voller Zugriff), um vollen Zugriff auf den Service zu gewähren, oder wählen Sie **Custom** (Benutzerdefiniert), und fügen Sie eine benutzerdefinierte Richtlinie hinzu.
1. Wählen Sie **Speichern**.
**Ändern einer Endpunktrichtlinie mithilfe der Befehlszeile**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Tools für Windows PowerShell)