Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Infrastruktursicherheit in Athena
<a name="security-infrastructure"></a>

Als verwalteter Service ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.

Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Verwenden Sie IAM-Richtlinien, um den Zugriff auf Athena-Operationen einzuschränken. Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten Methoden von IAM befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

[Verwaltete Athena-Richtlinien](security-iam-awsmanpol.md) sind einfach zu nutzen und werden automatisch mit den erforderlichen Aktionen aktualisiert, wenn sich der Service weiterentwickelt. Vom Kunden verwaltete und eingebundene Richtlinien ermöglichen Ihnen die Optimierung von Richtlinien, indem Sie detailliertere Athena-Aktionen in der Richtlinie angeben. Gewähren Sie geeigneten Zugriff auf den Amazon-S3-Speicherort der Daten. Ausführliche Informationen sowie Szenarien zum Gewähren von Amazon-S3-Zugriff finden Sie unter [Beispiel-Anleitungen: Verwalten des Zugriffs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html) im *Entwicklerhandbuch für Amazon Simple Storage Service*. Weitere Informationen sowie ein Beispiel für Amazon-S3-Aktionen, die zuzulassen sind, finden Sie in der Beispiel-Bucket-Richtlinie unter [Kontoübergreifender Zugriff](cross-account-permissions.md). 

**Topics**
+ [Herstellen einer Verbindung mit Amazon Athena über einen Schnittstellen-VPC-Endpunkt](interface-vpc-endpoint.md)

# Herstellen einer Verbindung mit Amazon Athena über einen Schnittstellen-VPC-Endpunkt
<a name="interface-vpc-endpoint"></a>

Sie können die Sicherheit Ihrer VPC verbessern, indem Sie einen [Schnittstellen-VPC-Endpunkt (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) und einen [AWS Glue -VPC-Endpunkt](https://docs.aws.amazon.com/glue/latest/dg/vpc-endpoint.html) in Ihrer Virtual Private Cloud (VPC) verwenden. Ein VPC-Schnittstellen-Endpunkt verbessert die Sicherheit, indem er Ihnen die Kontrolle darüber gibt, welche Ziele innerhalb Ihrer VPC erreicht werden können. Jeder VPC-Endpunkt wird durch eine oder mehrere [Elastic Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.

Der VPC-Endpunkt der Schnittstelle verbindet Ihre VPC ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder Verbindung direkt mit Athena. Direct Connect Die Instances in Ihrer VPC benötigen für die Kommunikation mit der Athena-API keine öffentlichen IP-Adressen.

Um Athena über Ihre VPC zu verwenden, müssen Sie für die Verbindung eine Instance innerhalb Ihrer VPC verwenden oder Ihr privates Netzwerk mit Ihrer VPC verbinden. Dies erreichen Sie mithilfe eines Amazon Virtual Private Network (VPN) oder mit Direct Connect. Informationen zu Amazon VPN finden Sie unter [VPN-Verbindungen](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) im *Benutzerhandbuch für Amazon Virtual Private Cloud*. *Weitere Informationen dazu AWS Direct Connect finden Sie unter [Verbindung erstellen](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) im Direct Connect Benutzerhandbuch.*

[Athena unterstützt VPC-Endpunkte überall dort, AWS-Regionen wo sowohl [Amazon VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) als auch Athena verfügbar sind.](https://docs.aws.amazon.com/general/latest/gr/rande.html#athena)

Sie können einen VPC-Schnittstellen-Endpunkt erstellen, um mit den Befehlen AWS-Managementkonsole oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Athena herzustellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Wenn Sie nach dem Erstellen eines VPC-Schnittstellen-Endpunkts [private DNS-Hostnamen](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) für den Endpunkt aktivieren, wird dies der standardmäßige Athena-Endpunkt sein (https://athena. *Region*.amazonaws.com) wird zu Ihrem VPC-Endpunkt aufgelöst.

Wenn Sie keine privaten DNS-Hostnamen aktiviert haben, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

```
VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com
```

Weitere Informationen finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon VPC-Benutzerhandbuch*.

Athena unterstützt Aufrufe aller [API-Aktionen](https://docs.aws.amazon.com/athena/latest/APIReference/API_Operations.html) innerhalb Ihrer VPC.

## Erstellen einer VPC-Endpunktrichtlinie für Athena
<a name="api-private-link-policy"></a>

Sie können eine Richtlinie für Amazon-VPC-Endpunkte für Athena erstellen, in der Sie Restriktionen wie die folgenden angeben:
+ **Prinzipal** – Prinzipal, der die Aktionen ausführen kann.
+ **Aktionen** – Aktionen, die ausgeführt werden können
+ **Ressourcen** – Die Ressourcen, für die Aktionen ausgeführt werden können.
+ **Nur vertrauenswürdige Identitäten** — Verwenden Sie die `aws:PrincipalOrgId` Bedingung, um den Zugriff nur auf Anmeldeinformationen zu beschränken, die Teil Ihrer Organisation sind. AWS Dies kann dazu beitragen, den Zugriff durch unbeabsichtigte Prinzipale zu verhindern. 
+ **Nur vertrauenswürdige Ressourcen** – Verwenden Sie diese `aws:ResourceOrgId`-Bedingung, um den Zugriff auf unbeabsichtigte Ressourcen zu verhindern. 
+ **Nur vertrauenswürdige Identitäten und Ressourcen** – Erstellen Sie eine kombinierte Richtlinie für einen VPC-Endpunkt, die den Zugriff auf unbeabsichtigte Prinzipale und Ressourcen verhindert. 

Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Dienste mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon VPC-Benutzerhandbuch* und [Anhang 2 — Beispiele für VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/appendix-2-vpc-endpoint-policy-examples.html) im AWS Whitepaper *Building* a data perimeter on. AWS

**Example – VPC-Endpunktrichtlinie**  
Das folgende Beispiel erlaubt Anfragen von Organisationsidentitäten an Unternehmensressourcen und Anfragen von Service Principals. AWS     
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}
```

Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten IAM-Methoden befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Über VPC-Endpunkte in gemeinsam genutzten Subnetzen
<a name="interface-vpc-endpoint-shared-subnets"></a>

Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Weitere Informationen zur Freigabe von VPCs finden Sie unter [Freigeben Ihrer VPC für andere Konten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) im *Amazon-VPC-Benutzerhandbuch*.