Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Steuern Sie den Datenverkehr zu Ihren AWS Ressourcen mithilfe von Sicherheitsgruppen
<a name="vpc-security-groups"></a>

Eine *Sicherheitsgruppe* steuert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Nachdem Sie beispielsweise eine Sicherheitsgruppe mit einer EC2-Instance verknüpft haben, steuert sie den ein- und ausgehenden Datenverkehr für die Instance.

Wenn Sie eine VPC erstellen, verfügt diese über eine Standardsicherheitsgruppe. Sie können für eine VPC zusätzliche Sicherheitsgruppen erstellen, jede mit ihren eigenen Regeln für eingehenden und ausgehenden Datenverkehr. Sie können die Quelle, den Portbereich und das Protokoll für jede Regel für eingehenden Datenverkehr angeben. Sie können das Ziel, den Portbereich und das Protokoll für jede Regel für ausgehenden Datenverkehr angeben.

Das folgende Diagramm zeigt eine VPC mit einer Sicherheitsgruppe, einem Internet-Gateway und einem Subnetz. Das Subnetz enthält eine EC2-Instance. Die Sicherheitsgruppe ist der Instance zugeordnet. Die Sicherheitsgruppe fungiert als virtuelle Firewall. Der einzige Datenverkehr, der die Instance erreicht, ist der Datenverkehr, der nach den Sicherheitsgruppenregeln zulässig ist. Wenn die Sicherheitsgruppe beispielsweise eine Regel enthält, die ICMP-Datenverkehr von Ihrem Netzwerk zur Instance zulässt, können Sie die Instance von Ihrem Computer aus anpingen. Wenn die Sicherheitsgruppe keine Regel enthält, die SSH-Datenverkehr zulässt, konnten Sie mit SSH keine Verbindung zu Ihrer Instance herstellen.

![\[VPC mit 2 Subnetzen, 2 Sicherheitsgruppen, Servern in Subnetzen, die verschiedenen Sicherheitsgruppen zugeordnet sind\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/security-group-overview.png)


**Topics**
+ [Sicherheitsgruppengrundlagen](#security-group-basics)
+ [Beispiel für eine Sicherheitsgruppe](#security-group-example-details)
+ [Sicherheitsgruppenregeln](security-group-rules.md)
+ [Standardsicherheitsgruppen](default-security-group.md)
+ [Eine Sicherheitsgruppe erstellen](creating-security-groups.md)
+ [Konfigurieren von Sicherheitsgruppenregeln](working-with-security-group-rules.md)
+ [Löschen einer Sicherheitsgruppe](deleting-security-groups.md)
+ [Ordnen Sie Sicherheitsgruppen mehreren zu VPCs](security-group-assoc.md)
+ [Sicherheitsgruppen mit AWS Organizations teilen](security-group-sharing.md)

**Preisgestaltung**  
Für die Nutzung von Sicherheitsgruppen fallen keine zusätzlichen Gebühren an.

## Sicherheitsgruppengrundlagen
<a name="security-group-basics"></a>
+ Sie können eine Sicherheitsgruppe Ressourcen zuweisen, die in derselben VPC wie die Sicherheitsgruppe erstellt wurden, oder Ressourcen in einer anderen, VPCs wenn Sie die [Sicherheitsgruppe mithilfe der Funktion Security Group VPC Association](security-group-assoc.md) anderen VPCs in derselben Region zuordnen. Sie können auch einer Ressource mehrere Sicherheitsgruppen zuweisen.
+ Wenn Sie eine Sicherheitsgruppe erstellen, müssen Sie einen Namen und eine Beschreibung dafür angeben. Die folgenden Regeln gelten:
  + Der Name einer Sicherheitsgruppe muss innerhalb der VPC eindeutig sein.
  + Bei Namen von Sicherheitsgruppen wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  + Namen und Beschreibungen können bis zu 255 Zeichen lang sein.
  + Namen und Beschreibungen dürfen nur die folgenden Zeichen enthalten: a-z, A-Z, 0-9, Leerzeichen und .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
  + Wenn der Name nachgestellte Leerzeichen enthält, schneiden wir das Leerzeichen am Ende des Namens ab. Wenn Sie beispielsweise „Sicherheitsgruppe testen“ als Namen eingeben, wird er als „Sicherheitsgruppe testen“ gespeichert.
  + Ein Sicherheitsgruppenname darf nicht mit `sg-` beginnen.
+ Sicherheitsgruppen sind zustandsbehaftet. Wenn Sie zum Beispiel von Ihrer Instance eine Anforderung senden, wird der Antwortdatenverkehr für diese Anforderung zugelassen, unabhängig der für diese Sicherheitsgruppe geltenden eingehenden Regeln. Antworten auf zulässigen eingehenden Datenverkehr dürfen unabhängig von den Regeln für ausgehenden Datenverkehr die Instance verlassen.
+ Sicherheitsgruppen filtern keinen Datenverkehr, der für die folgenden Ziele bestimmt ist oder von diesen ausgeht:
  + Amazon Domain Name Services (DNS)
  + Amazon Dynamic Host Configuration Protocol (DHCP)
  + Amazon EC2-Instance-Metadaten
  + Amazon-ECS-Endpunkte für Aufgabenmetadaten
  + Lizenzaktivierung für Windows-Instances
  + Amazon Time Sync Service
  + Reservierte IP-Adressen, die vom Standard-VPC-Router verwendet werden
+ Es gibt Kontingente für die Anzahl der Sicherheitsgruppen, die Sie pro VPC erstellen können, für die Anzahl der Regeln, die Sie den einzelnen Sicherheitsgruppen hinzufügen können, und für die Anzahl der Sicherheitsgruppen, die Sie einer Netzwerkschnittstelle zuordnen können. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](amazon-vpc-limits.md).

**Best Practices**
+ Autorisieren Sie nur bestimmte IAM-Prinzipale zum Erstellen und Ändern von Sicherheitsgruppen.
+ Erstellen Sie die Mindestanzahl von Sicherheitsgruppen, die Sie benötigen, um das Fehlerrisiko zu verringern. Verwenden Sie jede Sicherheitsgruppe, um den Zugriff auf Ressourcen mit ähnlichen Funktionen und Sicherheitsanforderungen zu verwalten.
+ Wenn Sie eingehende Regeln für die Ports 22 (SSH) oder 3389 (RDP) hinzufügen, damit Sie auf Ihre EC2-Instances zugreifen können, lassen Sie nur bestimmte IP-Adressbereiche zu. Wenn Sie 0.0.0.0/0 (IPv4) und: :/ (IPv6) angeben, kann jeder mit dem angegebenen Protokoll von einer beliebigen IP-Adresse aus auf Ihre Instances zugreifen.
+ Öffnen Sie keine großen Portbereiche. Stellen Sie sicher, dass der Zugriff über jeden Port auf die Quellen oder Ziele beschränkt ist, die ihn benötigen.
+ Erwägen Sie die Einrichtung eines Netzwerks ACLs mit Regeln, die Ihren Sicherheitsgruppen ähneln, um Ihrer VPC eine zusätzliche Sicherheitsebene hinzuzufügen. Weitere Informationen zu den Unterschieden zwischen Sicherheitsgruppen und Netzwerken finden Sie ACLs unter[Vergleichen Sie Sicherheitsgruppen und Netzwerk ACLs](infrastructure-security.md#VPC_Security_Comparison).

## Beispiel für eine Sicherheitsgruppe
<a name="security-group-example-details"></a>

Das folgende Diagramm zeigt eine VPC mit zwei Sicherheitsgruppen und zwei Subnetzen. Die Instances in Subnetz A haben dieselben Konnektivitätsanforderungen und sind daher der Sicherheitsgruppe 1 zugewiesen. Die Instances in Subnetz B haben dieselben Konnektivitätsanforderungen und sind daher der Sicherheitsgruppe 2 zugewiesen. Die Sicherheitsgruppenregeln lassen Datenverkehr wie folgt zu:
+ Die erste eingehende Regel in Sicherheitsgruppe 1 erlaubt SSH-Datenverkehr zu den Instances in Subnetz A aus dem angegebenen Adressbereich (z. B. einem Bereich in Ihrem eigenen Netzwerk).
+ Die zweite Regel für eingehenden Datenverkehr in Sicherheitsgruppe 1 ermöglicht es den Instances in Subnetz A, über ein beliebiges Protokoll und einen beliebigen Port miteinander zu kommunizieren.
+ Die zweite Regel für eingehenden Datenverkehr in Sicherheitsgruppe 2 ermöglicht es den Instances in Subnetz B, über ein beliebiges Protokoll und einen beliebigen Port miteinander zu kommunizieren.
+ Die zweite Regel für eingehenden Datenverkehr in Sicherheitsgruppe 2 ermöglicht es den Instances in Subnetz A, über SSH mit den Instances in Subnetz B zu kommunizieren.
+ Beide Sicherheitsgruppen nutzen die Standardregel für ausgehenden Datenverkehr, die den gesamten Datenverkehr zulässt.

![\[Eine VPC mit zwei Sicherheitsgruppen und Servern in zwei Subnetzen. Die Server in Subnetz A sind der Sicherheitsgruppe 1 zugewiesen. Die Server in Subnetz B sind der Sicherheitsgruppe 2 zugewiesen.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/security-group-details.png)


# Sicherheitsgruppenregeln
<a name="security-group-rules"></a>

Die Regeln einer Sicherheitsgruppe steuern den eingehenden Datenverkehr, der die Ressourcen erreichen darf, die der Sicherheitsgruppe zugeordnet sind. Die Regeln steuern auch den ausgehenden Datenverkehr, der sie verlassen darf.

Sie können einer Sicherheitsgruppe Regeln hinzufügen oder diese entfernen (auch als *Autorisieren* oder *Widerrufen* des eingehenden bzw. ausgehenden Zugriffs bezeichnet). Eine Regel bezieht sich entweder auf den eingehenden Datenverkehr (Eingang) oder den ausgehenden Datenverkehr (Ausgang). Sie können Zugriff auf eine bestimmte Quelle oder ein bestimmtes Ziel gewähren.

**Topics**
+ [Sicherheitsgruppen – Grundlagen für Regeln](#security-group-rule-characteristics)
+ [Komponenten einer Sicherheitsgruppenregel](#security-group-rule-components)
+ [Referenzierung von Sicherheitsgruppen](#security-group-referencing)
+ [Größe der Sicherheitsgruppe](#security-group-size)
+ [Veraltete Sicherheitsgruppenregeln](#vpc-stale-security-group-rules)

## Sicherheitsgruppen – Grundlagen für Regeln
<a name="security-group-rule-characteristics"></a>

Es folgen die grundlegenden Merkmale von Sicherheitsgruppenregeln:
+ Sie können Regeln zum Erlauben, aber nicht zum Ablehnen einrichten.
+ Wenn Sie eine Sicherheitsgruppe zuerst erstellen, verfügt sie über keine Regeln für den eingehenden Datenverkehr. Aus diesem Grund ist kein eingehender Verkehr erlaubt, bis Sie der Sicherheitsgruppe Regeln für eingehenden Verkehr hinzufügen.
+ Wenn Sie zum ersten Mal eine Sicherheitsgruppe erstellen, verfügt diese über eine Regel für ausgehenden Datenverkehr, die den gesamten ausgehenden Datenverkehr von der Ressource zulässt. Sie können die Regel entfernen und ausgehende Regeln hinzufügen, die nur bestimmten ausgehenden Datenverkehr erlauben. Wenn Ihre Sicherheitsgruppe keine Regeln für den ausgehenden Datenverkehr hat, ist kein ausgehender Datenverkehr erlaubt.
+ Wenn Sie mehrere Sicherheitsgruppen mit einer Ressource verbinden, werden die Regeln jeder Sicherheitsgruppe effektiv zu einem einzigen Regelsatz zusammengeführt, der verwendet wird um zu bestimmen, ob ein Zugriff zugelassen werden soll.
+ Wenn Sie Regeln hinzufügen, aktualisieren oder entfernen, gelten diese Änderungen automatisch für alle Ressourcen, die der Sicherheitsgruppe zugewiesen sind. Detaillierte Anweisungen finden Sie unter [Konfigurieren von Sicherheitsgruppenregeln](working-with-security-group-rules.md).
+ Die Auswirkung einiger Regeländerungen kann davon abhängen, wie der Datenverkehr nachverfolgt wird. Weitere Informationen finden Sie unter [Verbindungsverfolgung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) im *Amazon-EC2-Benutzerhandbuch*.
+ Wenn Sie eine Sicherheitsgruppenregel erstellen, AWS weist Sie der Regel eine eindeutige ID zu. Sie können die ID einer Regel verwenden, wenn Sie die API oder CLI verwenden, um die Regel zu ändern oder zu löschen.

**Einschränkung**  
[Sicherheitsgruppen können DNS-Anfragen an oder vom Route 53 Resolver nicht blockieren, der manchmal als „VPC\$12-IP-Adresse“ (siehe [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)im *Amazon Route 53 Developer Guide*) oder als DNS bezeichnet wird. AmazonProvided](DHCPOptionSet.md) Um DNS-Anfragen durch den Route 53 Resolver zu filtern, verwenden Sie die [DNS-Firewall des Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).

## Komponenten einer Sicherheitsgruppenregel
<a name="security-group-rule-components"></a>

Nachfolgend sind die Komponenten der Regeln für eingehende und ausgehende Sicherheitsgruppen aufgeführt:
+ **Protokoll**: Das zulässige Protokoll. Die üblichsten Protokolle sind 6 (TCP) 17 (UDP) und 1 (ICMP).
+ **Portbereich**: zulässiger Portbereich für TCP, UDP oder ein benutzerdefiniertes Protokoll. Sie können eine einzelne Portnummer (zum Beispiel `22`) oder einen Bereich von Portnummern (zum Beispiel `7000-8000`) angeben.
+ **ICMP-Typ und -Code**: Für ICMP der ICMP-Typ und -Code. Verwenden Sie beispielsweise Typ 8 für ICMP-Echoanforderung oder Typ 128 für Echoanforderung. ICMPv6 Weitere Informationen finden Sie unter [Regeln für Ping/ICMP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) im *Amazon-EC2-Benutzerhandbuch*.
+ **Quelle oder Ziel**: Die Quelle (eingehende Regeln) oder das Ziel (ausgehende Regeln), die für den Datenverkehr zugelassen sind. Geben Sie eines der folgenden Elemente an:
  + Eine einzelne IPv4 Adresse. Sie müssen die `/32`-Präfixlänge verwenden. Beispiel, `203.0.113.1/32`. 
  + Eine einzige IPv6 Adresse. Sie müssen die `/128`-Präfixlänge verwenden. Beispiel, `2001:db8:1234:1a00::123/128`.
  + Ein IPv4 Adressbereich in CIDR-Blocknotation. Beispiel, `203.0.113.0/24`.
  + Ein IPv6 Adressbereich in CIDR-Blocknotation. Beispiel, `2001:db8:1234:1a00::/64`.
  + Die ID einer Präfixliste. Beispiel, `pl-1234abc1234abc123`. Weitere Informationen finden Sie unter [Verwaltete Präfixlisten](managed-prefix-lists.md).
  + Die ID einer Sicherheitsgruppe. Beispiel, `sg-1234567890abcdef0`. Weitere Informationen finden Sie unter [Referenzierung von Sicherheitsgruppen](#security-group-referencing).
+ **(Optional) Beschreibung**: Sie können eine Beschreibung für die Regel hinzufügen, die Ihnen helfen kann, sie später zu identifizieren. Eine Beschreibung kann bis zu 255 Zeichen lang sein. Zulässige Zeichen sind a-z, A-Z, 0-9, , Leerzeichen und .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.

Beispiele finden Sie unter [Sicherheitsgruppenregeln für verschiedene Anwendungsfälle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) im *Amazon-EC2-Benutzerhandbuch*.

## Referenzierung von Sicherheitsgruppen
<a name="security-group-referencing"></a>

Wenn Sie eine Sicherheitsgruppe als Quelle oder Ziel für eine Regel angeben, wirkt sich die Regel auf alle Instances aus, die den Sicherheitsgruppen zugeordnet sind. Die Instances können unter Verwendung der privaten IP-Adressen der Instances über das festgelegte Protokoll und den angegebenen Port in die vorgegebene Richtung kommunizieren.

Das Folgende stellt beispielsweise eine Regel für eingehenden Datenverkehr für eine Sicherheitsgruppe dar, die auf die Sicherheitsgruppe sg-0abcdef1234567890 verweist. Diese Regel erlaubt eingehenden SSH-Datenverkehr von den Instances, die mit sg-0abcdef1234567890 verknüpft sind.


| Quelle | Protocol (Protokoll) | Port-Bereich | 
| --- | --- | --- | 
| sg-0abcdef1234567890 | TCP | 22 | 

Berücksichtigen Sie Folgendes, wenn Sie in einer Sicherheitsgruppenregel auf eine Sicherheitsgruppe verweisen:
+ Sie können eine Sicherheitsgruppe in der eingehenden Regel einer anderen Sicherheitsgruppe referenzieren, wenn eine der folgenden Bedingungen erfüllt ist:
  + Die Sicherheitsgruppen sind mit der gleichen VPC verknüpft.
  + Es besteht eine Peering-Verbindung zwischen den VPCs , denen die Sicherheitsgruppen zugeordnet sind.
  + Zwischen den, VPCs denen die Sicherheitsgruppen zugeordnet sind, befindet sich ein Transit-Gateway.
+ Sie können eine Sicherheitsgruppe in der ausgehenden Regel referenzieren, wenn eine der folgenden Bedingungen erfüllt ist:
  + Die Sicherheitsgruppen sind mit der gleichen VPC verknüpft.
  + Es besteht eine Peering-Verbindung zwischen den VPCs , denen die Sicherheitsgruppen zugeordnet sind.
+ Es werden keine Regeln aus der referenzierten Sicherheitsgruppe der Sicherheitsgruppe hinzugefügt, die darauf verweist.
+ Bei Regeln für eingehenden Datenverkehr können die EC2-Instances, die einer Sicherheitsgruppe zugewiesen sind, eingehenden Datenverkehr von den privaten IP-Adressen von den Netzwerkschnittstellen für die EC2-Instances empfangen, die der referenzierten Sicherheitsgruppe zugewiesen sind.
+ Bei Regeln für ausgehenden Datenverkehr können die einer Sicherheitsgruppe zugewiesenen EC2-Instances ausgehenden Datenverkehr an die privaten IP-Adressen von den Netzwerkschnittstellen für die EC2-Instances senden, die der referenzierten Sicherheitsgruppe zugewiesen sind.
+ Bei den folgenden Aktionen gewähren wir keine Autorisierung gegen Sicherheitsgruppen, auf die verwiesen wird: `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress` und `RevokeSecurityGroupEgress`. Wir prüfen nur, ob die Sicherheitsgruppe vorhanden ist. Daraus resultiert Folgendes:
  + Das Festlegen der Sicherheitsgruppe, auf die in den IAM-Richtlinien für diese Aktionen verwiesen wird, hat keine Auswirkung.
  + Wenn eine Sicherheitsgruppe, auf die verwiesen wird, einem anderen Konto gehört, empfängt das Besitzerkonto keine CloudTrail Ereignisse für diese Aktionen.

**Einschränkung**

Wenn Sie Routen konfigurieren, um den Datenverkehr zwischen zwei Instances in unterschiedlichen Subnetzen über eine Middlebox-Appliance weiterzuleiten, müssen Sie sicherstellen, dass die Sicherheitsgruppen für beide Instances den Datenverkehr zwischen den Instances zulassen. Die Sicherheitsgruppe für jede Instance muss die private IP-Adresse der anderen Instance oder den CIDR-Bereich des Subnetzes, das die andere Instance enthält, als Quelle referenzieren. Wenn Sie die Sicherheitsgruppe der anderen Instance als Quelle referenzieren, wird dadurch kein Datenverkehr zwischen den Instances möglich.

**Beispiel**

Das folgende Diagramm zeigt eine VPC mit Subnetzen in zwei Availability Zones, einem Internet-Gateway und einem Application Load Balancer. Jede Availability Zone hat ein öffentliches Subnetz für Webserver und ein privates Subnetz für Datenbankserver. Es gibt separate Sicherheitsgruppen für den Load Balancer, die Webserver und die Datenbankserver. Erstellen Sie die folgenden Sicherheitsgruppenregeln, um Datenverkehr zuzulassen.
+ Fügen Sie der Sicherheitsgruppe des Load Balancer Regeln hinzu, um HTTP- und HTTPS-Datenverkehr aus dem Internet zuzulassen. Die Quelle ist 0.0.0.0/0.
+ Fügen Sie der Sicherheitsgruppe für die Webserver Regeln hinzu, um nur HTTP- und HTTPS-Datenverkehr vom Load Balancer zuzulassen. Die Quelle ist die Sicherheitsgruppe für den Load Balancer.
+ Fügen Sie der Sicherheitsgruppe Regeln für die Datenbankserver Regeln hinzu, um nur Datenbankanforderungen von den Webservern zuzulassen. Die Quelle ist die Sicherheitsgruppe für die Webserver.

![\[Architektur mit Web- und DB-Servern, Sicherheitsgruppen, Internet-Gateway und Load Balancer\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/security-group-referencing.png)


## Größe der Sicherheitsgruppe
<a name="security-group-size"></a>

Der Typ der Quelle oder des Ziels bestimmt, wie jede Regel auf die maximale Anzahl von Regeln angerechnet wird, die Sie pro Sicherheitsgruppe haben können.
+ Eine Regel, die auf einen CIDR-Block verweist, gilt als eine Regel.
+ Eine Regel, die auf eine andere Sicherheitsgruppe verweist, gilt als eine Regel, und zwar unabhängig von der Größe der referenzierten Sicherheitsgruppe.
+ Eine Regel, die auf eine vom Kunden verwaltete Präfixliste verweist, gilt als maximale Größe der Präfixliste. Wenn die maximale Größe Ihrer Präfixliste beispielsweise 20 beträgt, gilt eine Regel, die auf diese Präfixliste verweist, als 20 Regeln.
+ Eine Regel, die auf eine von AWS-verwaltete Präfixliste verweist, zählt als Gewichtung der Präfixliste. Wenn die Gewichtung der Präfixliste beispielsweise 10 beträgt, zählt eine Regel, die auf diese Präfixliste verweist, als 10 Regeln. Weitere Informationen finden Sie unter [Verfügbare verwaltete AWS Präfixlisten](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).

## Veraltete Sicherheitsgruppenregeln
<a name="vpc-stale-security-group-rules"></a>

Wenn Ihre VPC über eine VPC-Peering-Verbindung mit einer anderen VPC verfügt oder eine von einem anderen Konto freigegebene VPC verwendet, kann eine Sicherheitsgruppenregel in Ihrer VPC auf eine Sicherheitsgruppe in dieser Peer-VPC oder freigegebenen VPC verweisen. Dadurch können Ressourcen, die der referenzierten Sicherheitsgruppe zugeordnet sind, und solche, die der referenzierenden Sicherheitsgruppe zugeordnet sind, miteinander kommunizieren. Weitere Informationen finden Sie unter [Aktualisieren Ihrer Sicherheitsgruppen, um auf Peer-Sicherheitsgruppen zu verweisen](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) im *Handbuch für Amazon-VPC-Peering*.

Wenn Sie eine Sicherheitsgruppenregel haben, die auf eine Sicherheitsgruppe in einer Peer-VPC oder einer freigegebenen VPC verweist, und die Sicherheitsgruppe in der freigegebenen VPC gelöscht oder die VPC-Peering-Verbindung gelöscht wird, wird die Sicherheitsgruppenregel als veraltet markiert. Sie können veraltete Sicherheitsgruppenregeln genau wie alle anderen Sicherheitsgruppenregeln löschen.

# Standard-Sicherheitsgruppen für Ihre VPCs
<a name="default-security-group"></a>

Ihre Standardsicherheitsgruppe VPCs und alle VPCs , die Sie erstellen, verfügen über eine Standardsicherheitsgruppe. Der Namen der Standard-Sicherheitsgruppe ist „default“.

Es wird empfohlen, Sicherheitsgruppen für bestimmte Ressourcen oder Ressourcengruppen zu erstellen, anstatt die Standardsicherheitsgruppe zu verwenden. Wenn Sie jedoch einigen Ressourcen bei der Erstellung keine Sicherheitsgruppe zuordnen, ordnen wir sie der Standardsicherheitsgruppe zu. Wenn Sie beispielsweise beim Starten einer EC2-Instance keine Sicherheitsgruppe festlegen, wird die Standardsicherheitsgruppe für die zugehörige VPC zugeordnet.

## Grundlagen für Standard-Sicherheitsgruppen
<a name="default-security-group-basics"></a>
+ Sie können die Regeln für eine Standardsicherheitsgruppe ändern.
+ Sie können eine Standardsicherheitsgruppe nicht löschen. Wenn Sie versuchen, eine Standardsicherheitsgruppe zu löschen, sehen Sie die folgende Fehlermeldung: `Client.CannotDelete`.

## Standardregeln
<a name="default-security-group-default-rules"></a>

Die folgende Tabelle beschreibt die Standard-Eingangsregeln für eine Standardsicherheitsgruppe.


| Quelle | Protocol (Protokoll) | Port-Bereich | Description | 
| --- | --- | --- | --- | 
| sg-1234567890abcdef0  | Alle | Alle | Lässt eingehenden Datenverkehr von allen Ressourcen zu, die dieser Sicherheitsgruppe zugewiesen sind. Die Quelle ist die ID dieser Sicherheitsgruppe. | 

Die folgende Tabelle beschreibt die Standard-Ausgangsregeln für eine Standardsicherheitsgruppe.


| Ziel | Protocol (Protokoll) | Port-Bereich | Beschreibung | 
| --- | --- | --- | --- | 
| 0.0.0.0/0 | Alle | Alle | Lässt den gesamten ausgehenden IPv4 Verkehr zu. | 
| ::/0 | Alle | Alle | Lässt den gesamten ausgehenden Verkehr IPv6 zu. Diese Regel wird nur hinzugefügt, wenn Ihrer VPC ein IPv6 CIDR-Block zugeordnet ist. | 

## Beispiel
<a name="default-security-group-example"></a>

Das folgende Diagramm zeigt eine VPC mit einer Standard-Sicherheitsgruppe, einem Internet-Gateway und einem NAT-Gateway. Die Standardsicherheit enthält nur ihre Standardregeln und ist zwei EC2-Instances zugeordnet, die in der VPC ausgeführt werden. In diesem Szenario kann jede Instance eingehenden Datenverkehr von der anderen Instance auf allen Ports und Protokollen empfangen. Die Standardregeln erlauben es den Instances nicht, Datenverkehr vom Internet-Gateway oder vom NAT-Gateway zu empfangen. Wenn Ihre Instances zusätzlichen Datenverkehr erhalten müssen, empfehlen wir Ihnen, eine Sicherheitsgruppe mit den erforderlichen Regeln zu erstellen und die neue Sicherheitsgruppe den Instances anstelle der Standardsicherheitsgruppe zuzuweisen.

![\[VPC mit 2 Subnetzen, Standardsicherheitsgruppe, 2 EC2-Instances, Internet-Gateway und NAT-Gateway\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/default-security-group.png)


# Erstellen einer Sicherheitsgruppe für Ihre VPC
<a name="creating-security-groups"></a>

Ihre Virtual Private Cloud (VPC) verfügt über eine Standardsicherheitsgruppe. Sie können zusätzliche Sicherheitsgruppen erstellen. Sicherheitsgruppen können nur mit Ressourcen in der VPC verwendet werden, für die sie erstellt wurden.

Standardmäßig enthält jede Sicherheitsgruppe am Anfang nur eine Regel für ausgehenden Datenverkehr, die sämtlichen von der Ressource ausgehenden Datenverkehr zulässt. Sie müssen Regeln hinzufügen, um eingehenden Datenverkehr zuzulassen oder den ausgehenden Datenverkehr einzuschränken. Sie können Regeln hinzufügen, wenn Sie eine Sicherheitsgruppe erstellen oder zu einem späteren Zeitpunkt. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln](security-group-rules.md).

**Erforderliche -Berechtigungen**

Stellen Sie zuerst sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie hier:
+ [Verwalten von Sicherheitsgruppen](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Sicherheitsgruppenregeln verwalten](vpc-policy-examples.md#vpc-security-group-rules-iam)

**Erstellen einer Sicherheitsgruppe mithilfe der Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.

1. Wählen Sie **Create security group (Sicherheitsgruppe erstellen)** aus.

1. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein. Sie können den Namen und die Beschreibung einer Sicherheitsgruppe nach der Erstellung nicht mehr ändern.

1. Wählen Sie für **VPC** die VPC aus, in der Sie die Ressourcen erstellen werden, denen Sie die Sicherheitsgruppe zuordnen.

1. (Optional) Wählen Sie **Regeln für eingehenden Datenverkehr** aus, um Regeln für den eingehenden Datenverkehr hinzuzufügen. Wählen Sie für jede Regel **Regel hinzufügen** aus und geben Sie das Protokoll, den Port und die Quelle an. Weitere Informationen finden Sie unter [Konfigurieren von Sicherheitsgruppenregeln](working-with-security-group-rules.md).

1. (Optional) Wählen Sie **Regeln für ausgehenden Datenverkehr** aus, um ausgehende Regeln hinzuzufügen. Wählen Sie für jede Regel **Regel hinzufügen** aus und geben Sie das Protokoll, den Port und das Ziel an.

1. (Optional) Um ein Tag hinzuzufügen, wählen Sie **Add new tag** (Neuen Tag hinzufügen) aus und geben Sie den Schlüssel und den Wert für den Tag ein.

1. Wählen Sie **Sicherheitsgruppe erstellen** aus.

**Um eine Sicherheitsgruppe mit dem zu erstellen AWS CLI**  
Verwenden Sie den Befehl [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

Alternativ können Sie eine neue Sicherheitsgruppe erstellen, indem Sie eine bestehende Gruppe kopieren. Wenn Sie eine Sicherheitsgruppe kopieren, fügen wir automatisch die gleichen Regeln für ein- und ausgehenden Datenverkehr wie die ursprüngliche Sicherheitsgruppe hinzu und verwenden die gleiche VPC wie die ursprüngliche Sicherheitsgruppe. Sie können einen Namen und eine Beschreibung für die neue Sicherheitsgruppe eingeben. Sie können optional eine andere VPC auswählen und die Regeln für ein- und ausgehenden Datenverkehr nach Bedarf ändern. Jedoch können Sie eine Sicherheitsgruppe nicht von einer Region in eine andere Region kopieren.

**So erstellen Sie eine Sicherheitsgruppe auf der Grundlage einer bestehenden Gruppe**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.

1. Wählen Sie eine Sicherheitsgruppe.

1. Wählen Sie **Aktionen**, **In neue Sicherheitsgruppe kopieren** aus.

1. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein.

1. (Optional) Wählen Sie bei Bedarf eine andere VPC aus.

1. (Optional) Fügen Sie die Sicherheitsgruppenregeln nach Bedarf hinzu, entfernen oder bearbeiten Sie sie.

1. Wählen Sie **Sicherheitsgruppe erstellen** aus.

# Konfigurieren von Sicherheitsgruppenregeln
<a name="working-with-security-group-rules"></a>

Nachdem Sie eine Sicherheitsgruppe erstellt haben, können Sie ihre Sicherheitsgruppenregeln hinzufügen, aktualisieren und löschen. Wenn Sie eine Regel hinzufügen, aktualisieren oder löschen, wird die Änderung automatisch auf die Ressourcen angewendet, die mit der Sicherheitsgruppe verknüpft sind.

**Erforderliche Berechtigungen**  
Stellen Sie zuerst sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln verwalten](vpc-policy-examples.md#vpc-security-group-rules-iam).

**Protokolle und Ports**
+ Wenn Sie in der Konsole einen vordefinierten Typ auswählen, werden **Protokoll** und **Portbereich** für Sie angegeben. Um einen Portbereich einzugeben, müssen Sie einen der folgenden benutzerdefinierten Typen auswählen: **Benutzerdefiniertes TCP** oder **Benutzerdefiniertes UDP**.
+ Mit dem AWS CLI können Sie mithilfe der `--port` Optionen `--protocol` und eine einzelne Regel mit einem einzigen Port hinzufügen. Um mehrere Regeln oder eine Regel mit einem Portbereich hinzuzufügen, verwenden Sie stattdessen die Option `--ip-permissions`.

**Quellen und Ziele**
+ Mit der Konsole können Sie Folgendes als Quellen für Regeln für eingehenden Datenverkehr oder als Ziele für Regeln für ausgehenden Datenverkehr angeben.
  + **Benutzerdefiniert** — Ein IPv4 CIDR-Block, ein IPv6 CIDR-Block, eine Sicherheitsgruppe oder eine Präfixliste.
  + **Anywhere- IPv4** — Der IPv4 0.0.0.0/0 CIDR-Block.
  + **Anywhere- IPv6** — Der: :/0 CIDR-Block. IPv6 
  + **Meine IP** — Die öffentliche IPv4 Adresse Ihres lokalen Computers.
+ Mit der AWS CLI können Sie mithilfe der Option einen IPv4 CIDR-Block oder mithilfe der `--cidr` Option eine Sicherheitsgruppe angeben. `--source-group` Verwenden Sie die Option, um eine Präfixliste oder einen IPv6 CIDR-Block anzugeben. `--ip-permissions`

**Warnung**  
Wenn Sie **Anywhere-** wählenIPv4, lassen Sie Verkehr von allen IPv4 Adressen zu. Wenn Sie **Anywhere-** wählenIPv6, lassen Sie Verkehr von allen IPv6 Adressen zu. Es empfiehlt sich, nur die spezifischen IP-Adressbereiche zu autorisieren, die Zugriff auf Ihre Ressourcen benötigen.

**So konfigurieren Sie Sicherheitsgruppenregeln mithilfe der Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.

1. Wählen Sie die Sicherheitsgruppe aus.

1. Wählen Sie unter **Aktionen** oder auf der Registerkarte **Regeln für eingehenden Datenverkehr** die Option **Bearbeiten von Regeln für eingehenden Datenverkehr** aus, um die Regeln für den eingehenden Datenverkehr zu bearbeiten.

   1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** aus und geben Sie den Typ, das Protokoll, den Port und die Quelle für die Regel ein.

      Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus **Protocol (Protokoll=** und, falls zutreffend, den Codenamen aus **Port range (Portbereich)** wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.

   1. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn es sich bei der Quelle beispielsweise um einen IPv4 CIDR-Block handelt, können Sie keinen IPv6 CIDR-Block, keine Präfixliste oder keine Sicherheitsgruppe angeben.

   1. Klicken Sie auf die Schaltfläche **Löschen**, um eine Regel zu löschen.

1. Um die Regeln für den ausgehenden Datenverkehr zu bearbeiten, wählen Sie **Regeln für ausgehenden Datenverkehr bearbeiten** unter **Aktionen** oder auf der Registerkarte **Regeln für ausgehenden Datenverkehr** aus.

   1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** aus und geben Sie den Typ, das Protokoll, den Port und das Ziel für die Regel ein. Sie können auch eine optionale Beschreibung eingeben.

      Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus **Protocol (Protokoll=** und, falls zutreffend, den Codenamen aus **Port range (Portbereich)** wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.

   1. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn es sich bei der Quelle beispielsweise um einen IPv4 CIDR-Block handelt, können Sie keinen IPv6 CIDR-Block, keine Präfixliste oder keine Sicherheitsgruppe angeben.

   1. Klicken Sie auf die Schaltfläche **Löschen**, um eine Regel zu löschen.

1. Wählen Sie **Regeln speichern** aus.

**Um Sicherheitsgruppenregeln mit dem zu konfigurieren AWS CLI**
+ **Hinzufügen** — Verwenden Sie die [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)Befehle [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)und.
+ **Entfernen** — Verwenden Sie die [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)Befehle [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)und.
+ **Ändern** [— Verwenden Sie die Befehle [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html), [update-security-group-rule-descriptions-ingress und -descriptions-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html). update-security-group-rule](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html)

# Löschen einer Sicherheitsgruppe
<a name="deleting-security-groups"></a>

Wenn Sie eine von Ihnen erstellte Sicherheitsgruppe nicht mehr benötigen, können Sie diese löschen.

**Voraussetzungen**
+ Die Sicherheitsgruppe kann mit keinen Ressourcen verknüpft werden.
+ Die Sicherheitsgruppe kann nicht von einer Regel in einer anderen Sicherheitsgruppe referenziert werden.
+ Die Sicherheitsgruppe kann nicht die Standardsicherheitsgruppe für eine VPC sein.

**Löschen einer Sicherheitsgruppe mithilfe der Konsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **die Option** Sicherheitsgruppen aus.

1. Wählen Sie die Sicherheitsgruppe und dann **Aktionen**, **Sicherheitsgruppe löschen** aus.

1. Wenn Sie mehr als eine Sicherheitsgruppe ausgewählt haben, werden Sie zur Bestätigung aufgefordert. Wenn einige der Sicherheitsgruppen nicht gelöscht werden können, wird der Status der einzelnen Sicherheitsgruppen angezeigt, der angibt, ob sie gelöscht werden. Geben Sie **Löschen** ein, um den Löschvorgang zu bestätigen.

1. Wählen Sie **Löschen** aus.

**Um eine Sicherheitsgruppe mit dem zu löschen AWS CLI**  
Verwenden Sie den Befehl [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

# Ordnen Sie Sicherheitsgruppen mehreren zu VPCs
<a name="security-group-assoc"></a>

Wenn Sie mehrere Workloads haben VPCs , die dieselben Netzwerksicherheitsanforderungen haben, können Sie die Funktion Sicherheitsgruppen-VPC-Zuordnungen verwenden, um eine Sicherheitsgruppe mehreren VPCs in derselben Region zuzuordnen. Auf diese Weise können Sie Sicherheitsgruppen für mehrere VPCs in Ihrem Konto an einem Ort verwalten und verwalten.

![\[Ein Diagramm der Sicherheitsgruppe, die zwei Gruppen zugeordnet ist VPCs.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/sec-group-vpc-assoc.png)


Das obige Diagramm zeigt AWS Konto A mit zwei VPCs darin. Jeder von ihnen VPCs hat Workloads, die in einem privaten Subnetz ausgeführt werden. In diesem Fall haben die Workloads in den Subnetzen von VPC A und B dieselben Anforderungen an den Netzwerkdatenverkehr, sodass Konto A das Feature für Sicherheitsgruppen-VPC-Zuordnungen verwenden kann, um die Sicherheitsgruppe in VPC A mit VPC B zu verknüpfen. Alle an der verknüpften Sicherheitsgruppe vorgenommenen Aktualisierungen werden automatisch auf den Datenverkehr der Workloads im Subnetz von VPC B angewendet.

**Anforderungen des Features für Sicherheitsgruppen-VPC-Zuordnungen**
+ Sie müssen Eigentümer der VPC sein oder eines der VPC-Subnetze für Sie freigegeben haben, um eine Sicherheitsgruppe mit der VPC zu verknüpfen.
+ Die VPC und die Sicherheitsgruppe müssen sich in derselben AWS Region befinden.
+ Sie können eine Standardsicherheitsgruppe nicht mit einer anderen VPC oder eine Sicherheitsgruppe mit einer Standard-VPC verknüpfen.
+ Sowohl der Eigentümer der Sicherheitsgruppe als auch der Eigentümer der VPC können die VPC-Zuordnungen der Sicherheitsgruppe einsehen.

**Services, die dieses Feature unterstützen**
+ Amazon API Gateway ( APIs nur REST)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
  + Application Load Balancer
  + Network Load Balancer

## Verknüpfen einer Sicherheitsgruppe mit einer anderen VPC
<a name="assoc-sg"></a>

In diesem Abschnitt wird erklärt, wie Sie AWS-Managementkonsole und die verwenden AWS CLI , um eine Sicherheitsgruppe zuzuordnen VPCs.

------
#### [ AWS Management Console ]

**So verknüpfen Sie eine Sicherheitsgruppe mit einer anderen VPC**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.

1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.

1. Wählen Sie die Registerkarte **VPC-Zuordnungen** aus.

1. Wählen Sie **Associate VPC (VPC zuordnen)** aus.

1. Wählen Sie unter **VPC-ID** eine VPC aus, die der Sicherheitsgruppe zugeordnet werden soll.

1. Wählen Sie **Associate VPC (VPC zuordnen)** aus.

------
#### [ Command line ]

**So verknüpfen Sie eine Sicherheitsgruppe mit einer anderen VPC**

1. Erstellen Sie eine VPC-Zuordnung mit [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html).

1. Überprüfen Sie den Status einer VPC-Assoziation mit [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) und warten Sie, bis der Status angezeigt wird. `associated`

------

Die VPC ist nun mit der Sicherheitsgruppe verknüpft.

 Sobald Sie die VPC mit der Sicherheitsgruppe verknüpft haben, können Sie z. B. [eine Instance in der VPC starten und diese neue Sicherheitsgruppe auswählen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) oder [diese Sicherheitsgruppe in einer bestehenden Sicherheitsgruppenregel referenzieren](security-group-rules.md#security-group-referencing).

## Aufheben der Verknüpfung einer Sicherheitsgruppe mit einer anderen VPC
<a name="disassoc-sg"></a>

In diesem Abschnitt wird erklärt, wie Sie mit AWS-Managementkonsole und die die Zuordnung AWS CLI zu einer Sicherheitsgruppe aufheben können. VPCs Sie sollten dies tun, wenn Sie die Sicherheitsgruppe löschen möchten. Sicherheitsgruppen können nicht gelöscht werden, wenn sie zugeordnet sind. Sie können die Zuordnung zu einer Sicherheitsgruppe nur dann aufheben, wenn es in der zugehörigen VPC keine Netzwerkschnittstellen gibt, die diese Sicherheitsgruppe verwenden.

------
#### [ AWS Management Console ]

**So heben Sie die Zuordnung einer Sicherheitsgruppe zu einer VPC auf**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.

1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.

1. Wählen Sie die Registerkarte **VPC-Zuordnungen** aus.

1. Wählen Sie **VPC-Zuordnung aufheben** aus.

1. Wählen Sie unter **VPC-ID** eine VPC aus, deren Zuordnung zur Sicherheitsgruppe aufgehoben werden soll.

1. Wählen Sie **VPC-Zuordnung aufheben** aus.

1. Zeigen Sie den **Status** der Aufhebung der Zuordnung auf der Registerkarte „VPC-Zuordnungen“ an und warten Sie, bis der Status `disassociated` lautet.

------
#### [ Command line ]

**So heben Sie die Verknüpfung einer Sicherheitsgruppe mit einer VPC auf**

1. Trennen Sie eine VPC-Zuordnung zu. [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html)

1. Überprüfen Sie den Status einer VPC-Dissoziation mit [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) und warten Sie, bis der Status angezeigt wird. `disassociated`

------

Die Zuordnung der VPC zur Sicherheitsgruppe ist nun aufgehoben.

# Sicherheitsgruppen mit AWS Organizations teilen
<a name="security-group-sharing"></a>

Mit der Funktion „Gemeinsame Sicherheitsgruppe“ können Sie eine Sicherheitsgruppe mit Konten anderer AWS Organizations in derselben AWS Region teilen und die Sicherheitsgruppe für die Verwendung durch diese Konten verfügbar machen.

Das folgende Diagramm zeigt, wie Sie die Funktion „Gemeinsame Sicherheitsgruppe“ verwenden können, um die Verwaltung von Sicherheitsgruppen für alle Konten in Ihren AWS Organizations zu vereinfachen:

![\[Ein Diagramm der Freigabe von Sicherheitsgruppen für andere Konten in einem freigegebenen VPC-Subnetz.\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/sec-group-sharing.png)


Dieses Diagramm zeigt drei Konten, die Teil derselben Organisation sind. Konto A teilt sich ein VPC-Subnetz mit den Konten B und C. Konto A teilt die Sicherheitsgruppe mit den Konten B und C mithilfe des Features für freigegebene Sicherheitsgruppen. Die Konten B und C verwenden dann diese Sicherheitsgruppe, wenn sie Instances im freigegebenen Subnetz starten. Dadurch kann Konto A die Sicherheitsgruppe verwalten. Alle Aktualisierungen der Sicherheitsgruppe gelten für die Ressourcen, die von den Konten B und C im freigegebenen VPC-Subnetz ausgeführt werden.

**Anforderungen des Features für freigegebene Sicherheitsgruppen**
+ Dieses Feature ist nur für Konten in derselben Organisation in AWS Organizations verfügbar. Die [gemeinsame Nutzung von Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) muss in AWS Organizations aktiviert sein.
+ Das Konto, das die Sicherheitsgruppe freigibt, muss sowohl die VPC als auch die Sicherheitsgruppe besitzen. 
+ Sie können keine Standardsicherheitsgruppen freigeben.
+ Sie können keine Sicherheitsgruppen freigeben, die sich in einer Standard-VPC befinden.
+ Teilnehmerkonten können Sicherheitsgruppen in einer freigegebenen VPC erstellen, aber sie können diese Sicherheitsgruppen nicht freigeben.
+ Damit ein IAM-Prinzipal eine Sicherheitsgruppe gemeinsam nutzen kann, ist ein Mindestsatz an Berechtigungen erforderlich. AWS RAM Verwenden Sie die von `AmazonEC2FullAccess` und `AWSResourceAccessManagerFullAccess` verwalteten IAM-Richtlinien, um sicherzustellen, dass Ihre IAM-Prinzipale über die erforderlichen Berechtigungen verfügen, um freigegebene Sicherheitsgruppen freizugeben und zu nutzen. Wenn Sie eine benutzerdefinierte IAM-Richtlinie verwenden, sind die Aktionen `c2:PutResourcePolicy` und `ec2:DeleteResourcePolicy` erforderlich. Dies sind IAM-Aktionen, die nur für Berechtigungen gelten. Wenn einem IAM-Prinzipal diese Berechtigungen nicht erteilt wurden, tritt beim Versuch, die Sicherheitsgruppe mit AWS RAM freizugeben, ein Fehler auf.

**Services, die dieses Feature unterstützen**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker KI
+ Elastic Load Balancing
  + Application Load Balancer
  + Network Load Balancer

**So wirkt sich dieses Feature auf bestehende Kontingente aus**

Es gelten [Kontingente für Sicherheitsgruppen](amazon-vpc-limits.md#vpc-limits-security-groups). Für das Kontingent „Sicherheitsgruppen pro Netzwerkschnittstelle“ gilt jedoch das Minimum des Kontingents von Eigentümer und Teilnehmer, wenn ein Teilnehmer sowohl eigene als auch freigegebene Gruppen auf einer Elastic-Network-Schnittstelle (ENI) verwendet.

Beispiel zur Veranschaulichung, wie sich dieses Feature auf das Kontingent auswirkt:
+ Kontingent für Eigentümerkonten: 4 Sicherheitsgruppen pro Schnittstelle
+ Kontingent für Teilnehmerkonten: 5 Sicherheitsgruppen pro Schnittstelle.
+ Der Eigentümer gibt die Gruppen SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 für den Teilnehmer frei. Der Teilnehmer hat bereits eigene Gruppen in der VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Wenn der Teilnehmer eine ENI erstellt und nur seine eigenen Gruppen verwendet, kann er alle 5 Sicherheitsgruppen (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) zuordnen, da dies sein Kontingent ist.
+ Wenn der Teilnehmer eine ENI erstellt und alle freigegebenen Gruppen darauf verwendet, kann er nur bis zu 4 Gruppen zuordnen. In diesem Fall ist das Kontingent für eine solche ENI das Minimum der Kontingente von Eigentümer und Teilnehmer. Mögliche gültige Konfigurationen sehen wie folgt aus:
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## Freigeben einer Sicherheitsgruppe
<a name="share-sg-org"></a>

In diesem Abschnitt wird erklärt, wie Sie AWS-Managementkonsole und die verwenden AWS CLI , um eine Sicherheitsgruppe mit anderen Konten in Ihrer Organisation zu teilen.

------
#### [ AWS Management Console ]

**So geben Sie eine Sicherheitsgruppe frei**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.

1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.

1. Wählen Sie die Registerkarte **Sharing (Freigabe)**.

1. Klicken Sie auf **Sicherheitsgruppe freigeben**.

1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus. Daraufhin wird die AWS RAM Konsole geöffnet, in der Sie die Ressourcenfreigabe für die Sicherheitsgruppe erstellen.

1. Geben Sie einen **Namen** für die Ressourcenfreigabe ein.

1. Wählen Sie unter **Ressourcen – optional** die Option **Sicherheitsgruppen** aus.

1. Wählen Sie eine Sicherheitsgruppe aus. Die Sicherheitsgruppe kann keine Standardsicherheitsgruppe sein und kann nicht mit der Standard-VPC verknüpft werden.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Aktionen, die Prinzipale ausführen dürfen, und wählen Sie **Weiter** aus.

1. Wählen Sie unter **Prinzipale – optional** die Option **Zulassen der Freigabe nur innerhalb der eigenen Organisation** aus.

1. Wählen Sie unter **Prinzipale** einen der folgenden Prinzipaltypen aus und geben Sie die entsprechenden Nummern ein:
   + **AWS Konto**: Die Kontonummer eines Kontos in Ihrer Organisation.
   + **Organisation**: Die AWS Organisations-ID.
   + **Organisationseinheit (OU)**: Die ID einer OU in der Organisation.
   + **IAM-Rolle**: Der ARN einer IAM-Rolle. Das Konto, das die Rolle erstellt hat, muss Mitglied derselben Organisation sein wie das Konto, das diese Ressourcenfreigabe erstellt.
   + **IAM-Benutzer**: Der ARN eines IAM-Benutzers. Das Konto, das den Benutzer erstellt hat, muss Mitglied derselben Organisation sein wie das Konto, das diese Ressourcenfreigabe erstellt.
   + **Service-Prinzipal**: Sie können eine Sicherheitsgruppe nicht für einen Service-Prinzipal freigeben.

1. Wählen Sie **Hinzufügen** aus.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.

1. Warten Sie unter **Freigegebene Ressourcen**, bis der **Status** von `Associated` angezeigt wird. Wenn die Zuordnung einer Sicherheitsgruppe fehlschlägt, kann dies auf eine der oben genannten Einschränkungen zurückzuführen sein. Sehen Sie sich die Details der Sicherheitsgruppe und die Registerkarte **Freigabe** auf der Detailseite an, um alle Meldungen zu sehen, die sich darauf beziehen, warum eine Sicherheitsgruppe möglicherweise nicht freigegeben werden kann.

1. Kehren Sie zur Liste der Sicherheitsgruppen der VPC-Konsole zurück.

1. Wählen Sie die Sicherheitsgruppe, die Sie freigegeben haben.

1. Wählen Sie die Registerkarte **Sharing (Freigabe)**. Ihre AWS RAM Ressource sollte dort sichtbar sein. Ist dies nicht der Fall, ist die Erstellung der Ressourcenfreigabe möglicherweise fehlgeschlagen und Sie müssen sie möglicherweise neu erstellen.

------
#### [ Command line ]

**So geben Sie eine Sicherheitsgruppe frei**

1. Sie müssen zunächst eine Ressourcenfreigabe für die Sicherheitsgruppe erstellen, mit der Sie die Ressource teilen möchten AWS RAM. Anweisungen zum Erstellen einer Ressourcenfreigabe AWS RAM mithilfe von finden Sie unter [Erstellen einer Ressourcenfreigabe AWS RAM im AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Benutzerhandbuch AWS CLI* 

1. Um erstellte Ressourcenfreigabezuordnungen anzuzeigen, verwenden Sie [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).

------

Die Sicherheitsgruppe ist nun freigegeben. Sie können die Sicherheitsgruppe beim [Start einer EC2-Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) in einem gemeinsam genutzten Subnetz innerhalb derselben VPC auswählen.

## Beenden der Freigabe einer Sicherheitsgruppe
<a name="stop-share-sg-org"></a>

In diesem Abschnitt wird erklärt, wie Sie die AWS-Managementkonsole und die verwenden AWS CLI , um die gemeinsame Nutzung einer Sicherheitsgruppe mit anderen Konten in Ihrer Organisation zu beenden.

------
#### [ AWS Management Console ]

**So beenden Sie die Freigabe einer Sicherheitsgruppe**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Klicken Sie im linken Navigationsbereich auf **Sicherheitsgruppen**.

1. Wählen Sie eine Sicherheitsgruppe aus, um die Details anzuzeigen.

1. Wählen Sie die Registerkarte **Sharing (Freigabe)**.

1. Wählen Sie eine Ressourcenfreigabe für eine Sicherheitsgruppe aus und klicken Sie auf **Freigabe beenden**.

1. Wählen Sie **Ja, die Freigabe beenden** aus.

------
#### [ Command line ]

**So beenden Sie die Freigabe einer Sicherheitsgruppe**

Löschen Sie die Ressource gemeinsam mit [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).

------

Die Sicherheitsgruppe wird nicht mehr freigegeben. Nachdem der Eigentümer die Freigabe einer Sicherheitsgruppe beendet hat, gelten die folgenden Regeln: 
+ Elastic Network Interfaces (ENIs) für bestehende Teilnehmer erhalten weiterhin alle Aktualisierungen der Sicherheitsgruppenregeln, die an Sicherheitsgruppen vorgenommen werden, die nicht gemeinsam genutzt werden. Das Beenden der Freigabe hindert den Teilnehmer nur daran, neue Verknüpfungen mit der nicht freigegebenen Gruppe herzustellen.
+ Teilnehmer können die nicht gemeinsam genutzte Sicherheitsgruppe nicht mehr mit einer Gruppe verknüpfen, die ENIs ihnen gehört.
+ Die Teilnehmer können diejenigen beschreiben und löschen ENIs , die noch nicht gemeinsam genutzten Sicherheitsgruppen zugeordnet sind.
+ Wenn die Teilnehmer immer noch der nicht gemeinsam genutzten Sicherheitsgruppe ENIs zugeordnet sind, kann der Besitzer die nicht gemeinsam genutzte Sicherheitsgruppe nicht löschen. Der Besitzer kann die Sicherheitsgruppe erst löschen, nachdem die Teilnehmer die Zuordnung der Sicherheitsgruppe zu all ihren Gruppen getrennt (entfernt) haben. ENIs
+ Teilnehmer können keine neuen EC2-Instances mit einer ENI starten, die mit einer nicht freigegebenen Sicherheitsgruppe verknüpft ist.