Teilen von Sicherheitsgruppen mit AWS Organizations - Amazon Virtual Private Cloud
Teilen einer SicherheitsgruppeBeenden der Freigabe einer Sicherheitsgruppe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Teilen von Sicherheitsgruppen mit AWS Organizations

Die Funktion Gemeinsame Sicherheitsgruppe ermöglicht es Ihnen, eine Sicherheitsgruppe mit Konten anderer AWS Organizations zu teilen und die Sicherheitsgruppe für die Verwendung durch diese Konten verfügbar zu machen.

Das folgende Diagramm zeigt, wie Sie die Funktion „Gemeinsame Sicherheitsgruppe“ verwenden können, um die Verwaltung von Sicherheitsgruppen für alle Konten in Ihren AWS Organizations zu vereinfachen:

Ein Diagramm der gemeinsamen Nutzung von Sicherheitsgruppen mit anderen Konten in einem gemeinsam genutzten VPC Subnetz.

Dieses Diagramm zeigt drei Konten, die Teil derselben Organisation sind. Konto A teilt sich ein VPC Subnetz mit den Konten B und C. Konto A teilt sich die Sicherheitsgruppe mit den Konten B und C, wobei die Funktion „Gemeinsame Sicherheitsgruppe“ verwendet wird. Die Konten B und C verwenden dann diese Sicherheitsgruppe, wenn sie Instances im gemeinsam genutzten Subnetz starten. Dadurch kann Konto A die Sicherheitsgruppe verwalten. Alle Aktualisierungen der Sicherheitsgruppe gelten für die Ressourcen, die die Konten B und C im gemeinsamen VPC Subnetz ausführen.

Anforderungen der Funktion „Gemeinsame Sicherheitsgruppe“

  • Diese Funktion ist nur für Konten in derselben Organisation in AWS Organizations verfügbar. Die gemeinsame Nutzung von Ressourcen muss in AWS Organizations aktiviert sein.

  • Das Konto, das die Sicherheitsgruppe gemeinsam nutzt, muss sowohl Eigentümer der VPC Sicherheitsgruppe als auch der Sicherheitsgruppe sein.

  • Standardsicherheitsgruppen können nicht gemeinsam genutzt werden.

  • Sie können Sicherheitsgruppen, die sich in einer Standardeinstellung befinden, nicht gemeinsam nutzenVPC.

  • Teilnehmerkonten können Sicherheitsgruppen in einer gemeinsamen Gruppe erstellen, VPC aber sie können diese Sicherheitsgruppen nicht gemeinsam nutzen.

  • Damit ein IAM Principal eine Sicherheitsgruppe gemeinsam nutzen kann, ist ein Mindestsatz an Berechtigungen erforderlich AWS RAM. Verwenden Sie die AmazonEC2FullAccess und die AWSResourceAccessManagerFullAccess verwalteten IAM Richtlinien, um sicherzustellen, dass Ihre IAM Prinzipale über die erforderlichen Berechtigungen verfügen, um gemeinsam genutzte Sicherheitsgruppen gemeinsam zu nutzen und zu verwenden. Wenn Sie eine benutzerdefinierte IAM Richtlinie verwenden, sind die ec2:DeleteResourcePolicy Aktionen c2:PutResourcePolicy und erforderlich. Für diese Aktionen sind nur Genehmigungen erforderlich. IAM Wenn einem IAM Prinzipal diese Berechtigungen nicht erteilt wurden, tritt beim Versuch, die Sicherheitsgruppe mit dem gemeinsam zu nutzen, ein Fehler auf. AWS RAM

Dienste, die diese Funktion unterstützen

  • APIAmazon-Gateway

  • Amazon EC2

  • Amazon ECS

  • Amazon EFS

  • Amazon EKS

  • Amazon EMR

  • Amazon FSx

  • Amazon ElastiCache

  • AWS Elastic Beanstalk

  • AWS Glue

  • Amazon MQ

  • Amazon SageMaker

  • Elastic Load Balancing

    • Application Load Balancer

    • Network Load Balancer

Wie wirkt sich diese Funktion auf bestehende Kontingente aus

Es gelten Kontingente für Sicherheitsgruppen. Für das Kontingent „Sicherheitsgruppen pro Netzwerkschnittstelle“ gilt jedoch, wenn ein Teilnehmer sowohl eigene als auch gemeinsam genutzte Gruppen auf einer Elastic Network-Schnittstelle (ENI) verwendet, das Mindestkontingent für Eigentümer und Teilnehmer.

Beispiel zur Veranschaulichung, wie sich diese Funktion auf das Kontingent auswirkt:

  • Kontingent für Besitzerkonten: 4 Sicherheitsgruppen pro Schnittstelle

  • Kontingent für Teilnehmerkonten: 5 Sicherheitsgruppen pro Schnittstelle.

  • Der Besitzer teilt die Gruppen SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 mit dem Teilnehmer. Der Teilnehmer hat bereits eigene Gruppen in den folgenden Kategorien: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5. VPC

  • Wenn ein Teilnehmer eine Gruppe erstellt ENI und nur seine eigenen Gruppen verwendet, kann er alle 5 Sicherheitsgruppen (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) zuordnen, da das sein Kontingent ist.

  • Wenn der Teilnehmer eine gemeinsame Gruppe erstellt ENI und darauf beliebige Gruppen verwendet, kann er nur bis zu 4 Gruppen zuordnen. In diesem Fall entspricht das Kontingent für ENI eine solche Gruppe dem Minimum an Kontingenten für Eigentümer und Teilnehmer. Mögliche gültige Konfigurationen werden wie folgt aussehen:

    • SG-O1, SG-P1, SG-P2, SG-P3

    • SG-O1, SG-O2, SG-O3, SG-O4

Teilen einer Sicherheitsgruppe

In diesem Abschnitt wird erklärt, wie Sie AWS Management Console und die verwenden AWS CLI , um eine Sicherheitsgruppe mit anderen Konten in Ihrer Organisation gemeinsam zu nutzen.

AWS Management Console
Um eine Sicherheitsgruppe gemeinsam zu nutzen

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im linken Navigationsbereich Security Groups aus.

  3. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.

  4. Wählen Sie die Registerkarte Sharing (Freigabe).

  5. Wählen Sie Sicherheitsgruppe teilen aus.

  6. Wählen Sie Create resource share (Ressourcenfreigabe erstellen) aus. Daraufhin wird die AWS RAM Konsole geöffnet, in der Sie die Ressourcenfreigabe für die Sicherheitsgruppe erstellen.

  7. Geben Sie einen Namen für die Ressourcenfreigabe ein.

  8. Wählen Sie unter Ressourcen — optional die Option Sicherheitsgruppen aus.

  9. Wählen Sie eine Sicherheitsgruppe aus. Die Sicherheitsgruppe kann keine Standardsicherheitsgruppe sein und kann nicht mit der Standardsicherheitsgruppe verknüpft werdenVPC.

  10. Wählen Sie Weiter.

  11. Überprüfen Sie die Aktionen, die die Hauptbenutzer ausführen dürfen, und wählen Sie Weiter aus.

  12. Wählen Sie unter Principals — optional die Option Teilen nur innerhalb Ihrer Organisation zulassen aus.

  13. Wählen Sie unter Principals einen der folgenden Prinzipaltypen aus und geben Sie die entsprechenden Zahlen ein:

    • AWS Konto: Die Kontonummer eines Kontos in Ihrer Organisation.

    • Organisation: Die AWS Organisations-ID.

    • Organisationseinheit (OU): Die ID einer Organisationseinheit in der Organisation.

    • IAMRolle: Die ARN einer IAM Rolle. Das Konto, mit dem die Rolle erstellt wurde, muss Mitglied derselben Organisation sein wie das Konto, das diese Ressourcenfreigabe erstellt hat.

    • IAMBenutzer: Der ARN eines IAM Benutzers. Das Konto, mit dem der Benutzer erstellt wurde, muss Mitglied derselben Organisation sein wie das Konto, das diese Ressourcenfreigabe erstellt hat.

    • Service Principal: Sie können eine Sicherheitsgruppe nicht mit einem Service Principal teilen.

  14. Wählen Sie Hinzufügen aus.

  15. Wählen Sie Weiter.

  16. Wählen Sie Create resource share (Ressourcenfreigabe erstellen) aus.

  17. Warten Sie unter Gemeinsam genutzte Ressourcen, bis der Status von angezeigt wirdAssociated. Wenn eine Sicherheitsgruppenzuweisung fehlschlägt, kann dies auf eine der oben genannten Einschränkungen zurückzuführen sein. Sehen Sie sich die Details der Sicherheitsgruppe und die Registerkarte Freigabe auf der Detailseite an, um alle Meldungen darüber zu sehen, warum eine Sicherheitsgruppe möglicherweise nicht gemeinsam genutzt werden kann.

  18. Kehren Sie zur Liste der Sicherheitsgruppen der VPC Konsole zurück.

  19. Wählen Sie die Sicherheitsgruppe aus, die Sie gemeinsam genutzt haben.

  20. Wählen Sie die Registerkarte Sharing (Freigabe). Ihre AWS RAM Ressource sollte dort sichtbar sein. Ist dies nicht der Fall, ist die Erstellung der Ressourcenfreigabe möglicherweise fehlgeschlagen und Sie müssen sie möglicherweise neu erstellen.

Die Sicherheitsgruppe ist jetzt gemeinsam genutzt.

Command line
Um eine Sicherheitsgruppe gemeinsam zu nutzen

  1. Sie müssen zunächst eine Ressourcenfreigabe für die Sicherheitsgruppe erstellen, für die Sie eine gemeinsame Nutzung vornehmen möchten AWS RAM. Anweisungen zum Erstellen einer Ressourcenfreigabe AWS RAM mithilfe von finden Sie unter Erstellen einer Ressourcenfreigabe AWS RAM im AWS RAM Benutzerhandbuch AWS CLI

  2. Um erstellte Ressourcenfreigabezuordnungen anzuzeigen, verwenden Sie get-resource-share-associations.

Die Sicherheitsgruppe ist jetzt gemeinsam genutzt.

Beenden der Freigabe einer Sicherheitsgruppe

In diesem Abschnitt wird erklärt, wie Sie das AWS Management Console und das verwenden AWS CLI , um die gemeinsame Nutzung einer Sicherheitsgruppe mit anderen Konten in Ihrer Organisation zu beenden.

AWS Management Console
So beenden Sie die gemeinsame Nutzung einer Sicherheitsgruppe

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im linken Navigationsbereich Security Groups aus.

  3. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.

  4. Wählen Sie die Registerkarte Sharing (Freigabe).

  5. Wählen Sie eine Sicherheitsgruppen-Ressourcenfreigabe aus und klicken Sie auf Gemeinsame Nutzung beenden.

  6. Wählen Sie Ja, gemeinsame Nutzung beenden.

Command line

Um die gemeinsame Nutzung einer Sicherheitsgruppe zu beenden

Löschen Sie die Ressource, die gemeinsam genutzt wird mit delete-resource-share.

Die Sicherheitsgruppe wird nicht mehr gemeinsam genutzt. Nachdem der Besitzer die Freigabe einer Sicherheitsgruppe beendet hat, gelten die folgenden Regeln:

  • Elastic Network Interfaces (ENIs) für bestehende Teilnehmer erhalten weiterhin alle Aktualisierungen der Sicherheitsgruppenregeln, die an Sicherheitsgruppen vorgenommen werden, die nicht gemeinsam genutzt werden. Das Aufheben der gemeinsamen Nutzung verhindert lediglich, dass der Teilnehmer neue Verknüpfungen mit der nicht gemeinsam genutzten Gruppe erstellt.

  • Die Teilnehmer können die Sicherheitsgruppe, die nicht gemeinsam genutzt wird, nicht mehr ENIs mit einer Gruppe verknüpfen, die ihnen gehört.

  • Die Teilnehmer können diejenigen beschreiben und löschenENIs, die noch nicht gemeinsam genutzten Sicherheitsgruppen zugeordnet sind.

  • Wenn Teilnehmer noch Mitglied der nicht ENIs länger freigegebenen Sicherheitsgruppe sind, kann der Eigentümer die nicht länger freigegebene Sicherheitsgruppe nicht löschen. Der Besitzer kann die Sicherheitsgruppe erst löschen, nachdem die Teilnehmer die Zuordnung der Sicherheitsgruppe zu all ihren Gruppen getrennt (entfernt) haben. ENIs