

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Vertrauenswürdige Identitäten
<a name="trusted-identities"></a><a name="account-identity"></a>

Mit AWS-Managementkonsole Private Access können Sie einschränken, welche AWS-Konten und welche Organisationsidentitäten das AWS-Managementkonsole von Ihrer VPC aus verwenden können. Dadurch wird der Zugriff von persönlichen Konten und von Konten außerhalb Ihrer Organisation verhindert.

Die AWS-Managementkonsole beiden AWS-Anmeldung VPC-Endpunkte unterstützen jeweils eine VPC-Endpunktrichtlinie, die die Identität des angemeldeten Kontos steuert. Richtlinien werden bei der Anmeldung bewertet und in regelmäßigen Abständen für bestehende Sitzungen neu bewertet.
+ **AWS-ManagementkonsoleVPC-Endpunktrichtlinien** — Schränken Sie ein, welche angemeldeten Identitäten über diesen Endpunkt auf die zugreifen können. AWS-Managementkonsole Verwenden Sie die `Action: *` Bedingungstasten und`Principal: *`, mit oder. `aws:PrincipalOrgId` `aws:PrincipalAccount`
+ **AWS-AnmeldungVPC-Endpunktrichtlinien (Anmeldeablauf)** — Schränken Sie ein, wer sich AWS-Managementkonsole über diesen Endpunkt anmelden kann, mit separater Bewertung vor und nach der Überprüfung der Anmeldeinformationen. **Pre-authentication**blockiert Anmeldeversuche vor der Eingabe von Anmeldeinformationen mithilfe von. `signin:Authenticate` **Post-authentication**validiert die Sitzung nach der Annahme der Anmeldeinformationen und beim Austausch von OAuth-Tokens mithilfe von und. `signin:AuthorizeOAuth2Access` `signin:CreateOAuth2Token`
+ **AWS-AnmeldungVPC-Endpunktrichtlinien (Anmeldeablauf)** — Steuern Sie, ob der AWS Kontoanmeldefluss von Ihrem privaten Netzwerk aus zugänglich ist. Unterstützt die `signin:CreateAccount` Aktion mit impliziter Ablehnung.

Die folgenden Beispiele zeigen, wie Sie den Zugriff nach Konto oder Organisation einschränken können. Wenden Sie äquivalente Einschränkungen sowohl auf Ihre Endpunkte als auch auf Ihre AWS-Anmeldung VPC-Endpunkte an AWS-Managementkonsole und verwenden Sie dabei das entsprechende Richtlinienformat für jeden Endpunkt.

**Topics**
+ [AWS-ManagementkonsoleBeispiele VPC VPC-Endpunkte](#console-vpc-endpoint-examples)
+ [AWS-AnmeldungBeispiele VPC VPC-Endpunkte](#signin-vpc-endpoint-examples)
+ [Fehlerseite „Zugriff verweigert“](#access-denied-error)
+ [Zulassen der Anmeldung in Richtlinien zur Dienststeuerung](#private-access-with-SCPs)

**Anmerkung**  
Die folgenden Beispiele sind Referenzrichtlinien, die nur zur Veranschaulichung dienen. [Verwenden Sie für Produktionsumgebungen die umfassenden Beispiele für Datenperimeterrichtlinien im Repository [aws- samples/data -perimeter-policy-examples, z. B. das Network Perimeter](https://github.com/aws-samples/data-perimeter-policy-examples) SCP.](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_control_policies/network_perimeter_sourcevpc_scp.json)

## AWS-ManagementkonsoleBeispiele VPC VPC-Endpunkte
<a name="console-vpc-endpoint-examples"></a>

**Beispiel: Erlauben Sie nur Konten in Ihrer Organisation**  
Diese AWS-Managementkonsole VPC-Endpunktrichtlinie ermöglicht AWS-Konten den Zugriff innerhalb der angegebenen AWS Organisation und blockiert alle anderen Konten.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Beispiel: Nur bestimmte Konten zulassen**  
Diese AWS-Managementkonsole VPC-Endpunktrichtlinie beschränkt den Zugriff auf eine bestimmte Liste AWS-Konten und blockiert alle anderen Konten.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

## AWS-AnmeldungBeispiele VPC VPC-Endpunkte
<a name="signin-vpc-endpoint-examples"></a>

Der AWS-Anmeldung VPC-Endpunkt erfordert Richtlinien mit spezifischen Sign-In Aktionen und Bedingungsschlüsseln, die für jede Authentifizierungsphase geeignet sind:
+ **Pre-authentication Phase** — Wird ausgewertet, bevor die Identität des Benutzers festgestellt wird. Es sind nur ressourcenbasierte Bedingungsschlüssel verfügbar, da die wichtigsten Informationen noch nicht bekannt sind.
  + Unterstützte Aktion: `signin:Authenticate`
  + Unterstützte Bedingungsschlüssel: `aws:ResourceOrgId` oder `aws:ResourceAccount`
+ **Post-authentication Phase** — Wird nach der Authentifizierung ausgewertet, wenn der Anmeldedienst die Anmeldeinformationen für die Sitzung ausgibt. Vollständige Hauptinformationen sind verfügbar.
  + Unterstützte Maßnahmen:`signin:AuthorizeOAuth2Access`, `signin:CreateOAuth2Token`
  + Unterstützte Bedingungsschlüssel: `aws:PrincipalOrgId` oder`aws:PrincipalAccount`,`aws:ResourceOrgId`, `aws:ResourceAccount`

**Beispiel: Erlauben Sie die Anmeldung nur für Konten in Ihrer Organisation**  
Diese AWS-Anmeldung VPC-Endpunktrichtlinie verwendet aktionsspezifische Anweisungen, um die Anmeldung AWS-Konten in der angegebenen AWS Organisation sowohl in der Phase vor als auch nach der Authentifizierung zu ermöglichen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceOrgID": "o-xxxxxxxxxxx"
        }
      }
    },
    {
      "Sid": "PostAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Beispiel: Erlaube die Anmeldung nur für bestimmte Konten**  
Diese AWS-Anmeldung VPC-Endpunktrichtlinie verwendet aktionsspezifische Anweisungen, um die Anmeldung sowohl in der Phase vor der Authentifizierung als auch nach der Authentifizierung AWS-Konten auf eine bestimmte Liste zu beschränken.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [ "123456789012", "210987654321" ]
        }
      }
    },
    {
      "Sid": "PostAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "123456789012", "210987654321" ]
        }
      }
    }
  ]
}
```

------

**Steuerung der Abläufe bei der Kontoregistrierung**  
Die `signin:CreateAccount` Aktion steuert, ob der Ablauf der AWS Kontoregistrierung von Ihrem privaten Netzwerk aus zugänglich ist. Diese Aktion verwendet einen anonymen Prinzipal (während der Registrierung ist kein Konto vorhanden) und unterstützt keine Bedingungsschlüssel.

Wenn Sie das AWS-Anmeldung VPC-Endpunkt-Richtlinienformat verwenden, wird der Anmeldefluss durch implizite Ablehnung blockiert, sofern Sie dies nicht ausdrücklich zulassen. Wenn Ihre Organisation die Kontoregistrierung innerhalb des privaten Netzwerks erfordert, fügen Sie Ihrer AWS-Anmeldung VPC-Endpunktrichtlinie die folgende Erklärung hinzu:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccountSignup",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:CreateAccount",
      "Resource": "*"
    }
  ]
}
```

------

## Fehlerseite „Zugriff verweigert“
<a name="access-denied-error"></a>

Wenn Sie eine Verbindung mit einer Identität herstellen, die nicht zu Ihrem Konto gehört, wird der Fehler „Ihr Konto hat keine Berechtigung, AWS Management Console Private Access zu verwenden“ angezeigt. Der folgende Screenshot zeigt die Fehlerseite „Zugriff verweigert“.

![Die Fehlerseite mit einer Meldung, die darauf hinweist, dass Sie nicht berechtigt sind, AWS-Managementkonsole Private Access zu verwenden.](http://docs.aws.amazon.com/de_de/awsconsolehelpdocs/latest/gsg/images/console-private-access-denied.png)


## Zulassen der Anmeldung in Richtlinien zur Dienststeuerung
<a name="private-access-with-SCPs"></a>

Wenn Ihre AWS Organisation eine Service Control Policy (SCP) verwendet, die bestimmte Dienste zulässt, müssen Sie die zulässigen `signin:*` Aktionen erweitern. Diese Berechtigung ist erforderlich, da bei der AWS-Managementkonsole Anmeldung am VPC-Endpunkt mit privatem Zugriff eine IAM-Autorisierung durchgeführt wird, die der SCP ohne die Erlaubnis blockiert. Beispielsweise ermöglicht die folgende Service-Kontrollrichtlinie die Nutzung von Amazon EC2 und CloudWatch Services in der Organisation, auch wenn auf sie über einen AWS-Managementkonsole Private Access-Endpunkt zugegriffen wird.

```
{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}
```

Weitere Informationen zu SCPs finden Sie unter [Service-Kontrollrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations-Benutzerhandbuch*.