Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Netzwerke im AWS Control Tower
AWS Control Tower bietet grundlegende Unterstützung für Netzwerke durch VPCs.
Wenn die Standardkonfiguration oder die Funktionen der AWS Control Tower VPC Ihren Anforderungen nicht entsprechen, können Sie andere AWS Services zur Konfiguration Ihrer VPC verwenden. Weitere Informationen zur Arbeit mit einem VPCs AWS Control Tower finden Sie unter [Aufbau einer skalierbaren und sicheren AWS Multi-VPC-Netzwerkinfrastruktur](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf).
AWS Control Tower unterstützt IPv4 und IPv6 protokolliert über Dual-Stack-IP-Adressen. Weitere Informationen finden Sie unter [AWS Control Catalog-Endpunkte und -Kontingente und](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html) [AWS Control Tower Tower-Endpunkte und](https://docs.aws.amazon.com//general/latest/gr/controltower.html) -Kontingente.
**Verwandte Themen**
+ Informationen darüber, wie AWS Control Tower funktioniert, wenn Sie Konten registrieren, die bereits vorhanden sind VPCs, finden Sie unter[Registriere bestehende Konten bei VPCs](enroll-account.md#enroll-existing-accounts-with-vpcs).
+ Mit Account Factory können Sie Konten bereitstellen, die eine AWS Control Tower VPC enthalten, oder Sie können Konten ohne VPC bereitstellen. Informationen zum Löschen der AWS Control Tower VPC oder zur Konfiguration von AWS Control Tower Tower-Konten ohne VPC finden Sie unter. [Exemplarische Vorgehensweise: Konfiguration von AWS Control Tower ohne VPC](configure-without-vpc.md)
+ Informationen zum Ändern der Kontoeinstellungen für VPCs finden Sie in der [Account Factory Factory-Dokumentation zur](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings) Aktualisierung eines Kontos.
+ Weitere Informationen zur Arbeit mit Netzwerken und VPCs in AWS Control Tower finden Sie im Abschnitt über [Netzwerke](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking) auf der Seite *mit verwandten Informationen* in diesem *Benutzerhandbuch*.
## VPCs und AWS Regionen in AWS Control Tower
Als Standardbestandteil der Kontoerstellung wird in jeder Region AWS eine Standard-VPC AWS erstellt, auch in den Regionen, die Sie nicht mit AWS Control Tower verwalten. Diese Standard-VPC ist nicht identisch mit einer VPC, die AWS Control Tower für ein bereitgestelltes Konto erstellt, aber die AWS Standard-VPC in einer nicht verwalteten Region kann für IAM-Benutzer zugänglich sein.
Administratoren können die Region Deny Control aktivieren, sodass Ihre Endbenutzer nicht berechtigt sind, eine Verbindung zu einer VPC in *einer Region herzustellen, die von AWS Control Tower unterstützt wird*, aber außerhalb Ihrer kontrollierten Regionen. **Um die Regionsverweigerungssteuerung zu konfigurieren, gehen Sie zur Seite mit den Einstellungen für die **Landingzone und wählen Sie Einstellungen ändern** aus.**
Die Option „Region Deny“ blockiert API-Aufrufe an die meisten Dienste, die nicht verwaltet werden AWS-Regionen. Weitere Informationen finden Sie unter [Zugriff verweigern auf AWS Grundlage der angeforderten AWS-Region](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html) Daten. .
**Anmerkung**
Die Regionsverweigerungssteuerung verhindert möglicherweise nicht, dass IAM-Benutzer eine Verbindung zu einer AWS Standard-VPC in einer Region herstellen, in der AWS Control Tower nicht unterstützt wird.
Optional können Sie die AWS Standardeinstellung VPCs in Regionen, die nicht verwaltet werden, entfernen. Um die Standard-VPC in einer Region aufzulisten, können Sie einen CLI-Befehl verwenden, der diesem Beispiel ähnelt:
```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```
# Überblick über AWS Control Tower und VPCs
Hier sind einige wichtige Fakten über AWS Control Tower VPCs:
+ Die von AWS Control Tower bei der Bereitstellung eines Kontos in Account Factory erstellte VPC entspricht nicht der AWS Standard-VPC.
+ Wenn AWS Control Tower ein neues Konto in einer unterstützten AWS Region einrichtet, löscht AWS Control Tower automatisch die AWS Standard-VPC und richtet eine neue, von AWS Control Tower konfigurierte VPC ein.
+ Für jedes AWS Control Tower-Konto ist eine VPC zulässig, die von AWS Control Tower erstellt wurde. Ein Konto kann AWS VPCs innerhalb des Kontolimits zusätzliche Konten haben.
+ Jede AWS Control Tower VPC hat drei Availability Zones in allen Regionen außer der Region USA West (Nordkalifornien) und zwei Availability Zones in`us-west-1`. `us-west-1` Standardmäßig werden jeder Availability Zone ein öffentliches Subnetz und zwei private Subnetze zugeteilt. Daher enthält in Regionen mit Ausnahme der USA West (Nordkalifornien) jede AWS Control Tower VPC standardmäßig neun Subnetze, die auf drei Availability Zones aufgeteilt sind. In USA West (Nordkalifornien) sind sechs Subnetze auf zwei Availability Zones aufgeteilt.
+ Jedem der Subnetze in Ihrer AWS Control Tower VPC wird ein eindeutiger Bereich gleicher Größe zugewiesen.
+ Die Anzahl der Subnetze in einer VPC ist konfigurierbar. Weitere Informationen zum Ändern der VPC-Subnetzkonfiguration finden Sie im Thema [Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Da sich die IP-Adressen nicht überschneiden, können die sechs oder neun Subnetze innerhalb Ihrer AWS Control Tower VPC uneingeschränkt miteinander kommunizieren.
Bei der Arbeit mit VPCs unterscheidet AWS Control Tower nicht auf regionaler Ebene. Jedem Subnetz wird genau aus dem CIDR-Bereich zugewiesen, den Sie angeben. Die VPC-Subnetze können in jeder Region vorhanden sein.
**Hinweise**
**VPC-Kosten verwalten**
Wenn Sie die Account Factory-VPC-Konfiguration so einrichten, dass öffentliche Subnetze bei der Bereitstellung eines neuen Kontos aktiviert werden, konfiguriert Account Factory VPC so, dass ein NAT-Gateway erstellt wird. Seine Nutzung wird Ihnen von Amazon VPC in Rechnung gestellt.
**VPC- und Steuerungseinstellungen**
Wenn Sie Account Factory Factory-Konten mit aktivierten VPC-Internetzugriffseinstellungen bereitstellen, hat diese Account Factory Factory-Einstellung Vorrang vor der Einstellung [Internetzugriff verbieten für eine von einem Kunden verwaltete Amazon VPC-Instance](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access). Um zu verhindern, dass der Internetzugang für neu bereitgestellte Konten aktiviert wird, müssen Sie die Einstellung in Account Factory ändern. Weitere Informationen finden Sie unter [Exemplarische Vorgehensweise: Konfiguration von AWS Control Tower ohne VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).
# CIDR und Peering für VPC und AWS Control Tower
Dieser Abschnitt richtet sich in erster Linie an Netzwerkadministratoren. Der Netzwerkadministrator Ihres Unternehmens ist in der Regel die Person, die den gesamten CIDR-Bereich für Ihre AWS Control Tower Tower-Organisation auswählt. Der Netzwerkadministrator weist dann Subnetze aus diesem Bereich für bestimmte Zwecke zu.
Wenn Sie einen CIDR-Bereich für Ihre VPC auswählen, validiert AWS Control Tower die IP-Adressbereiche gemäß der RFC 1918-Spezifikation. Account Factory ermöglicht einen CIDR-Block von bis zu folgenden `/16` Bereichen:
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(nur wenn Ihr Internetanbieter die Nutzung dieses Bereichs zulässt)
Das `/16`-Trennzeichen erlaubt bis zu 65 536 verschiedene IP-Adressen.
Sie können beliebige gültige IP-Adressen aus den folgenden Bereichen zuweisen:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(nicht IPs außerhalb der `192.168` Reichweite)
Wenn der von Ihnen angegebene Bereich außerhalb dieser Werte liegt, gibt AWS Control Tower eine Fehlermeldung aus.
Der Standard-CIDR-Bereich ist `172.31.0.0/16`.
Wenn AWS Control Tower eine VPC mit dem von Ihnen ausgewählten CIDR-Bereich erstellt, weist es *jeder VPC für jedes* Konto, das Sie innerhalb der Organisationseinheit (OU) erstellen, den identischen CIDR-Bereich zu. Aufgrund der standardmäßigen Überschneidung von IP-Adressen erlaubt diese Implementierung zunächst kein Peering zwischen Ihren AWS Control Tower VPCs in der Organisationseinheit.
**Subnets**
Innerhalb jeder VPC teilt AWS Control Tower Ihren angegebenen CIDR-Bereich gleichmäßig in neun Subnetze auf (außer in USA West (Nordkalifornien), wo es sich um sechs Subnetze handelt). Keines der Subnetze innerhalb einer VPC überschneidet sich. Daher können sie alle innerhalb der VPC miteinander kommunizieren.
Zusammenfassend lässt sich sagen, dass die Subnetzkommunikation innerhalb der VPC standardmäßig uneingeschränkt ist. Die bewährte Methode für die Steuerung der Kommunikation zwischen Ihren VPC-Subnetzen besteht bei Bedarf darin, Zugriffskontrolllisten mit Regeln einzurichten, die den zulässigen Datenfluss definieren. Verwenden Sie Sicherheitsgruppen für die Kontrolle des Datenverkehrs zwischen bestimmten Instances. Weitere Informationen zur Einrichtung von Sicherheitsgruppen und Firewalls in AWS Control Tower finden Sie unter [Exemplarische Vorgehensweise: Sicherheitsgruppen in AWS Control Tower mit AWS Firewall Manager einrichten](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).
**Peering**
AWS Control Tower schränkt das VPC-to-VPC Peering für die Kommunikation zwischen mehreren VPCs Personen nicht ein. Standardmäßig VPCs haben jedoch alle AWS Control Tower denselben Standard-CIDR-Bereich. Um Peering zu unterstützen, können Sie den CIDR-Bereich in den Einstellungen von Account Factory so ändern, dass sich die IP-Adressen nicht überschneiden.
Wenn Sie den CIDR-Bereich in den Einstellungen von Account Factory ändern, wird allen neuen Konten, die anschließend von AWS Control Tower (mithilfe von Account Factory) erstellt werden, der neue CIDR-Bereich zugewiesen. Die alten Konten werden nicht aktualisiert. Sie können beispielsweise ein Konto erstellen, dann den CIDR-Bereich ändern und ein neues Konto erstellen, und die diesen beiden Konten VPCs zugewiesenen Konten können per Peering miteinander verknüpft werden. Peering ist möglich, da ihre IP-Adressbereiche nicht identisch sind.
# Greifen Sie über einen Schnittstellenendpunkt auf AWS Control Tower zu (AWS PrivateLink)
Sie können AWS PrivateLink es verwenden, um eine private Verbindung zwischen Ihrer VPC und AWS Control Tower herzustellen. Sie können auf AWS Control Tower wie in Ihrer VPC zugreifen, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf AWS Control Tower zuzugreifen.
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für den AWS Control Tower bestimmt ist.
*Weitere Informationen finden Sie AWS PrivateLink im Leitfaden unter [Access AWS-Services through](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *
## Überlegungen zu AWS Control Tower
Bevor Sie einen Schnittstellenendpunkt für AWS Control Tower einrichten, lesen Sie die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink Handbuch*.
AWS Control Tower unterstützt Aufrufe all seiner API-Aktionen über den Schnittstellenendpunkt.
## Erstellen Sie einen Schnittstellenendpunkt für AWS Control Tower
Sie können einen Schnittstellenendpunkt für AWS Control Tower entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.
Erstellen Sie einen Schnittstellenendpunkt für AWS Control Tower mit den folgenden Servicenamen:
```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an AWS Control Tower unter Verwendung des standardmäßigen regionalen DNS-Namens stellen. Beispiel, `controltower.us-east-1.amazonaws.com`.
## Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt
Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf AWS Control Tower über den Schnittstellenendpunkt. Um den Zugriff auf AWS Control Tower von Ihrer VPC aus zu kontrollieren, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.
Eine Endpunktrichtlinie gibt die folgenden Informationen an:
+ Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, auf denen die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Leitfaden*.
**Beispiel: VPC-Endpunktrichtlinie für AWS Control Tower Tower-Aktionen**
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Principals auf allen Ressourcen Zugriff auf die aufgelisteten AWS Control Tower Tower-Aktionen.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"controltower:ListEnabledControls",
"controltower:ListLandingZones"
],
"Resource":"*"
}
]
}
```
**Anmerkung**
Eine vollständige Liste der AWS Control Tower API-Operationen finden Sie in der [AWS Control Tower API-Referenz](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html).