Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheitsgruppen mit AWS Organizations teilen
<a name="security-group-sharing"></a>

Mit der Funktion „Gemeinsame Sicherheitsgruppe“ können Sie eine Sicherheitsgruppe mit Konten anderer AWS Organizations in derselben AWS Region teilen und die Sicherheitsgruppe für die Verwendung durch diese Konten verfügbar machen.

Das folgende Diagramm zeigt, wie Sie die Funktion „Gemeinsame Sicherheitsgruppe“ verwenden können, um die Verwaltung von Sicherheitsgruppen für alle Konten in Ihren AWS Organizations zu vereinfachen:

![\[Ein Diagramm der Freigabe von Sicherheitsgruppen für andere Konten in einem freigegebenen VPC-Subnetz.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/sec-group-sharing.png)


Dieses Diagramm zeigt drei Konten, die Teil derselben Organisation sind. Konto A teilt sich ein VPC-Subnetz mit den Konten B und C. Konto A teilt die Sicherheitsgruppe mit den Konten B und C mithilfe des Features für freigegebene Sicherheitsgruppen. Die Konten B und C verwenden dann diese Sicherheitsgruppe, wenn sie Instances im freigegebenen Subnetz starten. Dadurch kann Konto A die Sicherheitsgruppe verwalten. Alle Aktualisierungen der Sicherheitsgruppe gelten für die Ressourcen, die von den Konten B und C im freigegebenen VPC-Subnetz ausgeführt werden.

**Anforderungen des Features für freigegebene Sicherheitsgruppen**
+ Dieses Feature ist nur für Konten in derselben Organisation in AWS Organizations verfügbar. Die [gemeinsame Nutzung von Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) muss in AWS Organizations aktiviert sein.
+ Das Konto, das die Sicherheitsgruppe freigibt, muss sowohl die VPC als auch die Sicherheitsgruppe besitzen. 
+ Sie können keine Standardsicherheitsgruppen freigeben.
+ Sie können keine Sicherheitsgruppen freigeben, die sich in einer Standard-VPC befinden.
+ Teilnehmerkonten können Sicherheitsgruppen in einer freigegebenen VPC erstellen, aber sie können diese Sicherheitsgruppen nicht freigeben.
+ Damit ein IAM-Prinzipal eine Sicherheitsgruppe gemeinsam nutzen kann, ist ein Mindestsatz an Berechtigungen erforderlich. AWS RAM Verwenden Sie die von `AmazonEC2FullAccess` und `AWSResourceAccessManagerFullAccess` verwalteten IAM-Richtlinien, um sicherzustellen, dass Ihre IAM-Prinzipale über die erforderlichen Berechtigungen verfügen, um freigegebene Sicherheitsgruppen freizugeben und zu nutzen. Wenn Sie eine benutzerdefinierte IAM-Richtlinie verwenden, sind die Aktionen `c2:PutResourcePolicy` und `ec2:DeleteResourcePolicy` erforderlich. Dies sind IAM-Aktionen, die nur für Berechtigungen gelten. Wenn einem IAM-Prinzipal diese Berechtigungen nicht erteilt wurden, tritt beim Versuch, die Sicherheitsgruppe mit AWS RAM freizugeben, ein Fehler auf.

**Services, die dieses Feature unterstützen**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker KI
+ Elastic Load Balancing
  + Application Load Balancer
  + Network Load Balancer

**So wirkt sich dieses Feature auf bestehende Kontingente aus**

Es gelten [Kontingente für Sicherheitsgruppen](amazon-vpc-limits.md#vpc-limits-security-groups). Für das Kontingent „Sicherheitsgruppen pro Netzwerkschnittstelle“ gilt jedoch das Minimum des Kontingents von Eigentümer und Teilnehmer, wenn ein Teilnehmer sowohl eigene als auch freigegebene Gruppen auf einer Elastic-Network-Schnittstelle (ENI) verwendet.

Beispiel zur Veranschaulichung, wie sich dieses Feature auf das Kontingent auswirkt:
+ Kontingent für Eigentümerkonten: 4 Sicherheitsgruppen pro Schnittstelle
+ Kontingent für Teilnehmerkonten: 5 Sicherheitsgruppen pro Schnittstelle.
+ Der Eigentümer gibt die Gruppen SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 für den Teilnehmer frei. Der Teilnehmer hat bereits eigene Gruppen in der VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Wenn der Teilnehmer eine ENI erstellt und nur seine eigenen Gruppen verwendet, kann er alle 5 Sicherheitsgruppen (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) zuordnen, da dies sein Kontingent ist.
+ Wenn der Teilnehmer eine ENI erstellt und alle freigegebenen Gruppen darauf verwendet, kann er nur bis zu 4 Gruppen zuordnen. In diesem Fall ist das Kontingent für eine solche ENI das Minimum der Kontingente von Eigentümer und Teilnehmer. Mögliche gültige Konfigurationen sehen wie folgt aus:
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## Freigeben einer Sicherheitsgruppe
<a name="share-sg-org"></a>

In diesem Abschnitt wird erklärt, wie Sie die AWS-Managementkonsole und die verwenden AWS CLI , um eine Sicherheitsgruppe mit anderen Konten in Ihrer Organisation zu teilen.

------
#### [ AWS Management Console ]

**So geben Sie eine Sicherheitsgruppe frei**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.

1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.

1. Wählen Sie die Registerkarte **Sharing (Freigabe)**.

1. Klicken Sie auf **Sicherheitsgruppe freigeben**.

1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus. Daraufhin wird die AWS RAM Konsole geöffnet, in der Sie die Ressourcenfreigabe für die Sicherheitsgruppe erstellen.

1. Geben Sie einen **Namen** für die Ressourcenfreigabe ein.

1. Wählen Sie unter **Ressourcen – optional** die Option **Sicherheitsgruppen** aus.

1. Wählen Sie eine Sicherheitsgruppe aus. Die Sicherheitsgruppe kann keine Standardsicherheitsgruppe sein und kann nicht mit der Standard-VPC verknüpft werden.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Aktionen, die Prinzipale ausführen dürfen, und wählen Sie **Weiter** aus.

1. Wählen Sie unter **Prinzipale – optional** die Option **Zulassen der Freigabe nur innerhalb der eigenen Organisation** aus.

1. Wählen Sie unter **Prinzipale** einen der folgenden Prinzipaltypen aus und geben Sie die entsprechenden Nummern ein:
   + **AWS Konto**: Die Kontonummer eines Kontos in Ihrer Organisation.
   + **Organisation**: Die AWS Organisations-ID.
   + **Organisationseinheit (OU)**: Die ID einer OU in der Organisation.
   + **IAM-Rolle**: Der ARN einer IAM-Rolle. Das Konto, das die Rolle erstellt hat, muss Mitglied derselben Organisation sein wie das Konto, das diese Ressourcenfreigabe erstellt.
   + **IAM-Benutzer**: Der ARN eines IAM-Benutzers. Das Konto, das den Benutzer erstellt hat, muss Mitglied derselben Organisation sein wie das Konto, das diese Ressourcenfreigabe erstellt.
   + **Service-Prinzipal**: Sie können eine Sicherheitsgruppe nicht für einen Service-Prinzipal freigeben.

1. Wählen Sie **Hinzufügen** aus.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.

1. Warten Sie unter **Freigegebene Ressourcen**, bis der **Status** von `Associated` angezeigt wird. Wenn die Zuordnung einer Sicherheitsgruppe fehlschlägt, kann dies auf eine der oben genannten Einschränkungen zurückzuführen sein. Sehen Sie sich die Details der Sicherheitsgruppe und die Registerkarte **Freigabe** auf der Detailseite an, um alle Meldungen zu sehen, die sich darauf beziehen, warum eine Sicherheitsgruppe möglicherweise nicht freigegeben werden kann.

1. Kehren Sie zur Liste der Sicherheitsgruppen der VPC-Konsole zurück.

1. Wählen Sie die Sicherheitsgruppe, die Sie freigegeben haben.

1. Wählen Sie die Registerkarte **Sharing (Freigabe)**. Ihre AWS RAM Ressource sollte dort sichtbar sein. Ist dies nicht der Fall, ist die Erstellung der Ressourcenfreigabe möglicherweise fehlgeschlagen und Sie müssen sie möglicherweise neu erstellen.

------
#### [ Command line ]

**So geben Sie eine Sicherheitsgruppe frei**

1. Sie müssen zunächst eine Ressourcenfreigabe für die Sicherheitsgruppe erstellen, mit der Sie die Ressource teilen möchten AWS RAM. Anweisungen zum Erstellen einer Ressourcenfreigabe AWS RAM mithilfe von finden Sie unter [Erstellen einer Ressourcenfreigabe AWS RAM im AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Benutzerhandbuch AWS CLI* 

1. Um erstellte Ressourcenfreigabezuordnungen anzuzeigen, verwenden Sie [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).

------

Die Sicherheitsgruppe ist nun freigegeben. Sie können die Sicherheitsgruppe beim [Start einer EC2-Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) in einem gemeinsam genutzten Subnetz innerhalb derselben VPC auswählen.

## Beenden der Freigabe einer Sicherheitsgruppe
<a name="stop-share-sg-org"></a>

In diesem Abschnitt wird erklärt, wie Sie die AWS-Managementkonsole und die verwenden AWS CLI , um die gemeinsame Nutzung einer Sicherheitsgruppe mit anderen Konten in Ihrer Organisation zu beenden.

------
#### [ AWS Management Console ]

**So beenden Sie die Freigabe einer Sicherheitsgruppe**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.

1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.

1. Wählen Sie die Registerkarte **Sharing (Freigabe)**.

1. Wählen Sie eine Ressourcenfreigabe für eine Sicherheitsgruppe aus und klicken Sie auf **Freigabe beenden**.

1. Wählen Sie **Ja, die Freigabe beenden** aus.

------
#### [ Command line ]

**So beenden Sie die Freigabe einer Sicherheitsgruppe**

Löschen Sie die Ressource, die gemeinsam genutzt wird mit [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).

------

Die Sicherheitsgruppe wird nicht mehr freigegeben. Nachdem der Eigentümer die Freigabe einer Sicherheitsgruppe beendet hat, gelten die folgenden Regeln: 
+ Elastic Network Interfaces (ENIs) für bestehende Teilnehmer erhalten weiterhin alle Aktualisierungen der Sicherheitsgruppenregeln, die an Sicherheitsgruppen vorgenommen werden, die nicht gemeinsam genutzt werden. Das Beenden der Freigabe hindert den Teilnehmer nur daran, neue Verknüpfungen mit der nicht freigegebenen Gruppe herzustellen.
+ Teilnehmer können die nicht gemeinsam genutzte Sicherheitsgruppe nicht mehr mit einer Gruppe verknüpfen, die ENIs ihnen gehört.
+ Die Teilnehmer können diejenigen beschreiben und löschen ENIs , die noch nicht gemeinsam genutzten Sicherheitsgruppen zugeordnet sind.
+ Wenn die Teilnehmer immer noch der nicht gemeinsam genutzten Sicherheitsgruppe ENIs zugeordnet sind, kann der Besitzer die nicht gemeinsam genutzte Sicherheitsgruppe nicht löschen. Der Besitzer kann die Sicherheitsgruppe erst löschen, nachdem die Teilnehmer die Zuordnung der Sicherheitsgruppe zu all ihren Gruppen getrennt (entfernt) haben. ENIs
+ Teilnehmer können keine neuen EC2-Instances mit einer ENI starten, die mit einer nicht freigegebenen Sicherheitsgruppe verknüpft ist.