Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung der Sicherheitsaufgaben für Amazon Virtual Private Cloud
Cloud-Sicherheit hat AWS höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Virtual Private Cloud gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
In dieser Dokumentation wird erläutert, wie das Modell der übergreifenden Verantwortlichkeit bei der Verwendung von Amazon VPC zum Tragen kommt. Die folgenden Themen veranschaulichen, wie Sie Amazon VPC zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahren auch, wie Sie andere AWS Services nutzen können, mit denen Sie Ihre Amazon VPC-Ressourcen überwachen und sichern können.
**Topics**
+ [Sicherstellen des Datenschutzes in Amazon Virtual Private Cloud](data-protection.md)
+ [VPC-Verschlüsselung bei der Übertragung erzwingen](vpc-encryption-controls.md)
+ [Identity and Access Management für Amazon VPC](security-iam.md)
+ [Infrastruktursicherheit in Amazon VPC](infrastructure-security.md)
+ [Steuern Sie den Datenverkehr zu Ihren AWS Ressourcen mithilfe von Sicherheitsgruppen](vpc-security-groups.md)
+ [Steuerung des Datenverkehrs in Subnetzen mithilfe von Zugriffskontrolllisten für Netzwerke](vpc-network-acls.md)
+ [Ausfallsicherheit in Amazon Virtual Private Cloud](disaster-recovery-resiliency.md)
+ [Compliance-Validierung für Amazon Virtual Private Cloud](VPC-compliance.md)
+ [Sperren Sie den öffentlichen Zugriff VPCs auf Subnetze](security-vpc-bpa.md)
+ [Security best practices for your VPC](vpc-security-best-practices.md)
# Sicherstellen des Datenschutzes in Amazon Virtual Private Cloud
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der mit gilt für den Datenschutz in Amazon Virtual Private Cloud. Wie in diesem Modell beschrieben, AWS ist es verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon VPC oder anderen AWS-Services über die Konsole AWS CLI, API oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
# Sicherstellen der Richtlinie für den Datenverkehr zwischen Netzwerken in Amazon VPC
Amazon Virtual Private Cloud stellt Features bereit, mit denen Sie die Sicherheit Ihrer Virtual Private Cloud (VPC) erhöhen und überwachen können:
+ **Sicherheitsgruppen**: Sicherheitsgruppen erlauben bestimmten eingehenden und ausgehenden Datenverkehr auf Ressourcenebene (z. B. eine EC2-Instance). Wenn Sie eine Instance starten, können Sie sie mit einer oder mehreren Sicherheitsgruppen verknüpfen. Jede Instance in Ihrer VPC kann einer anderen Reihe von Sicherheitsgruppen zugeordnet werden. Wenn Sie beim Starten einer Instance keine Sicherheitsgruppe festlegen, wird die Instance automatisch mit der Standardsicherheitsgruppe für ihre VPC verknüpft. Weitere Informationen finden Sie unter [Sicherheitsgruppen](vpc-security-groups.md).
+ **Netzwerkzugriffskontrolllisten (ACL)**: Das Netzwerk ACLs erlaubt oder verweigert bestimmten eingehenden und ausgehenden Datenverkehr auf Subnetzebene. Weitere Informationen finden Sie unter [Steuerung des Datenverkehrs in Subnetzen mithilfe von Zugriffskontrolllisten für Netzwerke](vpc-network-acls.md).
+ **Flow-Protokolle**: Flow-Protokolle erfassen Informationen zum IP-Datenverkehr zu und von Netzwerkschnittstellen in der VPC. Sie können Flow-Protokolle für eine VPC, ein Subnetz oder eine bestimmte Netzwerkschnittstelle erstellen. Flow-Protokolldaten werden in CloudWatch Logs oder Amazon S3 veröffentlicht und können Ihnen helfen, zu restriktive oder zu freizügige Sicherheitsgruppen- und Netzwerk-ACL-Regeln zu diagnostizieren. Weitere Informationen finden Sie unter [Protokollieren von IP-Datenverkehr mit VPC Flow Logs](flow-logs.md).
+ **Datenverkehrsspiegelung**: Sie können den Netzwerkverkehr von einer Elastic Netzwork-Schnittstelle einer Amazon EC2-Instance kopieren. Anschließend können Sie den Datenverkehr an out-of-band Sicherheits- und Überwachungsgeräte senden. Weitere Informationen finden Sie im [Leitfaden zur Datenspiegelung](https://docs.aws.amazon.com/vpc/latest/mirroring/).
# VPC-Verschlüsselung bei der Übertragung erzwingen
VPC Encryption Controls ist eine Sicherheits- und Compliance-Funktion, die Ihnen eine zentrale, autoritative Kontrolle zur Überwachung des Verschlüsselungsstatus Ihrer Datenströme bietet, Ihnen hilft, Ressourcen zu identifizieren, die Klartext-Kommunikation ermöglichen, und Ihnen schließlich Mechanismen an die Hand gibt, um die Verschlüsselung während der Übertragung innerhalb und zwischen Ihrer VPCs Region durchzusetzen
VPC Encryption Controls verwendet sowohl Verschlüsselung auf Anwendungsebene als auch integrierte Verschlüsselungsfunktionen der AWS Nitro-Systemhardware bei der Übertragung, um die Durchsetzung der Verschlüsselung sicherzustellen. Diese Funktion erweitert auch die native Verschlüsselung auf Hardwareebene über die modernen Nitro-Instanzen hinaus auf andere AWS Dienste wie Fargate, Application Load Balancer, Transit Gateways und viele andere.
Die Funktion wurde für alle entwickelt, die Transparenz und Kontrolle über den Verschlüsselungsstatus ihres gesamten Datenverkehrs sicherstellen möchten. Es ist besonders nützlich in Branchen, in denen Datenverschlüsselung für die Einhaltung von Compliance-Standards wie HIPAA FedRamp und PCI DSS von größter Bedeutung ist. Sicherheitsadministratoren und Cloud-Architekten können damit zentral Verschlüsselungsrichtlinien für die Übertragung in ihrer gesamten Umgebung anwenden AWS
Diese Funktion kann in zwei Modi verwendet werden: im Überwachungsmodus und im Erzwingungsmodus.
## Die Verschlüsselung steuert die Modi
**Überwachungsmodus**
Im Überwachungsmodus bietet Encryption Controls Einblick in den Verschlüsselungsstatus des Datenverkehrs zwischen Ihren AWS Ressourcen innerhalb und zwischen Ihren Ressourcen VPCs. Es hilft Ihnen auch dabei, VPC-Ressourcen zu identifizieren, die bei der Übertragung keine Verschlüsselung erzwingen. Sie können Ihre VPC-Flow-Logs so konfigurieren, dass sie das erweiterte Feld ausgeben, `encryption-status` das Ihnen mitteilt, ob Ihr Datenverkehr verschlüsselt ist. Sie können auch die Konsole oder den `GetVpcResourcesBlockingEncryptionEnforcement` Befehl verwenden, um die Ressourcen zu identifizieren, die bei der Übertragung keine Verschlüsselung erzwingen.
**Anmerkung**
Existierende VPCs können nur zuerst im Überwachungsmodus aktiviert werden. Auf diese Weise erhalten Sie Einblick in die Ressourcen, die Klartext-Verkehr zulassen oder zulassen könnten. Sie können den Erzwingungsmodus auf Ihrer VPC erst aktivieren, wenn diese Ressourcen mit der Durchsetzung der Verschlüsselung beginnen (oder Sie Ausnahmen für sie erstellen).
**Erzwingungsmodus**
Im Erzwingungsmodus verhindert VPC Encryption Controls, dass Sie Funktionen oder Dienste verwenden, die unverschlüsselten Datenverkehr innerhalb der VPC-Grenze zulassen. Sie können Encryption Controls im Erzwingungsmodus nicht direkt auf Ihrem vorhandenen System aktivieren. VPCs Sie müssen Encryption Controls zunächst im Überwachungsmodus aktivieren, nicht konforme Ressourcen identifizieren und ändern, um die Verschlüsselung bei der Übertragung zu erzwingen, und dann den Erzwingungsmodus aktivieren. Sie können Encryption Controls jedoch im Erzwingungsmodus für neue Geräte VPCs während der Erstellung aktivieren.
Wenn diese Option aktiviert ist, verhindert der Erzwingungsmodus, dass Sie unverschlüsselte VPC-Ressourcen wie alte EC2-Instances, die keine native integrierte Verschlüsselung unterstützen, oder Internet-Gateways usw. erstellen oder anhängen. Wenn Sie eine nicht konforme Ressource in einer VPC mit verschlüsselungserzwungener Verschlüsselung ausführen möchten, müssen Sie eine Ausnahme für diese Ressource erstellen.
## Überwachung des Verschlüsselungsstatus von Verkehrsströmen
Sie können den Verschlüsselungsstatus der Verkehrsflüsse innerhalb der VPC mithilfe des `encryption-status` Felds in Ihren VPC-Flussprotokollen überprüfen. Folgende Werte sind möglich:
+ `0`= nicht verschlüsselt
+ `1`= Nitroverschlüsselt (verwaltet von VPC Encryption Controls)
+ `2`= anwendungsverschlüsselt
+ fließt auf TCP-Port 443 für die Schnittstelle vom Endpunkt zum Dienst \$1 AWS
+ fließt auf dem TCP-Port 443 für den Gateway-Endpunkt \$1
+ fließt über den VPC-Endpunkt zum verschlüsselten Redshift-Cluster \$1\$1
+ `3`= sowohl Nitro- ALS auch anwendungsverschlüsselt
+ `(-)`= Verschlüsselungsstatus Unbekannt oder VPC-Verschlüsselungssteuerung ist ausgeschaltet
**Hinweis:**
\$1 Bei Schnittstellen- und Gateway-Endpunkten werden bei der Bestimmung des Verschlüsselungsstatus AWS nicht die Paketdaten berücksichtigt, sondern der verwendete Port verwendet, um den Verschlüsselungsstatus anzunehmen.
\$1\$1 AWS Ermittelt den Verschlüsselungsstatus für bestimmte AWS verwaltete Endpunkte auf der Grundlage der TLS-Anforderung in der Dienstkonfiguration.
**Einschränkungen von VPC Flow Log**
+ Um Flow-Logs für VPC Encryption Controls zu aktivieren, müssen Sie manuell neue Flow-Logs mit dem Feld encryption-status erstellen. Das Feld für den Verschlüsselungsstatus wird nicht automatisch zu vorhandenen Flow-Protokollen hinzugefügt.
+ Es wird empfohlen, die Felder \$1 \$1traffic-path\$1 und \$1 \$1flow-direction\$1 zu den Flow-Logs hinzuzufügen, um detailliertere Informationen in den Flow-Logs zu erhalten.
Beispiel:
```
aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids vpc-12345678901234567 \
--traffic-type ALL \
--log-group-name my-flow-logs \
--deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
--log-format '${encryption-status} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${traffic-path} ${flow-direction} ${reject-reason}'
```
## Ausnahmen von VPC-Verschlüsselungskontrollen
Der Erzwingungsmodus für VPC-Verschlüsselungskontrollen erfordert, dass alle Ihre Ressourcen in der VPC die Verschlüsselung erzwingen. Dadurch wird die Verschlüsselung innerhalb einer AWS Region gewährleistet. Möglicherweise verfügen Sie jedoch über Ressourcen wie Internet-Gateway, NAT-Gateway oder Virtual Private Gateway, die Konnektivität außerhalb AWS von Netzwerken ermöglichen, in denen Sie für die Konfiguration und Aufrechterhaltung der end-to-end Verschlüsselung verantwortlich sind. Um diese Ressourcen mit erzwungener Verschlüsselung auszuführen VPCs, können Sie Ressourcenausschlüsse erstellen. Ein Ausschluss führt zu einer überprüfbaren Ausnahme für Ressourcen, bei denen der Kunde für die Aufrechterhaltung der Verschlüsselung verantwortlich ist (in der Regel auf Anwendungsebene).
Es gibt nur 8 unterstützte Ausnahmen für VPC Encryption Controls. Wenn Sie über diese Ressourcen in Ihrer VPC verfügen und in den Erzwingungsmodus wechseln möchten, müssen Sie diese Ausschlüsse hinzufügen, wenn Sie vom Überwachungs- in den Erzwingungsmodus wechseln. Andere Ressourcen können nicht ausgeschlossen werden. Sie können Ihre VPC in den Erzwingungsmodus migrieren, indem Sie Ausnahmen für diese Ressourcen erstellen. Sie sind für die Verschlüsselung des Datenverkehrs zu und von diesen Ressourcen verantwortlich
+ Internet Gateway
+ NAT-Gateway
+ Internet Gateway nur für ausgehenden Datenverkehr
+ VPC-Peering-Verbindungen zur Verschlüsselung sind nicht erzwungen VPCs (detaillierte Szenarien finden Sie im Abschnitt VPC-Peering-Unterstützung)
+ Virtual Private Gateway
+ Lambda-Funktionen in Ihrer VPC
+ VPC-Gitter
+ Elastisches Dateisystem
## Arbeitsablauf bei der Implementierung
1. **Überwachung aktivieren** — VPC-Verschlüsselungssteuerung im Überwachungsmodus erstellen
1. **Traffic analysieren** — Überprüfen Sie die Flow-Logs, um den Verschlüsselungsstatus des Datenverkehrs zu überwachen
1. **Ressourcen analysieren** — Verwenden Sie die Konsole oder den `GetVpcResourcesBlockingEncryptionEnforcement` Befehl, um die Ressourcen zu identifizieren, die bei der Übertragung keine Verschlüsselung erzwingen.
1. **Vorbereiten [Optional]** — Planen Sie Ressourcenmigrationen und erforderliche Ausnahmen, wenn Sie den Erzwingungsmodus aktivieren möchten
1. **Erzwingen [Optional]** — Wechseln Sie in den Erzwingungsmodus, wobei die erforderlichen Ausnahmen konfiguriert sind
1. **Audit** — Kontinuierliche Überwachung der Einhaltung der Vorschriften mithilfe von Flow Logs
Eine ausführliche Anleitung zur Einrichtung finden Sie im Blog [Einführung in VPC-Verschlüsselungskontrollen: Verschlüsselung bei der Übertragung innerhalb und zwischen Regionen VPCs erzwingen](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).
## Status der VPC-Verschlüsselung steuert
VPC-Verschlüsselungskontrollen können einen der folgenden Status haben:
**creating**
VPC-Verschlüsselungskontrollen werden auf der VPC erstellt.
**modify-in-progress**
Die VPC-Verschlüsselungssteuerung wird auf der VPC geändert
**deleting**
VPC-Verschlüsselungskontrollen werden auf der VPC gelöscht
**available**
VPC-Verschlüsselungskontrollen konnten den Überwachungsmodus oder den Erzwingungsmodus auf der VPC erfolgreich implementieren
## AWS Serviceunterstützung und Kompatibilität
Um die Einhaltung der Verschlüsselungsvorschriften zu gewährleisten, muss eine Ressource stets die Verschlüsselung während der Übertragung erzwingen, entweder auf der Hardware- oder auf der Anwendungsebene. Bei den meisten Ressourcen sind keine Maßnahmen von Ihnen erforderlich.
### Dienste mit automatischer Konformität
Die meisten AWS Dienste, die von unterstützt PrivateLinks werden PrivateLink, einschließlich Cross-Region, akzeptieren auf Anwendungsebene verschlüsselten Datenverkehr. Sie müssen keine Änderungen an diesen Ressourcen vornehmen. AWS unterbricht automatisch jeglichen Datenverkehr, der dies nicht tut application-layer-encrypted. Zu einigen Ausnahmen gehören Redshift-Cluster (sowohl bereitgestellt als auch serverlos, bei denen Sie die zugrunde liegenden Ressourcen manuell migrieren müssen)
### Ressourcen, die automatisch migriert werden
Network Load Balancers, Application Load Balancers, Fargate-Cluster und EKS Control Plane werden automatisch auf Hardware migriert, die Verschlüsselung nativ unterstützt, sobald Sie den Monitormodus aktivieren. Sie müssen diese Ressourcen nicht ändern. AWS wickelt die Migration automatisch ab.
### Ressourcen, die eine manuelle Migration erfordern
Bestimmte VPC-Ressourcen und -Dienste erfordern, dass Sie die zugrunde liegenden Instance-Typen auswählen. Alle modernen EC2-Instances unterstützen die Verschlüsselung bei der Übertragung. Sie müssen keine Änderungen vornehmen, wenn Ihre Dienste bereits moderne EC2-Instances verwenden. Sie können die Konsole oder den GetVpcResourcesBlockingEncryptionEnforcement Befehl verwenden, um festzustellen, ob einer dieser Dienste ältere Instances verwendet. Wenn Sie solche Ressourcen identifizieren, müssen Sie sie auf eine der modernen EC2-Instances aktualisieren, die die native Verschlüsselung der Nitro-Systemhardware unterstützt. Zu diesen Services gehören EC2-Instances, Auto Scaling Groups, RDS (All Databases and Document-DB), Elasticache Provisioned, Amazon Redshift Provisioned Clusters, EKS, ECS-EC2, Provisioned und EMR. OpenSearch
**Kompatible Ressourcen:**
Die folgenden Ressourcen sind mit VPC Encryption Controls kompatibel:
+ [Nitro-basierte EC2-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)
+ Network Load Balancer (mit Einschränkungen)
+ Application Load Balancer
+ AWS Fargate-Cluster
+ Amazon Elastic Kubernetes Service (EKS)
+ Amazon EC2 Auto Scaling-Gruppen
+ Amazon Relational Database Service (RDS — Alle Datenbanken)
+ ElastiCache Knotenbasierte Amazon-Cluster
+ Von Amazon Redshift bereitgestellte und serverlose Cluster
+ Amazon Elastic Container Service (ECS) — EC2-Container-Instances
+ OpenSearch Amazon-Dienst
+ Amazon Elastic MapReduce (EMR)
+ Amazon Managed Streaming for Apache Kafka (Amazon MSK)
+ VPC-Verschlüsselungskontrollen erzwingen die Verschlüsselung auf der Anwendungsebene für alle AWS Dienste, auf die über PrivateLink zugegriffen wird. Jeglicher Datenverkehr, der auf der Anwendungsebene nicht verschlüsselt ist, wird von PrivateLink Endpunkten, die in der VPC gehostet werden, mit Verschlüsselungskontrollen im Erzwingungsmodus gelöscht.
### Servicespezifische Einschränkungen
**Einschränkungen des Network Load Balancer**
TLS-Konfiguration: Sie können einen TLS-Listener nicht verwenden, um die Arbeit der Verschlüsselung und Entschlüsselung auf Ihren Load Balancer auszulagern, wenn Sie Encryption Controls auf der enthaltenden VPC durchsetzen. Sie können Ihre Ziele jedoch so konfigurieren, dass sie die TLS-Verschlüsselung und -Entschlüsselung durchführen
**Redshift bereitgestellt und serverlos**
Kunden können auf einer VPC, die über einen vorhandenen Cluster/Endpunkt verfügt, nicht in den Enforce-Modus wechseln. Um VPC Encryption Controls mit Redshift zu verwenden, müssen Sie Ihren Cluster oder Namespace aus einem Snapshot wiederherstellen. Erstellen Sie für bereitgestellte Cluster einen Snapshot Ihres vorhandenen Redshift-Clusters und stellen Sie ihn dann mithilfe des Snapshot-Vorgangs „Wiederherstellung aus dem Cluster“ wieder her. Erstellen Sie für Serverless einen Snapshot Ihres vorhandenen Namespace und stellen Sie ihn dann mithilfe des Vorgangs „Wiederherstellung aus dem Snapshot“ in Ihrer serverlosen Arbeitsgruppe wieder her. Beachten Sie, dass VPC Encryption Controls nicht auf vorhandenen Clustern oder Namespaces aktiviert werden kann, ohne den Snapshot- und Wiederherstellungsprozess durchzuführen. Informationen zur Erstellung von Snapshots finden Sie in der [Amazon Redshift Redshift-Dokumentation](https://docs.aws.amazon.com/redshift/latest/mgmt/welcome.html).
**Amazon MSK (Verwaltetes Streaming für Apache Kafka)**
Diese Funktionalität wird in neuen Clustern für 4.1 in ihrer eigenen VPC unterstützt. Die folgenden Schritte helfen Ihnen bei der Verwendung von VPC-Verschlüsselung mit MSK.
+ Kunde aktiviert VPC-Verschlüsselung auf einer VPC ohne andere MSK-Cluster
+ Der Kunde erstellt einen Cluster mit Kafka Version 4.1 und dem Instanztyp M7g
### Regional- und Zonenbeschränkungen
+ **Subnetze der lokalen Zone**: Im Erzwingungsmodus nicht unterstützt — müssen aus der VPC gelöscht werden
### VPC-Peering-Unterstützung
Um die Verschlüsselung während der Übertragung mit VPC-Peering zwischen zwei zu gewährleisten VPCs, VPCs müssen sich die beiden in derselben Region befinden und die Verschlüsselungskontrollen müssen im Erzwingungsmodus ohne Ausnahmen aktiviert sein. Sie müssen einen Peering-Ausschluss erstellen, wenn Sie eine VPC mit erzwungener Verschlüsselung per Peer mit einer anderen VPC verbinden möchten, die sich entweder in einer anderen Region befindet oder für die im Erzwingungsmodus keine Verschlüsselungskontrollen aktiviert sind (ohne Ausschlüsse).
Wenn VPCs sich zwei im Erzwingungsmodus befinden und miteinander Peering betreiben, können Sie den Modus nicht von „Erzwingen“ in „Überwachen“ ändern. Sie müssten zuerst einen Peering-Ausschluss erstellen, bevor Sie den VPC Encryption Controls-Modus zur Überwachung ändern können.
### Unterstützung für Transit Gateway Gateway-Verschlüsselung
Sie müssen die Verschlüsselungsunterstützung auf einem Transit Gateway explizit aktivieren, um den Verkehr zwischen Ihnen zu verschlüsseln, auf VPCs denen die Verschlüsselungssteuerung aktiviert ist. Durch die Aktivierung der Verschlüsselung auf dem vorhandenen Transit Gateway werden die bestehenden Verkehrsflüsse nicht unterbrochen, und die Migration von VPC-Anhängen zu verschlüsselten Lanes erfolgt nahtlos und automatisch. Der Verkehr zwischen zwei Personen VPCs im Erzwingungsmodus (ohne Ausschlüsse) über das Transit Gateway durchquert zu 100% verschlüsselte Spuren. Durch die Verschlüsselung auf dem Transit Gateway können Sie auch zwei Geräte miteinander verbinden VPCs , die sich ebenfalls in unterschiedlichen Encryption Controls-Modi befinden. Sie sollten es verwenden, wenn Sie Verschlüsselungskontrollen in einer VPC erzwingen möchten, die mit einer non-encryption-enforced VPC verbunden ist. In einem solchen Szenario wird Ihr gesamter Datenverkehr innerhalb Ihrer durch Verschlüsselung erzwungenen VPC, einschließlich des Datenverkehrs zwischen den VPCs, verschlüsselt. Der Datenverkehr zwischen den VPCs wird zwischen den Ressourcen in der durch Verschlüsselung erzwungenen VPC und dem Transit Gateway verschlüsselt. Darüber hinaus hängt die Verschlüsselung von den Ressourcen ab, zu denen der Datenverkehr in der nicht erzwungenen VPC geleitet wird, und es kann nicht garantiert werden, dass sie verschlüsselt ist (da sich die VPC nicht im Erzwingungsmodus befindet). Alle VPCs müssen sich in derselben Region befinden. (Einzelheiten finden Sie [hier](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html)).
![\[Verkehrsfluss zwischen Personen VPCs mit unterschiedlichem Verschlüsselungskontrollstatus\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/vpc-enc-control-arch.png)
+ In diesem Diagramm VPC3 haben VPC 1, VPC 2 und VPC Verschlüsselungssteuerungen im Erzwingungsmodus und sie sind mit VPC 4 verbunden, auf der Encryption Controls im Überwachungsmodus ausgeführt werden.
+ Der gesamte Datenverkehr zwischen VPC1 VPC2 und VPC3 wird verschlüsselt.
+ Zur Erläuterung: Jeder Datenverkehr zwischen einer Ressource in VPC 1 und einer Ressource in VPC 4 wird bis zum Transit Gateway mit der von der Nitro-Systemhardware angebotenen Verschlüsselung verschlüsselt. Darüber hinaus hängt der Verschlüsselungsstatus von der Ressource in VPC 4 ab und es kann nicht garantiert werden, dass sie verschlüsselt ist.
Weitere Informationen zur Unterstützung der Transit Gateway Gateway-Verschlüsselung finden Sie in [der Transit-Gateway-Dokumentation](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html).
## Preisgestaltung
Preisinformationen finden Sie unter [Amazon VPC-Preise](https://aws.amazon.com/vpc/pricing/).
## AWS CLI Befehlsreferenz
### Einrichtung und Konfiguration
+ [aws ec2 create-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-encryption-control.html)
+ [war ec2 modify-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-encryption-control.html)
+ [als ec2 tgw modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)
### Überwachung und Problembehebung
+ [aws ec2 describe-vpc-encryption-controls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-encryption-controls.html)
+ [aws get-vpc-resources-blocking ec2 — Durchsetzung der Verschlüsselung](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpc-resources-blocking-encryption-enforcement.html)
+ [aws ec2 create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)
+ [war ec2 describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)
+ [AWS-Protokollabfrage](https://docs.aws.amazon.com/cli/latest/reference/logs/query.html)
### Bereinigen
+ [aws ec2 delete-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-encryption-control.html)
## Weitere Ressourcen
Eine ausführliche Anleitung zur Einrichtung finden Sie im Blog [Einführung in VPC-Verschlüsselungskontrollen: Verschlüsselung bei der Übertragung innerhalb und zwischen Regionen VPCs erzwingen](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).
Ausführlichere API-Informationen finden Sie im [EC2 API Reference Guide.](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Welcome.html)
# Identity and Access Management für Amazon VPC
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren steuern, wer *authentifiziert* (angemeldet) und *autorisiert* (im Besitz von Berechtigungen) ist, Amazon VPC-Ressourcen zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizieren mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mithilfe von Richtlinien.](#security_iam_access-manage)
+ [Funktionsweise von der Amazon VPC mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für Amazon VPC-Richtlinien](vpc-policy-examples.md)
+ [Fehlerbehebung für Amazon VPC-Identität und -Zugriff](security_iam_troubleshoot.md)
+ [AWS verwaltete Richtlinien für Amazon Virtual Private Cloud](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für VPC](using-service-linked-roles.md)
## Zielgruppe
Die Art und Weise, wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, die Sie in Amazon VPC ausführen.
**Servicebenutzer** – Wenn Sie zur Ausführung Ihrer Aufgaben den Amazon VPC-Service verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen bereit. Wenn Sie zur Ausführung von Aufgaben weitere Amazon VPC-Features verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle verstehen, kann Ihnen dies helfen, die richtigen Berechtigungen von Ihrem Administrator anzufordern. Wenn Sie nicht auf ein Feature in Amazon VPC zugreifen können, informieren Sie sich in [Fehlerbehebung für Amazon VPC-Identität und -Zugriff](security_iam_troubleshoot.md).
**Serviceadministrator** – Wenn Sie in Ihrem Unternehmen die Verantwortung für Amazon VPC-Ressourcen haben, haben Sie wahrscheinlich vollständigen Zugriff auf Amazon VPC. Sie legen die Amazon VPC-Features und -Ressourcen fest, auf die Mitarbeiter zugreifen können. Sie beantragen bei Ihrem IAM-Administrator entsprechende Änderungen für die Berechtigungen Ihrer Service-Benutzer. Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM zu verstehen. Weitere Informationen dazu, wie Ihr Unternehmen IAM mit Amazon VPC verwenden kann, finden Sie unter [Funktionsweise von der Amazon VPC mit IAM](security_iam_service-with-iam.md).
**IAM-Administrator** – Wenn Sie als IAM-Administrator fungieren, sollten Sie Einzelheiten dazu kennen, wie Sie Richtlinien zur Verwaltung des Zugriffs auf Amazon VPC verfassen können. Informationen zum Anzeigen von Beispielrichtlinien finden Sie unter [Beispiele für Amazon VPC-Richtlinien](vpc-policy-examples.md).
## Authentifizieren mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mithilfe von Richtlinien.
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Funktionsweise von der Amazon VPC mit IAM
Bevor Sie mit IAM den Zugriff auf Amazon VPC verwalten können, sollten Sie sich darüber informieren, welche IAM-Features Sie mit Amazon VPC verwenden können. *Einen allgemeinen Überblick darüber, wie Amazon VPC und andere AWS Services mit IAM zusammenarbeiten, finden Sie im [AWS IAM-Benutzerhandbuch unter Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Aktionen](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressourcen](#security_iam_service-with-iam-id-based-policies-resources)
+ [Bedingungsschlüssel](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Ressourcenbasierte Amazon VPC-Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf der Basis von Markierungen](#security_iam_service-with-iam-tags)
+ [IAM-Rollen](#security_iam_service-with-iam-roles)
Mit identitätsbasierten IAM-Richtlinien können Sie zulässige oder abgelehnte Aktionen angeben. Für einige Aktionen können Sie die Ressourcen und Bedingungen angeben, unter denen Aktionen zulässig oder verweigert werden. Amazon VPC unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
## Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Amazon VPC teilt seinen API-Namespace mit Amazon EC2. Richtlinienaktionen in Amazon VPC verwenden das folgende Präfix vor der Aktion: `ec2:`. Um einem Benutzer beispielsweise die Berechtigung zum Erstellen einer VPC mithilfe der `CreateVpc`-API-Operation zu erteilen, gewähren Sie Zugriff auf die `ec2:CreateVpc`-Aktion. Richtlinienanweisungen müssen entweder ein `Action`- oder ein `NotAction`-Element enthalten.
Um mehrere Aktionen in einer einzelnen Anweisung anzugeben, trennen Sie sie durch Kommata, wie im folgenden Beispiel gezeigt.
```
"Action": [
"ec2:action1",
"ec2:action2"
]
```
Sie können auch Platzhalter (\$1) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "ec2:Describe*"
```
Eine Liste von Amazon-VPC-Aktionen finden Sie unter [von Amazon EC2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) in der *Service-Autorisierungs-Referenz*.
## Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Die VPC-Ressource hat den im folgenden Beispiel gezeigten ARN.
```
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
```
Um beispielsweise die VPC `vpc-1234567890abcdef0` in Ihrer Anweisung anzugeben, verwenden Sie den im folgenden Beispiel gezeigten ARN.
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
```
Um alle VPCs in einer bestimmten Region anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1).
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
```
Einige Amazon VPC-Aktionen, z. B. das Erstellen von Ressourcen, können auf bestimmten Ressourcen nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Viele Amazon EC2-API-Aktionen umfassen mehrere Ressourcen. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2"
]
```
Eine Liste der Amazon VPC-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon EC2 definierte Ressourcentypen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies) in der *Service Authorization Reference*.
## Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Alle Amazon EC2-Aktionen unterstützen die Bedingungsschlüssel `aws:RequestedRegion` und `ec2:Region`. Weitere Informationen finden Sie unter [Beispiel: Einschränken des Zugriffs auf eine bestimmte Region](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).
Amazon VPC definiert einen eigenen Satz von Bedingungsschlüsseln und unterstützt auch einige globale Bedingungsschlüssel. Eine Liste von Amazon-VPC-Bedingungsschlüsseln finden Sie unter [Bedingungsschlüssel für Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-policy-keys) in der *Service-Autorisierungs-Referenz*. Informationen dazu, für welche Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon EC2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions).
## Ressourcenbasierte Amazon VPC-Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für die Amazon VPC-Ressource ausführen kann.
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als [Prinzipal in einer ressourcenbasierten Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Principal und die Ressource in unterschiedlichen AWS Konten befinden, müssen Sie der Prinzipalentität auch die Erlaubnis erteilen, auf die Ressource zuzugreifen. Sie erteilen Berechtigungen, indem Sie der Entität eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Autorisierung auf der Basis von Markierungen
Sie können Markierungen an Amazon VPC-Ressourcen anfügen oder in einer Anforderung an Amazon VPC übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie mithilfe von Bedingungsschlüsseln Tag-Informationen an. Weitere Informationen finden Sie unter [Erteilen der Berechtigung zum Markieren von Ressourcen während der Erstellung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/supported-iam-actions-tagging.html) im *Amazon-EC2-Benutzerhandbuch*.
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Starten von Instances in einer bestimmten VPC](vpc-policy-examples.md#subnet-ami-example-iam).
## IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) ist eine Entität innerhalb Ihres Unternehmens AWS-Konto , die über bestimmte Berechtigungen verfügt.
### Verwenden temporärer Anmeldeinformationen
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)aufrufen.
Amazon VPC unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
[Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/service-linked-roles.html) unterstützen serviceverknüpfte Rollen.
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Services beeinträchtigen.
Amazon VPC unterstützt Servicerollen für Flow-Protokolle. Wenn Sie ein Flow-Protokoll erstellen, müssen Sie eine Rolle auswählen, die dem Flow-Logs-Dienst den Zugriff auf CloudWatch Logs ermöglicht. Weitere Informationen finden Sie unter [IAM-Rolle für die Veröffentlichung von Flow-Protokollen in Logs CloudWatch](flow-logs-iam-role.md).
# Beispiele für Amazon VPC-Richtlinien
IAM-Rollen besitzen standardmäßig keine Berechtigungen zum Erstellen oder Ändern von VPC-Ressourcen. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Rollen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon VPC-Konsole.](#security_iam_id-based-policy-examples-console)
+ [Erstellen einer VPC mit einem öffentlichen Subnetz](#vpc-public-subnet-iam)
+ [Ändern und Löschen von VPC-Ressourcen](#modify-vpc-resources-iam)
+ [Verwalten von Sicherheitsgruppen](#vpc-security-groups-iam)
+ [Sicherheitsgruppenregeln verwalten](#vpc-security-group-rules-iam)
+ [Starten von Instances in einem bestimmten Subnetz](#subnet-sg-example-iam)
+ [Starten von Instances in einer bestimmten VPC](#subnet-ami-example-iam)
+ [Sperrt den öffentlichen Zugriff VPCs auf Subnetze](#vpc-bpa-example-iam)
+ [Weitere Beispiele für Amazon VPC-Richtlinien](#security-iam-additional-examples)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien können festlegen, ob jemand Amazon-VPC-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder daraus löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon VPC-Konsole.
Um auf die Amazon VPC-Konsole zugreifen zu können, müssen Sie über einen Mindestsatz von Berechtigungen verfügen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Amazon VPC-Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Rollen) mit dieser Richtlinie.
Die folgende Richtlinie gewährt einer Rolle die Berechtigung, Ressourcen in der VPC-Konsole aufzulisten, nicht jedoch, sie zu erstellen, zu aktualisieren oder zu löschen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeFlowLogs",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeMovingAddresses",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTrafficMirrorFilters",
"ec2:DescribeTrafficMirrorSessions",
"ec2:DescribeTrafficMirrorTargets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetManagedPrefixListAssociations",
"ec2:GetManagedPrefixListEntries"
],
"Resource": "*"
}
]
}
```
------
Sie müssen Rollen, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die den API-Operation entsprechen, die die Rolle ausführen muss.
## Erstellen einer VPC mit einem öffentlichen Subnetz
Im folgenden Beispiel können Rollen Subnetze VPCs, Routing-Tabellen und Internet-Gateways erstellen. Rollen können auch ein Internet-Gateway an eine VPC anfügen und Routen in Routing-Tabellen erstellen. Die `ec2:ModifyVpcAttribute`-Aktion ermöglicht Rollen, DNS-Hostnamen für die VPC zu aktivieren, so dass jede Instance, die in einer VPC gestartet wird, einen DNS-Hostnamen erhält.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:DescribeAvailabilityZones",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:ModifyVpcAttribute"
],
"Resource": "*"
}
]
}
```
------
Die vorangehende Richtlinie ermöglicht es Rollen auch, eine VPC in der Amazon-VPC-Konsole zu erstellen.
## Ändern und Löschen von VPC-Ressourcen
Sie können bei Bedarf steuern, welche VPC-Ressourcen Rollen ändern oder löschen können. Mit der folgenden Richtlinie können Rollen beispielsweise mit Routing-Tabellen, die die Markierung `Purpose=Test` haben, arbeiten und diese löschen. Die Richtlinie legt außerdem fest, dass Rollen nur Internet-Gateways mit der Markierung `Purpose=Test` löschen können. Rollen können nicht mit Routing-Tabellen oder Internet-Gateways arbeiten, die diese Markierung nicht haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DeleteInternetGateway",
"Resource": "arn:aws:ec2:*:*:internet-gateway/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteRouteTable",
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": "arn:aws:ec2:*:*:route-table/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
}
]
}
```
------
## Verwalten von Sicherheitsgruppen
Mit der folgenden Richtlinie können Rollen Sicherheitsgruppen verwalten. Die erste Anweisung ermöglicht es Rollen, jede Sicherheitsgruppe mit der Markierung `Stack=test` zu löschen und die eingehenden und ausgehenden Regeln für jede Sicherheitsgruppe mit der Markierung `Stack=test` zu verwalten. Die zweite Anweisung erfordert, dass Rollen alle von ihnen erstellten Sicherheitsgruppen mit der Markierung `Stack=Test` kennzeichnen. Die dritte Anweisung ermöglicht es Rollen, Markierungen zu erstellen, wenn eine Sicherheitsgruppe erstellt wird. Die vierte Anweisung ermöglicht es Rollen, jede Sicherheitsgruppe und Sicherheitsgruppenregel anzuzeigen. Die fünfte Anweisung ermöglicht es Rollen, eine Sicherheitsgruppe in einer VPC zu erstellen.
**Anmerkung**
Diese Richtlinie kann vom AWS CloudFormation Dienst nicht verwendet werden, um eine Sicherheitsgruppe mit den erforderlichen Tags zu erstellen. Wenn Sie die Bedingung für die Aktion `ec2:CreateSecurityGroup` entfernen, für die das Tag erforderlich ist, funktioniert die Richtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:ModifySecurityGroupRules",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Stack": "test"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Stack": "test"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "Stack"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:vpc/*"
}
]
}
```
------
Damit Rollen die Sicherheitsgruppe ändern können, die einer Instance zugeordnet ist, fügen Sie Ihrer Richtlinie die `ec2:ModifyInstanceAttribute`-Aktion hinzu.
Um Rollen das Ändern von Sicherheitsgruppen für eine Netzwerkschnittstelle zu ermöglichen, fügen Sie der Richtlinie die `ec2:ModifyNetworkInterfaceAttribute`-Aktion hinzu.
## Sicherheitsgruppenregeln verwalten
Die folgende Richtlinie erteilt Rollen die Berechtigung, alle Sicherheitsgruppen und Sicherheitsgruppenregeln anzuzeigen, Regeln für ein- und ausgehenden Datenverkehr für die Sicherheitsgruppen für eine bestimmte VPC hinzuzufügen und zu entfernen und Regelbeschreibungen für die angegebene VPC zu ändern. Die erste Anweisung verwendet den Bedingungsschlüssel `ec2:Vpc`, um Berechtigungen für eine bestimmte VPC festzulegen.
Die zweite Anweisung erteilt Rollen die Berechtigung zum Beschreiben aller Sicherheitsgruppen, Sicherheitsgruppenregeln und Markierungen. Auf diese Weise können Rollen Sicherheitsgruppenregeln anzeigen, um sie zu ändern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group-rule/*"
}
]
}
```
------
## Starten von Instances in einem bestimmten Subnetz
Mit der folgenden Richtlinie wird Rollen die Berechtigung zum Starten von Instances in einem bestimmten Subnetz sowie die Nutzung einer bestimmten Sicherheitsgruppe in der Anfrage gewährt. Die Richtlinie tut dies, indem sie den ARN für das Subnetz und den ARN für die Sicherheitsgruppe angibt. Wenn Rollen versuchen, eine Instance in einem anderen Subnetz zu starten oder eine andere Sicherheitsgruppe zu verwenden, schlägt die Anfrage fehl, sofern Rollen nicht durch andere Richtlinien oder Anweisungen eine entsprechende Erlaubnis dafür gewährt wird.
Außerdem wird in der Richtlinie die Berechtigung zum Verwenden der Netzwerkschnittstellenressource gewährt. Beim Starten einer Instance in einem Subnetz wird mithilfe der Anfrage `RunInstances` standardmäßig eine primäre Netzwerkschnittstelle erstellt. Daher benötigt die Rolle die Berechtigung zum Erstellen dieser Ressource beim Starten der Instance.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1::image/ami-*",
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-1234567890abcdef0",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/sg-0abcdef1234567890"
]
}
]
}
```
------
## Starten von Instances in einer bestimmten VPC
Mit der folgenden Richtlinie wird Rollen die Berechtigung zum Starten von Instances in beliebigen Subnetzen einer bestimmten VPC gewährt. Hierfür wird ein Bedingungsschlüssel (`ec2:Vpc`) auf die Subnetzressource angewendet.
Die Richtlinie gewährt Rollen außerdem die Erlaubnis, nur Instances zu starten AMIs , die das Tag "`department=dev`" verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1:123456789012:subnet/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1::image/ami-*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/*"
]
}
]
}
```
------
## Sperrt den öffentlichen Zugriff VPCs auf Subnetze
Die folgenden Richtlinienbeispiele gewähren Rollen die Erlaubnis, mit der [VPC-Funktion Block Public Access (BPA)](security-vpc-bpa.md) zu arbeiten, um den öffentlichen Zugriff auf Ressourcen in VPCs und Subnetzen zu blockieren.
Beispiel 1: Erlauben Sie den schreibgeschützten Zugriff auf Kontoeinstellungen für VPC BPA und VPC-BPA-Ausschlüsse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAReadOnlyAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Beispiel 2: Erlauben Sie den vollständigen Lese- und Schreibzugriff auf die Kontoeinstellungen für VPC BPA und die VPC-BPA-Ausschlüsse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAFullAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions",
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion",
"ec2:ModifyVpcBlockPublicAccessExclusion",
"ec2:DeleteVpcBlockPublicAccessExclusion"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Beispiel 3 — Erlauben Sie den Zugriff auf alle EC2-Dateien, APIs mit Ausnahme der Änderung der VPC-BPA-Einstellungen und der Erstellung von Ausnahmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2FullAccess",
"Action": [
"ec2:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "VPCBPAPartialAccess",
"Action": [
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion"
],
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
## Weitere Beispiele für Amazon VPC-Richtlinien
Weitere IAM-Beispielrichtlinien zu Amazon VPC finden Sie in der folgenden Dokumentation:
+ [Verwaltete Präfixlisten](managed-prefix-lists.md#managed-prefix-lists-iam)
+ [Datenverkehrsspiegelung](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html)
+ [Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies)
+ [VPC-Endpunkte und VPC-Endpunkt-Services (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_id-based-policy-examples.html)
+ [VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html)
# Fehlerbehebung für Amazon VPC-Identität und -Zugriff
Diagnostizieren und beheben Sie mithilfe der folgenden Informationen gängige Probleme, die bei der Verwendung von Amazon VPC und IAM auftreten können.
**Topics**
+ [Ich bin nicht autorisiert, eine Aktion in Amazon VPC auszuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon VPC-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht autorisiert, eine Aktion in Amazon VPC auszuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson`-IAM-Benutzer versucht, die Konsole zum Anzeigen von Details zu einem Subnetz zu verwenden, das jedoch zu einer IAM-Rolle gehört, die nicht über `ec2:DescribeSubnets`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung der Richtlinie, um auf das Subnetz zugreifen zu können.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zur Ausführung der Aktion `iam:PassRole` autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an Amazon VPC übergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon VPC auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon VPC-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen dazu, ob Amazon VPC diese Features unterstützt, finden Sie unter [Funktionsweise von der Amazon VPC mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen in AWS-Konten Ihrem Besitz gewähren können, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , dem Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) gehören.*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für Amazon Virtual Private Cloud
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: Amazon VPCFull Access
Sie können die `AmazonVPCFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Berechtigungen, die vollen Zugriff auf Amazon VPC ermöglichen.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon VPCFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCFullAccess.html) in der *Referenz für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: Amazon VPCRead OnlyAccess
Sie können die `AmazonVPCReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Berechtigungen, die einen schreibgeschützten Zugriff auf Amazon VPC erlauben.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon VPCRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCReadOnlyAccess.html) in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: Amazon VPCCross AccountNetworkInterfaceOperations
Sie können die `AmazonVPCCrossAccountNetworkInterfaceOperations`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Berechtigungen, die es der Identität ermöglichen, Netzwerkschnittstellen zu erstellen und an kontoübergreifende Ressourcen anzuhängen.
Die Berechtigungen für diese Richtlinie finden Sie unter [Amazon VPCCross AccountNetworkInterfaceOperations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCCrossAccountNetworkInterfaceOperations.html) in der *Referenz zu AWS verwalteten Richtlinien*.
## AWS verwaltete Richtlinie: AWSService RoleFor NATGateway
Sie können die `AWSServiceRoleForNATGateway`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Berechtigungen, die es der Identität ermöglichen, in Ihrem Namen zu arbeiten, um regionale NAT-Gateways automatisch zu skalieren.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSServiceRoleForNATGateway ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForNATGateway.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## Amazon VPC-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon VPC an, seit dieser Service im März 2021 damit begonnen hat, diese Änderungen zu verfolgen.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| [AWS verwaltete Richtlinie: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Der AWSIPAMService RolePolicy verwalteten Richtlinie (ec2:ModifyManagedPrefixList, undec2:GetManagedPrefixListEntries) wurden Aktionen hinzugefügtec2:DescribeManagedPrefixLists, um IPAM das Ändern und Lesen verwalteter Präfixlisten zu ermöglichen. | 31. Oktober 2025 |
| [AWS verwaltete Richtlinie: AWSService RoleFor NATGateway](#security-iam-awsmanpol-AWSServiceRoleForNATGateway) – Neue Richtlinie | Eine neue AWSService RoleFor NATGateway Richtlinie ermöglicht es der Identität, regionale NAT-Gateways automatisch zu skalieren. | 19. November 2025 |
| [AWS verwaltete Richtlinie: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die DisassociateSecurityGroupVpc Aktionen AssociateSecurityGroupVpcDescribeSecurityGroupVpcAssociations, und wurden hinzugefügt, mit VPCs denen Sie Zuordnungen zu Sicherheitsgruppen zuordnen, trennen und anzeigen können. | 9. Dezember 2024 |
| [AWS verwaltete Richtlinie: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Die DescribeSecurityGroupVpcAssociations Aktion wurde hinzugefügt, mit der Sie Sicherheitsgruppenzuordnungen zu anzeigen können VPCs. | 9. Dezember 2024 |
| [AWS verwaltete Richtlinie: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die Aktion GetSecurityGroupsForVpc wurde hinzugefügt, mit der Sie Sicherheitsgruppen abrufen können, die in Ihrer VPC verwendet werden können. | 8. Februar 2024 |
| [AWS verwaltete Richtlinie: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Die Aktion GetSecurityGroupsForVpc wurde hinzugefügt, mit der Sie Sicherheitsgruppen abrufen können, die in Ihrer VPC verwendet werden können. | 8. Februar 2024 |
| [AWS verwaltete Richtlinie: Amazon VPCCross AccountNetworkInterfaceOperations](#security-iam-awsmanpol-AmazonVPCCrossAccountNetworkInterfaceOperations) – Aktualisierung auf eine bestehende Richtlinie | Die UnassignIpv6Addresses Aktionen AssignIpv6Addresses und, mit denen Sie die IPv6 Adressen verwalten können, die Netzwerkschnittstellen zugeordnet sind, wurden hinzugefügt. | 25. September 2023 |
| [AWS verwaltete Richtlinie: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Die DescribeSecurityGroupRules-Aktion wurde hinzugefügt, mit der Sie [Sicherheitsgruppenregeln](security-group-rules.md) anzeigen können. | 2. August 2021 |
| [AWS verwaltete Richtlinie: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die DescribeSecurityGroupRules- und ModifySecurityGroupRules-Aktionen wurden hinzugefügt, mit denen Sie [Sicherheitsgruppenregeln](security-group-rules.md) anzeigen und ändern können. | 2. August 2021 |
| [AWS verwaltete Richtlinie: Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Es wurden Aktionen für Carrier-Gateways, IPv6 Pools, lokale Gateways und lokale Gateway-Routentabellen hinzugefügt. | 23. Juni 2021 |
| [AWS verwaltete Richtlinie: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Es wurden Aktionen für Carrier-Gateways, IPv6 Pools, lokale Gateways und lokale Gateway-Routentabellen hinzugefügt. | 23. Juni 2021 |
# Verwenden von serviceverknüpften Rollen für VPC
Amazon VPC verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit VPC verknüpft ist. Dienstverknüpfte Rollen sind von VPC vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von VPC, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. VPC definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur VPC ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre VPC-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja** steht.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Dienstbezogene Rollenberechtigungen für VPC
VPC verwendet die serviceverknüpfte Rolle mit dem Namen **AWSServiceRoleForNATGateway**— Diese serviceverknüpfte Rolle ermöglicht es Amazon VPC, in Ihrem Namen Elastic IP-Adressen zuzuweisen, um regionale NAT-Gateways automatisch zu skalieren, Ihre vorhandenen Elastic auf Anfrage regionalen NAT-Gateways zuzuordnen und IPs zu trennen und Netzwerkschnittstellen zu beschreiben, um Ihre bestehende Infrastruktur zu identifizieren und automatisch in neue Availability Zones zu expandieren.
Die AWSService RoleFor NATGateway serviceverknüpfte Rolle vertraut darauf, dass die folgenden Services die Rolle übernehmen:
+ `ec2-nat-gateway.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie AWSNATGateway ServiceRolePolicy ermöglicht es VPC, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `AllocateAddress` auf Service Managed EIPs , um die Zuteilung in EIPs Ihrem Namen vorzunehmen. Service Managed EIPs verarbeitet das nachfolgende Tagging mit vom Service verwalteten Tags automatisch. ReleaseAddress
+ Aktion: `AssociateAddress` auf Ihre bereits vorhandenen Elastic IP-Adressen, um sie auf Anfrage manuell Ihrem regionalen NAT-Gateway zuzuordnen.
+ Aktion: `DisassociateAddress` auf Ihre bereits vorhandenen Elastic IP-Adressen, um sie auf Anfrage aus dem regionalen NAT-Gateway zu entfernen.
+ Aktion: `DescribeAddresses` Um öffentliche IP-Adressinformationen von einem Kunden zu erhalten, die Ihnen ein Mitarbeiter EIPs zur Verfügung gestellt hat.
+ Aktion: `DescribeNetworkInterface` Auf Ihren vorhandenen Netzwerkschnittstellen zur automatischen Identifizierung der Availability Zones, in denen sich Ihre Infrastruktur befindet, und zur automatischen Skalierung auf neue Zonen.
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für VPC erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie ein NAT-Gateway mit einem „regionalen“ Verfügbarkeitsmodus in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, erstellt VPC die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den VPC-Dienst vor dem 1. Januar 2017 verwendet haben, als er begann, serviceverknüpfte Rollen zu unterstützen, hat VPC die AWSService RoleFor NATGateway Rolle außerdem in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). AWS-Konto
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie ein NAT-Gateway mit einem „regionalen“ Verfügbarkeitsmodus erstellen, erstellt VPC die serviceverknüpfte Rolle erneut für Sie.
Sie können auch die IAM-Konsole verwenden, um eine serviceverknüpfte Rolle mit dem Anwendungsfall zu erstellen. **AWSServiceRoleForNATGateway** Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem `ec2-nat-gateway.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer serviceverknüpften Rolle für VPC
In VPC können Sie die AWSService RoleFor NATGateway serviceverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für VPC
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der VPC-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um VPC-Ressourcen zu löschen, die von AWSService RoleFor NATGateway**
+ Löschen Sie alle regionalen NAT-Gateways in allen Regionen, in denen sie bereitgestellt wurden.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleFor NATGateway serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für dienstverknüpfte VPC-Rollen
VPC unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
VPC unterstützt nicht die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Sie können die AWSService RoleFor NATGateway Rolle in den folgenden Regionen verwenden.
| Name der Region | Regions-ID | Support in VPC |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Afrika (Kapstadt) | af-south-1 | Ja |
| Asien-Pazifik (Hongkong) | ap-east-1 | Ja |
| Asien-Pazifik (Taipeh) | ap-east-2 | Ja |
| Asien-Pazifik (Jakarta) | ap-southeast-3 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Hyderabad) | ap-south-2 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Asien-Pazifik (Melbourne) | ap-southeast-4 | Ja |
| Asien-Pazifik (Malaysia) | ap-southeast-5 | Ja |
| Asien-Pazifik (Neuseeland) | ap-southeast-6 | Ja |
| Asien-Pazifik (Thailand) | ap-southeast-7 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Kanada West (Calgary) | ca-west-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Zürich) | eu-central-2 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Milan) | eu-south-1 | Ja |
| Europa (Spain) | eu-south-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Europa (Stockholm) | eu-north-1 | Ja |
| Israel (Tel Aviv) | il-central-1 | Ja |
| Naher Osten (Bahrain) | me-south-1 | Ja |
| Naher Osten (VAE) | me-central-1 | Ja |
| Naher Osten (Saudi-Arabien) | me-west-1 | Ja |
| Mexiko (Zentral) | mx-central-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| AWS GovCloud (US-Ost) | us-gov-east-1 | Nein |
| AWS GovCloud (US-West) | us-gov-west-1 | Nein |
# Infrastruktursicherheit in Amazon VPC
Als verwalteter Service ist Amazon Virtual Private Cloud durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon VPC zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
## Netzwerkisolierung
Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der AWS Cloud. Verwenden Sie VPCs es separat, um die Infrastruktur nach Arbeitslast oder organisatorischer Einheit zu isolieren.
Ein Subnetz ist ein Bereich von IP-Adressen in einer VPC. Wenn Sie eine Instance starten, starten Sie sie in einem Subnetz in Ihrer VPC. Verwenden Sie Subnetze, um Ihre Anwendungsschichten (z. B. Web, Anwendung und Datenbank) innerhalb einer einzelnen VPC zu isolieren. Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen.
Sie können [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)damit Ressourcen in Ihrer VPC so einrichten, dass sie AWS-Services über private IP-Adressen eine Verbindung herstellen, als ob diese Dienste direkt in Ihrer VPC gehostet würden. Daher müssen Sie für den Zugriff kein Internet-Gateway oder NAT-Gerät verwenden. AWS-Services
## Kontrollieren des Netzwerkverkehrs
Erwägen Sie die folgenden Optionen für die Kontrolle des Netzwerkverkehrs zu den Ressourcen in Ihrer VPC, wie beispielsweise EC2-Instances:
+ Verwenden Sie [Sicherheitsgruppen](vpc-security-groups.md) als primären Mechanismus zur Steuerung des Netzwerkzugriffs auf Ihre VPCs. Verwenden Sie bei Bedarf das [Netzwerk](vpc-network-acls.md), ACLs um eine zustandslose, grobe Netzwerksteuerung zu ermöglichen. Sicherheitsgruppen sind vielseitiger als Netzwerke ACLs, da sie in der Lage sind, statusbehaftete Pakete zu filtern und Regeln zu erstellen, die auf andere Sicherheitsgruppen verweisen. Das Netzwerk ACLs kann als sekundäre Kontrolle (z. B. zur Abwehr einer bestimmten Teilmenge des Datenverkehrs) oder als Schutzwall für Subnetze auf hoher Ebene eingesetzt werden. Da Netzwerke ACLs für ein ganzes Subnetz gelten, können sie auch so verwendet werden, als ob defense-in-depth eine Instance jemals ohne die richtige Sicherheitsgruppe gestartet wird.
+ Verwenden Sie für Ihre Instances private Subnetze, wenn Sie nicht direkt aus dem Internet erreichbar sein sollen. Verwenden Sie einen Bastion-Host oder ein NAT-Gateway für den Internetzugriff von Instances in einem privaten Subnetz.
+ Konfigurieren Sie Subnetz-[Routing-Tabellen](VPC_Route_Tables.md) mit den minimalen Netzwerkrouten, um Ihre Konnektivitätsanforderungen zu erfüllen.
+ Erwägen Sie, zusätzliche Sicherheitsgruppen oder Netwerk-Schnittstellen, um den Datenverkehr der Amazon Ec2-Instance-Verwaltung getrennt vom regulären Anwendungsdatenverkehr zu steuern und zu prüfen. So können Sie spezielle IAM-Richtlinien für die Änderungskontrolle implementieren, die die Prüfung von Änderungen an Sicherheitsgruppenregeln oder automatischen Skripten zur Regelüberprüfung erleichtern. Mehrere Netzwerk-Schnittstellen bieten außerdem zusätzliche Optionen zur Steuerung des Netzwerkdatenverkehrs, einschließlich der Möglichkeit, hostbasierte Routing-Richtlinien zu erstellen oder verschiedene VPC-Subnetz-Routing-Regeln basierend auf einer einem Subnetz zugewiesenen Netzwerkschnittstelle zu nutzen.
+ Verwenden Sie AWS Virtual Private Network oder Direct Connect , um private Verbindungen von Ihren Remote-Netzwerken zu Ihren VPCs herzustellen. Weitere Informationen finden Sie unter [Network-to-Amazon VPC-Konnektivitätsoptionen](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html).
+ Verwenden Sie [VPC Flow-Protokolle](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), um den Datenverkehr zu überwachen, der Ihre Instances erreicht.
+ Verwenden Sie [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), um nach unbeabsichtigten Netzwerkzugriffsmöglichkeiten von Ihren Instances zu suchen.
+ Verwenden Sie [AWS Network Firewall](network-firewall.md), um die Subnetze in Ihrer VPC vor allgemeinen Netzwerkbedrohungen zu schützen.
## Vergleichen Sie Sicherheitsgruppen und Netzwerk ACLs
In der folgenden Tabelle sind die grundlegenden Unterschiede zwischen Sicherheitsgruppen und Netzwerken ACLs zusammengefasst.
| Merkmal | Sicherheitsgruppe | Netzwerk-ACL |
| --- | --- | --- |
| Betriebsniveau | Instance-Ebene | Subnetzniveau |
| Scope | Gilt für alle Instances, die mit der Sicherheitsgruppe verbunden sind. | Gilt für alle Instances in den verbundenen Subnetzen |
| Art der Regel | Nur Regeln zulassen | Zulassen- und Verweigern-Regeln |
| Regelauswertung | Alle Regeln werden vor dem Erlauben von Datenverkehr ausgewertet. | Bewertet Regeln in aufsteigender Reihenfolge, bis eine Übereinstimmung für den Datenverkehr gefunden wird |
| Datenverkehr zurücksenden | Automatisch zugelassen (zustandsbehaftet) | Muss ausdrücklich erlaubt sein (zustandslos) |
Das folgende Diagramm zeigt die Sicherheitsebenen, die von Sicherheitsgruppen und Netzwerken bereitgestellt ACLs werden. Datenverkehr von einem Internet-Gateway wird beispielsweise mithilfe der Routen aus der Routing-Tabelle an das entsprechende Subnetz weitergeleitet. Über die Regeln der dem Subnetz zugeordneten Netzwerk-ACL wird festgelegt, welcher Datenverkehr auf das Subnetz zugreifen kann. Über die Regeln der einer Instance zugeordneten Sicherheitsgruppe wird festgelegt, welcher Datenverkehr auf die Instance zugreifen kann.
![\[Der Verkehr wird mithilfe von Sicherheitsgruppen und Netzwerken gesteuert ACLs\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/security-comparison.png)
Sie können Ihre Instances nur mit Sicherheitsgruppen sichern. Sie können jedoch ein Netzwerk ACLs als zusätzliche Verteidigungsebene hinzufügen. Weitere Informationen finden Sie unter [Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz](nacl-examples.md).
# Steuern Sie den Datenverkehr zu Ihren AWS Ressourcen mithilfe von Sicherheitsgruppen
Eine *Sicherheitsgruppe* steuert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Nachdem Sie beispielsweise eine Sicherheitsgruppe mit einer EC2-Instance verknüpft haben, steuert sie den ein- und ausgehenden Datenverkehr für die Instance.
Wenn Sie eine VPC erstellen, verfügt diese über eine Standardsicherheitsgruppe. Sie können für eine VPC zusätzliche Sicherheitsgruppen erstellen, jede mit ihren eigenen Regeln für eingehenden und ausgehenden Datenverkehr. Sie können die Quelle, den Portbereich und das Protokoll für jede Regel für eingehenden Datenverkehr angeben. Sie können das Ziel, den Portbereich und das Protokoll für jede Regel für ausgehenden Datenverkehr angeben.
Das folgende Diagramm zeigt eine VPC mit einer Sicherheitsgruppe, einem Internet-Gateway und einem Subnetz. Das Subnetz enthält eine EC2-Instance. Die Sicherheitsgruppe ist der Instance zugeordnet. Die Sicherheitsgruppe fungiert als virtuelle Firewall. Der einzige Datenverkehr, der die Instance erreicht, ist der Datenverkehr, der nach den Sicherheitsgruppenregeln zulässig ist. Wenn die Sicherheitsgruppe beispielsweise eine Regel enthält, die ICMP-Datenverkehr von Ihrem Netzwerk zur Instance zulässt, können Sie die Instance von Ihrem Computer aus anpingen. Wenn die Sicherheitsgruppe keine Regel enthält, die SSH-Datenverkehr zulässt, konnten Sie mit SSH keine Verbindung zu Ihrer Instance herstellen.
![\[VPC mit 2 Subnetzen, 2 Sicherheitsgruppen, Servern in Subnetzen, die verschiedenen Sicherheitsgruppen zugeordnet sind\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/security-group-overview.png)
**Topics**
+ [Sicherheitsgruppengrundlagen](#security-group-basics)
+ [Beispiel für eine Sicherheitsgruppe](#security-group-example-details)
+ [Sicherheitsgruppenregeln](security-group-rules.md)
+ [Standardsicherheitsgruppen](default-security-group.md)
+ [Eine Sicherheitsgruppe erstellen](creating-security-groups.md)
+ [Konfigurieren von Sicherheitsgruppenregeln](working-with-security-group-rules.md)
+ [Löschen einer Sicherheitsgruppe](deleting-security-groups.md)
+ [Ordnen Sie Sicherheitsgruppen mehreren zu VPCs](security-group-assoc.md)
+ [Sicherheitsgruppen mit AWS Organizations teilen](security-group-sharing.md)
**Preisgestaltung**
Für die Nutzung von Sicherheitsgruppen fallen keine zusätzlichen Gebühren an.
## Sicherheitsgruppengrundlagen
+ Sie können eine Sicherheitsgruppe Ressourcen zuweisen, die in derselben VPC wie die Sicherheitsgruppe erstellt wurden, oder Ressourcen in einer anderen, VPCs wenn Sie die [Sicherheitsgruppe mithilfe der Funktion Security Group VPC Association](security-group-assoc.md) anderen VPCs in derselben Region zuordnen. Sie können auch einer Ressource mehrere Sicherheitsgruppen zuweisen.
+ Wenn Sie eine Sicherheitsgruppe erstellen, müssen Sie einen Namen und eine Beschreibung dafür angeben. Die folgenden Regeln gelten:
+ Der Name einer Sicherheitsgruppe muss innerhalb der VPC eindeutig sein.
+ Bei Namen von Sicherheitsgruppen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
+ Namen und Beschreibungen können bis zu 255 Zeichen lang sein.
+ Namen und Beschreibungen dürfen nur die folgenden Zeichen enthalten: a-z, A-Z, 0-9, Leerzeichen und .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
+ Wenn der Name nachgestellte Leerzeichen enthält, schneiden wir das Leerzeichen am Ende des Namens ab. Wenn Sie beispielsweise „Sicherheitsgruppe testen“ als Namen eingeben, wird er als „Sicherheitsgruppe testen“ gespeichert.
+ Ein Sicherheitsgruppenname darf nicht mit `sg-` beginnen.
+ Sicherheitsgruppen sind zustandsbehaftet. Wenn Sie zum Beispiel von Ihrer Instance eine Anforderung senden, wird der Antwortdatenverkehr für diese Anforderung zugelassen, unabhängig der für diese Sicherheitsgruppe geltenden eingehenden Regeln. Antworten auf zulässigen eingehenden Datenverkehr dürfen unabhängig von den Regeln für ausgehenden Datenverkehr die Instance verlassen.
+ Sicherheitsgruppen filtern keinen Datenverkehr, der für die folgenden Ziele bestimmt ist oder von diesen ausgeht:
+ Amazon Domain Name Services (DNS)
+ Amazon Dynamic Host Configuration Protocol (DHCP)
+ Amazon EC2-Instance-Metadaten
+ Amazon-ECS-Endpunkte für Aufgabenmetadaten
+ Lizenzaktivierung für Windows-Instances
+ Amazon Time Sync Service
+ Reservierte IP-Adressen, die vom Standard-VPC-Router verwendet werden
+ Es gibt Kontingente für die Anzahl der Sicherheitsgruppen, die Sie pro VPC erstellen können, für die Anzahl der Regeln, die Sie den einzelnen Sicherheitsgruppen hinzufügen können, und für die Anzahl der Sicherheitsgruppen, die Sie einer Netzwerkschnittstelle zuordnen können. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](amazon-vpc-limits.md).
**Best Practices**
+ Autorisieren Sie nur bestimmte IAM-Prinzipale zum Erstellen und Ändern von Sicherheitsgruppen.
+ Erstellen Sie die Mindestanzahl von Sicherheitsgruppen, die Sie benötigen, um das Fehlerrisiko zu verringern. Verwenden Sie jede Sicherheitsgruppe, um den Zugriff auf Ressourcen mit ähnlichen Funktionen und Sicherheitsanforderungen zu verwalten.
+ Wenn Sie eingehende Regeln für die Ports 22 (SSH) oder 3389 (RDP) hinzufügen, damit Sie auf Ihre EC2-Instances zugreifen können, lassen Sie nur bestimmte IP-Adressbereiche zu. Wenn Sie 0.0.0.0/0 (IPv4) und: :/ (IPv6) angeben, kann jeder mit dem angegebenen Protokoll von einer beliebigen IP-Adresse aus auf Ihre Instances zugreifen.
+ Öffnen Sie keine großen Portbereiche. Stellen Sie sicher, dass der Zugriff über jeden Port auf die Quellen oder Ziele beschränkt ist, die ihn benötigen.
+ Erwägen Sie die Einrichtung eines Netzwerks ACLs mit Regeln, die Ihren Sicherheitsgruppen ähneln, um Ihrer VPC eine zusätzliche Sicherheitsebene hinzuzufügen. Weitere Informationen zu den Unterschieden zwischen Sicherheitsgruppen und Netzwerken finden Sie ACLs unter[Vergleichen Sie Sicherheitsgruppen und Netzwerk ACLs](infrastructure-security.md#VPC_Security_Comparison).
## Beispiel für eine Sicherheitsgruppe
Das folgende Diagramm zeigt eine VPC mit zwei Sicherheitsgruppen und zwei Subnetzen. Die Instances in Subnetz A haben dieselben Konnektivitätsanforderungen und sind daher der Sicherheitsgruppe 1 zugewiesen. Die Instances in Subnetz B haben dieselben Konnektivitätsanforderungen und sind daher der Sicherheitsgruppe 2 zugewiesen. Die Sicherheitsgruppenregeln lassen Datenverkehr wie folgt zu:
+ Die erste eingehende Regel in Sicherheitsgruppe 1 erlaubt SSH-Datenverkehr zu den Instances in Subnetz A aus dem angegebenen Adressbereich (z. B. einem Bereich in Ihrem eigenen Netzwerk).
+ Die zweite Regel für eingehenden Datenverkehr in Sicherheitsgruppe 1 ermöglicht es den Instances in Subnetz A, über ein beliebiges Protokoll und einen beliebigen Port miteinander zu kommunizieren.
+ Die zweite Regel für eingehenden Datenverkehr in Sicherheitsgruppe 2 ermöglicht es den Instances in Subnetz B, über ein beliebiges Protokoll und einen beliebigen Port miteinander zu kommunizieren.
+ Die zweite Regel für eingehenden Datenverkehr in Sicherheitsgruppe 2 ermöglicht es den Instances in Subnetz A, über SSH mit den Instances in Subnetz B zu kommunizieren.
+ Beide Sicherheitsgruppen nutzen die Standardregel für ausgehenden Datenverkehr, die den gesamten Datenverkehr zulässt.
![\[Eine VPC mit zwei Sicherheitsgruppen und Servern in zwei Subnetzen. Die Server in Subnetz A sind der Sicherheitsgruppe 1 zugewiesen. Die Server in Subnetz B sind der Sicherheitsgruppe 2 zugewiesen.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/security-group-details.png)
# Sicherheitsgruppenregeln
Die Regeln einer Sicherheitsgruppe steuern den eingehenden Datenverkehr, der die Ressourcen erreichen darf, die der Sicherheitsgruppe zugeordnet sind. Die Regeln steuern auch den ausgehenden Datenverkehr, der sie verlassen darf.
Sie können einer Sicherheitsgruppe Regeln hinzufügen oder diese entfernen (auch als *Autorisieren* oder *Widerrufen* des eingehenden bzw. ausgehenden Zugriffs bezeichnet). Eine Regel bezieht sich entweder auf den eingehenden Datenverkehr (Eingang) oder den ausgehenden Datenverkehr (Ausgang). Sie können Zugriff auf eine bestimmte Quelle oder ein bestimmtes Ziel gewähren.
**Topics**
+ [Sicherheitsgruppen – Grundlagen für Regeln](#security-group-rule-characteristics)
+ [Komponenten einer Sicherheitsgruppenregel](#security-group-rule-components)
+ [Referenzierung von Sicherheitsgruppen](#security-group-referencing)
+ [Größe der Sicherheitsgruppe](#security-group-size)
+ [Veraltete Sicherheitsgruppenregeln](#vpc-stale-security-group-rules)
## Sicherheitsgruppen – Grundlagen für Regeln
Es folgen die grundlegenden Merkmale von Sicherheitsgruppenregeln:
+ Sie können Regeln zum Erlauben, aber nicht zum Ablehnen einrichten.
+ Wenn Sie eine Sicherheitsgruppe zuerst erstellen, verfügt sie über keine Regeln für den eingehenden Datenverkehr. Aus diesem Grund ist kein eingehender Verkehr erlaubt, bis Sie der Sicherheitsgruppe Regeln für eingehenden Verkehr hinzufügen.
+ Wenn Sie zum ersten Mal eine Sicherheitsgruppe erstellen, verfügt diese über eine Regel für ausgehenden Datenverkehr, die den gesamten ausgehenden Datenverkehr von der Ressource zulässt. Sie können die Regel entfernen und ausgehende Regeln hinzufügen, die nur bestimmten ausgehenden Datenverkehr erlauben. Wenn Ihre Sicherheitsgruppe keine Regeln für den ausgehenden Datenverkehr hat, ist kein ausgehender Datenverkehr erlaubt.
+ Wenn Sie mehrere Sicherheitsgruppen mit einer Ressource verbinden, werden die Regeln jeder Sicherheitsgruppe effektiv zu einem einzigen Regelsatz zusammengeführt, der verwendet wird um zu bestimmen, ob ein Zugriff zugelassen werden soll.
+ Wenn Sie Regeln hinzufügen, aktualisieren oder entfernen, gelten diese Änderungen automatisch für alle Ressourcen, die der Sicherheitsgruppe zugewiesen sind. Detaillierte Anweisungen finden Sie unter [Konfigurieren von Sicherheitsgruppenregeln](working-with-security-group-rules.md).
+ Die Auswirkung einiger Regeländerungen kann davon abhängen, wie der Datenverkehr nachverfolgt wird. Weitere Informationen finden Sie unter [Verbindungsverfolgung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) im *Amazon-EC2-Benutzerhandbuch*.
+ Wenn Sie eine Sicherheitsgruppenregel erstellen, AWS weist Sie der Regel eine eindeutige ID zu. Sie können die ID einer Regel verwenden, wenn Sie die API oder CLI verwenden, um die Regel zu ändern oder zu löschen.
**Einschränkung**
[Sicherheitsgruppen können DNS-Anfragen an oder vom Route 53 Resolver nicht blockieren, der manchmal als „VPC\$12-IP-Adresse“ (siehe [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)im *Amazon Route 53 Developer Guide*) oder als DNS bezeichnet wird. AmazonProvided](DHCPOptionSet.md) Um DNS-Anfragen durch den Route 53 Resolver zu filtern, verwenden Sie die [DNS-Firewall des Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
## Komponenten einer Sicherheitsgruppenregel
Nachfolgend sind die Komponenten der Regeln für eingehende und ausgehende Sicherheitsgruppen aufgeführt:
+ **Protokoll**: Das zulässige Protokoll. Die üblichsten Protokolle sind 6 (TCP) 17 (UDP) und 1 (ICMP).
+ **Portbereich**: zulässiger Portbereich für TCP, UDP oder ein benutzerdefiniertes Protokoll. Sie können eine einzelne Portnummer (zum Beispiel `22`) oder einen Bereich von Portnummern (zum Beispiel `7000-8000`) angeben.
+ **ICMP-Typ und -Code**: Für ICMP der ICMP-Typ und -Code. Verwenden Sie beispielsweise Typ 8 für ICMP-Echoanforderung oder Typ 128 für Echoanforderung. ICMPv6 Weitere Informationen finden Sie unter [Regeln für Ping/ICMP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) im *Amazon-EC2-Benutzerhandbuch*.
+ **Quelle oder Ziel**: Die Quelle (eingehende Regeln) oder das Ziel (ausgehende Regeln), die für den Datenverkehr zugelassen sind. Geben Sie eines der folgenden Elemente an:
+ Eine einzelne IPv4 Adresse. Sie müssen die `/32`-Präfixlänge verwenden. Beispiel, `203.0.113.1/32`.
+ Eine einzige IPv6 Adresse. Sie müssen die `/128`-Präfixlänge verwenden. Beispiel, `2001:db8:1234:1a00::123/128`.
+ Ein IPv4 Adressbereich in CIDR-Blocknotation. Beispiel, `203.0.113.0/24`.
+ Ein IPv6 Adressbereich in CIDR-Blocknotation. Beispiel, `2001:db8:1234:1a00::/64`.
+ Die ID einer Präfixliste. Beispiel, `pl-1234abc1234abc123`. Weitere Informationen finden Sie unter [Verwaltete Präfixlisten](managed-prefix-lists.md).
+ Die ID einer Sicherheitsgruppe. Beispiel, `sg-1234567890abcdef0`. Weitere Informationen finden Sie unter [Referenzierung von Sicherheitsgruppen](#security-group-referencing).
+ **(Optional) Beschreibung**: Sie können eine Beschreibung für die Regel hinzufügen, die Ihnen helfen kann, sie später zu identifizieren. Eine Beschreibung kann bis zu 255 Zeichen lang sein. Zulässige Zeichen sind a-z, A-Z, 0-9, , Leerzeichen und .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.
Beispiele finden Sie unter [Sicherheitsgruppenregeln für verschiedene Anwendungsfälle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) im *Amazon-EC2-Benutzerhandbuch*.
## Referenzierung von Sicherheitsgruppen
Wenn Sie eine Sicherheitsgruppe als Quelle oder Ziel für eine Regel angeben, wirkt sich die Regel auf alle Instances aus, die den Sicherheitsgruppen zugeordnet sind. Die Instances können unter Verwendung der privaten IP-Adressen der Instances über das festgelegte Protokoll und den angegebenen Port in die vorgegebene Richtung kommunizieren.
Das Folgende stellt beispielsweise eine Regel für eingehenden Datenverkehr für eine Sicherheitsgruppe dar, die auf die Sicherheitsgruppe sg-0abcdef1234567890 verweist. Diese Regel erlaubt eingehenden SSH-Datenverkehr von den Instances, die mit sg-0abcdef1234567890 verknüpft sind.
| Quelle | Protocol (Protokoll) | Port-Bereich |
| --- | --- | --- |
| sg-0abcdef1234567890 | TCP | 22 |
Berücksichtigen Sie Folgendes, wenn Sie in einer Sicherheitsgruppenregel auf eine Sicherheitsgruppe verweisen:
+ Sie können eine Sicherheitsgruppe in der eingehenden Regel einer anderen Sicherheitsgruppe referenzieren, wenn eine der folgenden Bedingungen erfüllt ist:
+ Die Sicherheitsgruppen sind mit der gleichen VPC verknüpft.
+ Es besteht eine Peering-Verbindung zwischen den VPCs , denen die Sicherheitsgruppen zugeordnet sind.
+ Zwischen den, VPCs denen die Sicherheitsgruppen zugeordnet sind, befindet sich ein Transit-Gateway.
+ Sie können eine Sicherheitsgruppe in der ausgehenden Regel referenzieren, wenn eine der folgenden Bedingungen erfüllt ist:
+ Die Sicherheitsgruppen sind mit der gleichen VPC verknüpft.
+ Es besteht eine Peering-Verbindung zwischen den VPCs , denen die Sicherheitsgruppen zugeordnet sind.
+ Es werden keine Regeln aus der referenzierten Sicherheitsgruppe der Sicherheitsgruppe hinzugefügt, die darauf verweist.
+ Bei Regeln für eingehenden Datenverkehr können die EC2-Instances, die einer Sicherheitsgruppe zugewiesen sind, eingehenden Datenverkehr von den privaten IP-Adressen von den Netzwerkschnittstellen für die EC2-Instances empfangen, die der referenzierten Sicherheitsgruppe zugewiesen sind.
+ Bei Regeln für ausgehenden Datenverkehr können die einer Sicherheitsgruppe zugewiesenen EC2-Instances ausgehenden Datenverkehr an die privaten IP-Adressen von den Netzwerkschnittstellen für die EC2-Instances senden, die der referenzierten Sicherheitsgruppe zugewiesen sind.
+ Bei den folgenden Aktionen gewähren wir keine Autorisierung gegen Sicherheitsgruppen, auf die verwiesen wird: `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress` und `RevokeSecurityGroupEgress`. Wir prüfen nur, ob die Sicherheitsgruppe vorhanden ist. Daraus resultiert Folgendes:
+ Das Festlegen der Sicherheitsgruppe, auf die in den IAM-Richtlinien für diese Aktionen verwiesen wird, hat keine Auswirkung.
+ Wenn eine Sicherheitsgruppe, auf die verwiesen wird, einem anderen Konto gehört, empfängt das Besitzerkonto keine CloudTrail Ereignisse für diese Aktionen.
**Einschränkung**
Wenn Sie Routen konfigurieren, um den Datenverkehr zwischen zwei Instances in unterschiedlichen Subnetzen über eine Middlebox-Appliance weiterzuleiten, müssen Sie sicherstellen, dass die Sicherheitsgruppen für beide Instances den Datenverkehr zwischen den Instances zulassen. Die Sicherheitsgruppe für jede Instance muss die private IP-Adresse der anderen Instance oder den CIDR-Bereich des Subnetzes, das die andere Instance enthält, als Quelle referenzieren. Wenn Sie die Sicherheitsgruppe der anderen Instance als Quelle referenzieren, wird dadurch kein Datenverkehr zwischen den Instances möglich.
**Beispiel**
Das folgende Diagramm zeigt eine VPC mit Subnetzen in zwei Availability Zones, einem Internet-Gateway und einem Application Load Balancer. Jede Availability Zone hat ein öffentliches Subnetz für Webserver und ein privates Subnetz für Datenbankserver. Es gibt separate Sicherheitsgruppen für den Load Balancer, die Webserver und die Datenbankserver. Erstellen Sie die folgenden Sicherheitsgruppenregeln, um Datenverkehr zuzulassen.
+ Fügen Sie der Sicherheitsgruppe des Load Balancer Regeln hinzu, um HTTP- und HTTPS-Datenverkehr aus dem Internet zuzulassen. Die Quelle ist 0.0.0.0/0.
+ Fügen Sie der Sicherheitsgruppe für die Webserver Regeln hinzu, um nur HTTP- und HTTPS-Datenverkehr vom Load Balancer zuzulassen. Die Quelle ist die Sicherheitsgruppe für den Load Balancer.
+ Fügen Sie der Sicherheitsgruppe Regeln für die Datenbankserver Regeln hinzu, um nur Datenbankanforderungen von den Webservern zuzulassen. Die Quelle ist die Sicherheitsgruppe für die Webserver.
![\[Architektur mit Web- und DB-Servern, Sicherheitsgruppen, Internet-Gateway und Load Balancer\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/security-group-referencing.png)
## Größe der Sicherheitsgruppe
Der Typ der Quelle oder des Ziels bestimmt, wie jede Regel auf die maximale Anzahl von Regeln angerechnet wird, die Sie pro Sicherheitsgruppe haben können.
+ Eine Regel, die auf einen CIDR-Block verweist, gilt als eine Regel.
+ Eine Regel, die auf eine andere Sicherheitsgruppe verweist, gilt als eine Regel, und zwar unabhängig von der Größe der referenzierten Sicherheitsgruppe.
+ Eine Regel, die auf eine vom Kunden verwaltete Präfixliste verweist, gilt als maximale Größe der Präfixliste. Wenn die maximale Größe Ihrer Präfixliste beispielsweise 20 beträgt, gilt eine Regel, die auf diese Präfixliste verweist, als 20 Regeln.
+ Eine Regel, die auf eine von AWS-verwaltete Präfixliste verweist, zählt als Gewichtung der Präfixliste. Wenn die Gewichtung der Präfixliste beispielsweise 10 beträgt, zählt eine Regel, die auf diese Präfixliste verweist, als 10 Regeln. Weitere Informationen finden Sie unter [Verfügbare verwaltete AWS Präfixlisten](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).
## Veraltete Sicherheitsgruppenregeln
Wenn Ihre VPC über eine VPC-Peering-Verbindung mit einer anderen VPC verfügt oder eine von einem anderen Konto freigegebene VPC verwendet, kann eine Sicherheitsgruppenregel in Ihrer VPC auf eine Sicherheitsgruppe in dieser Peer-VPC oder freigegebenen VPC verweisen. Dadurch können Ressourcen, die der referenzierten Sicherheitsgruppe zugeordnet sind, und solche, die der referenzierenden Sicherheitsgruppe zugeordnet sind, miteinander kommunizieren. Weitere Informationen finden Sie unter [Aktualisieren Ihrer Sicherheitsgruppen, um auf Peer-Sicherheitsgruppen zu verweisen](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) im *Handbuch für Amazon-VPC-Peering*.
Wenn Sie eine Sicherheitsgruppenregel haben, die auf eine Sicherheitsgruppe in einer Peer-VPC oder einer freigegebenen VPC verweist, und die Sicherheitsgruppe in der freigegebenen VPC gelöscht oder die VPC-Peering-Verbindung gelöscht wird, wird die Sicherheitsgruppenregel als veraltet markiert. Sie können veraltete Sicherheitsgruppenregeln genau wie alle anderen Sicherheitsgruppenregeln löschen.
# Standard-Sicherheitsgruppen für Ihre VPCs
Ihre Standardsicherheitsgruppe VPCs und alle VPCs , die Sie erstellen, verfügen über eine Standardsicherheitsgruppe. Der Namen der Standard-Sicherheitsgruppe ist „default“.
Es wird empfohlen, Sicherheitsgruppen für bestimmte Ressourcen oder Ressourcengruppen zu erstellen, anstatt die Standardsicherheitsgruppe zu verwenden. Wenn Sie jedoch einigen Ressourcen bei der Erstellung keine Sicherheitsgruppe zuordnen, ordnen wir sie der Standardsicherheitsgruppe zu. Wenn Sie beispielsweise beim Starten einer EC2-Instance keine Sicherheitsgruppe festlegen, wird die Standardsicherheitsgruppe für die zugehörige VPC zugeordnet.
## Grundlagen für Standard-Sicherheitsgruppen
+ Sie können die Regeln für eine Standardsicherheitsgruppe ändern.
+ Sie können eine Standardsicherheitsgruppe nicht löschen. Wenn Sie versuchen, eine Standardsicherheitsgruppe zu löschen, sehen Sie die folgende Fehlermeldung: `Client.CannotDelete`.
## Standardregeln
Die folgende Tabelle beschreibt die Standard-Eingangsregeln für eine Standardsicherheitsgruppe.
| Quelle | Protocol (Protokoll) | Port-Bereich | Description |
| --- | --- | --- | --- |
| sg-1234567890abcdef0 | Alle | Alle | Lässt eingehenden Datenverkehr von allen Ressourcen zu, die dieser Sicherheitsgruppe zugewiesen sind. Die Quelle ist die ID dieser Sicherheitsgruppe. |
Die folgende Tabelle beschreibt die Standard-Ausgangsregeln für eine Standardsicherheitsgruppe.
| Ziel | Protocol (Protokoll) | Port-Bereich | Beschreibung |
| --- | --- | --- | --- |
| 0.0.0.0/0 | Alle | Alle | Lässt den gesamten ausgehenden IPv4 Verkehr zu. |
| ::/0 | Alle | Alle | Lässt den gesamten ausgehenden Verkehr IPv6 zu. Diese Regel wird nur hinzugefügt, wenn Ihrer VPC ein IPv6 CIDR-Block zugeordnet ist. |
## Beispiel
Das folgende Diagramm zeigt eine VPC mit einer Standard-Sicherheitsgruppe, einem Internet-Gateway und einem NAT-Gateway. Die Standardsicherheit enthält nur ihre Standardregeln und ist zwei EC2-Instances zugeordnet, die in der VPC ausgeführt werden. In diesem Szenario kann jede Instance eingehenden Datenverkehr von der anderen Instance auf allen Ports und Protokollen empfangen. Die Standardregeln erlauben es den Instances nicht, Datenverkehr vom Internet-Gateway oder vom NAT-Gateway zu empfangen. Wenn Ihre Instances zusätzlichen Datenverkehr erhalten müssen, empfehlen wir Ihnen, eine Sicherheitsgruppe mit den erforderlichen Regeln zu erstellen und die neue Sicherheitsgruppe den Instances anstelle der Standardsicherheitsgruppe zuzuweisen.
![\[VPC mit 2 Subnetzen, Standardsicherheitsgruppe, 2 EC2-Instances, Internet-Gateway und NAT-Gateway\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/default-security-group.png)
# Erstellen einer Sicherheitsgruppe für Ihre VPC
Ihre Virtual Private Cloud (VPC) verfügt über eine Standardsicherheitsgruppe. Sie können zusätzliche Sicherheitsgruppen erstellen. Sicherheitsgruppen können nur mit Ressourcen in der VPC verwendet werden, für die sie erstellt wurden.
Standardmäßig enthält jede Sicherheitsgruppe am Anfang nur eine Regel für ausgehenden Datenverkehr, die sämtlichen von der Ressource ausgehenden Datenverkehr zulässt. Sie müssen Regeln hinzufügen, um eingehenden Datenverkehr zuzulassen oder den ausgehenden Datenverkehr einzuschränken. Sie können Regeln hinzufügen, wenn Sie eine Sicherheitsgruppe erstellen oder zu einem späteren Zeitpunkt. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln](security-group-rules.md).
**Erforderliche -Berechtigungen**
Stellen Sie zuerst sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie hier:
+ [Verwalten von Sicherheitsgruppen](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Sicherheitsgruppenregeln verwalten](vpc-policy-examples.md#vpc-security-group-rules-iam)
**Erstellen einer Sicherheitsgruppe mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie **Create security group (Sicherheitsgruppe erstellen)** aus.
1. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein. Sie können den Namen und die Beschreibung einer Sicherheitsgruppe nach der Erstellung nicht mehr ändern.
1. Wählen Sie für **VPC** die VPC aus, in der Sie die Ressourcen erstellen werden, denen Sie die Sicherheitsgruppe zuordnen.
1. (Optional) Wählen Sie **Regeln für eingehenden Datenverkehr** aus, um Regeln für den eingehenden Datenverkehr hinzuzufügen. Wählen Sie für jede Regel **Regel hinzufügen** aus und geben Sie das Protokoll, den Port und die Quelle an. Weitere Informationen finden Sie unter [Konfigurieren von Sicherheitsgruppenregeln](working-with-security-group-rules.md).
1. (Optional) Wählen Sie **Regeln für ausgehenden Datenverkehr** aus, um ausgehende Regeln hinzuzufügen. Wählen Sie für jede Regel **Regel hinzufügen** aus und geben Sie das Protokoll, den Port und das Ziel an.
1. (Optional) Um ein Tag hinzuzufügen, wählen Sie **Add new tag** (Neuen Tag hinzufügen) aus und geben Sie den Schlüssel und den Wert für den Tag ein.
1. Wählen Sie **Sicherheitsgruppe erstellen** aus.
**Um eine Sicherheitsgruppe mit dem zu erstellen AWS CLI**
Verwenden Sie den Befehl [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).
Alternativ können Sie eine neue Sicherheitsgruppe erstellen, indem Sie eine bestehende Gruppe kopieren. Wenn Sie eine Sicherheitsgruppe kopieren, fügen wir automatisch die gleichen Regeln für ein- und ausgehenden Datenverkehr wie die ursprüngliche Sicherheitsgruppe hinzu und verwenden die gleiche VPC wie die ursprüngliche Sicherheitsgruppe. Sie können einen Namen und eine Beschreibung für die neue Sicherheitsgruppe eingeben. Sie können optional eine andere VPC auswählen und die Regeln für ein- und ausgehenden Datenverkehr nach Bedarf ändern. Jedoch können Sie eine Sicherheitsgruppe nicht von einer Region in eine andere Region kopieren.
**So erstellen Sie eine Sicherheitsgruppe auf der Grundlage einer bestehenden Gruppe**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie eine Sicherheitsgruppe.
1. Wählen Sie **Aktionen**, **In neue Sicherheitsgruppe kopieren** aus.
1. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein.
1. (Optional) Wählen Sie bei Bedarf eine andere VPC aus.
1. (Optional) Fügen Sie die Sicherheitsgruppenregeln nach Bedarf hinzu, entfernen oder bearbeiten Sie sie.
1. Wählen Sie **Sicherheitsgruppe erstellen** aus.
# Konfigurieren von Sicherheitsgruppenregeln
Nachdem Sie eine Sicherheitsgruppe erstellt haben, können Sie ihre Sicherheitsgruppenregeln hinzufügen, aktualisieren und löschen. Wenn Sie eine Regel hinzufügen, aktualisieren oder löschen, wird die Änderung automatisch auf die Ressourcen angewendet, die mit der Sicherheitsgruppe verknüpft sind.
**Erforderliche Berechtigungen**
Stellen Sie zuerst sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln verwalten](vpc-policy-examples.md#vpc-security-group-rules-iam).
**Protokolle und Ports**
+ Wenn Sie in der Konsole einen vordefinierten Typ auswählen, werden **Protokoll** und **Portbereich** für Sie angegeben. Um einen Portbereich einzugeben, müssen Sie einen der folgenden benutzerdefinierten Typen auswählen: **Benutzerdefiniertes TCP** oder **Benutzerdefiniertes UDP**.
+ Mit dem AWS CLI können Sie mithilfe der `--port` Optionen `--protocol` und eine einzelne Regel mit einem einzigen Port hinzufügen. Um mehrere Regeln oder eine Regel mit einem Portbereich hinzuzufügen, verwenden Sie stattdessen die Option `--ip-permissions`.
**Quellen und Ziele**
+ Mit der Konsole können Sie Folgendes als Quellen für Regeln für eingehenden Datenverkehr oder als Ziele für Regeln für ausgehenden Datenverkehr angeben.
+ **Benutzerdefiniert** — Ein IPv4 CIDR-Block, ein IPv6 CIDR-Block, eine Sicherheitsgruppe oder eine Präfixliste.
+ **Anywhere- IPv4** — Der IPv4 0.0.0.0/0 CIDR-Block.
+ **Anywhere- IPv6** — Der: :/0 CIDR-Block. IPv6
+ **Meine IP** — Die öffentliche IPv4 Adresse Ihres lokalen Computers.
+ Mit der AWS CLI können Sie mithilfe der Option einen IPv4 CIDR-Block oder mithilfe der `--cidr` Option eine Sicherheitsgruppe angeben. `--source-group` Verwenden Sie die Option, um eine Präfixliste oder einen IPv6 CIDR-Block anzugeben. `--ip-permissions`
**Warnung**
Wenn Sie **Anywhere-** wählenIPv4, lassen Sie Verkehr von allen IPv4 Adressen zu. Wenn Sie **Anywhere-** wählenIPv6, lassen Sie Verkehr von allen IPv6 Adressen zu. Es empfiehlt sich, nur die spezifischen IP-Adressbereiche zu autorisieren, die Zugriff auf Ihre Ressourcen benötigen.
**So konfigurieren Sie Sicherheitsgruppenregeln mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie die Sicherheitsgruppe aus.
1. Wählen Sie unter **Aktionen** oder auf der Registerkarte **Regeln für eingehenden Datenverkehr** die Option **Bearbeiten von Regeln für eingehenden Datenverkehr** aus, um die Regeln für den eingehenden Datenverkehr zu bearbeiten.
1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** aus und geben Sie den Typ, das Protokoll, den Port und die Quelle für die Regel ein.
Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus **Protocol (Protokoll=** und, falls zutreffend, den Codenamen aus **Port range (Portbereich)** wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.
1. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn es sich bei der Quelle beispielsweise um einen IPv4 CIDR-Block handelt, können Sie keinen IPv6 CIDR-Block, keine Präfixliste oder keine Sicherheitsgruppe angeben.
1. Klicken Sie auf die Schaltfläche **Löschen**, um eine Regel zu löschen.
1. Um die Regeln für den ausgehenden Datenverkehr zu bearbeiten, wählen Sie **Regeln für ausgehenden Datenverkehr bearbeiten** unter **Aktionen** oder auf der Registerkarte **Regeln für ausgehenden Datenverkehr** aus.
1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** aus und geben Sie den Typ, das Protokoll, den Port und das Ziel für die Regel ein. Sie können auch eine optionale Beschreibung eingeben.
Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus **Protocol (Protokoll=** und, falls zutreffend, den Codenamen aus **Port range (Portbereich)** wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.
1. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn es sich bei der Quelle beispielsweise um einen IPv4 CIDR-Block handelt, können Sie keinen IPv6 CIDR-Block, keine Präfixliste oder keine Sicherheitsgruppe angeben.
1. Klicken Sie auf die Schaltfläche **Löschen**, um eine Regel zu löschen.
1. Wählen Sie **Regeln speichern** aus.
**Um Sicherheitsgruppenregeln mit dem zu konfigurieren AWS CLI**
+ **Hinzufügen** — Verwenden Sie die [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)Befehle [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)und.
+ **Entfernen** — Verwenden Sie die [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)Befehle [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)und.
+ **Ändern** [— Verwenden Sie die Befehle [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html), [update-security-group-rule-descriptions-ingress und -descriptions-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html). update-security-group-rule](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html)
# Löschen einer Sicherheitsgruppe
Wenn Sie eine von Ihnen erstellte Sicherheitsgruppe nicht mehr benötigen, können Sie diese löschen.
**Voraussetzungen**
+ Die Sicherheitsgruppe kann mit keinen Ressourcen verknüpft werden.
+ Die Sicherheitsgruppe kann nicht von einer Regel in einer anderen Sicherheitsgruppe referenziert werden.
+ Die Sicherheitsgruppe kann nicht die Standardsicherheitsgruppe für eine VPC sein.
**Löschen einer Sicherheitsgruppe mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **die Option** Sicherheitsgruppen aus.
1. Wählen Sie die Sicherheitsgruppe und dann **Aktionen**, **Sicherheitsgruppe löschen** aus.
1. Wenn Sie mehr als eine Sicherheitsgruppe ausgewählt haben, werden Sie zur Bestätigung aufgefordert. Wenn einige der Sicherheitsgruppen nicht gelöscht werden können, wird der Status der einzelnen Sicherheitsgruppen angezeigt, der angibt, ob sie gelöscht werden. Geben Sie **Löschen** ein, um den Löschvorgang zu bestätigen.
1. Wählen Sie **Löschen** aus.
**Um eine Sicherheitsgruppe mit dem zu löschen AWS CLI**
Verwenden Sie den Befehl [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).
# Ordnen Sie Sicherheitsgruppen mehreren zu VPCs
Wenn Sie mehrere Workloads haben VPCs , die dieselben Netzwerksicherheitsanforderungen haben, können Sie die Funktion Sicherheitsgruppen-VPC-Zuordnungen verwenden, um eine Sicherheitsgruppe mehreren VPCs in derselben Region zuzuordnen. Auf diese Weise können Sie Sicherheitsgruppen für mehrere VPCs in Ihrem Konto an einem Ort verwalten und verwalten.
![\[Ein Diagramm der Sicherheitsgruppe, die zwei Gruppen zugeordnet ist VPCs.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/sec-group-vpc-assoc.png)
Das obige Diagramm zeigt AWS Konto A mit zwei VPCs darin. Jeder von ihnen VPCs hat Workloads, die in einem privaten Subnetz ausgeführt werden. In diesem Fall haben die Workloads in den Subnetzen von VPC A und B dieselben Anforderungen an den Netzwerkdatenverkehr, sodass Konto A das Feature für Sicherheitsgruppen-VPC-Zuordnungen verwenden kann, um die Sicherheitsgruppe in VPC A mit VPC B zu verknüpfen. Alle an der verknüpften Sicherheitsgruppe vorgenommenen Aktualisierungen werden automatisch auf den Datenverkehr der Workloads im Subnetz von VPC B angewendet.
**Anforderungen des Features für Sicherheitsgruppen-VPC-Zuordnungen**
+ Sie müssen Eigentümer der VPC sein oder eines der VPC-Subnetze für Sie freigegeben haben, um eine Sicherheitsgruppe mit der VPC zu verknüpfen.
+ Die VPC und die Sicherheitsgruppe müssen sich in derselben AWS Region befinden.
+ Sie können eine Standardsicherheitsgruppe nicht mit einer anderen VPC oder eine Sicherheitsgruppe mit einer Standard-VPC verknüpfen.
+ Sowohl der Eigentümer der Sicherheitsgruppe als auch der Eigentümer der VPC können die VPC-Zuordnungen der Sicherheitsgruppe einsehen.
**Services, die dieses Feature unterstützen**
+ Amazon API Gateway ( APIs nur REST)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
## Verknüpfen einer Sicherheitsgruppe mit einer anderen VPC
In diesem Abschnitt wird erklärt, wie Sie AWS-Managementkonsole und die verwenden AWS CLI , um eine Sicherheitsgruppe zuzuordnen VPCs.
------
#### [ AWS Management Console ]
**So verknüpfen Sie eine Sicherheitsgruppe mit einer anderen VPC**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.
1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.
1. Wählen Sie die Registerkarte **VPC-Zuordnungen** aus.
1. Wählen Sie **Associate VPC (VPC zuordnen)** aus.
1. Wählen Sie unter **VPC-ID** eine VPC aus, die der Sicherheitsgruppe zugeordnet werden soll.
1. Wählen Sie **Associate VPC (VPC zuordnen)** aus.
------
#### [ Command line ]
**So verknüpfen Sie eine Sicherheitsgruppe mit einer anderen VPC**
1. Erstellen Sie eine VPC-Zuordnung mit [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html).
1. Überprüfen Sie den Status einer VPC-Assoziation mit [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) und warten Sie, bis der Status angezeigt wird. `associated`
------
Die VPC ist nun mit der Sicherheitsgruppe verknüpft.
Sobald Sie die VPC mit der Sicherheitsgruppe verknüpft haben, können Sie z. B. [eine Instance in der VPC starten und diese neue Sicherheitsgruppe auswählen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) oder [diese Sicherheitsgruppe in einer bestehenden Sicherheitsgruppenregel referenzieren](security-group-rules.md#security-group-referencing).
## Aufheben der Verknüpfung einer Sicherheitsgruppe mit einer anderen VPC
In diesem Abschnitt wird erklärt, wie Sie mit AWS-Managementkonsole und die die Zuordnung AWS CLI zu einer Sicherheitsgruppe aufheben können. VPCs Sie sollten dies tun, wenn Sie die Sicherheitsgruppe löschen möchten. Sicherheitsgruppen können nicht gelöscht werden, wenn sie zugeordnet sind. Sie können die Zuordnung zu einer Sicherheitsgruppe nur dann aufheben, wenn es in der zugehörigen VPC keine Netzwerkschnittstellen gibt, die diese Sicherheitsgruppe verwenden.
------
#### [ AWS Management Console ]
**So heben Sie die Zuordnung einer Sicherheitsgruppe zu einer VPC auf**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.
1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.
1. Wählen Sie die Registerkarte **VPC-Zuordnungen** aus.
1. Wählen Sie **VPC-Zuordnung aufheben** aus.
1. Wählen Sie unter **VPC-ID** eine VPC aus, deren Zuordnung zur Sicherheitsgruppe aufgehoben werden soll.
1. Wählen Sie **VPC-Zuordnung aufheben** aus.
1. Zeigen Sie den **Status** der Aufhebung der Zuordnung auf der Registerkarte „VPC-Zuordnungen“ an und warten Sie, bis der Status `disassociated` lautet.
------
#### [ Command line ]
**So heben Sie die Verknüpfung einer Sicherheitsgruppe mit einer VPC auf**
1. Trennen Sie eine VPC-Zuordnung zu. [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html)
1. Überprüfen Sie den Status einer VPC-Dissoziation mit [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) und warten Sie, bis der Status angezeigt wird. `disassociated`
------
Die Zuordnung der VPC zur Sicherheitsgruppe ist nun aufgehoben.
# Sicherheitsgruppen mit AWS Organizations teilen
Mit der Funktion „Gemeinsame Sicherheitsgruppe“ können Sie eine Sicherheitsgruppe mit Konten anderer AWS Organizations in derselben AWS Region teilen und die Sicherheitsgruppe für die Verwendung durch diese Konten verfügbar machen.
Das folgende Diagramm zeigt, wie Sie die Funktion „Gemeinsame Sicherheitsgruppe“ verwenden können, um die Verwaltung von Sicherheitsgruppen für alle Konten in Ihren AWS Organizations zu vereinfachen:
![\[Ein Diagramm der Freigabe von Sicherheitsgruppen für andere Konten in einem freigegebenen VPC-Subnetz.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/sec-group-sharing.png)
Dieses Diagramm zeigt drei Konten, die Teil derselben Organisation sind. Konto A teilt sich ein VPC-Subnetz mit den Konten B und C. Konto A teilt die Sicherheitsgruppe mit den Konten B und C mithilfe des Features für freigegebene Sicherheitsgruppen. Die Konten B und C verwenden dann diese Sicherheitsgruppe, wenn sie Instances im freigegebenen Subnetz starten. Dadurch kann Konto A die Sicherheitsgruppe verwalten. Alle Aktualisierungen der Sicherheitsgruppe gelten für die Ressourcen, die von den Konten B und C im freigegebenen VPC-Subnetz ausgeführt werden.
**Anforderungen des Features für freigegebene Sicherheitsgruppen**
+ Dieses Feature ist nur für Konten in derselben Organisation in AWS Organizations verfügbar. Die [gemeinsame Nutzung von Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) muss in AWS Organizations aktiviert sein.
+ Das Konto, das die Sicherheitsgruppe freigibt, muss sowohl die VPC als auch die Sicherheitsgruppe besitzen.
+ Sie können keine Standardsicherheitsgruppen freigeben.
+ Sie können keine Sicherheitsgruppen freigeben, die sich in einer Standard-VPC befinden.
+ Teilnehmerkonten können Sicherheitsgruppen in einer freigegebenen VPC erstellen, aber sie können diese Sicherheitsgruppen nicht freigeben.
+ Damit ein IAM-Prinzipal eine Sicherheitsgruppe gemeinsam nutzen kann, ist ein Mindestsatz an Berechtigungen erforderlich. AWS RAM Verwenden Sie die von `AmazonEC2FullAccess` und `AWSResourceAccessManagerFullAccess` verwalteten IAM-Richtlinien, um sicherzustellen, dass Ihre IAM-Prinzipale über die erforderlichen Berechtigungen verfügen, um freigegebene Sicherheitsgruppen freizugeben und zu nutzen. Wenn Sie eine benutzerdefinierte IAM-Richtlinie verwenden, sind die Aktionen `c2:PutResourcePolicy` und `ec2:DeleteResourcePolicy` erforderlich. Dies sind IAM-Aktionen, die nur für Berechtigungen gelten. Wenn einem IAM-Prinzipal diese Berechtigungen nicht erteilt wurden, tritt beim Versuch, die Sicherheitsgruppe mit AWS RAM freizugeben, ein Fehler auf.
**Services, die dieses Feature unterstützen**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker KI
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
**So wirkt sich dieses Feature auf bestehende Kontingente aus**
Es gelten [Kontingente für Sicherheitsgruppen](amazon-vpc-limits.md#vpc-limits-security-groups). Für das Kontingent „Sicherheitsgruppen pro Netzwerkschnittstelle“ gilt jedoch das Minimum des Kontingents von Eigentümer und Teilnehmer, wenn ein Teilnehmer sowohl eigene als auch freigegebene Gruppen auf einer Elastic-Network-Schnittstelle (ENI) verwendet.
Beispiel zur Veranschaulichung, wie sich dieses Feature auf das Kontingent auswirkt:
+ Kontingent für Eigentümerkonten: 4 Sicherheitsgruppen pro Schnittstelle
+ Kontingent für Teilnehmerkonten: 5 Sicherheitsgruppen pro Schnittstelle.
+ Der Eigentümer gibt die Gruppen SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 für den Teilnehmer frei. Der Teilnehmer hat bereits eigene Gruppen in der VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Wenn der Teilnehmer eine ENI erstellt und nur seine eigenen Gruppen verwendet, kann er alle 5 Sicherheitsgruppen (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) zuordnen, da dies sein Kontingent ist.
+ Wenn der Teilnehmer eine ENI erstellt und alle freigegebenen Gruppen darauf verwendet, kann er nur bis zu 4 Gruppen zuordnen. In diesem Fall ist das Kontingent für eine solche ENI das Minimum der Kontingente von Eigentümer und Teilnehmer. Mögliche gültige Konfigurationen sehen wie folgt aus:
+ SG-O1, SG-P1, SG-P2, SG-P3
+ SG-O1, SG-O2, SG-O3, SG-O4
## Freigeben einer Sicherheitsgruppe
In diesem Abschnitt wird erklärt, wie Sie AWS-Managementkonsole und die verwenden AWS CLI , um eine Sicherheitsgruppe mit anderen Konten in Ihrer Organisation zu teilen.
------
#### [ AWS Management Console ]
**So geben Sie eine Sicherheitsgruppe frei**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.
1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.
1. Wählen Sie die Registerkarte **Sharing (Freigabe)**.
1. Klicken Sie auf **Sicherheitsgruppe freigeben**.
1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus. Daraufhin wird die AWS RAM Konsole geöffnet, in der Sie die Ressourcenfreigabe für die Sicherheitsgruppe erstellen.
1. Geben Sie einen **Namen** für die Ressourcenfreigabe ein.
1. Wählen Sie unter **Ressourcen – optional** die Option **Sicherheitsgruppen** aus.
1. Wählen Sie eine Sicherheitsgruppe aus. Die Sicherheitsgruppe kann keine Standardsicherheitsgruppe sein und kann nicht mit der Standard-VPC verknüpft werden.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Aktionen, die Prinzipale ausführen dürfen, und wählen Sie **Weiter** aus.
1. Wählen Sie unter **Prinzipale – optional** die Option **Zulassen der Freigabe nur innerhalb der eigenen Organisation** aus.
1. Wählen Sie unter **Prinzipale** einen der folgenden Prinzipaltypen aus und geben Sie die entsprechenden Nummern ein:
+ **AWS Konto**: Die Kontonummer eines Kontos in Ihrer Organisation.
+ **Organisation**: Die AWS Organisations-ID.
+ **Organisationseinheit (OU)**: Die ID einer OU in der Organisation.
+ **IAM-Rolle**: Der ARN einer IAM-Rolle. Das Konto, das die Rolle erstellt hat, muss Mitglied derselben Organisation sein wie das Konto, das diese Ressourcenfreigabe erstellt.
+ **IAM-Benutzer**: Der ARN eines IAM-Benutzers. Das Konto, das den Benutzer erstellt hat, muss Mitglied derselben Organisation sein wie das Konto, das diese Ressourcenfreigabe erstellt.
+ **Service-Prinzipal**: Sie können eine Sicherheitsgruppe nicht für einen Service-Prinzipal freigeben.
1. Wählen Sie **Hinzufügen** aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.
1. Warten Sie unter **Freigegebene Ressourcen**, bis der **Status** von `Associated` angezeigt wird. Wenn die Zuordnung einer Sicherheitsgruppe fehlschlägt, kann dies auf eine der oben genannten Einschränkungen zurückzuführen sein. Sehen Sie sich die Details der Sicherheitsgruppe und die Registerkarte **Freigabe** auf der Detailseite an, um alle Meldungen zu sehen, die sich darauf beziehen, warum eine Sicherheitsgruppe möglicherweise nicht freigegeben werden kann.
1. Kehren Sie zur Liste der Sicherheitsgruppen der VPC-Konsole zurück.
1. Wählen Sie die Sicherheitsgruppe, die Sie freigegeben haben.
1. Wählen Sie die Registerkarte **Sharing (Freigabe)**. Ihre AWS RAM Ressource sollte dort sichtbar sein. Ist dies nicht der Fall, ist die Erstellung der Ressourcenfreigabe möglicherweise fehlgeschlagen und Sie müssen sie möglicherweise neu erstellen.
------
#### [ Command line ]
**So geben Sie eine Sicherheitsgruppe frei**
1. Sie müssen zunächst eine Ressourcenfreigabe für die Sicherheitsgruppe erstellen, mit der Sie die Ressource teilen möchten AWS RAM. Anweisungen zum Erstellen einer Ressourcenfreigabe AWS RAM mithilfe von finden Sie unter [Erstellen einer Ressourcenfreigabe AWS RAM im AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Benutzerhandbuch AWS CLI*
1. Um erstellte Ressourcenfreigabezuordnungen anzuzeigen, verwenden Sie [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).
------
Die Sicherheitsgruppe ist nun freigegeben. Sie können die Sicherheitsgruppe beim [Start einer EC2-Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) in einem gemeinsam genutzten Subnetz innerhalb derselben VPC auswählen.
## Beenden der Freigabe einer Sicherheitsgruppe
In diesem Abschnitt wird erklärt, wie Sie die AWS-Managementkonsole und die verwenden AWS CLI , um die gemeinsame Nutzung einer Sicherheitsgruppe mit anderen Konten in Ihrer Organisation zu beenden.
------
#### [ AWS Management Console ]
**So beenden Sie die Freigabe einer Sicherheitsgruppe**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.
1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.
1. Wählen Sie die Registerkarte **Sharing (Freigabe)**.
1. Wählen Sie eine Ressourcenfreigabe für eine Sicherheitsgruppe aus und klicken Sie auf **Freigabe beenden**.
1. Wählen Sie **Ja, die Freigabe beenden** aus.
------
#### [ Command line ]
**So beenden Sie die Freigabe einer Sicherheitsgruppe**
Löschen Sie die Ressource gemeinsam mit [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).
------
Die Sicherheitsgruppe wird nicht mehr freigegeben. Nachdem der Eigentümer die Freigabe einer Sicherheitsgruppe beendet hat, gelten die folgenden Regeln:
+ Elastic Network Interfaces (ENIs) für bestehende Teilnehmer erhalten weiterhin alle Aktualisierungen der Sicherheitsgruppenregeln, die an Sicherheitsgruppen vorgenommen werden, die nicht gemeinsam genutzt werden. Das Beenden der Freigabe hindert den Teilnehmer nur daran, neue Verknüpfungen mit der nicht freigegebenen Gruppe herzustellen.
+ Teilnehmer können die nicht gemeinsam genutzte Sicherheitsgruppe nicht mehr mit einer Gruppe verknüpfen, die ENIs ihnen gehört.
+ Die Teilnehmer können diejenigen beschreiben und löschen ENIs , die noch nicht gemeinsam genutzten Sicherheitsgruppen zugeordnet sind.
+ Wenn die Teilnehmer immer noch der nicht gemeinsam genutzten Sicherheitsgruppe ENIs zugeordnet sind, kann der Besitzer die nicht gemeinsam genutzte Sicherheitsgruppe nicht löschen. Der Besitzer kann die Sicherheitsgruppe erst löschen, nachdem die Teilnehmer die Zuordnung der Sicherheitsgruppe zu all ihren Gruppen getrennt (entfernt) haben. ENIs
+ Teilnehmer können keine neuen EC2-Instances mit einer ENI starten, die mit einer nicht freigegebenen Sicherheitsgruppe verknüpft ist.
# Steuerung des Datenverkehrs in Subnetzen mithilfe von Zugriffskontrolllisten für Netzwerke
Eine *Netzwerk-Zugriffssteuerungsliste (ACL)* erlaubt oder verweigert bestimmten eingehenden oder ausgehenden Datenverkehr auf der Subnetzebene. Sie können die Standard-Netzwerk-ACL für Ihre VPC verwenden, oder Sie können eine benutzerdefinierte Netzwerk-ACL für Ihre VPC mit Regeln erstellen, die den Regeln für Ihre Sicherheitsgruppen ähneln, um Ihrer VPC eine zusätzliche Sicherheitsebene hinzuzufügen.
Für die Nutzung des Netzwerks fallen keine zusätzlichen Gebühren an ACLs.
Das folgende Diagramm zeigt eine VPC mit zwei Subnetzen. Jedes Subnetz hat eine Netzwerk-ACL. Wenn Datenverkehr in die VPC gelangt (z. B. von einer durch Peering verbundenen VPC, einer VPN-Verbindung oder dem Internet), sendet der Router den Datenverkehr an das Ziel. Netzwerk-ACL A bestimmt, welcher Datenverkehr, der für Subnetz 1 bestimmt ist, in Subnetz 1 gelangen darf und welcher Datenverkehr, der für einen Standort außerhalb von Subnetz 1 bestimmt ist, Subnetz 1 verlassen darf. In ähnlicher Weise bestimmt Netzwerk-ACL B, welcher Datenverkehr in Subnetz 2 ein- und ausgehen darf.
![\[Eine VPC mit zwei Subnetzen und einer Netzwerk-ACL für jedes Subnetz.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/network-acl.png)
Informationen zu den Unterschieden zwischen Sicherheitsgruppen und Netzwerken ACLs finden Sie unter[Vergleichen Sie Sicherheitsgruppen und Netzwerk ACLs](infrastructure-security.md#VPC_Security_Comparison).
**Topics**
+ [Grundlagen von Netzwerk-ACLs](#nacl-basics)
+ [Regeln für Netzwerk-ACLs](nacl-rules.md)
+ [Standard-Netzwerk-ACL für eine VPC](default-network-acl.md)
+ [Benutzerdefiniertes Netzwerk ACLs für Ihre VPC](custom-network-acl.md)
+ [Pfad MTU Discovery und Netzwerk ACLs](path_mtu_discovery.md)
+ [Erstellen einer Netzwerk-ACL für Ihre VPC](create-network-acl.md)
+ [Verwalten von Netzwerk-ACL-Zuordnungen für Ihre VPC](network-acl-associations.md)
+ [Löschen einer Netzwerk-ACL für Ihre VPC](delete-network-acl.md)
+ [Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz](nacl-examples.md)
## Grundlagen von Netzwerk-ACLs
Im Folgenden finden Sie die grundlegenden Dinge, die Sie über Netzwerke wissen sollten, ACLs bevor Sie beginnen.
**Netzwerk-ACL-Zuordnungen**
+ Jedes Subnetz in Ihrer VPC muss mit einer Netzwerk-ACL verknüpft werden. Sofern Sie einem Subnetz nicht explizit eine Netzwerk-ACL zuordnen, gilt für das Subnetz automatisch die [Standardnetzwerk-ACL](default-network-acl.md).
+ Sie können eine [benutzerdefinierte Netzwerk-ACL](custom-network-acl.md) erstellen und einem Subnetz zuordnen. So können Sie bestimmten eingehenden oder ausgehenden Datenverkehr auf der Subnetzebene verweigern.
+ Sie können eine Netzwerk-ACL mehreren Subnetzen zuordnen. Ein Subnetz kann jedoch jeweils nur einer Netzwerk-ACL zugeordnet werden. Wenn Sie einem Subnetz eine Netzwerk-ACL zuordnen, wird die bisherige Zuordnung gelöscht.
**Regeln für Netzwerk-ACLs**
+ Eine Netzwerk-ACL hat Regeln für eingehenden und ausgehenden Datenverkehr. Es gibt [Kontingente (oder Beschränkungen) für die Anzahl der Regeln, die Sie pro Netzwerk-ACL einsetzen können](amazon-vpc-limits.md#vpc-limits-nacls). Jede Regel kann Datenverkehr entweder erlauben oder verweigern. Jede Regel hat eine Nummer von 1 bis 32.766. Die Regeln werden der Reihe nach ausgewertet, beginnend mit der Regel mit der niedrigsten Nummer, um zu entscheiden, ob der Verkehr zugelassen oder abgelehnt wird. Wenn der Datenverkehr mit einer Regel übereinstimmt, wird die Regel angewendet und wir werten keine zusätzlichen Regeln aus. Wir empfehlen, zunächst Regeln in Abschnitten zu erstellen (z. B. Abschnitte von 10 oder 100). So können Sie später neue Regeln einfach in Ihre Rangordnung einfügen.
+ Wir werten die Netzwerk-ACL-Regeln aus, wenn Datenverkehr in das Subnetz ein- und ausläuft, nicht wenn er innerhalb eines Subnetzes geroutet wird.
+ NACLs sind *zustandslos*, was bedeutet, dass Informationen über zuvor gesendeten oder empfangenen Datenverkehr nicht gespeichert werden. Wenn Sie beispielsweise eine NACL-Regel erstellen, um bestimmten eingehenden Datenverkehr zu einem Subnetz zuzulassen, werden Antworten auf diesen Datenverkehr nicht automatisch zugelassen. Dies steht im Gegensatz zur Funktionsweise von Sicherheitsgruppen. Sicherheitsgruppen sind *zustandsbehaftet*, das heißt, dass Informationen über zuvor gesendeten oder empfangenen Datenverkehr gespeichert werden. Wenn beispielsweise eine Sicherheitsgruppe eingehenden Datenverkehr zu einer EC2-Instance zulässt, werden Antworten unabhängig von den Regeln der ausgehenden Sicherheitsgruppe automatisch zugelassen.
**Einschränkungen**
+ Es gibt Kontingente (auch als Grenzwerte bezeichnet) für das Netzwerk ACLs. Weitere Informationen finden Sie unter [Netzwerk ACLs](amazon-vpc-limits.md#vpc-limits-nacls).
+ Das Netzwerk ACLs kann DNS-Anfragen an oder vom Route 53 Resolver (auch bekannt als VPC\$12-IP-Adresse oder AmazonProvided DNS) nicht blockieren. Um DNS-Anfragen durch den Route 53 Resolver zu filtern, können Sie [DNS-Firewall des Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) aktivieren.
+ Das Netzwerk ACLs kann den Datenverkehr zum Instanz-Metadatendienst (IMDS) nicht blockieren. Informationen zur Verwaltung des Zugriffs auf IMDS finden Sie unter [Konfiguration der Instance-Metadatenoptionen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) im *Benutzerhandbuch für Amazon EC2*.
+ Das Netzwerk filtert ACLs keinen Datenverkehr, der zu und von folgenden Zielen bestimmt ist:
+ Amazon Domain Name Services (DNS)
+ Amazon Dynamic Host Configuration Protocol (DHCP)
+ Amazon EC2-Instance-Metadaten
+ Amazon-ECS-Endpunkte für Aufgabenmetadaten
+ Lizenzaktivierung für Windows-Instances
+ Amazon Time Sync Service
+ Reservierte IP-Adressen, die vom Standard-VPC-Router verwendet werden
# Regeln für Netzwerk-ACLs
Sie können Regeln zur Standard-Netzwerk-ACL hinzufügen oder daraus entfernen oder ein zusätzliches Netzwerk ACLs für Ihre VPC erstellen. Wenn Sie Regeln zu einer Netzwerk-ACL hinzufügen oder daraus entfernen, werden die Änderungen automatisch auf die mit der Netzwerk-ACL verknüpften Subnetze angewendet.
Eine Netzwerk-ACL-Regel besteht aus folgenden Bestandteilen:
+ **Rule number (Regelnummer**. Regeln werden nacheinander beginnend mit der niedrigsten Nummer ausgewertet. Sobald der Datenverkehr mit einer Regel übereinstimmt, wird die Regel angewendet. Dabei werden Regeln mit höherer Nummer, die dieser Regel möglicherweise widersprechen, ignoriert.
+ **Typ**. Die Art des Datenverkehrs, z. B. SSH. Sie können auch den gesamten Datenverkehr oder einen benutzerdefinierten Bereich angeben.
+ **Protocol (Protokoll**. Sie können ein beliebiges Protokoll mit einer Standardprotokollnummer auswählen. Weitere Informationen finden Sie unter [Protocol Numbers](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). Wenn Sie als Protokoll ICMP auswählen, können Sie beliebige bzw. alle ICMP-Typen und -Codes angeben.
+ **Port-Bereich**. Der Listening-Port oder Portbereich für den Datenverkehr. Beispiel: 80 für HTTP-Datenverkehr.
+ **Quelle**. [Nur eingehende Regeln] Die Quelle des Datenverkehrs (CIDR-Bereich).
+ **Ziel**. [Nur ausgehende Regeln] Das Ziel für den Datenverkehr (CIDR-Bereich).
+ **Erlauben/Verweigern**. Gibt an, ob der angegebene Datenverkehr *erlaubt* oder *verweigert* werden soll.
Beispiele für Regeln finden Sie unter [Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz](nacl-examples.md).
## Überlegungen
+ Es gibt Kontingente (auch als Limits bezeichnet) für die Anzahl der Regeln pro Netzwerk ACLs. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](amazon-vpc-limits.md).
+ Wenn Sie eine Regel zu einer ACL hinzufügen oder daraus löschen, sind alle Subnetze, die der ACL zugeordnet sind, von dieser Änderung betroffen. Die Änderungen werden nach kurzer Zeit wirksam.
+ Wenn Sie eine Regel mit einem Befehlszeilen-Tool oder der Amazon EC2-API hinzufügen, wird der CIDR-Bereich automatisch in die kanonische Form geändert. Wenn Sie beispielsweise `100.68.0.18/18` für den CIDR-Bereich angeben, erstellen wir eine Regel mit dem CIDR-Bereich `100.68.0.0/18`.
+ Es kann sinnvoll sein, eine deny-(verweigern-)Regel zu erstellen, wenn Sie einen großen Portbereich freigeben müssen, einzelne Ports innerhalb dieses Bereichs jedoch gesperrt werden sollen. Geben Sie der deny-Regel eine niedrigere Zahl als der Regel, die den gesamten Portbereich freigibt.
+ Gehen Sie vorsichtig vor, wenn Sie Regeln gleichzeitig zu einer Netzwerk-ACL hinzufügen und daraus löschen. Wenn Sie eingehende oder ausgehende Regeln löschen und dann mehr neue Einträge hinzufügen, als erlaubt sind, (siehe [Amazon VPC-Kontingente](amazon-vpc-limits.md), werden die zum Löschen ausgewählten Einträge entfernt und neue Einträge *werden nicht* hinzugefügt. Dies kann zu unerwarteten Verbindungsproblemen führen und den Zugriff auf und von Ihrer VPC verhindern.
# Standard-Netzwerk-ACL für eine VPC
Ihre Virtual Private Cloud (VPC) verfügt automatisch über eine Standard-Netzwerk-ACL. Eine Standardnetzwerk-ACL ist so konfiguriert, dass der gesamte ein- und ausgehende Datenverkehr für die mit ihr verknüpften Subnetze erlaubt wird. Jede Netzwerk-ACL enthält auch Regeln, bei denen die Regelnummer ein Sternchen (\$1) ist. Diese Regeln sorgen dafür, dass Pakete, die mit keiner anderen Regel übereinstimmen, abgelehnt werden.
Sie können eine Standard-Netzwerk-ACL ändern, indem Sie Regeln ergänzen oder die nummerierten Standardregeln entfernen. Sie können keine Regeln löschen, deren Nummer ein Sternchen enthält.
**Standardregeln für eingehenden Datenverkehr**
Die folgende Tabelle zeigt die Standardregeln für eingehenden Datenverkehr für eine Standard-Netzwerk-ACL. Die Regeln für IPv6 werden nur hinzugefügt, wenn Sie die VPC mit einem zugehörigen IPv6 CIDR-Block erstellen oder der VPC einen IPv6 CIDR-Block zuordnen. Wenn Sie jedoch die Regeln für eingehenden Datenverkehr einer Standard-Netzwerk-ACL geändert haben, fügen wir die Regel, die den gesamten eingehenden IPv6 Verkehr zulässt, nicht hinzu, wenn Sie der VPC einen IPv6 Block zuordnen.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Source | Erlauben/Verweigern |
| --- | --- | --- | --- | --- | --- |
| 100 | Der gesamte Verkehr IPv4 | Alle | Alle | 0.0.0.0/0 | ERLAUBEN |
| 101 | Der gesamte IPv6 Verkehr | Alle | Alle | ::/0 | ERLAUBEN |
| \$1 | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | DENY |
| \$1 | Der gesamte IPv6 Verkehr | Alle | Alle | ::/0 | DENY |
**Standardregeln für ausgehenden Datenverkehr**
Die folgende Tabelle zeigt die Standardregeln für ausgehenden Datenverkehr für eine Standard-Netzwerk-ACL. Die Regeln für IPv6 werden nur hinzugefügt, wenn Sie die VPC mit einem zugehörigen IPv6 CIDR-Block erstellen oder der VPC einen IPv6 CIDR-Block zuordnen. Wenn Sie jedoch die Regeln für ausgehenden Datenverkehr einer Standard-Netzwerk-ACL geändert haben, fügen wir die Regel, die den gesamten ausgehenden IPv6 Verkehr zulässt, nicht hinzu, wenn Sie der VPC einen IPv6 Block zuordnen.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Zielbereich | Erlauben/Verweigern |
| --- | --- | --- | --- | --- | --- |
| 100 | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | ERLAUBEN |
| 101 | Der gesamte Verkehr IPv6 | Alle | Alle | ::/0 | ERLAUBEN |
| \$1 | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | DENY |
| \$1 | Der gesamte IPv6 Verkehr | Alle | Alle | ::/0 | DENY |
# Benutzerdefiniertes Netzwerk ACLs für Ihre VPC
Sie können eine benutzerdefinierte Netzwerk-ACL erstellen und einem Subnetz zuordnen. So können Sie bestimmten eingehenden oder ausgehenden Datenverkehr auf der Subnetzebene verweigern. Weitere Informationen finden Sie unter [Erstellen einer Netzwerk-ACL für Ihre VPC](create-network-acl.md).
Jede Netzwerk-ACL enthält eine Standardregel für eingehenden Datenverkehr und eine Standardregel für ausgehenden Datenverkehr, deren Regelnummer ein Sternchen (\$1) ist. Über diese Regel wird sichergestellt, dass Pakete, die mit keiner anderen Regel übereinstimmen, abgelehnt werden.
Sie können eine Netzwerk-ACL ändern, indem Sie Regeln ergänzen oder entfernen. Sie können keine Regeln löschen, deren Nummer ein Sternchen enthält.
Für jede hinzugefügte Regel muss eine entsprechende Regel für ausgehenden oder eingehenden Datenverkehr existieren, die Antworten ermöglicht. Weitere Informationen zur Auswahl des passenden Bereichs für flüchtige Ports finden Sie unter [Flüchtige Ports](#nacl-ephemeral-ports).
**Beispiel: Regeln für eingehenden Datenverkehr**
Die folgende Tabelle zeigt die Beispielregeln für eingehenden Datenverkehr für eine Netzwerk-ACL. Die Regeln für IPv6 werden nur hinzugefügt, wenn der VPC ein IPv6 CIDR-Block zugeordnet ist. IPv4 und der IPv6 Verkehr werden separat bewertet. Daher gilt keine der IPv4 Verkehrsregeln für den IPv6 Verkehr. Sie können IPv6 Regeln neben den entsprechenden IPv4 Regeln oder die IPv6 Regeln nach der letzten IPv4 Regel hinzufügen.
Wenn ein Paket im Subnetz eingeht, werden die Regeln für eingehenden Datenverkehr der Netzwerk-ACL, die mit dem Subnetz verknüpft ist, nacheinander ausgewertet, beginnend mit der Regel mit der niedrigsten Nummer. Nehmen wir zum Beispiel an, es gibt IPv4 Datenverkehr, der für den HTTPS-Port (443) bestimmt ist. Das Paket stimmt nicht mit Regel 100 oder 105 überein. Es entspricht Regel 110, die den Datenverkehr in das Subnetz zulässt. Wenn das Paket für Port 139 (NetBIOS) bestimmt gewesen wäre, würde es keiner der nummerierten Regeln entsprechen, sodass die \$1-Regel für den IPv4 Verkehr das Paket letztendlich ablehnt.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Source | Erlauben/Verweigern | Kommentare |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | ERLAUBEN | Lässt eingehenden HTTP-Verkehr von einer beliebigen Adresse aus zu. IPv4 |
| 105 | HTTP | TCP | 80 | ::/0 | ERLAUBEN | Erlaubt eingehenden HTTP-Verkehr von einer beliebigen Adresse aus. IPv6 |
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | ERLAUBEN | Erlaubt eingehenden HTTPS-Verkehr von einer beliebigen Adresse aus. IPv4 |
| 115 | HTTPS | TCP | 443 | ::/0 | ERLAUBEN | Erlaubt eingehenden HTTPS-Verkehr von einer beliebigen Adresse aus. IPv6 |
| 120 | SSH | TCP | 22 | *192.0.2.0/24* | ERLAUBEN | Ermöglicht eingehenden SSH-Verkehr aus dem öffentlichen IPv4 Adressbereich Ihres Heimnetzwerks (über das Internet-Gateway). |
| 140 | Custom TCP | TCP | *32768-65535* | 0.0.0.0/0 | ERLAUBEN | Ermöglicht eingehenden IPv4 Rückverkehr aus dem Internet (für Anfragen, die aus dem Subnetz stammen). |
| 145 | Custom TCP | TCP | *32768-65535* | ::/0 | ERLAUBEN | Erlaubt eingehenden IPv6 Rückverkehr aus dem Internet (für Anfragen, die ihren Ursprung im Subnetz haben). |
| \$1 | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | DENY | Verweigert den gesamten eingehenden IPv4 Datenverkehr, der noch nicht durch eine vorherige Regel behandelt wurde (nicht änderbar). |
| \$1 | Gesamter Datenverkehr | Alle | Alle | ::/0 | DENY | Verweigert den gesamten eingehenden IPv6 Verkehr, der noch nicht durch eine vorherige Regel behandelt wurde (nicht änderbar). |
**Regeln für ausgehenden Datenverkehr**
Die folgende Tabelle zeigt die Beispielregeln für ausgehenden Datenverkehr für eine benutzerdefinierte Netzwerk-ACL. Die Regeln für IPv6 werden nur hinzugefügt, wenn der VPC ein IPv6 CIDR-Block zugeordnet ist. IPv4 und der IPv6 Verkehr werden separat bewertet. Daher gilt keine der IPv4 Verkehrsregeln für den IPv6 Verkehr. Sie können IPv6 Regeln neben den entsprechenden IPv4 Regeln oder die IPv6 Regeln nach der letzten IPv4 Regel hinzufügen.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Zielbereich | Erlauben/Verweigern | Kommentare |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | ERLAUBEN | Ermöglicht ausgehenden IPv4 HTTP-Verkehr vom Subnetz zum Internet. |
| 105 | HTTP | TCP | 80 | ::/0 | ERLAUBEN | Lässt ausgehenden IPv6 HTTP-Verkehr vom Subnetz zum Internet zu. |
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | ERLAUBEN | Lässt ausgehenden IPv4 HTTPS-Verkehr vom Subnetz zum Internet zu. |
| 115 | HTTPS | TCP | 443 | ::/0 | ERLAUBEN | Lässt ausgehenden IPv6 HTTPS-Verkehr vom Subnetz zum Internet zu. |
| 120 | Custom TCP | TCP | *1024-65535* | *192.0.2.0/24* | ERLAUBEN | Lässt ausgehende Antworten für den SSH-Datenverkehr von Ihrem Heimnetzwerk zu. |
| 140 | Custom TCP | TCP | *32768-65535* | 0.0.0.0/0 | ERLAUBEN | Ermöglicht ausgehende IPv4 Antworten an Clients im Internet (z. B. das Bereitstellen von Webseiten). |
| 145 | Custom TCP | TCP | *32768-65535* | ::/0 | ERLAUBEN | Ermöglicht ausgehende IPv6 Antworten an Clients im Internet (z. B. das Bereitstellen von Webseiten). |
| \$1 | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | DENY | Verweigert den gesamten ausgehenden IPv4 Datenverkehr, der noch nicht durch eine vorherige Regel behandelt wurde. |
| \$1 | Gesamter Datenverkehr | Alle | Alle | ::/0 | DENY | Verweigert den gesamten ausgehenden IPv6 Datenverkehr, der noch nicht durch eine vorherige Regel behandelt wurde. |
## Flüchtige Ports
Die Beispiel-Netzwerk-ACL im vorhergehenden Abschnitt verwendet den flüchtigen Portbereich 32768 bis 65535. Möglicherweise möchten Sie jedoch ACLs je nach Clienttyp, den Sie verwenden oder mit dem Sie kommunizieren, einen anderen Bereich für Ihr Netzwerk verwenden.
Der flüchtige Portbereich wird vom Client festgelegt, von dem die Anfrage ausgeht. Der Bereich ist abhängig vom Betriebssystem des Clients.
+ Viele Linux-Kernel (einschließlich des Amazon Linux-Kernels) verwenden Ports 32768-61000.
+ Anforderungen, die von Elastic Load Balancing stammen, verwenden Ports 1024-65535.
+ Windows-Betriebssysteme bis Windows Server 2003 verwenden die Ports 1025 bis 5000.
+ Ab Windows Server 2008 werden die Ports 49152 bis 65535 verwendet.
+ NAT-Gateways verwenden die Ports 1024 bis 65535.
+ AWS Lambda Funktionen verwenden die Ports 1024-65535.
Wenn eine Anfrage beispielsweise von einem Windows 10-Client im Internet auf einem Webserver in Ihrer VPC eingeht, muss Ihre Netzwerk-ACL über eine Regel für ausgehenden Datenverkehr verfügen, die Datenverkehr für die Ports 49152-65535 erlaubt.
Wenn die Anfrage von einer Instance in Ihrer VPC ausgeht, muss Ihre Netzwerk-ACL über eine Regel für eingehenden Datenverkehr verfügen, um Datenverkehr zu den spezifischen Ports des Betriebssystems zuzulassen.
In der Praxis empfiehlt es sich, die flüchtigen Ports 1024 bis 65535 zu öffnen, um die unterschiedlichen Client-Typen abzudecken, von denen Datenverkehr an öffentliche Instances in Ihrer VPC gelangen kann. Sie können der ACL jedoch auch Regeln hinzufügen, um Datenverkehr für böswillige Ports innerhalb dieses Bereichs zu verweigern. Platzieren Sie die deny (verweigern)-Regeln in der Tabelle vor den allow (erlauben)-Regeln, die den gesamten flüchtigen Portbereich freigeben.
## Benutzerdefiniertes Netzwerk und andere Dienste ACLs AWS
Wenn Sie eine benutzerdefinierte Netzwerk-ACL erstellen, sollten Sie sich darüber im Klaren sein, wie sich dies auf Ressourcen auswirken kann, die Sie mit anderen AWS Diensten erstellen.
Wenn Sie für Ihre Backend-Instances eine Netzwerk-ACL konfiguriert haben, die eine *deny (verweigern)*-Regel für den gesamten Datenverkehr mit der Quelle `0.0.0.0/0` oder den CIDR-Bereich des Subnetzes enthält, kann der Load Balancer mit Elastic Load Balancing keine Zustandsprüfung für die Instances durchführen. Weitere Informationen zu den empfohlenen Netzwerk-ACL-Regeln für Load Balancer und Backend-Instances finden Sie unter:
+ [Netzwerk ACLs für Ihren Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-troubleshooting.html)
+ [Netzwerk ACLs für Ihren Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#network-acls)
+ [Netzwerk ACLs für Ihren Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-network-acls.html)
## Beheben von Problemen mit der Erreichbarkeit
Reachability Analyzer ist ein Tool zur statischen Konfigurationsanalyse. Mit Reachability Analyzer können Sie die Netzwerkerreichbarkeit zwischen zwei Ressourcen in Ihrer VPC analysieren und debuggen. Reachability Analyzer erzeugt hop-by-hop Details zum virtuellen Pfad zwischen diesen Ressourcen, wenn sie erreichbar sind, und identifiziert andernfalls die blockierende Komponente. Zum Beispiel kann er fehlende oder falsch konfigurierte Netzwerk-ACL-Regeln identifizieren.
Weitere Informationen finden Sie im [Leitfaden Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/).
# Pfad MTU Discovery und Netzwerk ACLs
Path MTU Discovery wird verwendet, um den Pfad-MTU-Wert zwischen zwei Geräten zu ermitteln. Die Pfad-MTU ist die maximale Paketgröße, die auf dem Pfad zwischen dem sendenden Host und dem empfangenden Host unterstützt wird.
Denn wenn ein Host ein Paket sendet IPv4, das größer als die MTU des empfangenden Hosts oder die MTU eines Geräts auf dem Pfad ist, verwirft der empfangende Host oder das empfangende Gerät das Paket und gibt dann die folgende ICMP-Meldung zurück: `Destination Unreachable: Fragmentation Needed and Don't Fragment was Set` (Typ 3, Code 4). Dies weist den übertragenden Host an, die Nutzlast in mehrere kleinere Pakete aufzuteilen und diese dann erneut zu übertragen.
Das IPv6 Protokoll unterstützt keine Fragmentierung im Netzwerk. Wenn ein Host ein Paket sendet, das größer als die MTU des empfangenden Hosts ist bzw. das größer als die MTU eines Geräts auf dem Pfad ist, löscht der empfangende Host bzw. das Gerät das Paket und gibt dann die folgende ICMP-Meldung zurück: `ICMPv6 Packet Too Big (PTB)` (Typ 2). Dies weist den übertragenden Host an, die Nutzlast in mehrere kleinere Pakete aufzuteilen und diese dann erneut zu übertragen.
Wenn die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) zwischen Hosts in Ihren Subnetzen unterschiedlich ist oder Ihre Instances mit Peers über das Internet kommunizieren, müssen Sie die folgende Netzwerk-ACL-Regel sowohl ein- als auch ausgehend hinzufügen. Dadurch wird sichergestellt, dass Path MTU Discovery ordnungsgemäß funktioniert und Paketverlust verhindert wird. Wählen Sie **Custom ICMP Rule (Benutzerdefinierte ICMP-Regel)** für den Typ und **Destination Unreachable (Zielbereich nicht erreichbar)**, **Fragmentation required (Fragmentierung erforderlich) und DF flag set (DF-Markierung gesetzt)** für den Portbereich (Typ 3, Code 4). Wenn Sie Traceroute verwenden, fügen Sie außerdem die folgende Regel hinzu: wählen Sie als Typ **Custom ICMP Rule (Benutzerdefinierte ICMP-Regel)** und als Port-Bereich **Time Exceeded (Zeit überschritten)**, **TTL expired transit (TTL bei Übertragung abgelaufen)** (Typ 11, Code 0). Weitere Informationen finden Sie unter [Netzwerk-MTU (Maximum Transmission Unit) für Ihre EC2-Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html) im *Amazon-EC2-Benutzerhandbuch*.
# Erstellen einer Netzwerk-ACL für Ihre VPC
Die folgenden Aufgaben zeigen Ihnen, wie Sie eine Netzwerk-ACL erstellen, Regeln zur Netzwerk-ACL hinzufügen und die Netzwerk-ACL dann einem Subnetz zuweisen.
**Topics**
+ [Schritt 1: Erstellen einer Netzwerk-ACL](#CreateACL)
+ [Schritt 2: Regeln hinzufügen](#Rules)
+ [Schritt 3: Zuweisen eines Subnetzes zu einer Netzwerk-ACL](#NetworkACL)
+ [(Optional) Netzwerk ACLs mit Firewall Manager verwalten](#nacls-using-firewall-manager)
## Schritt 1: Erstellen einer Netzwerk-ACL
Sie können für Ihre VPC benutzerdefinierte Netzwerk-ACLs erstellen. Die ersten Regeln für eine benutzerdefinierte Netzwerk-ACL blockieren den gesamten ein- und ausgehenden Datenverkehr. Die neue benutzerdefinierte Netzwerk-ACL ist standardmäßig keinem Subnetz zugewiesen und muss explizit Subnetzen zugewiesen werden.
**Erstellen eines Netzwerk-Monitors mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Netzwerk ACLs** aus.
1. Klicken Sie auf **Netzwerk-ACL erstellen**.
1. (Optional) Geben Sie unter **Name** einen Namen für Ihre Netzwerk-ACL ein.
1. Wählen Sie für **VPC** die VPC aus.
1. (Optional) Für **Tags** wählen Sie **Tag hinzufügen** aus und geben den Tag-Schlüssel und -Wert ein.
1. Klicken Sie auf **Netzwerk-ACL erstellen**.
**Erstellen einer Netzwerk-ACL mithilfe der Befehlszeile**
+ [create-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html) (AWS CLI)
+ [New-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
## Schritt 2: Regeln hinzufügen
Sie können Regeln ergänzen, die ein- oder ausgehenden Datenverkehr zulassen oder verweigern.
Regeln werden ausgehend von der Regel mit der niedrigsten Nummer der Reihe nach abgearbeitet. Wir empfehlen, zwischen den Regelnummern Lücken zu lassen (z. B. 100, 200, 300), statt aufeinanderfolgende Nummern zu verwenden (101, 102, 103). So können Sie jederzeit problemlos neue Regeln hinzufügen, ohne die vorhandenen Regeln neu nummerieren zu müssen.
Wenn Sie die Amazon EC2-API oder ein Befehlszeilen-Tool verwenden, können Sie keine Regeln ändern. Sie können nur Regeln hinzufügen und löschen. Wenn Sie die Amazon VPC-Konsole verwenden, können Sie die Einträge für vorhandene Regeln ändern. Die Konsole entfernt die vorhandene Regel und fügt eine neue Regel für Sie hinzu. Wenn Sie die Reihenfolge von Regeln innerhalb der ACL ändern möchten, müssen Sie eine neue Regel mit der neuen Regelnummer hinzufügen und die ursprüngliche Regel löschen.
**Hinzufügen von Regeln zu einer Netzwerk-ACL mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Netzwerk** aus ACLs.
1. Wählen Sie die Netzwerk-ACL aus.
1. Gehen Sie zum Hinzufügen einer eingehenden Regel wie folgt vor:
1. Wählen Sie die Registerkarte **Inbound rules** (Regeln für eingehenden Datenverkehr) aus.
1. Wählen Sie auf der Seite **Regeln für eingehenden Datenverkehr bearbeiten** die Option **Neue Regel hinzufügen** aus.
1. Geben Sie eine noch ungenutzte Regelnummer ein, einen Typ, ein Protokoll, einen Portbereich, eine Quelle und ob der Datenverkehr zugelassen oder verweigert werden soll. Bei einigen Typen werden das Protokoll und der Port automatisch ausgefüllt. Wenn Sie nach einem Portbereich gefragt werden, geben Sie eine Portnummer oder einen Portbereich (z. B. 49152-65535) ein.
Wenn Sie ein Protokoll nutzen möchten, das nicht in der Liste enthalten ist, wählen Sie **Benutzerdefiniertes Protokoll** als Typ und anschließend das Protokoll aus. Weitere Informationen finden Sie unter [IANA-Protokollnummern](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Wählen Sie **Änderungen speichern ** aus.
1. Gehen Sie zum Hinzufügen einer ausgehenden Regel wie folgt vor:
1. Wählen Sie die Registerkarte **Outbound rules** (Ausgehende Regeln).
1. Wählen Sie **Ausgehende Regeln bearbeiten**, **Neue Regel hinzufügen** aus.
1. Geben Sie eine noch ungenutzte Regelnummer ein, einen Typ, ein Protokoll, einen Portbereich, eine Quelle und ob der Datenverkehr zugelassen oder verweigert werden soll. Bei einigen Typen werden das Protokoll und der Port automatisch ausgefüllt. Wenn Sie nach einem Portbereich gefragt werden, geben Sie eine Portnummer oder einen Portbereich (z. B. 49152-65535) ein.
Wenn Sie ein Protokoll nutzen möchten, das nicht in der Liste enthalten ist, wählen Sie **Benutzerdefiniertes Protokoll** als Typ und anschließend das Protokoll aus. Weitere Informationen finden Sie unter [IANA-Protokollnummern](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).
1. Wählen Sie **Änderungen speichern ** aus.
**Hinzufügen einer Regel zu einer Netzwerk-ACL mithilfe der Befehlszeile**
+ [create-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html) (AWS CLI)
+ [New-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Ersetzen einer Regel in einer Netzwerk-ACL mithilfe der Befehlszeile**
+ [replace-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html) (AWS CLI)
+ [Set-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
**Löschen einer Regel aus einer Netzwerk-ACL mithilfe der Befehlszeile**
+ [delete-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html) (AWS CLI)
+ [Remove-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)
## Schritt 3: Zuweisen eines Subnetzes zu einer Netzwerk-ACL
Damit die Regeln einer Netzwerk-ACL auf ein bestimmtes Subnetz angewendet werden können, müssen Sie das Subnetz der Netzwerk-ACL zuordnen. Sie können eine Netzwerk-ACL mehreren Subnetzen zuordnen. Ein Subnetz kann jedoch nur einer Netzwerk-ACL zugeordnet werden. Subnetze, die keiner bestimmten ACL zugewiesen sind, werden standardmäßig der Standardnetzwerk-ACL zugewiesen.
**So weisen Sie ein Subnetz einer Netzwerk-ACL zu**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Netzwerk** und ACLs dann die Netzwerk-ACL aus.
1. Klicken Sie im Detailbereich auf der Registerkarte **Subnet Associations** auf **Edit**. Aktivieren Sie das Kontrollkästchen **Associate** für das Subnetz, um es der Netzwerk-ACL zuzuordnen, und klicken Sie auf **Save**.
## (Optional) Netzwerk ACLs mit Firewall Manager verwalten
AWS Firewall Manager vereinfacht Ihre Netzwerk-ACL-Administrations- und Wartungsaufgaben für mehrere Konten und Subnetze. Mit Firewall Manager können Sie Konten und Subnetze in Ihrer Organisation überwachen und die von Ihnen definierten Netzwerk-ACL-Konfigurationen automatisch anwenden. Firewall Manager ist besonders nützlich, wenn Sie Ihre gesamte Organisation schützen möchten oder wenn Sie häufig neue Subnetze hinzufügen, die Sie automatisch vor einem zentralen Administratorkonto schützen möchten.
Mit einer Firewall Manager Manager-Netzwerk-ACL-Richtlinie können Sie mit einem einzigen Administratorkonto die Mindestregelsätze konfigurieren, überwachen und verwalten, die Sie in dem Netzwerk definiert haben möchten ACLs , das Sie in Ihrem gesamten Unternehmen verwenden. Sie legen fest, welche Konten und Subnetze in Ihrer Organisation in den Geltungsbereich der Richtlinie von Firewall Manager fallen. Firewall Manager meldet den Konformitätsstatus des Netzwerks ACLs für Subnetze im Geltungsbereich, und Sie können Firewall Manager so konfigurieren, dass die Wiederherstellung nicht konformer Netzwerke automatisiert wird. ACLs
Weitere Informationen finden Sie in den folgenden Ressourcen im *AWS Firewall Manager -Entwicklerhandbuch*:
+ [AWS Firewall Manager Voraussetzungen](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html)
+ [AWS Firewall Manager Netzwerk-ACL-Richtlinien einrichten](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html)
+ [Verwenden von Netzwerk-ACL-Richtlinien mit Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/network-acl-policies.html)
# Verwalten von Netzwerk-ACL-Zuordnungen für Ihre VPC
Jedes Subnetz ist einer Netzwerk-ACL zugeordnet. Wenn Sie ein Subnetz erstellen, wird dieses zunächst der Standardnetzwerk-ACL für die VPC zugeordnet. Sie können eine benutzerdefinierte Netzwerk-ACL erstellen und diese mit einem oder mehreren Subnetzen verknüpfen, wodurch die vorherige Netzwerk-ACL-Verknüpfung ersetzt wird.
**Topics**
+ [Beschreiben Ihrer Netzwerk-ACL-Zuweisungen](#describe-network-acl-association)
+ [Ändern der Subnetze, die einer Netzwerk-ACL zugeordnet sind](#DisassociateNetworkACL)
+ [Ändern der Netzwerk-ACL, die einem Subnetz zugeordnet ist](#ChangeNetworkACL)
## Beschreiben Ihrer Netzwerk-ACL-Zuweisungen
Sie können die Netzwerk-ACL beschreiben, die einem Subnetz zugewiesen ist, und Sie können auch beschreiben, welche Subnetze einer Netzwerk-ACL zugewiesen sind.
**So beschreiben Sie die Netzwerk-ACL, die einem Subnetz zugewiesen ist, mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Subnetze** aus.
1. Wählen Sie das Subnetz aus.
1. Wählen Sie die Registerkarte **Netzwerk-ACL** aus.
**Zur Beschreibung der Netzwerk-ACL, die einem Subnetz zugeordnet ist, verwenden Sie den AWS CLI**
Verwenden Sie den folgenden [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)Befehl, um die Netzwerk-ACL aufzulisten, die dem angegebenen Subnetz zugeordnet sind.
```
aws ec2 describe-network-acls --filters Name=association.subnet-id,Values=subnet-0d2d1b81e0bc9c6d4 --query NetworkAcls[*].NetworkAclId
```
Es folgt eine Beispielausgabe.
```
[
"acl-03701d1f82d8c3fd6"
]
```
**Beschreiben der Subnetze, die einer Netzwerk-ACL zugewiesen ist, mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Network ACLs** aus.
1. Wählen Sie die Netzwerk-ACL aus.
1. Wählen Sie die Registerkarte **Subnetzzuordnungen** aus.
**Um die Subnetze zu beschreiben, die einer Netzwerk-ACL zugeordnet sind, verwenden Sie AWS CLI**
Verwenden Sie den folgenden [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)Befehl, um die Subnetze aufzulisten, die der angegebenen Netzwerk-ACL zugeordnet sind.
```
aws ec2 describe-network-acls --network-acl-ids acl-060415a18fcc9afde --query NetworkAcls[*].Associations[].SubnetId
```
Es folgt eine Beispielausgabe.
```
[
"subnet-0d2d1b81e0bc9c6d4",
"subnet-0e990c67809773b19",
"subnet-0eb17d85f5dfd33b1",
"subnet-0e01d500780bb7468"
]
```
## Ändern der Subnetze, die einer Netzwerk-ACL zugeordnet sind
Sie können die Zuordnung einer benutzerdefinierten Netzwerk-ACL zu einem Subnetz aufheben. Nachdem Sie die Verknüpfung eines Subnetz mit einer benutzerdefinierten Netzwerk-ACL entfernt haben, ordnen wir es automatisch der Standard-Netzwerk-ACL für die VPC zu. Die Änderungen werden nach kurzer Zeit wirksam.
**Ändern der Subnetze, die einer Netzwerk-ACL zugeordnet sind**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich die Option **Netzwerk ACLs** aus.
1. Wählen Sie die Netzwerk-ACL aus.
1. Wählen Sie **Aktionen**, **Subnetzzuordnungen bearbeiten** aus.
1. Entfernen Sie das Subnetz aus **Ausgewählte Subnetze**.
1. Wählen Sie **Änderungen speichern ** aus.
## Ändern der Netzwerk-ACL, die einem Subnetz zugeordnet ist
Sie können die einem Subnetz zugeordnete Netzwerk-ACL ändern. Wenn Sie beispielsweise ein Subnetz erstellen, wird dieses zunächst der Standardnetzwerk-ACL für die VPC zugeordnet. Wenn Sie eine benutzerdefinierte Netzwerk-ACL erstellen, wenden Sie die Netzwerk-ACL-Regeln an, indem Sie die Netzwerk-ACL einem oder mehreren Subnetzen zuweisen.
Nachdem Sie die Netzwerk-ACL für ein Subnetz geändert haben, werden die Änderungen nach einer kurzen Zeit wirksam.
**Ändern der Netzwerk-ACL, die einem Subnetz zugeordnet ist**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Subnetze** aus.
1. Wählen Sie das Subnetz aus.
1. Wählen Sie **Aktionen**, **Netzwerk-ACL-Zuordnung bearbeiten** aus.
1. Wählen Sie unter **Netzwerk-ACL-ID** die Netzwerk-ACL aus, die dem Subnetz zugeordnet werden soll, und überprüfen Sie die Regeln für ein- und ausgehende Zugriffe für die ausgewählte Netzwerk-ACL.
1. Wählen Sie **Speichern**.
**So ersetzen Sie Netzwerk-ACL-Zuordnungen mithilfe der Befehlszeile**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)
# Löschen einer Netzwerk-ACL für Ihre VPC
Wenn Sie eine Netzwerk-ACL nicht mehr benötigen, können Sie sie löschen. Sie können eine Netzwerk-ACL nicht löschen, wenn ihr Subnetze zugeordnet sind. Die Standardnetzwerk-ACL kann nicht gelöscht werden.
**So entfernen Sie Subnetzzuordnungen mithilfe der Konsole aus einer Netzwerk-ACL**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Netzwerk** aus ACLs. Der Spalte **Verknüpft mit** können Sie entnehmen, wie viele Subnetze jeder Netzwerk-ACL zugeordnet sind. Diese Spalte ist `-`, wenn keine zugehörigen Subnetze vorhanden sind.
1. Wählen Sie die Netzwerk-ACL aus.
1. Wählen Sie **Aktionen**, **Subnetzzuordnungen bearbeiten** aus.
1. Entfernen von Subnetzzuordnungen.
1. Wählen Sie **Änderungen speichern ** aus.
**Um Ihr Netzwerk ACLs, einschließlich Verknüpfungen, mithilfe der Befehlszeile zu beschreiben**
+ [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) (AWS CLI)
+ [Get-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
**So ersetzen Sie Netzwerk-ACL-Zuordnungen mithilfe der Befehlszeile**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)
**So löschen Sie eine Netzwerk-ACL mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Netzwerk** aus ACLs.
1. Wählen Sie die Netzwerk-ACL aus.
1. Wählen Sie **Aktionen**, **Netzwerk löschen ACLs**.
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein und wählen Sie dann **Löschen** aus.
**So löschen Sie eine Netzwerk-ACL mit der Befehlszeile**
+ [delete-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html) (AWS CLI)
+ [Remove-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)
# Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz
In diesem Beispiel können die Instances im Subnetz miteinander kommunizieren und sind für administrative Aufgaben von vertrauenswürdigen Remote-Computern aus zugreifbar. Der Remotecomputer kann ein Computer in Ihrem lokalen Netzwerk, wie in der Abbildung dargestellt, oder eine Instance in einem anderen Subnetz oder VPC sein. Die Netzwerk-ACL-Regeln für das Subnetz und die Sicherheitsgruppenregeln für die Instances erlauben den Zugriff von der IP-Adresse Ihres Remote-Computers aus. Der gesamte Datenverkehr aus dem Internet oder anderen Netzwerken wird verweigert.
![\[Verwenden einer Sicherheitsgruppe und einer Netzwerk-ACL\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/nacl-example-diagram.png)
Das Verwenden einer Netzwerk-ACL bietet die Flexibilität, Sicherheitsgruppen oder Sicherheitsgruppenregeln für Instances zu ändern und die Netzwerk-ACL als zusätzliche Schutzebene zu nutzen. Wenn Sie beispielsweise versehentlich die Sicherheitsgruppe aktualisieren, um eingehenden SSH-Zugriff von überall aus zu ermöglichen, die Netzwerk-ACL den Zugriff jedoch nur über den IP-Adressbereich des Remote-Computers zulässt, dann verweigert die Netzwerk-ACL eingehenden SSH-Verkehr von allen anderen IP-Adressen.
## Regeln für Netzwerk-ACLs
Im Folgenden finden Sie Beispiele für eingehende Regeln für die mit dem Subnetz verbundene Netzwerk-ACL. Diese Regeln gelten für alle Instances im Subnetz.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Source | Erlauben/Verweigern | Kommentare |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | SSH | TCP | 22 | 172.31.1.2/32 | ERLAUBEN | Lässt eingehenden Datenverkehr von dem Remote-Computer aus zu. |
| \$1 | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | DENY | Verweigert jeglichen anderen eingehenden Datenverkehr. |
Im Folgenden finden Sie Beispiele für ausgehende Regeln für die mit dem Subnetz verbundene Netzwerk-ACL. Netzwerke ACLs sind zustandslos. Daher benötigen Sie eine Regel, die Antworten auf den eingehenden Datenverkehr zulässt.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Zielbereich | Erlauben/Verweigern | Kommentare |
| --- | --- | --- | --- | --- | --- | --- |
| 100 | Custom TCP | TCP | 1024 - 65535 | 172.31.1.2/32 | ERLAUBEN | Lässt ausgehende Antworten an den Remote-Computer zu. |
| \$1 | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | VERWEIGERN | Verweigert jeglichen anderen ausgehenden Datenverkehr. |
## Sicherheitsgruppenregeln
Im Folgenden finden Sie Beispiele für eingehende Regeln für die mit den Instances verbundene Sicherheitsgruppe. Diese Regeln gelten für alle Instances, die mit der Sicherheitsgruppe verbunden sind. Ein Benutzer mit dem privaten Schlüssel für das mit den Instances verknüpfte Schlüsselpaar kann sich über SSH vom Remote-Computer aus mit den Instances verbinden.
| Protokolltyp | Protocol (Protokoll) | Port-Bereich | Source | Kommentare |
| --- | --- | --- | --- | --- |
| Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 | Erlauben Sie die Kommunikation zwischen allen Instances, die dieser Sicherheitsgruppe zugeordnet sind. |
| SSH | TCP | 22 | 172.31.1.2/32 | Lässt eingehenden SSH-Zugriff von dem Remote-Computer zu. |
Im Folgenden finden Sie Beispiele für ausgehende Regeln für die mit den Instances verbundene Sicherheitsgruppe. Sicherheitsgruppen sind zustandsbehaftet. Daher benötigen Sie keine Regel, die Antworten auf eingehenden Datenverkehr zulässt.
| Protokolltyp | Protocol (Protokoll) | Port-Bereich | Zielbereich | Kommentare |
| --- | --- | --- | --- | --- |
| Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 | Erlauben Sie die Kommunikation zwischen allen Instances, die dieser Sicherheitsgruppe zugeordnet sind. |
## Unterschiede zwischen Netzwerk ACLs - und Sicherheitsgruppen
In der folgenden Tabelle sind die grundlegenden Unterschiede zwischen Netzwerk ACLs - und Sicherheitsgruppen zusammengefasst.
| Merkmal | Netzwerk-ACL | Sicherheitsgruppe |
| --- | --- | --- |
| Betriebsniveau | Subnetzniveau | Instance-Ebene |
| Scope | Gilt für alle Instances in den verbundenen Subnetzen | Gilt für alle Instances, die mit der Sicherheitsgruppe verbunden sind. |
| Art der Regel | Zulassen- und Verweigern-Regeln | Nur Regeln zulassen |
| Regelauswertung | Bewertet Regeln in aufsteigender Reihenfolge, bis eine Übereinstimmung für den Datenverkehr gefunden wird | Alle Regeln werden vor dem Erlauben von Datenverkehr ausgewertet. |
| Datenverkehr zurücksenden | Muss ausdrücklich erlaubt sein (zustandslos) | Automatisch zugelassen (zustandsbehaftet) |
# Ausfallsicherheit in Amazon Virtual Private Cloud
Die AWS globale Infrastruktur basiert auf AWS-Regionen Availability Zones. AWS-Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
AWS-Regionen sind die wichtigsten Bausteine, die jeweils einen eigenen geografischen Standort mit mehreren physisch getrennten und isolierten Availability Zones repräsentieren. Diese Availability Zones sind durch eine Netzwerkstruktur mit niedriger Latenz, hohem Durchsatz und hoher Redundanz verbunden, die eine nahtlose Kommunikation und Datenübertragung zwischen ihnen ermöglicht.
Die Architektur der Availability Zones ist ein wesentliches Unterscheidungsmerkmal, da sie weitaus robuster und fehlertoleranter als herkömmliche Konfigurationen mit einem oder mehreren Rechenzentren konzipiert sind. Durch die Verteilung von Ressourcen auf mehrere Availability Zones innerhalb einer Region können Anwendungen und Datenbanken so konzipiert werden, dass ein automatischer Failover zwischen den Zonen ohne Unterbrechung des Service erfolgt. Dieses Maß an Redundanz und Hochverfügbarkeit ist eine wichtige Voraussetzung für geschäftskritische Workloads und ermöglicht es Unternehmen, ausfallsichere cloudnative Lösungen zu entwickeln.
Darüber hinaus ermöglichen der Umfang und die globale Reichweite der AWS Infrastruktur den Kunden, ihre Anwendungen näher am Endbenutzer bereitzustellen, wodurch die Latenz reduziert und das Benutzererlebnis insgesamt verbessert wird. Die Verfügbarkeit mehrerer Regionen auf der ganzen Welt ermöglicht auch eine effektive Datensouveränität und Compliance, da Kunden Daten innerhalb der geografischen Grenzen speichern und verarbeiten können, die für ihre spezifischen regulatorischen und geschäftlichen Anforderungen erforderlich sind.
Durch die Nutzung der AWS globalen Infrastruktur können Unternehmen ihre Cloud-Umgebungen so gestalten, dass sie hochverfügbar, fehlertolerant und skalierbar sind und sich flexibel an sich ändernde Anforderungen und sich entwickelnde Geschäftsanforderungen anpassen können. Diese robuste Grundlage ist eine wichtige Voraussetzung für die erfolgreiche Implementierung moderner, cloudbasierter Anwendungen und Services.
[Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter Globale Infrastruktur AWS .](https://aws.amazon.com/about-aws/global-infrastructure/)
Sie können Ihre so konfigurieren VPCs , dass sie die Ausfallsicherheitsanforderungen für Ihre Workloads erfüllt. Weitere Informationen finden Sie hier:
+ [Machen Sie sich mit Resilienzmustern und Kompromissen vertraut](https://aws.amazon.com/blogs/architecture/understand-resiliency-patterns-and-trade-offs-to-architect-efficiently-in-the-cloud/) (Architektur-Blog)AWS
+ [Planen Sie Ihre Netzwerktopologie](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-your-network-topology.html) (AWS Well-Architected Framework)
+ [Verbindungsoptionen für Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) (AWS Whitepapers)
# Compliance-Validierung für Amazon Virtual Private Cloud
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Sperren Sie den öffentlichen Zugriff VPCs auf Subnetze
VPC Block Public Access (BPA) ist ein zentralisiertes Sicherheitsfeature, das es Ihnen ermöglicht, den öffentlichen Internetzugang zu VPC-Ressourcen für ein gesamtes AWS -Konto zu unterbinden und so die Einhaltung von Sicherheitsanforderungen zu gewährleisten und gleichzeitig Flexibilität für spezifische Ausnahmen und Auditfunktionen zu bieten.
Das VPC-BPA-Feature hat die folgenden Modi:
+ **Bidirektional**: Der gesamte Verkehr zu und von Internet-Gateways und Internet-Gateways für ausgehenden Datenverkehr in dieser Region (mit Ausnahme von ausgeschlossenen Netzwerken und Subnetzen) wird blockiert. VPCs
+ **Nur eingehender Datenverkehr**: Der gesamte Internetverkehr zu den VPCs in dieser Region (mit Ausnahme von Subnetzen, die ausgeschlossen sind) wird blockiert. VPCs Nur der Datenverkehr von und zu NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr wird zugelassen, da diese Gateways nur den Aufbau von ausgehenden Verbindungen erlauben.
Sie können für dieses Feature auch „Ausschlüsse“ für Datenverkehr erstellen, den Sie nicht blockieren möchten. Ein Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein Subnetz angewendet werden kann, der es vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen oder nur ausgehenden Zugriff erlaubt.
Ausschlüsse können einen der folgenden Modi haben:
+ **Bidirektional**: Der gesamte Internetverkehr zu und von den ausgeschlossenen VPCs Subnetzen und Subnetzen ist zulässig.
+ **Nur ausgehender** Internetverkehr: Ausgehender Internetverkehr aus den ausgeschlossenen Subnetzen und Subnetzen ist zulässig. VPCs Eingehender Internetverkehr zu den ausgeschlossenen und den ausgeschlossenen Subnetzen wird blockiert. VPCs Dies gilt nur, wenn VPC-BPA auf „Bidirektional“ eingestellt ist.
**Topics**
+ [VPC-BPA-Grundlagen](security-vpc-bpa-basics.md)
+ [Bewerten der Auswirkungen von VPC-BPA und Überwachen von VPC-BPA](security-vpc-bpa-assess-impact-main.md)
+ [Erweitertes Beispiel](security-vpc-bpa-example.md)
# VPC-BPA-Grundlagen
Dieser Abschnitt behandelt wichtige Details zu VPC BPA, einschließlich der Services, die es unterstützen und wie Sie damit arbeiten können.
**Topics**
+ [Regionale Verfügbarkeit](#security-vpc-bpa-reg-avail)
+ [AWS Auswirkungen auf den Service und Support](#security-vpc-bpa-service-support)
+ [VPC-BPA-Einschränkungen](#security-vpc-bpa-limits)
+ [Steuerung des Zugriffs auf VPC BPA mit einer IAM-Richtlinie](#security-vpc-bpa-iam-example)
+ [Aktivieren des bidirektionalen VPC-BPA-Modus für Ihr Konto](#security-vpc-bpa-enable-bidir)
+ [Ändern des VPC-BPA-Modus auf nur eingehenden Datenverkehr](#security-vpc-bpa-ingress-only)
+ [Erstellen und Löschen von Ausschlüssen](#security-vpc-bpa-exclusions)
+ [Aktivieren von VPC BPA auf Organisationsebene](#security-vpc-bpa-exclusions-orgs)
## Regionale Verfügbarkeit
VPC BPA ist in allen [AWS Handelsregionen einschließlich GovCloud der Regionen](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/) China erhältlich.
In diesem Leitfaden finden Sie auch Informationen zur Verwendung von Network Access Analyzer und Reachability Analyzer mit VPC BPA. Beachten Sie, dass Network Access Analyzer und Reachability Analyzer nicht in allen kommerziellen Regionen verfügbar sind. Informationen zur regionalen Verfügbarkeit von Network Access Analyzer und Reachability Analyzer finden Sie unter [Einschränkungen](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) im *Handbuch für Network Access Analyzer* sowie unter [Überlegungen](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) im *Leitfaden Reachability Analyzer*.
## AWS Auswirkungen auf den Service und Support
Die folgenden Ressourcen und Services unterstützen VPC BPA und der Datenverkehr zu diesen Services und Ressourcen wird durch VPC BPA beeinträchtigt:
+ **Internet-Gateway**: Der gesamte eingehende und ausgehende Datenverkehr wird blockiert.
+ **Internet-Gateway nur für ausgehenden Verkehr**: Der gesamte ausgehende Datenverkehr wird blockiert. Internet-Gateways nur für ausgehenden Verkehr lassen keinen eingehenden Datenverkehr zu.
+ **Gateway Load Balancer (GWLB)**: Der gesamte ein- und ausgehende Datenverkehr wird blockiert, auch wenn das Subnetz mit GWLB-Endpunkten ausgeschlossen ist.
+ **NAT-Gateway**: Der gesamte eingehende und ausgehende Datenverkehr wird blockiert. NAT-Gateways benötigen ein Internet-Gateway für die Internetverbindung.
+ **Mit dem Internet verbundener Network Load Balancer**: Der gesamte ein- und ausgehende Datenverkehr wird blockiert. Mit dem Internet verbundene Network Load Balancer benötigen ein Internet-Gateway für die Internetverbindung.
+ **Mit dem Internet verbundener Application Load Balancer**: Der gesamte ein- und ausgehende Datenverkehr wird blockiert. Mit dem Internet verbundene Application Load Balancer benötigen ein Internet-Gateway für die Internetverbindung.
+ **Amazon CloudFront VPC Origins**: Der gesamte eingehende und ausgehende Verkehr ist blockiert.
+ **Direct Connect**: Der gesamte eingehende und ausgehende Verkehr, der öffentliche virtuelle Schnittstellen (öffentliche IPv4 oder globale IPv6 Unicast-Adressen) verwendet, ist blockiert. Dieser Datenverkehr nutzt das Internet-Gateway (oder das Internet-Gateway nur für ausgehenden Datenverkehr) für die Konnektivität.
+ **AWS Global Accelerator**: Eingehender Datenverkehr zu VPCs wird blockiert, unabhängig davon, ob das Ziel anderweitig über das Internet zugänglich ist oder nicht.
+ **AWS Network Firewall**: Der gesamte ein- und ausgehende Datenverkehr wird blockiert, auch wenn das Subnetz mit Firewall-Endpunkten ausgeschlossen ist.
+ **AWS Wavelength Carrier-Gateway**: Der gesamte eingehende und ausgehende Verkehr ist blockiert.
Datenverkehr im Zusammenhang mit privater Konnektivität, wie z. B. Datenverkehr für die folgenden Services und Ressourcen, wird von VPC BPA nicht blockiert oder beeinträchtigt:
+ AWS Client VPN
+ AWS CloudWAN
+ AWS Outposts lokales Gateway
+ AWS Site-to-Site VPN
+ Transit Gateway
+ AWS Verified Access
**Wichtig**
Wenn Sie ein- und ausgehenden Datenverkehr über eine Appliance (z. B. ein Sicherheits- oder Überwachungstool eines Drittanbieters) weiterleiten, die auf einer EC2-Instance in einem Subnetz ausgeführt wird, muss bei Verwendung von VPC BPA dieses Subnetz ausgeschlossen werden, damit der Datenverkehr ein- und ausgehen kann. Andere Subnetze, die Datenverkehr an das Appliance-Subnetz und nicht an das Internet-Gateway senden, müssen nicht als Ausnahmen ergänzt werden.
Privater Datenverkehr, der von Ressourcen in Ihrer VPC an andere in Ihrer VPC ausgeführte Services, wie z. B. den Route-53-Resolver, gesendet wird, ist auch dann zulässig, wenn VPC BPA aktiviert ist, da er nicht über ein Internet-Gateway in Ihrer VPC läuft. Es ist möglich, dass diese Services in Ihrem Namen Anfragen an Ressourcen außerhalb der VPC stellen, z. B. um eine DNS-Abfrage aufzulösen, und Informationen über die Aktivität von Ressourcen innerhalb Ihrer VPC preisgeben, wenn sie nicht durch andere Sicherheitskontrollen abgeschwächt werden.
## VPC-BPA-Einschränkungen
Der VPC BPA-Modus für eingehenden Datenverkehr wird in Local Zones (LZs) nicht unterstützt, in denen NAT-Gateways und Internet-Gateways nur für ausgehenden Datenverkehr nicht zulässig sind.
## Steuerung des Zugriffs auf VPC BPA mit einer IAM-Richtlinie
Beispiele für IAM-Richtlinien, die allow/deny auf die VPC BPA-Funktion zugreifen, finden Sie unter. [Sperrt den öffentlichen Zugriff VPCs auf Subnetze](vpc-policy-examples.md#vpc-bpa-example-iam)
## Aktivieren des bidirektionalen VPC-BPA-Modus für Ihr Konto
Der bidirektionale VPC BPA-Modus blockiert den gesamten Verkehr zu und von Internet-Gateways und Internet-Gateways nur für ausgehenden Datenverkehr in dieser Region (mit Ausnahme von ausgeschlossenen Netzwerken und Subnetzen). VPCs Weitere Informationen über Ausschlüsse finden Sie unter [Erstellen und Löschen von Ausschlüssen](#security-vpc-bpa-exclusions).
**Wichtig**
Wir empfehlen Ihnen dringend, die Workloads, die Internetzugang benötigen, gründlich zu überprüfen, bevor Sie VPC BPA in Ihren Produktionskonten aktivieren.
**Anmerkung**
Um VPC BPA in den Subnetzen VPCs und in Ihrem Konto zu aktivieren, müssen Sie Eigentümer der VPCs Subnetze und sein.
Wenn Sie derzeit VPC-Subnetze für andere Konten freigeben, gilt der vom Eigentümer des Subnetzes erzwungene VPC-BPA-Modus auch für den Datenverkehr der Teilnehmer, aber die Teilnehmer können die VPC-BPA-Einstellungen, die sich auf das freigegebene Subnetz auswirken, nicht kontrollieren.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus.
1. Wählen Sie **Einstellungen für den öffentlichen Zugriff bearbeiten** aus.
1. Wählen Sie **Blockieren des öffentlichen Zugriffs aktivieren** und **Bidirektional** und anschließend **Änderungen speichern** aus.
1. Warten Sie, bis sich der **Status** zu **Ein** ändert. Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
Der bidirektionale Modus von VPC BPA ist nun aktiviert.
------
#### [ AWS CLI ]
1. Aktivieren Sie VPC BPA:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
1. Zeigen Sie den Status von VPC BPA an:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## Ändern des VPC-BPA-Modus auf nur eingehenden Datenverkehr
Der VPC BPA-Modus blockiert den gesamten Internetverkehr zu den VPCs in dieser Region (mit Ausnahme von Subnetzen, die VPCs ausgeschlossen sind). Nur der Datenverkehr von und zu NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr wird zugelassen, da diese Gateways nur den Aufbau von ausgehenden Verbindungen erlauben.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus.
1. Wählen Sie **Einstellungen für den öffentlichen Zugriff bearbeiten** aus.
1. Ändern Sie die Richtung auf **Nur eingehenden** Zugriff.
1. Speichern Sie die Änderungen und warten Sie, bis der Status aktualisiert wird. Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
------
#### [ AWS CLI ]
1. Ändern Sie die Blockierrichtung von VPC BPA:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
1. Zeigen Sie den Status von VPC BPA an:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## Erstellen und Löschen von Ausschlüssen
Ein VPC-BPA-Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein Subnetz angewendet werden kann, der es vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen oder nur ausgehenden Zugriff erlaubt. Sie können VPC-BPA-Ausschlüsse für VPCs und Subnetze erstellen, auch wenn VPC BPA für das Konto nicht aktiviert ist, um sicherzustellen, dass der Datenverkehr der Ausschlüsse nicht unterbrochen wird, wenn VPC BPA aktiviert ist. Ein Ausschluss für eine VPC gilt automatisch für alle Subnetze in der VPC.
Sie können maximal 50 Ausschlüsse erstellen. Informationen zum Anfordern einer Grenzwerterhöhung finden Sie unter *VPC BPA exclusions per account* in [Amazon VPC-Kontingente](amazon-vpc-limits.md).
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus.
1. Führen Sie auf der Registerkarte **Öffentlichen Zugriff blockieren** unter **Ausnahmen** eine der folgenden Aktionen aus:
+ Um eine Ausnahme zu löschen, wählen Sie die Ausnahme und dann **Aktionen** > **Ausnahmen löschen** aus.
+ Um eine Ausnahme zu erstellen, wählen Sie **Ausnahmen erstellen** und fahren Sie mit den weiteren Schritten fort.
1. Wählen Sie eine Blockierrichtung aus:
+ **Bidirektional**: Lässt den gesamten Internetverkehr zu und von den ausgeschlossenen Netzen und Subnetzen zu. VPCs
+ **Nur ausgehender Datenverkehr: Erlaubt** ausgehenden Internetverkehr aus den ausgeschlossenen Netzen und Subnetzen. VPCs Blockiert eingehenden Internetverkehr in die ausgeschlossenen Netze und Subnetze. VPCs Diese Einstellung gilt, wenn VPC-BPA auf **Bidirektional** eingestellt ist.
1. Wählen Sie eine VPC oder ein Subnetz aus.
1. Wählen Sie **Ausschlüsse erstellen** aus.
1. Warten Sie, bis sich der Status **Ausschluss** auf **Aktiv** ändert. Möglicherweise müssen Sie die Ausschlusstabelle aktualisieren, damit die Änderung angezeigt wird.
Der Ausschluss wurde erstellt.
------
#### [ AWS CLI ]
1. Ändern Sie die Richtung der Ausschlusserlaubnis:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. Es kann einige Zeit dauern, bis der Ausschlussstatus aktualisiert wird. So zeigen Sie den Status des Ausschlusses an:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
## Aktivieren von VPC BPA auf Organisationsebene
Wenn Sie AWS Organizations verwenden, um Konten in Ihrer Organisation zu verwalten, können Sie eine [AWS deklarative Organisationsrichtlinie](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html) verwenden, um VPC BPA für die Konten in der Organisation durchzusetzen. Weitere Informationen über die deklarative Richtlinie für VPC BPA finden Sie unter [Supported declarative policies](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access) im *AWS -Organizations-Benutzerhandbuch*.
**Anmerkung**
Sie können die deklarative Richtlinie für VPC BPA verwenden, um zu konfigurieren, ob Ausschlüsse zulässig sind. Sie können mit der Richtlinie jedoch keine Ausschlüsse erstellen. Um Ausnahmen zu erstellen, müssen Sie sie weiterhin in dem Konto erstellen, das Eigentümer der VPC ist. Weitere Informationen zum Erstellen von VPC-BPA-Ausschlüssen finden Sie unter [Erstellen und Löschen von Ausschlüssen](#security-vpc-bpa-exclusions).
Wenn die deklarative Richtlinie für VPC BPA aktiviert ist, wird in den Einstellungen für **Öffentlichen Zugriff blockieren** die Option **Von der deklarativen Richtlinie verwaltet** angezeigt, und Sie können die Einstellungen für VPC BPA auf Kontoebene nicht ändern.
# Bewerten der Auswirkungen von VPC-BPA und Überwachen von VPC-BPA
Dieser Abschnitt enthält Informationen darüber, wie Sie die Auswirkungen von VPC BPA bewerten können, bevor Sie es aktivieren, und wie Sie überwachen, ob der Datenverkehr nach dem Aktivieren blockiert wird.
**Topics**
+ [Bewerten der Auswirkungen von VPC BPA mithilfe von Network Access Analyzer](#security-vpc-bpa-assess-impact)
+ [Überwachen der VPC-BPA-Auswirkungen mit Flow-Protokollen](#security-vpc-bpa-fl)
+ [Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Überprüfen mit Reachability Analyzer, ob die Konnektivität blockiert ist](#security-vpc-bpa-verify-RA)
## Bewerten der Auswirkungen von VPC BPA mithilfe von Network Access Analyzer
In diesem Abschnitt verwenden Sie Network Access Analyzer, um die Ressourcen in Ihrem Konto anzuzeigen, die ein Internet-Gateway verwenden, *bevor* Sie VPC BPA aktivieren und den Zugriff blockieren. Verwenden Sie diese Analyse, um die Auswirkungen des Aktivierens von VPC BPA in Ihrem Konto und des Blockierens von Datenverkehr zu verstehen.
**Anmerkung**
Network Access Analyzer unterstützt IPv6 dies nicht. Sie können ihn also nicht verwenden, um die möglichen Auswirkungen von VPC BPA auf ausgehenden Internet-Gateway-Datenverkehr zu überprüfen. IPv6
Die Analysen, die Sie mit Network Access Analyzer durchführen, sind kostenpflichtig. Weitere Informationen finden Sie unter [Preisgestaltung](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) im *Handbuch für Network Access Analyzer*.
Informationen über die regionale Verfügbarkeit von Network Access Analyzer finden Sie unter [Einschränkungen](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) im *Handbuch für Network Access Analyzer*.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Network Insights-Konsole unter. AWS [https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/)
1. Wählen Sie **Network Access Analyzer** aus.
1. Klicken Sie auf **Netzwerkzugriffsbereich erstellen**.
1. Wählen Sie **Auswirkungen von VPC Block Public Access bewerten** und dann **Weiter** aus.
1. Die Vorlage ist bereits so konfiguriert, dass sie den Datenverkehr zu und von den Internet-Gateways in Ihrem Konto analysiert. Sie können dies unter **Quelle** und **Ziel** einsehen.
1. Wählen Sie **Weiter** aus.
1. Klicken Sie auf **Netzwerkzugriffsbereich erstellen**.
1. Wählen Sie den gerade erstellten Bereich aus und klicken Sie auf **Analysieren**.
1. Warten Sie, bis die Analyse abgeschlossen ist.
1. Zeigen Sie die Ergebnisse der Analyse an. Jede Zeile unter **Erkenntnise** zeigt einen Netzwerkpfad, den ein Paket in einem Netzwerk zu oder von einem Internet-Gateway in Ihrem Konto nehmen kann. Wenn Sie in diesem Fall VPC BPA aktivieren und keines der in diesen Ergebnissen aufgeführten VPCs und oder Subnetze als VPC-BPA-Ausschlüsse konfiguriert ist, wird der Datenverkehr zu diesen VPCs und Subnetzen eingeschränkt.
1. Analysieren Sie jedes Ergebnis, um die Auswirkungen von VPC BPA auf Ihre Ressourcen zu verstehen. VPCs
Die Analyse der Auswirkungen ist abgeschlossen.
------
#### [ AWS CLI ]
1. Erstellen Sie einen Netzwerkzugriffsbereich:
```
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
```
1. Starten Sie die Analyse des Bereichs:
```
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
```
1. Rufen Sie die Ergebnisse der Analyse ab:
```
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
Die Ergebnisse zeigen den Verkehr zu und von den Internet-Gateways in allen Bereichen Ihres Kontos VPCs . Die Ergebnisse sind als „Ergebnisse“ zusammengefasst. "FindingId„:" AnalysisFinding -1" gibt an, dass dies das erste Ergebnis der Analyse ist. Beachten Sie, dass es mehrere Erkenntnisse gibt, die jeweils auf einen Datenverkehrsfluss hinweisen, der durch die Aktivierung von VPC BPA beeinträchtigt wird. Das erste Ergebnis zeigt, dass der Datenverkehr an einem Internet-Gateway (“ SequenceNumber „: 1) begann, an eine NACL (“ SequenceNumber „: 2) an eine Sicherheitsgruppe (“ SequenceNumber „: 3) weitergeleitet wurde und an einer Instanz (“ SequenceNumber „: 4) endete.
1. Analysieren Sie die Ergebnisse, um die Auswirkungen von VPC BPA auf Ihre Ressourcen zu verstehen. VPCs
Die Analyse der Auswirkungen ist abgeschlossen.
------
## Überwachen der VPC-BPA-Auswirkungen mit Flow-Protokollen
VPC-Flow-Protokolle ist ein Feature, mit dem Sie Informationen über den IP-Datenverkehr zu und von Elastic-Network-Schnittstellen in Ihrer VPC erfassen können. Sie können dieses Feature verwenden, um den Datenverkehr zu überwachen, der durch VPC BPA daran gehindert wird, Ihre Instance-Netzwerkschnittstellen zu erreichen.
Erstellen Sie ein Flow-Protokoll für Ihre VPC anhand der Schritte unter [Arbeiten mit Flow-Protokollen](working-with-flow-logs.md).
Stellen Sie beim Erstellen des Flow-Protokolls sicher, dass Sie ein benutzerdefiniertes Format verwenden, das das Feld `reject-reason` enthält.
Wenn Sie die Flow-Protokolle anzeigen und der Datenverkehr zu einer ENI aufgrund von VPC-BPA abgelehnt wird, wird im Flow-Protokolleintrag ein `reject-reason` von `BPA` angezeigt.
Zusätzlich zu den standardmäßigen [Einschränkungen](flow-logs-limitations.md) für VPC-Flow-Protokolle sind die folgenden, für VPC BPA spezifischen Einschränkungen zu beachten:
+ Flow-Protokolle für VPC BPA enthalten keine [übersprungenen Datensätze](flow-logs-records-examples.md#flow-log-example-no-data).
+ [`bytes`](flow-log-records.md#flow-logs-fields) sind nicht in Flow-Protokollen für VPC BPA enthalten, auch wenn Sie das Feld `bytes` in Ihr Flow-Protokoll aufnehmen.
## Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail
In diesem Abschnitt wird erklärt, wie Sie AWS CloudTrail das Löschen von VPC-BPA-Ausschlüssen überwachen und verfolgen können.
------
#### [ AWS-Managementkonsole ]
Sie können alle gelöschten Ausnahmen im **CloudTrail Ereignisverlauf** einsehen, indem Sie in der Konsole unter **Ressourcentyp** > `AWS::EC2::VPCBlockPublicAccessExclusion` suchen. AWS CloudTrail [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/)
------
#### [ AWS CLI ]
Mit dem Befehl `lookup-events` können Sie die Ereignisse im Zusammenhang mit dem Löschen von Ausschlüssen anzeigen:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
## Überprüfen mit Reachability Analyzer, ob die Konnektivität blockiert ist
[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) kann verwendet werden, um zu bewerten, ob bestimmte Netzwerkpfade angesichts Ihrer Netzwerkkonfiguration, einschließlich der Einstellungen für VPC BPA, erreicht werden können oder nicht.
Informationen zur regionalen Verfügbarkeit von Reachability Analyzer finden Sie unter [Überlegungen](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) im *Leitfaden Reachability Analyzer*.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die AWS Network Insights-Konsole unter[https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).
1. Klicken Sie auf **Pfad erstellen und analysieren**.
1. Wählen Sie als **Quelltyp** die Option **Internet-Gateways** aus und wählen Sie dann aus der Dropdown-Liste **Quelle** das Internet-Gateway aus, für das Sie den Datenverkehr blockieren möchten.
1. Wählen Sie unter **Zieltyp** die Option **Instances** aus und wählen Sie dann aus dem Dropdown-Menü **Ziel** die Instance aus, zu der Sie den Datenverkehr blockieren möchten.
1. Klicken Sie auf **Pfad erstellen und analysieren**.
1. Warten Sie, bis die Analyse abgeschlossen ist. Dies kann einige Minuten dauern.
1. Sobald dies abgeschlossen ist, sollten Sie sehen, dass der **Erreichbarkeitsstatus** **Nicht erreichbar** lautet und dass die **Pfaddetails** zeigen, dass `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` die Ursache für dieses Erreichbarkeitsproblem ist.
------
#### [ AWS CLI ]
1. Erstellen Sie einen Netzwerkpfad mit der ID des Internet-Gateways, von dem aus Sie den Datenverkehr blockieren möchten (Quelle), und der ID der Instance, zu der Sie den Datenverkehr blockieren möchten (Ziel):
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Starten Sie eine Analyse des Netzwerkpfads:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Rufen Sie die Ergebnisse der Analyse ab:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Prüfen Sie, ob `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` das `ExplanationCode` für die fehlende Erreichbarkeit ist.
------
# Erweitertes Beispiel
Dieser Abschnitt enthält ein erweitertes Beispiel, das Ihnen hilft zu verstehen, wie das Feature VPC Block Public Access in verschiedenen Szenarien funktioniert. Jedes Szenario baut auf dem vorherigen Szenario auf, daher ist es wichtig, dass Sie die Schritte in der richtigen Reihenfolge ausführen.
**Wichtig**
Gehen Sie dieses Beispiel nicht in einem Produktionskonto durch. Wir empfehlen Ihnen dringend, die Workloads, die Internetzugang benötigen, gründlich zu überprüfen, bevor Sie VPC BPA in Ihren Produktionskonten aktivieren.
**Anmerkung**
Sie benötigen bestimmte Ressourcen in Ihrem Konto, um das VPC-BPA-Feature vollständig zu verstehen. In diesem Abschnitt stellen wir eine CloudFormation Vorlage zur Verfügung, mit der Sie die Ressourcen bereitstellen können, die Sie benötigen, um die Funktionsweise dieser Funktion vollständig zu verstehen. Mit den Ressourcen, die Sie mit der CloudFormation Vorlage bereitstellen, und den Analysen, die Sie mit Network Access Analyzer und Reachability Analyzer durchführen, fallen Kosten an. Wenn Sie die Vorlage in diesem Abschnitt verwenden, stellen Sie sicher, dass Sie die Bereinigungsschritte abschließen, wenn Sie mit diesem Beispiel fertig sind.
**Topics**
+ [CloudFormation Vorlage bereitstellen (optional)](#security-vpc-bpa-example-deploy-cfn)
+ [Anzeigen der Auswirkungen von VPC BPA mit Network Access Analyzer](#vpc-bpa-naa)
+ [Szenario 1: Herstellen einer Verbindung zu Instances ohne aktiviertes VPC BPA](#vpc-bpa-scenario-1-connect-scen1)
+ [Szenario 2: Aktivieren von VPC BPA im bidirektionalen Modus](#vpc-bpa-scenario-1-connect-scen2)
+ [Szenario 3: Ändern des VPC BPA auf nur eingehenden Datenverkehrsmodus](#vpc-bpa-scenario-3)
+ [Szenario 4: Erstellen eines Ausschlusses](#vpc-bpa-scenario-4)
+ [Szenario 5: Ändern des Ausschlussmodus](#vpc-bpa-scenario-5)
+ [Szenario 6: Ändern des VPC-BPA-Modus](#vpc-bpa-scenario-6)
+ [Bereinigen](#vpc-bpa-scenario-cleanup)
## CloudFormation Vorlage bereitstellen (optional)
Sie benötigen eine VPC, Subnetze, Instances und andere Ressourcen, um zu demonstrieren, wie dieses Feature funktioniert. Um die Durchführung dieser Demonstration zu erleichtern, haben wir unten eine CloudFormation -Vorlage bereitgestellt, mit der Sie schnell die für die Szenarien in dieser Demo erforderlichen Ressourcen einrichten können. Dieser Schritt ist optional und möglicherweise möchten Sie sich nur die Diagramme in den Szenarien in diesem Abschnitt ansehen.
**Anmerkung**
Mit den Ressourcen, die Sie in diesem Abschnitt mit der CloudFormation Vorlage erstellen, sind Kosten verbunden, z. B. die Kosten für das NAT-Gateway und öffentliche IPv4 Adressen. Um übermäßige Kosten zu vermeiden, stellen Sie sicher, dass Sie die Bereinigungsschritte durchführen, um alle für dieses Beispiel erstellten Ressourcen zu entfernen.
Diese CloudFormation Vorlage erstellt die zugrunde liegenden Ressourcen, die für VPC BPA benötigt werden, aktiviert jedoch nicht die VPC BPA-Funktion selbst. Die hier bereitgestellten Ressourcen sollen Ihnen dabei helfen, die VPC-BPA-Funktion zu verstehen und zu testen, sobald Sie diese separat aktivieren möchten.
Die Vorlage erstellt die folgenden Ressourcen in Ihrem Konto:
+ Internet-Gateway nur für ausgehenden Verkehr
+ Internet-Gateway
+ NAT-Gateway
+ Zwei öffentliche Subnetze
+ Ein privates Subnetz
+ Zwei EC2-Instances mit öffentlichen und privaten Adressen IPv4
+ Eine EC2-Instance mit einer IPv6 Adresse und einer privaten Adresse IPv4
+ Eine EC2-Instance nur mit einer privaten Adresse IPv4
+ Sicherheitsgruppe, die eingehenden SSH- und ICMP-Datenverkehr zulässt und den gesamten ausgehenden Datenverkehr erlaubt
+ VPC-Flow-Protokoll
+ Ein EC2-Instance-Verbindungsendpunkt in Subnetz B
Kopieren Sie die nachstehende Vorlage und speichern Sie sie in einer YAML-Datei.
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Creates a VPC with public and private subnets, NAT gateway, and EC2 instances for VPC BPA.
Parameters:
InstanceAMI:
Description: ID of the Amazone Machine Image (AMI) to use with the instances launched by this template
Type: AWS::EC2::Image::Id
InstanceType:
Description: EC2 Instance type to use with the instances launched by this template
Type: String
Default: t2.micro
Resources:
# VPC
VPCBPA:
Type: AWS::EC2::VPC
Properties:
CidrBlock: 10.0.0.0/16
EnableDnsHostnames: true
EnableDnsSupport: true
InstanceTenancy: default
Tags:
- Key: Name
Value: VPC BPA
# VPC IPv6 CIDR
VPCBPAIpv6CidrBlock:
Type: AWS::EC2::VPCCidrBlock
Properties:
VpcId: !Ref VPCBPA
AmazonProvidedIpv6CidrBlock: true
# EC2 Key Pair
VPCBPAKeyPair:
Type: AWS::EC2::KeyPair
Properties:
KeyName: vpc-bpa-key
# Internet Gateway
VPCBPAInternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: VPC BPA Internet Gateway
VPCBPAInternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
VpcId: !Ref VPCBPA
InternetGatewayId: !Ref VPCBPAInternetGateway
# Egress-Only Internet Gateway
VPCBPAEgressOnlyInternetGateway:
Type: AWS::EC2::EgressOnlyInternetGateway
Properties:
VpcId: !Ref VPCBPA
# Subnets
VPCBPAPublicSubnetA:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.1.0/24
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: VPC BPA Public Subnet A
VPCBPAPublicSubnetB:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.2.0/24
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: VPC BPA Public Subnet B
VPCBPAPrivateSubnetC:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPCBPA
CidrBlock: 10.0.3.0/24
MapPublicIpOnLaunch: false
Ipv6CidrBlock: !Select [0, !GetAtt VPCBPA.Ipv6CidrBlocks]
AssignIpv6AddressOnCreation: true
Tags:
- Key: Name
Value: VPC BPA Private Subnet C
# NAT Gateway
VPCBPANATGateway:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt VPCBPANATGatewayEIP.AllocationId
SubnetId: !Ref VPCBPAPublicSubnetB
Tags:
- Key: Name
Value: VPC BPA NAT Gateway
VPCBPANATGatewayEIP:
Type: AWS::EC2::EIP
Properties:
Domain: vpc
Tags:
- Key: Name
Value: VPC BPA NAT Gateway EIP
# Route Tables
VPCBPAPublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Public Route Table
VPCBPAPublicRoute:
Type: AWS::EC2::Route
DependsOn: VPCBPAInternetGatewayAttachment
Properties:
RouteTableId: !Ref VPCBPAPublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref VPCBPAInternetGateway
VPCBPAPublicSubnetARouteTableAssoc:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPublicSubnetA
RouteTableId: !Ref VPCBPAPublicRouteTable
VPCBPAPublicSubnetBRouteTableAssoc:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPublicSubnetB
RouteTableId: !Ref VPCBPAPublicRouteTable
VPCBPAPrivateRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Private Route Table
VPCBPAPrivateRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref VPCBPAPrivateRouteTable
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref VPCBPANATGateway
VPCBPAPrivateSubnetCRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref VPCBPAPrivateRouteTable
DestinationIpv6CidrBlock: ::/0
EgressOnlyInternetGatewayId: !Ref VPCBPAEgressOnlyInternetGateway
VPCBPAPrivateSubnetCRouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
SubnetId: !Ref VPCBPAPrivateSubnetC
RouteTableId: !Ref VPCBPAPrivateRouteTable
# EC2 Instances Security Group
VPCBPAInstancesSecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: VPC BPA Instances Security Group
GroupDescription: Allow SSH and ICMP access
SecurityGroupIngress:
- IpProtocol: tcp
FromPort: 22
ToPort: 22
CidrIp: 0.0.0.0/0
- IpProtocol: icmp
FromPort: -1
ToPort: -1
CidrIp: 0.0.0.0/0
VpcId: !Ref VPCBPA
Tags:
- Key: Name
Value: VPC BPA Instances Security Group
# EC2 Instances
VPCBPAInstanceA:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: t2.micro
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPublicSubnetA
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance A
VPCBPAInstanceB:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPublicSubnetB
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance B
VPCBPAInstanceC:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
SubnetId: !Ref VPCBPAPrivateSubnetC
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
Tags:
- Key: Name
Value: VPC BPA Instance C
VPCBPAInstanceD:
Type: AWS::EC2::Instance
Properties:
ImageId: !Ref InstanceAMI
InstanceType: !Ref InstanceType
KeyName: !Ref VPCBPAKeyPair
NetworkInterfaces:
- DeviceIndex: '0'
GroupSet:
- !Ref VPCBPAInstancesSecurityGroup
SubnetId: !Ref VPCBPAPrivateSubnetC
Ipv6AddressCount: 1
Tags:
- Key: Name
Value: VPC BPA Instance D
# Flow Logs IAM Role
VPCBPAFlowLogRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
Service: vpc-flow-logs.amazonaws.com
Action: 'sts:AssumeRole'
Tags:
- Key: Name
Value: VPC BPA Flow Logs Role
VPCBPAFlowLogPolicy:
Type: AWS::IAM::Policy
Properties:
PolicyName: VPC-BPA-FlowLogsPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- 'logs:CreateLogGroup'
- 'logs:CreateLogStream'
- 'logs:PutLogEvents'
- 'logs:DescribeLogGroups'
- 'logs:DescribeLogStreams'
Resource: '*'
Roles:
- !Ref VPCBPAFlowLogRole
# Flow Logs
VPCBPAFlowLog:
Type: AWS::EC2::FlowLog
Properties:
ResourceId: !Ref VPCBPA
ResourceType: VPC
TrafficType: ALL
LogDestinationType: cloud-watch-logs
LogGroupName: /aws/vpc-flow-logs/VPC-BPA
DeliverLogsPermissionArn: !GetAtt VPCBPAFlowLogRole.Arn
LogFormat: '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr} ${region} ${az-id} ${sublocation-type} ${sublocation-id} ${pkt-src-aws-service} ${pkt-dst-aws-service} ${flow-direction} ${traffic-path} ${reject-reason}'
Tags:
- Key: Name
Value: VPC BPA Flow Logs
# EC2 Instance Connect Endpoint
VPCBPAEC2InstanceConnectEndpoint:
Type: AWS::EC2::InstanceConnectEndpoint
Properties:
SecurityGroupIds:
- !Ref VPCBPAInstancesSecurityGroup
SubnetId: !Ref VPCBPAPublicSubnetB
Outputs:
VPCBPAVPCId:
Description: A reference to the created VPC
Value: !Ref VPCBPA
Export:
Name: vpc-id
VPCBPAPublicSubnetAId:
Description: The ID of the public subnet A
Value: !Ref VPCBPAPublicSubnetA
VPCBPAPublicSubnetAName:
Description: The name of the public subnet A
Value: VPC BPA Public Subnet A
VPCBPAPublicSubnetBId:
Description: The ID of the public subnet B
Value: !Ref VPCBPAPublicSubnetB
VPCBPAPublicSubnetBName:
Description: The name of the public subnet B
Value: VPC BPA Public Subnet B
VPCBPAPrivateSubnetCId:
Description: The ID of the private subnet C
Value: !Ref VPCBPAPrivateSubnetC
VPCBPAPrivateSubnetCName:
Description: The name of the private subnet C
Value: VPC BPA Private Subnet C
VPCBPAInstanceAId:
Description: The ID of instance A
Value: !Ref VPCBPAInstanceA
VPCBPAInstanceBId:
Description: The ID of instance B
Value: !Ref VPCBPAInstanceB
VPCBPAInstanceCId:
Description: The ID of instance C
Value: !Ref VPCBPAInstanceC
VPCBPAInstanceDId:
Description: The ID of instance D
Value: !Ref VPCBPAInstanceD
```
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die CloudFormation Konsole unter. [https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/)
1. Wählen Sie **Stack erstellen** aus und laden Sie die YAML-Vorlagendatei hoch.
1. Führen Sie die Schritte durch, um die Vorlage zu starten. Sie müssen eine [Image-ID](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html) und einen [Instance-Typ](https://aws.amazon.com/ec2/instance-types/) (wie t2.micro) eingeben. Sie müssen außerdem die Möglichkeit haben, eine IAM-Rolle für Sie CloudFormation zu erstellen, damit Sie das Flow-Protokoll erstellen können und über welche Rechte Sie sich CloudWatch anmelden können.
1. Sobald Sie den Stack gestartet haben, zeigen Sie auf der Registerkarte **Ereignisse** den Fortschritt an und stellen Sie sicher, dass der Stack abgeschlossen ist, bevor Sie fortfahren.
------
#### [ AWS CLI ]
1. Führen Sie den folgenden Befehl aus, um den CloudFormation Stack zu erstellen:
```
aws cloudformation create-stack --stack-name VPC-BPA-stack --template-body file://sampletemplate.yaml --capabilities CAPABILITY_IAM --region us-east-2
```
Ausgabe:
```
{
"StackId": "arn:aws:cloudformation:us-east-2:470889052923:stack/VPC-BPA-stack/8a7a2cc0-8001-11ef-b196-06386a84b72f"
}
```
1. Zeigen Sie den Fortschritt an und stellen Sie sicher, dass der Stack abgeschlossen ist, bevor Sie fortfahren:
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```
------
## Anzeigen der Auswirkungen von VPC BPA mit Network Access Analyzer
In diesem Abschnitt verwenden Sie Network Access Analyzer, um die Ressourcen in Ihrem Konto anzuzeigen, die das Internet-Gateway nutzen. Verwenden Sie diese Analyse, um die Auswirkungen des Aktivierens von VPC BPA in Ihrem Konto und des Blockierens von Datenverkehr zu verstehen.
Informationen über die regionale Verfügbarkeit von Network Access Analyzer finden Sie unter [Einschränkungen](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) im *Handbuch für Network Access Analyzer*.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die AWS Network Insights-Konsole unter[https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).
1. Wählen Sie **Network Access Analyzer** aus.
1. Klicken Sie auf **Netzwerkzugriffsbereich erstellen**.
1. Wählen Sie **Auswirkungen von VPC Block Public Access bewerten** und dann **Weiter** aus.
1. Die Vorlage ist bereits so konfiguriert, dass sie den Datenverkehr zu und von den Internet-Gateways in Ihrem Konto analysiert. Sie können dies unter **Quelle** und **Ziel** einsehen.
1. Wählen Sie **Weiter** aus.
1. Klicken Sie auf **Netzwerkzugriffsbereich erstellen**.
1. Wählen Sie den gerade erstellten Bereich aus und klicken Sie auf **Analysieren**.
1. Warten Sie, bis die Analyse abgeschlossen ist.
1. Zeigen Sie die Ergebnisse der Analyse an. Jede Zeile unter **Erkenntnise** zeigt einen Netzwerkpfad, den ein Paket in einem Netzwerk zu oder von einem Internet-Gateway in Ihrem Konto nehmen kann. Wenn Sie in diesem Fall VPC BPA aktivieren und keines der in diesen Ergebnissen aufgeführten VPCs und oder Subnetze als VPC-BPA-Ausschlüsse konfiguriert ist, wird der Datenverkehr zu diesen VPCs und Subnetzen eingeschränkt.
1. Analysieren Sie jedes Ergebnis, um die Auswirkungen von VPC BPA auf Ihre Ressourcen zu verstehen. VPCs
Die Analyse der Auswirkungen ist abgeschlossen.
------
#### [ AWS CLI ]
1. Erstellen Sie einen Netzwerkzugriffsbereich:
```
aws ec2 create-network-insights-access-scope --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" --region us-east-2
```
Ausgabe:
```
{
"NetworkInsightsAccessScope": {
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"NetworkInsightsAccessScopeArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope/nis-04cad3c4b3a1d5e3e",
"CreatedDate": "2024-09-30T15:55:53.171000+00:00",
"UpdatedDate": "2024-09-30T15:55:53.171000+00:00"
},
"NetworkInsightsAccessScopeContent": {
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"MatchPaths": [
{
"Source": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::InternetGateway"
]
}
}
},
{
"Destination": {
"ResourceStatement": {
"ResourceTypes": [
"AWS::EC2::InternetGateway"
]
}
}
}
]
}
}
```
1. Starten Sie die Analyse des Bereichs:
```
aws ec2 start-network-insights-access-scope-analysis --network-insights-access-scope-id nis-04cad3c4b3a1d5e3e --region us-east-2
```
Ausgabe:
```
{
"NetworkInsightsAccessScopeAnalysis": {
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NetworkInsightsAccessScopeAnalysisArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope-analysis/nisa-0aa383a1938f94cd",
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"Status": "running",
"StartDate": "2024-09-30T15:56:59.109000+00:00",
"AnalyzedEniCount": 0
}
}
```
1. Rufen Sie die Ergebnisse der Analyse ab:
```
aws ec2 get-network-insights-access-scope-analysis-findings --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --region us-east-2 --max-items 1
```
Ausgabe:
```
{
"AnalysisFindings": [
{
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
"FindingId": "AnalysisFinding-1",
"FindingComponents": [
{
"SequenceNumber": 1,
"Component": {
"Id": "igw-04a5344b4e30486f1",
"Arn": "arn:aws:ec2:us-east-2:470889052923:internet-gateway/igw-04a5344b4e30486f1",
"Name": "VPC BPA Internet Gateway"
},
"OutboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
]
},
"InboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
],
"DestinationPortRanges": [
{
"From": 22,
"To": 22
}
],
"Protocol": "6",
"SourceAddresses": [
"0.0.0.0/5",
"100.0.0.0/10",
"96.0.0.0/6"
],
"SourcePortRanges": [
{
"From": 0,
"To": 65535
}
]
},
"Vpc": {
"Id": "vpc-0762547ec48b6888d",
"Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
"Name": "VPC BPA"
}
},
{
"SequenceNumber": 2,
"AclRule": {
"Cidr": "0.0.0.0/0",
"Egress": false,
"Protocol": "all",
"RuleAction": "allow",
"RuleNumber": 100
},
"Component": {
"Id": "acl-06194fc3a4a03040b",
"Arn": "arn:aws:ec2:us-east-2:470889052923:network-acl/acl-06194fc3a4a03040b"
}
},
{
"SequenceNumber": 3,
"Component": {
"Id": "sg-093dde06415d03924",
"Arn": "arn:aws:ec2:us-east-2:470889052923:security-group/sg-093dde06415d03924",
"Name": "VPC BPA Instances Security Group"
},
"SecurityGroupRule": {
"Cidr": "0.0.0.0/0",
"Direction": "ingress",
"PortRange": {
"From": 22,
"To": 22
},
"Protocol": "tcp"
}
},
{
"SequenceNumber": 4,
"AttachedTo": {
"Id": "i-058db34f9a0997895",
"Arn": "arn:aws:ec2:us-east-2:470889052923:instance/i-058db34f9a0997895",
"Name": "VPC BPA Instance A"
},
"Component": {
"Id": "eni-0fa23f2766f03b286",
"Arn": "arn:aws:ec2:us-east-2:470889052923:network-interface/eni-0fa23f2766f03b286"
},
"InboundHeader": {
"DestinationAddresses": [
"10.0.1.85/32"
],
"DestinationPortRanges": [
{
"From": 22,
"To": 22
}
],
"Protocol": "6",
"SourceAddresses": [
"0.0.0.0/5",
"100.0.0.0/10",
"96.0.0.0/6"
],
"SourcePortRanges": [
{
"From": 0,
"To": 65535
}
]
},
"Subnet": {
"Id": "subnet-035d235a762eeed04",
"Arn": "arn:aws:ec2:us-east-2:470889052923:subnet/subnet-035d235a762eeed04",
"Name": "VPC BPA Public Subnet A"
},
"Vpc": {
"Id": "vpc-0762547ec48b6888d",
"Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
"Name": "VPC BPA"
}
}
]
}
],
"AnalysisStatus": "succeeded",
"NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
"NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ=="
}
```
Die Ergebnisse zeigen den Verkehr zu und von den Internet-Gateways in allen Bereichen Ihres Kontos VPCs . Die Ergebnisse sind als „Ergebnisse“ zusammengefasst. "FindingId„:" AnalysisFinding -1" gibt an, dass dies das erste Ergebnis der Analyse ist. Beachten Sie, dass es mehrere Erkenntnisse gibt, die jeweils auf einen Datenverkehrsfluss hinweisen, der durch die Aktivierung von VPC BPA beeinträchtigt wird. Das erste Ergebnis zeigt, dass der Datenverkehr an einem Internet-Gateway (“ SequenceNumber „: 1) begann, an eine NACL (“ SequenceNumber „: 2) an eine Sicherheitsgruppe (“ SequenceNumber „: 3) weitergeleitet wurde und an einer Instanz (“ SequenceNumber „: 4) endete.
1. Analysieren Sie die Ergebnisse, um die Auswirkungen von VPC BPA auf Ihre Ressourcen zu verstehen. VPCs
Die Analyse der Auswirkungen ist abgeschlossen.
------
## Szenario 1: Herstellen einer Verbindung zu Instances ohne aktiviertes VPC BPA
In diesem Abschnitt sind EC2-Instances in den öffentlichen Subnetzen A und B vom Internet aus über das Internet-Gateway erreichbar, das sowohl ein- als auch ausgehenden Datenverkehr ermöglicht. Die Instances C und D im privaten Subnetz können ausgehenden Datenverkehr über das NAT-Gateway oder das Internet-Gateway nur für ausgehenden Datenverkehr initiieren, sind jedoch nicht direkt vom Internet aus erreichbar. Diese Einrichtung bietet Internetzugriff auf einige Ressourcen und schützt gleichzeitig andere. Als Zweck dieses Abschnitts stellen Sie eine Verbindung zu allen Instances her und pingen eine öffentliche IP-Adresse an, um eine Baseline festzulegen und sicherzustellen, dass alle Instances erreicht werden können, bevor Sie VPC BPA aktivieren.
Diagramm einer VPC ohne aktiviertes VPC BPA:
![\[Diagramm, das eine VPC ohne aktiviertes VPC BPA zeigt.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/vpc-bpa-1.png)
### 1.1 Herstellen einer Verbindung zu Instances
Führen Sie diesen Abschnitt aus, um eine Verbindung zu Ihren Instances mit deaktiviertem VPC BPA herzustellen, um sicherzustellen, dass Sie problemlos eine Verbindung herstellen können. Alle mit dem CloudFormation für dieses Beispiel erstellten Instanzen haben Namen wie „VPC BPA Instance A“.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Öffnen Sie die Details zu Instance A.
1. Stellen Sie mithilfe der Option **EC2 Instance Connect** > **Verbinden mit EC2-Instance-Connect-Endpunkt** eine Verbindung zu Instance A her.
1. Wählen Sie **Connect** aus. Sobald Sie erfolgreich eine Verbindung mit der Instance hergestellt haben, pingen Sie www.amazon.com an, um zu überprüfen, ob Sie ausgehende Anfragen an das Internet senden können.
1. Verwenden Sie die gleiche Methode, die Sie für die Verbindung zu Instance A verwendet haben, um eine Verbindung zu den Instances B, C und D herzustellen. Pingen Sie von jeder Instance aus www.amazon.com an, um zu überprüfen, ob Sie ausgehende Anfragen an das Internet senden können.
------
#### [ AWS CLI ]
1. Pingen Sie Instanz A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:
Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 18:27:57 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING www-amazon-com.customer.fastly.net (18.65.233.187) 56(84) bytes of data.
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=15 ttl=58 time=2.06 ms
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=16 ttl=58 time=2.26 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Reply from 3.18.106.198: bytes=32 time=83ms TTL=110
Reply from 3.18.106.198: bytes=32 time=54ms TTL=110
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Fri Sep 27 18:12:27 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.55 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.67 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Stellen Sie eine Verbindung zu Instance C her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Thu Sep 19 20:31:26 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.75 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.97 ms
64 bytes from server-3-160-24-26.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=3 ttl=248 time=1.08 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Stellen Sie eine Verbindung zu Instance D her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Ausgabe:
```
The authenticity of host '10.0.3.59 can't be established.
ECDSA key fingerprint is SHA256:c4naBCqbC61/cExDyccEproNU+1HHSpMSzl2J6cOtIZA8g.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.3.59' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ _/
_/m/'
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.19 ms
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.38 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
------
## Szenario 2: Aktivieren von VPC BPA im bidirektionalen Modus
In diesem Abschnitt aktivieren Sie VPC BPA und blockieren den Datenverkehr zu und von den Internet-Gateways in Ihrem Konto.
Diagramm mit Darstellung des aktivierten bidirektionalen Modus von VPC BPA:
![\[Das Diagramm zeigt VPC mit aktiviertem bidirektionalem VPC BPA.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/vpc-bpa-2.png)
### 2.1 Aktivieren des bidirektionalen VPC-BPA-Modus
Führen Sie diesen Abschnitt aus, um VPC BPA zu aktivieren. Der bidirektionale VPC BPA-Modus blockiert den gesamten Verkehr zu und von Internet-Gateways und Internet-Gateways nur für ausgehenden Datenverkehr in dieser Region (mit Ausnahme von ausgeschlossenen Netzwerken und Subnetzen). VPCs
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus.
1. Wählen Sie **Einstellungen für den öffentlichen Zugriff bearbeiten** aus.
1. Wählen Sie **Blockieren des öffentlichen Zugriffs aktivieren** und **Bidirektional** und anschließend **Änderungen speichern** aus.
1. Warten Sie, bis sich der **Status** zu **Ein** ändert. Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
VPC BPA ist jetzt aktiviert.
------
#### [ AWS CLI ]
1. Verwenden Sie den Befehl modify-vpc-block-public -access-options, um VPC BPA zu aktivieren:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
1. Zeigen Sie den Status von VPC BPA an:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 2.2 Herstellen einer Verbindung zu Instances
Führen Sie diesen Abschnitt aus, um eine Verbindung mit Ihren Instances herzustellen.
------
#### [ AWS-Managementkonsole ]
1. Pingen Sie die öffentliche IPv4 Adresse von Instance A und Instance B wie in Szenario 1. Beachten Sie, dass der Datenverkehr blockiert ist.
1. Stellen Sie mit der Option **EC2 Instance Connect** > **Verbinden mit EC2-Instance-Connect-Endpunkt** eine Verbindung zu Instance A wie in Szenario 1 her. Stellen Sie sicher, dass Sie die Endpunkt-Option verwenden.
1. Wählen Sie **Connect** aus. Sobald Sie erfolgreich eine Verbindung zur Instance hergestellt haben, pingen Sie www.amazon.com an. Beachten Sie, dass der gesamte ausgehende Datenverkehr blockiert ist.
1. Verwenden Sie die gleiche Methode, die Sie für die Verbindung zu Instance A verwendet haben, um eine Verbindung zu den Instances B, C und D herzustellen und ausgehende Anfragen an das Internet zu testen. Beachten Sie, dass der gesamte ausgehende Datenverkehr blockiert ist.
------
#### [ AWS CLI ]
1. Pingen Sie Instance A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Ausgabe:
```
The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Ausgabe:
```
The authenticity of host '10.0.2.98' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Stellen Sie eine Verbindung zu Instance C her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
/ /
/m/'
Last login: Tue Sep 24 15:17:56 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Stellen Sie eine Verbindung zu Instance D her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ _/
_/m/'
Last login: Fri Sep 27 16:42:01 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:8200:7:49a5:5fd4:b121 (2600:9000:25f3:8200:7:49a5:5fd4:b121)) 56 data bytes
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
------
### 2.3 Optional: Überprüfen mit Reachability Analyzer, ob die Konnektivität blockiert ist
[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) kann verwendet werden, um zu verstehen, ob bestimmte Netzwerkpfade angesichts Ihrer Netzwerkkonfiguration, einschließlich der Einstellungen für VPC BPA, erreicht werden können oder nicht. In diesem Beispiel analysieren Sie denselben Netzwerkpfad, der zuvor versucht wurde, um zu bestätigen, dass VPC BPA der Grund für die fehlende Konnektivität ist.
------
#### [ AWS-Managementkonsole ]
1. Rufen Sie die Network-Insights-Konsole unter [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer) auf.
1. Klicken Sie auf **Pfad erstellen und analysieren**.
1. Wählen Sie als **Quelltyp** die Option **Internet-Gateways** aus und wählen Sie dann aus dem Dropdown-Menü **Quelle** das Internet-Gateway mit der Bezeichnung **VPC-BPA-Internet-Gateway** aus.
1. Wählen Sie als **Zieltyp** die Option **Instances** aus und wählen Sie aus dem Dropdown-Menü **Ziel** die Instance mit der Bezeichnung **VPC-BPA-Instance A** aus.
1. Klicken Sie auf **Pfad erstellen und analysieren**.
1. Warten Sie, bis die Analyse abgeschlossen ist. Dies kann einige Minuten dauern.
1. Sobald dies abgeschlossen ist, sollten Sie sehen, dass der **Erreichbarkeitsstatus** **Nicht erreichbar** lautet und dass die **Pfaddetails** zeigen, dass `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` die Ursache ist.
------
#### [ AWS CLI ]
1. Erstellen Sie einen Netzwerkpfad unter Verwendung der ID des Internet-Gateways mit der Bezeichnung VPC-BPA-Internet-Gateway und der ID der Instance mit der Bezeichnung VPC-BPA-Instance A:
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```
1. Starten Sie eine Analyse des Netzwerkpfads:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Rufen Sie die Ergebnisse der Analyse ab:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Prüfen Sie, ob `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` das `ExplanationCode` für die fehlende Erreichbarkeit ist.
------
Beachten Sie, dass Sie auch das können: [Überwachen der VPC-BPA-Auswirkungen mit Flow-Protokollen](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl)
## Szenario 3: Ändern des VPC BPA auf nur eingehenden Datenverkehrsmodus
In diesem Abschnitt ändern Sie die Richtung des VPC-BPA-Datenverkehrs und lassen nur den Datenverkehr zu, der ein NAT-Gateway oder ein Internet-Gateway nur für ausgehenden Verkehr verwendet. Die EC2-Instances A und B in den öffentlichen Subnetzen sind vom Internet aus nicht erreichbar, da BPA den eingehenden Verkehr über das Internet Gateway blockiert. Die Instanzen C und D im privaten Subnetz können weiterhin ausgehenden Datenverkehr über das NAT-Gateway und das Internet-Gateway nur für ausgehenden Datenverkehr initiieren und erreichen daher weiterhin das Internet.
Diagramm des aktivierten Modus nur für eingehenden Datenverkehr von VPC BPA:
![\[Das Diagramm zeigt VPC mit aktiviertem Modus nur für eingehenden Datenverkehr von VPC BPA.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/vpc-bpa-3.png)
### 3.1 Ändern des Modus auf nur eingehenden Datenverkehr
Schließen Sie diesen Abschnitt ab, um den Modus zu ändern.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus.
1. Wählen Sie auf der Registerkarte **Öffentlichen Zugriff blockieren** die Option **Einstellungen für öffentlichen Zugriff bearbeiten** aus.
1. Ändern Sie die Einstellungen für den öffentlichen Zugriff in der VPC-Konsole und ändern Sie die Richtung auf **Nur eingehender Datenverkehr**.
1. Speichern Sie die Änderungen und warten Sie, bis der Status aktualisiert wird. Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
------
#### [ AWS CLI ]
1. Ändern Sie den VPC-BPA-Modus:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
1. Zeigen Sie den Status von VPC BPA an:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 3.2 Herstellen einer Verbindung zu Instances
Führen Sie diesen Abschnitt aus, um eine Verbindung zu den Instances herzustellen.
------
#### [ AWS-Managementkonsole ]
1. Pingen Sie die öffentliche IPv4 Adresse von Instance A und Instance B wie in Szenario 1. Beachten Sie, dass der Datenverkehr blockiert ist.
1. Stellen Sie mithilfe von EC2 Instance Connect wie in Szenario 1 eine Verbindung zu Instance A und B her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance A oder B aus keine öffentliche Website im Internet anpingen können und der Datenverkehr blockiert ist.
1. Stellen Sie mithilfe von EC2 Instance Connect wie in Szenario 1 eine Verbindung zu Instance C und D her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance C oder D aus eine öffentliche Website im Internet anpingen können und der Datenverkehr erlaubt ist.
------
#### [ AWS CLI ]
1. Pingen Sie Instance A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Ausgabe:
```
The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Ausgabe:
```
The authenticity of host '10.0.2.98 ' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Stellen Sie eine Verbindung zu Instance C her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Stellen Sie eine Verbindung zu Instance D her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 16:48:38 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=14 ttl=58 time=1.47 ms
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=16 ttl=58 time=1.59 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
------
## Szenario 4: Erstellen eines Ausschlusses
In diesem Abschnitt erstellen Sie einen Ausschluss. VPC BPA blockiert dann nur den Datenverkehr in den Subnetzen *ohne* Ausschluss. Ein VPC-BPA-Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein Subnetz angewendet werden kann, der es vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen oder nur ausgehenden Zugriff erlaubt. Sie können VPC-BPA-Ausschlüsse für VPCs und Subnetze erstellen, auch wenn VPC BPA für das Konto nicht aktiviert ist, um sicherzustellen, dass der Datenverkehr der Ausschlüsse nicht unterbrochen wird, wenn VPC BPA aktiviert ist.
In diesem Beispiel erstellen wir einen Ausschluss für Subnetz A, um zu zeigen, wie sich VPC BPA auf den Datenverkehr zu Ausschlüssen auswirkt.
Diagramm des aktivierten Modus nur für eingehenden Datenverkehr von VPC BPA und des Ausschlusses von Subnetz A mit aktiviertem bidirektionalen Modus:
![\[Das Diagramm zeigt VPC mit VPC BPA im Modus nur für eingehenden Datenverkehr mit einem Ausschluss.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/vpc-bpa-4.png)
### 4.1 Erstellen eines Ausschlusses für Subnetz A
Führen Sie diesen Abschnitt aus, um eine Ausnahme zu erstellen. Ein VPC-BPA-Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein Subnetz angewendet werden kann, der es vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen oder nur ausgehenden Zugriff erlaubt. Sie können VPC-BPA-Ausschlüsse für VPCs und Subnetze erstellen, auch wenn VPC BPA für das Konto nicht aktiviert ist, um sicherzustellen, dass der Datenverkehr der Ausschlüsse nicht unterbrochen wird, wenn VPC BPA aktiviert ist.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus.
1. Wählen Sie auf der Registerkarte **Öffentlichen Zugriff blockieren** unter **Ausschlüsse** die Option **Ausschlüsse erstellen** aus.
1. Wählen Sie **VPC BPA Public Subnet A** aus, stellen Sie sicher, dass die Zulässigkeitsrichtung **Bidirektional** ausgewählt ist, und wählen Sie dann **Ausschlüsse erstellen** aus.
1. Warten Sie, bis sich der Status **Ausschluss** auf **Aktiv** ändert. Möglicherweise müssen Sie die Ausschlusstabelle aktualisieren, damit die Änderung angezeigt wird.
Der Ausschluss wurde erstellt.
------
#### [ AWS CLI ]
1. Ändern Sie die Richtung der Ausschlusserlaubnis:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. Es kann einige Zeit dauern, bis der Ausschlussstatus aktualisiert wird. So zeigen Sie den Status des Ausschlusses an:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
### 4.2 Herstellen einer Verbindung zu Instances
Führen Sie diesen Abschnitt aus, um eine Verbindung zu den Instances herzustellen.
------
#### [ AWS-Managementkonsole ]
1. Pingen Sie die öffentliche IPv4 Adresse von Instanz A. Beachten Sie, dass Datenverkehr zulässig ist.
1. Pingen Sie die öffentliche IPv4 Adresse von Instanz B. Beachten Sie, dass der Verkehr blockiert ist.
1. Stellen Sie mithilfe von EC2 Instance Connect wie in Szenario 1 eine Verbindung zu Instance A her und pingen Sie www.amazon.com an. Beachten Sie, dass Sie von Instance A aus eine öffentliche Website im Internet anpingen können, da der Datenverkehr erlaubt ist.
1. Stellen Sie mithilfe von EC2 Instance Connect wie in Szenario 1 eine Verbindung zu Instance B her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance B aus keine öffentliche Website im Internet anpingen können, da der Datenverkehr blockiert ist.
1. Stellen Sie mithilfe von EC2 Instance Connect wie in Szenario 1 eine Verbindung zu Instance C und D her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance C oder D aus eine öffentliche Website im Internet anpingen können, da der Datenverkehr erlaubt ist.
------
#### [ AWS CLI ]
1. Pingen Sie Instanz A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:
Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~_ ####_ Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
/ /
/m/'
Last login: Fri Sep 27 17:58:12 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.03 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.72 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Fri Sep 27 18:12:03 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Stellen Sie eine Verbindung zu Instance C her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Ausgabe
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, # ~_ #### Amazon Linux 2023
~~ _#####\ ~~ ###|
~~ #/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~.. _/
_/ /
/m/'
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Stellen Sie eine Verbindung zu Instance D her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Ausgabe
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:00:52 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4)) 56 data bytes
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=1 ttl=48 time=15.9 ms
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=2 ttl=48 time=15.8 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
------
### 4.3 Optional: Überprüfen der Konnektivität mit Reachability Analyzer
Unter Verwendung desselben Netzwerkpfads, der in Reachability Analyzer in Szenario 2 erstellt wurde, können Sie nun eine neue Analyse durchführen und bestätigen, dass der Pfad erreichbar ist, nachdem ein Ausschluss für das öffentliche Subnetz A erstellt wurde.
Informationen zur regionalen Verfügbarkeit von Reachability Analyzer finden Sie unter [Überlegungen](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) im *Leitfaden Reachability Analyzer*.
------
#### [ AWS-Managementkonsole ]
1. Klicken Sie im Netzwerkpfad, den Sie zuvor in der Network-Insights-Konsole erstellt haben, auf **Analyse erneut ausführen**.
1. Warten Sie, bis die Analyse abgeschlossen ist. Dieser Vorgang kann einige Minuten dauern.
1. Bestätigen Sie, dass der Pfad nun **erreichbar** ist.
------
#### [ AWS CLI ]
1. Starten Sie eine neue Analyse unter Verwendung der zuvor erstellten Netzwerkpfad-ID:
```
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
```
1. Rufen Sie die Ergebnisse der Analyse ab:
```
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
```
1. Stellen Sie sicher, dass der Erklärungscode `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` nicht mehr vorhanden ist.
------
## Szenario 5: Ändern des Ausschlussmodus
In diesem Abschnitt ändern Sie die Richtung des zulässigen Datenverkehrs für den Ausschluss, um zu sehen, wie sich dies auf VPC BPA auswirkt.
**Anmerkung**
In diesem Szenario ändern Sie den Ausschlussmodus auf „Nur ausgehend“. Beachten Sie, dass in diesem Fall die Ausnahmeregelung „Nur ausgehend“ in Subnetz A keinen ausgehenden Datenverkehr zulässt. Das ist widersprüchlich, da Sie erwarten würden, dass damit ausgehender Datenverkehr zugelassen wird. Da BPA auf Kontoebene jedoch nur für eingehenden Datenverkehr gilt, werden nur ausgehende Ausschlüsse ignoriert, und das Routing von Subnetz A zu einem Internet-Gateway wird durch VPC BPA eingeschränkt, was ausgehenden Datenverkehr blockiert. Um ausgehenden Datenverkehr in Subnetz A zu aktivieren, müssten Sie VPC BPA in den bidirektionalen Modus schalten.
Diagramm des aktivierten Modus nur für eingehenden Datenverkehr von VPC BPA und des Ausschlusses von Subnetz A mit aktiviertem Modus nur für ausgehenden Verkehr:
![\[Das Diagramm zeigt VPC mit VPC BPA im Modus nur für eingehenden Datenverkehr, der ausgehenden Datenverkehr über das NAT-Gateway zulässt.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/vpc-bpa-5.png)
### 5.1 Änderung der Richtung der Ausschlusserlaubnis in nur ausgehenden Datenverkehr
Schließen Sie diesen Abschnitt ab, um die Richtung der Ausschlusserlaubnis zu ändern.
------
#### [ AWS-Managementkonsole ]
1. Bearbeiten Sie den Ausschluss, den Sie in Szenario 4 erstellt haben, und ändern Sie die Zulässigkeitsrichtung in **Nur für ausgehenden Datenverkehr**.
1. Wählen Sie **Änderungen speichern ** aus.
1. Warten Sie, bis sich der Status **Ausschluss** auf **Aktiv** ändert. Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird. Möglicherweise müssen Sie die Ausschlusstabelle aktualisieren, damit die Änderung angezeigt wird.
------
#### [ AWS CLI ]
1. Ändern Sie die Richtung der Ausschlusserlaubnis:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-exclusion --exclusion-id exclusion-id --internet-gateway-exclusion-mode allow-egress
```
Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
1. Es kann einige Zeit dauern, bis der Ausschlussstatus aktualisiert wird. So zeigen Sie den Status des Ausschlusses an:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusion
```
------
### 5.2 Herstellen einer Verbindung zu Instances
Führen Sie diesen Abschnitt aus, um eine Verbindung zu den Instances herzustellen.
------
#### [ AWS-Managementkonsole ]
1. Pingen Sie die öffentliche IPv4 Adresse von Instance A und B. Beachten Sie, dass der Verkehr blockiert ist.
1. Stellen Sie mithilfe von EC2 Instance Connect wie in Szenario 1 eine Verbindung zu Instance A und B her und pingen Sie www.amazon.com an. Beachten Sie, dass Sie von Instance A oder B aus keine öffentliche Website im Internet anpingen können, da der Datenverkehr blockiert ist.
1. Stellen Sie mithilfe von EC2 Instance Connect wie in Szenario 1 eine Verbindung zu Instance C und D her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance C oder D aus eine öffentliche Website im Internet anpingen können, da der Datenverkehr erlaubt ist.
------
#### [ AWS CLI ]
1. Pingen Sie Instance A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Stellen Sie eine Verbindung zu Instance C her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:00:31 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.51 ms
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.49 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
1. Stellen Sie eine Verbindung zu Instance D her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:13:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2606:2cc0::374 (2606:2cc0::374)) 56 data bytes
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=1 ttl=58 time=1.21 ms
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=2 ttl=58 time=1.51 ms
```
Beachten Sie, dass der Ping erfolgreich ist und der Datenverkehr nicht blockiert wird.
------
## Szenario 6: Ändern des VPC-BPA-Modus
In diesem Abschnitt ändern Sie die Blockierrichtung von VPC BPA, um zu sehen, wie sich dies auf den Datenverkehr auswirkt. In diesem Szenario blockiert VPC BPA, das im bidirektionalen Modus aktiviert ist, den gesamten Datenverkehr wie in Szenario 1. Sofern ein Ausschluss keinen Zugang zu einem NAT-Gateway oder einem Internet-Gateway nur für ausgehenden Verkehr hat, wird der Verkehr blockiert.
Diagramm des aktivierten bidirektionalen Modus von VPC BPA und des Ausschlusses von Subnetz A mit aktiviertem Modus nur für ausgehenden Verkehr:
![\[Das Diagramm zeigt VPC mit VPC BPA im Modus nur für eingehenden Datenverkehr, der ausgehenden Datenverkehr über das NAT-Gateway zulässt\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/vpc-bpa-6.png)
### 6.1 Ändern von VPC BPA in den bidirektionalen Modus
Schließen Sie diesen Abschnitt ab, um den VPC-BPA-Modus zu ändern.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus.
1. Wählen Sie **Einstellungen für den öffentlichen Zugriff bearbeiten** aus.
1. Ändern Sie die Blockierrichtung auf **Bidirektional** und wählen Sie dann **Änderungen speichern** aus.
1. Warten Sie, bis sich der **Status** zu **Ein** ändert. Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
------
#### [ AWS CLI ]
1. Ändern Sie die Blockierrichtung von VPC BPA:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.
1. Zeigen Sie den Status von VPC BPA an:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
### 6.2 Herstellen einer Verbindung zu Instances
Führen Sie diesen Abschnitt aus, um eine Verbindung zu den Instances herzustellen.
------
#### [ AWS-Managementkonsole ]
1. Pingen Sie die öffentliche IPv4 Adresse von Instance A und B. Beachten Sie, dass der Verkehr blockiert ist.
1. Stellen Sie mithilfe von EC2 Instance Connect wie in Szenario 1 eine Verbindung zu Instance A und B her und pingen Sie www.amazon.com an. Beachten Sie, dass Sie von Instance A oder B aus keine öffentliche Website im Internet anpingen können, da der Datenverkehr blockiert ist.
1. Stellen Sie mithilfe von EC2 Instance Connect wie in Szenario 1 eine Verbindung zu Instance C und D her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance C oder D aus keine öffentliche Website im Internet anpingen können, da der Datenverkehr blockiert ist.
------
#### [ AWS CLI ]
1. Pingen Sie Instance A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:17:44 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Pingen Sie Instanz A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Stellen Sie eine Verbindung zu Instance C her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:19:45 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:6200:7:49a5:5fd4:b121 (2600:9000:25f3:6200:7:49a5:5fd4:b121)) 56 data bytes
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
1. Stellen Sie eine Verbindung zu Instance D her. Da es keine öffentliche IP-Adresse zum Anpingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance an, um den ausgehenden Datenverkehr zu überprüfen:
```
aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
```
Ausgabe:
```
A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
, #_ ~\_ ####_ Amazon Linux 2023
~~ \_#####\ ~~ \###|
~~ \#/ ___ https://aws.amazon.com/linux/amazon-linux-2023
~~ V~' '->
~~~ /
~~._. _/
_/ _/
_/m/'
Last login: Fri Sep 27 18:20:58 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:b400:7:49a5:5fd4:b121 (2600:9000:25f3:b400:7:49a5:5fd4:b121)) 56 data bytes
```
Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert wird.
------
## Bereinigen
In diesem Abschnitt löschen Sie alle Ressourcen, die Sie für dieses erweiterte Beispiel erstellt haben. Es ist wichtig, die Ressourcen zu bereinigen, um übermäßige zusätzliche Gebühren für in Ihrem Konto erstellte Ressourcen zu vermeiden.
### Löschen Sie die Ressourcen CloudFormation
Füllen Sie diesen Abschnitt aus, um die Ressourcen zu löschen, die Sie mit der CloudFormation Vorlage erstellt haben.
------
#### [ AWS-Managementkonsole ]
1. Öffnen Sie die CloudFormation Konsole unter[https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie den VPC-BPA-Stack aus.
1. Wählen Sie **Löschen** aus.
1. Sobald Sie mit dem Löschen des Stacks begonnen haben, können Sie auf der Registerkarte **Ereignisse** den Fortschritt verfolgen und sicherstellen, dass der Stack gelöscht wird. Möglicherweise müssen Sie das [Löschen des Stacks erzwingen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html), damit er vollständig gelöscht wird.
------
#### [ AWS CLI ]
1. Löschen Sie den CloudFormation Stapel. Möglicherweise müssen Sie das [Löschen des Stacks erzwingen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html), damit er vollständig gelöscht wird.
```
aws cloudformation delete-stack --stack-name VPC-BPA-stack --region us-east-2
```
1. Zeigen Sie den Fortschritt an und stellen Sie sicher, dass der Stack gelöscht wurde.
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```
------
### Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail
Füllen Sie diesen Abschnitt aus, um das Löschen von Ausschlüssen mithilfe von zu verfolgen AWS CloudTrail. CloudTrail Einträge werden angezeigt, wenn Sie eine Ausnahme löschen.
------
#### [ AWS-Managementkonsole ]
Sie können alle gelöschten Ausnahmen im CloudTrail Ereignisverlauf einsehen, indem Sie in der Konsole unter **Ressourcentyp** > **AWS: :EC2:: VPCBlock PublicAccessExclusion** suchen. AWS CloudTrail [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/)
------
#### [ AWS CLI ]
Mit dem Befehl „lookup-events“ können Sie die Ereignisse im Zusammenhang mit dem Löschen von Ausschlüssen anzeigen:
```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```
------
Das erweiterte Beispiel ist abgeschlossen.
# Security best practices for your VPC
Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
+ Wenn Sie Ihrer VPC-Subnetze hinzufügen, um Ihre Anwendung zu hosten, erstellen Sie diese in mehreren Availability Zones. Eine Availability Zone besteht aus einem oder mehreren diskreten Rechenzentren mit redundanter Stromversorgung, Vernetzung und Konnektivität in einer Region. AWS Die Verwendung mehrerer Availability Zones macht Ihre Produktionsanwendungen hochverfügbar, fehlertolerant und skalierbar.
+ Verwenden Sie Sicherheitsgruppen, um den Datenverkehr zu EC2-Instances in Ihren Subnetzen zu steuern. Weitere Informationen finden Sie unter [Sicherheitsgruppen](vpc-security-groups.md).
+ Verwenden Sie das Netzwerk ACLs , um den eingehenden und ausgehenden Verkehr auf Subnetzebene zu steuern. Weitere Informationen finden Sie unter [Steuerung des Datenverkehrs in Subnetzen mithilfe von Zugriffskontrolllisten für Netzwerke](vpc-network-acls.md).
+ Verwalten Sie den Zugriff auf AWS Ressourcen in Ihrer VPC mithilfe von AWS Identity and Access Management (IAM) -Identitätsverbund, Benutzern und Rollen. Weitere Informationen finden Sie unter [Identity and Access Management für Amazon VPC](security-iam.md).
+ Verwenden Sie VPC-Flow-Protokolle, um den IP-Datenverkehr zu und von einer VPC, einem Subnetz oder einer Netzwerkschnittstelle zu überwachen. Weitere Informationen finden Sie unter [VPC Flow Logs](flow-logs.md).
+ Verwenden Sie Network Access Analyzer, um unbeabsichtigte Netzwerkzugriffe auf Ressourcen in unserem zu identifizieren. VPCs Weitere Informationen finden Sie im [Handbuch für Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/).
+ Wird verwendet AWS Network Firewall , um Ihre VPC zu überwachen und zu schützen, indem eingehender und ausgehender Datenverkehr gefiltert wird. Weitere Informationen finden Sie im [AWS Network Firewall -Handbuch](https://docs.aws.amazon.com/network-firewall/latest/developerguide/).
+ Verwenden Sie Amazon GuardDuty , um potenzielle Bedrohungen für Ihre Konten, Container, Workloads und Daten in Ihrer AWS Umgebung zu erkennen. Zur grundlegenden Erkennung von Bedrohungen gehört die Überwachung der VPC-Flow-Protokolle, die mit Ihren Amazon-EC2-Instances verknüpft sind. Weitere Informationen finden Sie unter [VPC Flow Logs](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc) im * GuardDuty Amazon-Benutzerhandbuch*.
Antworten auf häufig gestellte Fragen zur VPC-Sicherheit finden Sie unter *Sicherheit und Filterung* in der [Amazon FAQs VPC](https://aws.amazon.com/vpc/faqs/).