Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheit der Infrastruktur in AWS Billing Conductor
<a name="infrastructure-security"></a>

Als verwalteter Dienst AWS Billing Conductor ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.

Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Billing Conductor zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

# Zugriff AWS Billing Conductor über einen Schnittstellenendpunkt (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

Sie können verwenden AWS PrivateLink , um eine private Verbindung zwischen Ihrer VPC und AWS Billing Conductor herzustellen. Sie können auf Billing Conductor zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf Billing Conductor zuzugreifen.

Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Billing Conductor bestimmt ist.

*Weitere Informationen finden Sie AWS PrivateLink im Handbuch unter [Access AWS-Services through](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *

## Überlegungen zu Billing Conductor
<a name="vpc-endpoint-considerations"></a>

Bevor Sie einen Schnittstellen-Endpunkt für Billing Conductor einrichten, lesen Sie die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink Leitfaden*.

Billing Conductor unterstützt Aufrufe aller API-Aktionen über den Schnittstellenendpunkt.

VPC-Endpunktrichtlinien werden für Billing Conductor nicht unterstützt. Standardmäßig ist der vollständige Zugriff auf Billing Conductor über den Schnittstellenendpunkt zulässig. Alternativ können Sie den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu Billing Conductor über den Schnittstellenendpunkt zu steuern.

## Erstellen Sie einen Schnittstellenendpunkt für Billing Conductor
<a name="vpc-endpoint-create"></a>

Sie können einen Schnittstellenendpunkt für Billing Conductor entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.

Erstellen Sie einen Schnittstellenendpunkt für Billing Conductor mit dem folgenden Servicenamen:

```
com.amazonaws.region.service-name
```

Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Billing Conductor stellen, indem Sie dessen standardmäßigen regionalen DNS-Namen verwenden. Beispiel, `service-name.us-east-1.amazonaws.com`.

## Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt
<a name="vpc-endpoint-policy"></a>

Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf Billing Conductor über den Schnittstellenendpunkt. Um den Zugriff auf Billing Conductor von Ihrer VPC aus zu kontrollieren, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:
+ Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, auf denen die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Leitfaden*.

**Beispiel: VPC-Endpunktrichtlinie für Billing Conductor-Aktionen**  
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Billing Conductor-Aktionen.

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": "billingconductor:*",
         "Resource":"*"
      }
   ]
}
```