Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Verwenden von Endpunktrichtlinien zur Steuerung des Zugriffs mit VPC-Endpunkten In diesem Thema wird erklärt, wie Sie VPC-Endpoints eine Richtlinie hinzufügen können, um den Zugriff auf Ihre Anwendung (Ihren Service) und Ihre Elastic Beanstalk Beanstalk-Umgebung zu kontrollieren. Eine Endpoint-Policy ist eine AWS Identity and Access Management (IAM) -Ressourcenrichtlinie, die den Zugriff vom Endpunkt auf den angegebenen Service steuert. Die Endpunktrichtlinie ist für den jeweiligen Endpunkt spezifisch. Sie ist von allen Benutzer- oder Instance-IAM-Richtlinien, die in Ihrer Umgebung möglicherweise vorhanden sind, getrennt; weder überschreibt sie diese noch ersetzt sie diese. Standardmäßig ermöglicht ein VPC-Endpunkt den vollständigen Zugriff auf den Service, dem er zugeordnet ist. Wenn Sie einen Endpunkt erstellen oder ändern, können Sie ihm eine *Endpunktrichtlinie* hinzufügen, um den Zugriff auf bestimmte Ressourcen zu steuern, die dem Dienst zugeordnet sind. *Einzelheiten zur Erstellung und Verwendung von VPC-Endpunktrichtlinien finden Sie im Handbuch unter [Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink * **Anmerkung** Wenn Sie restriktive Endpunktrichtlinien erstellen, müssen Sie den erforderlichen Ressourcen möglicherweise bestimmte Berechtigungen hinzufügen, damit der Zugriff auf diese Ressourcen nicht durch die Endpunktrichtlinie blockiert wird. Dadurch wird sichergestellt, dass Ihre Umgebung weiterhin ordnungsgemäß bereitgestellt wird und ordnungsgemäß funktioniert. Das folgende Beispiel lehnt die Berechtigung zum Beenden einer Umgebung über den VPC-Endpunkt für alle Benutzer ab und ermöglicht den vollständigen Zugriff auf alle übrigen Aktionen. ``` { "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticbeanstalk:TerminateEnvironment", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] } ``` ## Erforderliche Amazon S3 S3-Bucket-Berechtigungen für restriktive VPC-Endpunktrichtlinien Wenn Sie Ihren VPC-Endpunktrichtlinien Einschränkungen hinzufügen, müssen Sie spezifische Amazon S3 S3-Bucket-Berechtigungen angeben, um sicherzustellen, dass Ihre Umgebung weiterhin bereitgestellt wird und ordnungsgemäß funktioniert. Dieser Abschnitt erklärt die erforderlichen S3-Buckets und enthält Beispielrichtlinien. **Topics** + [S3-Buckets, in denen Ressourcen zur Verwaltung von Umgebungsplattformen gespeichert werden](#AWSHowTo.S3.VPCendpoints.required-permissions.assets) + [S3-Buckets gehören CloudFormation](#AWSHowTo.S3.VPCendpoints.required-permissions.cloudformation) + [S3-Buckets, die Kundenkonten gehören, zum Speichern von Quellcode und anderen Elementen](#AWSHowTo.S3.VPCendpoints.required-permissions.items) + [S3-Buckets, die Kundenkonten gehören, zur Unterstützung der Docker-Registry-Authentifizierung](#AWSHowTo.S3.VPCendpoints.required-permissions.docker-auth) + [Aktualisierung Ihrer VPC-Endpunktrichtlinie](#AWSHowTo.S3.VPCendpoints.required-permissions.assets.permissions) ### S3-Buckets, in denen Ressourcen zur Verwaltung von Umgebungsplattformen gespeichert werden Der Elastic Beanstalk-Service besitzt S3-Buckets, in denen die mit einem Lösungsstapel (Plattformversion) verknüpften Assets gespeichert werden. Zu diesen Ressourcen gehören Konfigurationsdateien, die Beispielanwendung und verfügbare Instance-Typen. Wenn Elastic Beanstalk Ihre Umgebung erstellt und verwaltet, ruft es die erforderlichen Informationen für die jeweilige Plattformversion aus dem Asset-Bucket für jede entsprechende Umgebung ab. AWS-Region #### S3-Bucket ARN `arn:aws:s3:::elasticbeanstalk-samples-{{region}}` Amazon-Linux-2 und höher + `arn:aws:s3:::elasticbeanstalk-platform-assets-{{region}}` **Anmerkung** Der Bucket-Name folgt einer anderen Konvention für die *BJS-Region*. Die Zeichenfolge *public-beta-cn-north-1* wird anstelle von {{region}} verwendet. Beispiel, `arn:aws:s3:::elasticbeanstalk-platform-assets-public-beta-cn-north-1`. Windows Server, Amazon Linux (AMI), Amazon Linux 2 und höher + `arn:aws:s3:::elasticbeanstalk-env-resources-{{region}}` + `arn:aws:s3:::elasticbeanstalk-{{region}}` **Anmerkung** Die Bucket-Namen für Platform-Assets- und Env-Resources-Buckets folgen in einigen Regionen unterschiedlichen Konventionen. Einzelheiten finden Sie weiter unten im Abschnitt zu den regionsspezifischen Bucket-Namensmustern. ##### Regionsspezifische Bucket-ARN-Muster - **me-central-1** - **Bucket-Typ:** Plattform-Assets / **Bucket-ARN-Muster:** arn:aws:s3:::elasticbeanstalk-platform-assets-me-central-1-f08b818c - **Bucket-Typ:** Umgebungsressourcen / **Bucket-ARN-Muster:** arn:aws:s3:::elasticbeanstalk-env-resources-me-central-1-f08b818c #### Operationen GetObject #### Beispiel für eine VPC-Endpunktrichtlinie Das folgende Beispiel zeigt, wie Sie Zugriff auf die S3-Buckets gewähren, die für Elastic Beanstalk Beanstalk-Operationen in der Region USA Ost (Ohio) (us-east-2) erforderlich sind. Das Beispiel listet alle Buckets sowohl für Amazon Linux- als auch für Windows Server-Plattformen auf. Aktualisieren Sie Ihre Richtlinie so, dass sie nur die Buckets enthält, die für das Betriebssystem Ihrer Umgebung gelten. ##### Beispielrichtline **Wichtig** Wir empfehlen, dass Sie keine Platzhalterzeichen (\*) für bestimmte Regionen in dieser Richtlinie verwenden. Verwenden Sie beispielsweise `arn:aws:s3:::cloudformation-waitcondition-us-east-2/*` und nicht `arn:aws:s3:::cloudformation-waitcondition-*/*`. Bei der Verwendung von Platzhaltern könnte Zugriff auf S3-Buckets erteilt werden, für die Sie keinen Zugriff gewähren möchten. Wenn Sie die Richtlinie für mehr als eine Region verwenden möchten, empfehlen wir, den ersten `Statement` Block für jede Region zu wiederholen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-env-resources-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-env-resources-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-samples-{{us-east-2}}/*" ] } ] } ``` ------ ### S3-Buckets gehören CloudFormation Elastic Beanstalk verwendet CloudFormation , um Ressourcen für Ihre Umgebung zu erstellen. CloudFormation besitzt jeweils S3-Buckets, um die Reaktionen AWS-Region auf Wartebedingungen zu überwachen. Dienste wie Elastic Beanstalk kommunizieren mit, CloudFormation indem sie Anfragen an eine vorsignierte Amazon S3 S3-URL für den S3-Bucket senden, der Eigentümer ist. CloudFormation CloudFormation erstellt die vorsignierte Amazon S3 S3-URL mithilfe des `cloudformation.amazonaws.com` Service Principal. Ausführlichere Informationen finden Sie unter [Überlegungen zu CloudFormation VPC-Endpunkten](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-vpce-bucketnames.html#cfn-setting-up-vpc-considerations) im *AWS CloudFormation Benutzerhandbuch*. Weitere Informationen zu presigned URLs finden Sie unter [Working with presigned URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html) im *Amazon S3 S3-Benutzerhandbuch*. #### S3-Bucket ARN + `arn:aws:s3:::cloudformation-waitcondition-{{region}}` Wenn Sie Wartebedingungen verwenden, enthalten Regionennamen Bindestriche. Zum Beispiel *us-west-2*. + `arn:aws:s3:::cloudformation-custom-resource-response-{{region}}` Wenn Sie benutzerdefinierte Ressourcen verwenden, enthalten Regionennamen keine Bindestriche. *Zum Beispiel uswest2.* #### Operationen GetObject #### Beispiel für eine VPC-Endpunktrichtlinie Das folgende Beispiel zeigt, wie Sie Zugriff auf die S3-Buckets gewähren, die für Elastic Beanstalk Beanstalk-Operationen in der Region USA Ost (Ohio) (us-east-2) erforderlich sind. ##### Beispielrichtline **Wichtig** Wir empfehlen, dass Sie keine Platzhalterzeichen (\*) für bestimmte Regionen in dieser Richtlinie verwenden. Verwenden Sie beispielsweise `arn:aws:s3:::cloudformation-waitcondition-us-east-2/*` und nicht `arn:aws:s3:::cloudformation-waitcondition-*/*`. Bei der Verwendung von Platzhaltern könnte Zugriff auf S3-Buckets erteilt werden, für die Sie keinen Zugriff gewähren möchten. Wenn Sie die Richtlinie für mehr als eine Region verwenden möchten, empfehlen wir, den ersten `Statement` Block für jede Region zu wiederholen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-{{us-east-2}}/*", "arn:aws:s3:::cloudformation-custom-resource-response-{{us-east-2}}/*" ] } ] } ``` ------ ### S3-Buckets, die Kundenkonten gehören, zum Speichern von Quellcode und anderen Elementen Dieser Bucket gehört dem AWS Kundenkonto, dem die Umgebung gehört. Es speichert Ressourcen, die für Ihre Umgebung spezifisch sind, z. B. Quellcode und angeforderte Protokolle. #### S3-Bucket ARN `arn:aws:s3:::elasticbeanstalk-{{region}}-{{account-id}}` #### Operationen + GetObject + GetObjectAcl + PutObject + PutObjectAcl + ListBucket #### Beispiel für eine VPC-Endpunktrichtlinie Das folgende Beispiel zeigt, wie Sie Zugriff auf die S3-Buckets gewähren, die für Elastic Beanstalk Beanstalk-Operationen in der Region USA Ost (Ohio) (us-east-2) und für das Beispiel die Konto-ID 123456789012 erforderlich sind. AWS ##### Beispielrichtline **Wichtig** Wir empfehlen, dass Sie keine Platzhalterzeichen (\*) für bestimmte Regionen in dieser Richtlinie verwenden. Verwenden Sie beispielsweise `arn:aws:s3:::cloudformation-waitcondition-us-east-2/*` und nicht `arn:aws:s3:::cloudformation-waitcondition-*/*`. Bei der Verwendung von Platzhaltern könnte Zugriff auf S3-Buckets erteilt werden, für die Sie keinen Zugriff gewähren möchten. Wenn Sie die Richtlinie für mehr als eine Region verwenden möchten, empfehlen wir, den ersten Block für jede Region zu wiederholen. `Statement` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "s3:GetObject", "s3:GetObjectAcl", "s3:PutObject", "s3:PutObjectAcl", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-{{us-east-2}}-{{123456789012}}/*" ] } ] } ``` ------ ### S3-Buckets, die Kundenkonten gehören, zur Unterstützung der Docker-Registry-Authentifizierung Dieser Bucket gilt nur für Umgebungen, die auf der Docker-Plattform basieren. Der Bucket speichert eine Datei, die zur Authentifizierung bei einer privaten Docker-Registry verwendet wird, die sich in einem vom Kunden bereitgestellten S3-Bucket befindet. Weitere Informationen finden Sie unter [Verwenden der `Dockerrun.aws.json` v3-Datei im Kapitel](docker-configuration.remote-repo.md#docker-configuration.remote-repo.dockerrun-aws) Docker-Plattform dieses Handbuchs. #### S3-Bucket ARN Die ARN variiert je nach Kundenkonto. Der S3-Bucket-ARN hat das folgende Format: `arn:aws:s3:::{{bucket-name}}` #### Operationen GetObject #### Beispiel für eine VPC-Endpunktrichtlinie Das folgende Beispiel zeigt, wie Sie Zugriff auf einen S3-Bucket mit dem Namen amzn-s3-demo-bucket1 gewähren. ##### Beispielrichtline ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{amzn-s3-demo-bucket1}}" ] } ] } ``` ------ ### Aktualisierung Ihrer VPC-Endpunktrichtlinie Da an einen VPC-Endpunkt nur eine Richtlinie angehängt ist, müssen Sie alle Berechtigungen in einer Richtlinie zusammenfassen. Im folgenden Beispiel werden alle vorherigen Beispiele zu einem zusammengefasst. *Einzelheiten zur Erstellung und Verwendung von VPC-Endpunktrichtlinien finden Sie im Handbuch unter [Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).AWS PrivateLink * Wie die vorherigen Beispiele zeigt auch das folgende Beispiel, wie Sie Zugriff auf die S3-Buckets bereitstellen, die für Elastic Beanstalk Beanstalk-Operationen in der Region USA Ost (Ohio) (us-east-2) erforderlich sind. Es enthält auch Buckets mit der AWS Beispielkonto-ID 123456789012 und dem Beispiel-Bucket-Namen amzn-s3-demo-bucket1. **Wichtig** Wir empfehlen, dass Sie keine Platzhalterzeichen (\*) für bestimmte Regionen in dieser Richtlinie verwenden. Verwenden Sie beispielsweise `arn:aws:s3:::cloudformation-waitcondition-us-east-2/*` und nicht `arn:aws:s3:::cloudformation-waitcondition-*/*`. Bei der Verwendung von Platzhaltern könnte Zugriff auf S3-Buckets erteilt werden, für die Sie keinen Zugriff gewähren möchten. Wenn Sie die Richtlinie für mehr als eine Region verwenden möchten, empfehlen wir, den ersten Block für jede Region zu wiederholen. `Statement` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-env-resources-{{us-east-2}}/*", "arn:aws:s3:::elasticbeanstalk-samples-{{us-east-2}}/*" ] }, { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-{{us-east-2}}/*", "arn:aws:s3:::cloudformation-custom-resource-response-{{us-east-2}}/*" ] }, { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectAcl", "s3:PutObject", "s3:PutObjectAcl", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-{{us-east-2}}-{{123456789012}}/*" ] }, { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::{{amzn-s3-demo-bucket1}}" ] } ] } ``` ------