Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aktualisieren Ihrer Sicherheitsgruppen, um auf Peer-Sicherheitsgruppen zu verweisen
Sie können die eingehenden oder ausgehenden Regeln für die VPC-Sicherheitsgruppen aktualisieren, um auf Sicherheitsgruppen für die über Peering verbundenen VPCs zu verweisen. Danach kann der Datenverkehr von und zu den Instances fließen, die der referenzierten Sicherheitsgruppe in der über Peering verbundenen VPC zugewiesen sind.
**Anmerkung**
Sicherheitsgruppen in einer Peer-VPC werden nicht in der Konsole angezeigt, um sie auswählen zu können.
**Voraussetzungen**
+ Um auf eine Sicherheitsgruppe in einer Peer-VPC zu verweisen, muss die VPC-Peering-Verbindung den Status `active` haben.
+ Die Peer-VPC kann eine VPC in Ihrem Konto oder in einem anderen AWS-Konto sein. Wenn Sie auf eine Sicherheitsgruppe verweisen möchten, die sich in einem anderen AWS-Konto, aber in derselben Region befindet, geben Sie die Kontonummer mit der ID der Sicherheitsgruppe an. Beispiel, `123456789012/sg-1a2b3c4d`.
+ Sie können nicht auf die Sicherheitsgruppe einer Peer-VPC in einer anderen Region verweisen. Verwenden Sie stattdessen den CIDR-Block der Peer-VPC.
+ Wenn Sie Routen konfigurieren, um den Datenverkehr zwischen zwei Instances in unterschiedlichen Subnetzen über eine Middlebox-Appliance weiterzuleiten, müssen Sie sicherstellen, dass die Sicherheitsgruppen für beide Instances den Datenverkehr zwischen den Instances zulassen. Die Sicherheitsgruppe für jede Instance muss die private IP-Adresse der anderen Instance oder den CIDR-Bereich des Subnetzes, das die andere Instance enthält, als Quelle referenzieren. Wenn Sie die Sicherheitsgruppe der anderen Instance als Quelle referenzieren, wird dadurch kein Datenverkehr zwischen den Instances möglich.
**So aktualisieren Sie Ihre Sicherheitsgruppenregeln mithilfe der Konsole**
1. Öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie die Sicherheitsgruppe aus und führen Sie einen der folgenden Schritte aus:
+ Um Regeln für eingehenden Datenverkehr zu ändern, wählen Sie **Aktionen**, **Regeln für eingehenden Datenverkehr bearbeiten** aus.
+ Um Regeln für ausgehenden Datenverkehr zu ändern, wählen Sie **Aktionen**, **Regeln für ausgehenden Datenverkehr bearbeiten** aus.
1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** und geben Sie bei Bedarf den Typ, das Protokoll und den Portbereich an. Für **Quelle** (Regel für eingehenden Datenverkehr) oder **Ziel** (Regel für ausgehenden Datenverkehr) aus und führen Sie einen der folgenden Schritte aus:
+ Geben Sie für eine Peer-VPC in demselben Konto und in derselben Region die ID der Sicherheitsgruppe ein.
+ Geben Sie für eine Peer-VPC in einem anderen Konto, aber in derselben Region, die Konto-ID und die Sicherheitsgruppen-ID ein, getrennt durch einen Schrägstrich (z. B.`123456789012/sg-1a2b3c4d`).
+ Geben Sie für eine Peer-VPC in einer anderen Region den CIDR-Block der Peer-VPC ein.
1. Um eine bestehende Regel zu bearbeiten, ändern Sie ihre Werte (z. B. die Quelle oder die Beschreibung).
1. Um eine Regel zu löschen, wählen Sie die Schaltfläche **Löschen** neben der Regel.
1. Wählen Sie **Save rules (Regeln speichern)** aus.
**So aktualisieren Sie Regeln für eingehenden Datenverkehr über die Befehlszeile**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) und [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) und [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
Sie können beispielsweise den folgenden Befehl verwenden, um Ihre Sicherheitsgruppe `sg-aaaa1111` so zu aktualisieren, dass eingehender Datenverkehr über HTTP von `sg-bbbb2222` für eine Peer-VPC zulässig ist: Wenn sich die Peer-VPC in derselben Region, aber einem anderen Konto befindet, fügen Sie `--group-owner` {{aws-account-id}} hinzu.
```
aws ec2 authorize-security-group-ingress --group-id {{sg-aaaa1111}} --protocol tcp --port {{80}} --source-group {{sg-bbbb2222}}
```
**So aktualisieren Sie Regeln für ausgehenden Datenverkehr über die Befehlszeile**
+ [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) und [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) und [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) (AWS Tools for Windows PowerShell)
Verwenden Sie nach dem Aktualisieren der Sicherheitsgruppe den Befehl [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html), um die referenzierte Sicherheitsgruppe in Ihren Sicherheitsgruppenregeln anzuzeigen.
## Identifizieren der referenzierten Sicherheitsgruppen
Verwenden Sie einen der folgenden Befehle für eine oder mehrere Sicherheitsgruppen in Ihrem Konto, um festzustellen, ob in den Sicherheitsgruppenregeln in einer Peer-VPC auf Ihre Sicherheitsgruppe verwiesen wird.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
Im folgenden Beispiel zeigt die Antwort, dass von einer Sicherheitsgruppe in der VPC `sg-bbbb2222` auf die Sicherheitsgruppe `vpc-aaaaaaaa` verwiesen wird:
```
aws ec2 describe-security-group-references --group-id {{sg-bbbb2222}}
```
```
{
"SecurityGroupsReferenceSet": [
{
"ReferencingVpcId": "vpc-aaaaaaaa",
"GroupId": "sg-bbbb2222",
"VpcPeeringConnectionId": "pcx-b04deed9"
}
]
}
```
Wenn die VPC-Peering-Verbindung gelöscht wird oder der Eigentümer der Peer-VPC die referenzierte Sicherheitsgruppe löscht, ist die Sicherheitsgruppenregel veraltet.
## Sicherheitsgruppenregeln anzeigen und löschen
Eine veraltete Sicherheitsgruppenregel ist eine Regel, die auf eine gelöschte Sicherheitsgruppe in derselben VPC oder in einer Peer-VPC oder auf eine Sicherheitsgruppe in einer Peer-VPC verweist, für die die VPC-Peering-Verbindung gelöscht wurde. Wenn eine Sicherheitsgruppenregel veraltet ist, wird sie nicht automatisch aus der Sicherheitsgruppe entfernt – Sie müssen Sie manuell entfernen. Wenn eine Sicherheitsgruppenregel veraltet ist, weil die VPC-Peering-Verbindung gelöscht wurde, wird diese Regel dann nicht mehr als veraltet gekennzeichnet, wenn Sie eine neue VPC-Peering-Verbindung mit denselben VPCs erstellen.
Sie können die veralteten Sicherheitsgruppenregeln einer VPC mit der Amazon VPC-Konsole anzeigen und löschen.
**So zeigen Sie veraltete Sicherheitsgruppenregeln an und löschen sie**
1. Öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Security groups** (Sicherheitsgruppen) aus.
1. Klicken Sie auf **Actions** (Aktionen), **Manage stale rules** (Verwalten veraltter Regeln).
1. Wählen Sie unter **VPC** die VPC mit den veraltbaren Regeln aus.
1. Wählen Sie **Edit** aus.
1. Wählen Sie die Schaltfläche **Löschen** neben der Regel, die Sie löschen möchten. Wählen Sie **Preview changes (Änderungen überprüfen)**, **Save rules (Regeln speichern)**.
**So beschreiben Sie veraltete Sicherheitsgruppenregeln über die Befehlszeile**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
Im folgenden Beispiel wurden VPC A `(vpc-aaaaaaaa`) und VPC B durch Peering verbunden und die VPC-Peering-Verbindung wurde gelöscht. Die Sicherheitsgruppe `sg-aaaa1111` in VPC A verweist auf `sg-bbbb2222` in VPC B. Wenn Sie den Befehl `describe-stale-security-groups` für Ihre VPC ausführen, weist die Antwort darauf hin, dass die Sicherheitsgruppe `sg-aaaa1111` eine veraltete SSH-Regel aufweist, die auf `sg-bbbb2222` verweist.
```
aws ec2 describe-stale-security-groups --vpc-id {{vpc-aaaaaaaa}}
```
```
{
"StaleSecurityGroupSet": [
{
"VpcId": "vpc-aaaaaaaa",
"StaleIpPermissionsEgress": [],
"GroupName": "Access1",
"StaleIpPermissions": [
{
"ToPort": 22,
"FromPort": 22,
"UserIdGroupPairs": [
{
"VpcId": "vpc-bbbbbbbb",
"PeeringStatus": "deleted",
"UserId": "123456789101",
"GroupName": "Prod1",
"VpcPeeringConnectionId": "pcx-b04deed9",
"GroupId": "sg-bbbb2222"
}
],
"IpProtocol": "tcp"
}
],
"GroupId": "sg-aaaa1111",
"Description": "Reference remote SG"
}
]
}
```
Wenn Sie die veralteten Sicherheitsgruppenregeln identifiziert haben, können Sie diese mithilfe des Befehls [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) oder [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) löschen.