Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zugriff AWS-Services über AWS PrivateLink
Sie greifen auf einen Endpunkt zu und AWS-Service verwenden ihn. Die standardmäßigen Service-Endpunkte sind öffentliche Schnittstellen, daher müssen Sie Ihrer VPC ein Internet-Gateway hinzufügen, damit der Datenverkehr von der VPC zur AWS-Service gelangen kann. Wenn diese Konfiguration Ihren Netzwerksicherheitsanforderungen nicht entspricht, können Sie Ihre VPC so AWS PrivateLink verbinden, AWS-Services als ob sie sich in Ihrer VPC befinden würden, ohne ein Internet-Gateway verwenden zu müssen.
Sie können privat auf diejenigen zugreifen AWS-Services , die AWS PrivateLink mithilfe von VPC-Endpunkten integriert sind. Sie können alle Ebenen Ihres Anwendungs-Stacks erstellen und verwalten, ohne ein Internet-Gateway zu verwenden.
**Preisgestaltung**
Ihnen wird jede Stunde in Rechnung gestellt, in der Ihr Schnittstellen-VPC-Endpunkt in jeder Availability Zone bereitgestellt wird. Ihnen wird auch pro GB verarbeiteter Daten in Rechnung gestellt. Weitere Informationen finden Sie unter [AWS PrivateLink – Preise](https://aws.amazon.com/privatelink/pricing/).
**Topics**
+ [-Übersicht](#interface-endpoint-overview)
+ [DNS-Hostnamen](#interface-endpoint-dns-hostnames)
+ [DNS-Auflösung](#interface-endpoint-dns-resolution)
+ [Privates DNS](#interface-endpoint-private-dns)
+ [Subnetze und Availability Zones](#aws-service-subnets-zones)
+ [IP-Adresstypen](#aws-service-ip-address-type)
+ [IP-Typ des DNS-Eintrags](#aws-services-dns-record-ip-type)
+ [Services, die integrieren](aws-services-privatelink-support.md)
+ [Regionsübergreifend aktiviert AWS-Services](aws-services-cross-region-privatelink-support.md)
+ [Erstellen eines Schnittstellenendpunkts](create-interface-endpoint.md)
+ [Konfigurieren eines Schnittstellenendpunkts](interface-endpoints.md)
+ [Empfangen von Warnmeldungen für Schnittstellen-Endpunkt-Ereignisse](manage-notifications-endpoint.md)
+ [Löschen eines Schnittstellenendpunkts](delete-interface-endpoint.md)
+ [Gateway-Endpunkte](gateway-endpoints.md)
## -Übersicht
Sie können AWS-Services über ihre öffentlichen Dienstendpunkte darauf zugreifen oder eine Verbindung zu unterstützten AWS-Services Benutzern herstellen. AWS PrivateLink In dieser Übersicht werden diese Methoden verglichen.
**Zugang über Endpunkte für öffentliche Services**
Das folgende Diagramm zeigt, wie Instanzen AWS-Services über die Endpunkte des öffentlichen Dienstes zugreifen. Der Datenverkehr zu und AWS-Service von einer Instance in einem öffentlichen Subnetz wird an das Internet-Gateway für die VPC und dann an die weitergeleitet. AWS-Service Datenverkehr zu einem AWS-Service von einer Instance in einem privaten Subnetz wird zu einem NAT-Gateway, dann zum Internet-Gateway für die VPC und dann an die AWS-Service geroutet. Dieser Datenverkehr durchquert zwar das Internet-Gateway, verlässt das Netzwerk jedoch nicht. AWS
![\[Der Datenverkehr zu und von Ihrer VPC erfolgt über ein Internet-Gateway, bleibt aber im AWS Netzwerk. AWS-Service\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/access-with-igw.png)
**Connect über AWS PrivateLink**
Das folgende Diagramm zeigt, wie Instanzen auf diese AWS-Services zugreifen AWS PrivateLink. Zunächst erstellen Sie einen VPC-Schnittstellen-Endpunkt, der Verbindungen zwischen den Subnetzen in Ihrer VPC und einer AWS-Service verwendenden Netzwerkschnittstelle herstellt. Der für den bestimmte Datenverkehr AWS-Service wird mithilfe von DNS an die privaten IP-Adressen der Endpunkt-Netzwerkschnittstellen aufgelöst und dann an die Verbindung gesendet, die die Verbindung zwischen dem VPC-Endpunkt und dem AWS-Service verwendet. AWS-Service
![\[Der Verkehr aus einem Subnetz verwendet einen VPC-Schnittstellen-Endpunkt, um eine Verbindung zu einem herzustellen. AWS-Service\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/access-with-privatelink.png)
AWS-Services akzeptiert Verbindungsanfragen automatisch. Der Service kann keine Anfragen an Ressourcen über den VPC-Endpunkt veranlassen.
## DNS-Hostnamen
Die meisten AWS-Services bieten öffentliche regionale Endpunkte an, die die folgende Syntax haben.
```
protocol://service_code.region_code.amazonaws.com
```
Der öffentliche Endpunkt für Amazon CloudWatch in us-east-2 lautet beispielsweise wie folgt.
```
https://monitoring.us-east-2.amazonaws.com
```
Mit AWS PrivateLink senden Sie Traffic über private Endpunkte an den Service. Wenn Sie einen VPC-Schnittstellen-Endpunkt erstellen, erstellen wir regionale und zonale DNS-Namen, mit denen Sie AWS-Service von Ihrer VPC aus kommunizieren können.
Der regionale DNS-Name für Ihren Schnittstellen-VPC-Endpunkt hat die folgende Syntax:
```
endpoint_id.service_id.region.vpce.amazonaws.com
```
Die zonalen DNS-Namen haben die folgende Syntax:
```
endpoint_id-az_name.service_id.region.vpce.amazonaws.com
```
Wenn Sie einen VPC-Schnittstellen-Endpunkt für einen erstellen AWS-Service, können Sie [privates DNS](#interface-endpoint-private-dns) aktivieren. Mit Private DNS können Sie weiterhin Anfragen an einen Dienst unter Verwendung des DNS-Namens für seinen öffentlichen Endpunkt stellen, während Sie die private Konnektivität über den VPC-Endpunkt der Schnittstelle nutzen. Weitere Informationen finden Sie unter [DNS-Auflösung](#interface-endpoint-dns-resolution).
Der folgende [describe-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoints.html)Befehl zeigt die DNS-Einträge für einen Schnittstellenendpunkt an.
```
aws ec2 describe-vpc-endpoints --vpc-endpoint-id vpce-099deb00b40f00e22 --query VpcEndpoints[*].DnsEntries
```
Im Folgenden finden Sie eine Beispielausgabe für einen Schnittstellenendpunkt für Amazon CloudWatch mit aktivierten privaten DNS-Namen. Der erste Eintrag ist der private regionale Endpunkt. Die nächsten drei Einträge sind die privaten zonalen Endpunkte. Der letzte Eintrag stammt aus der versteckten privaten gehosteten Zone, die Anforderungen an den öffentlichen Endpunkt an die privaten IP-Adressen der Endpunkt-Netzwerkschnittstellen auflöst.
```
[
[
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "monitoring.us-east-2.amazonaws.com",
"HostedZoneId": "Z06320943MMOWYG6MAVL9"
}
]
]
```
## DNS-Auflösung
Die DNS-Einträge, die wir für Ihren Schnittstellen-VPC-Endpunkt erstellen, sind öffentlich. Daher sind diese DNS-Namen öffentlich auflösbar. DNS-Anfragen von außerhalb der VPC geben jedoch weiterhin die privaten IP-Adressen der Endpunkt-Netzwerkschnittstellen zurück, sodass diese IP-Adressen nur dann für den Zugriff auf den Endpunkt-Service verwendet werden können, wenn Sie Zugriff auf die VPC haben.
## Privates DNS
Wenn Sie privates DNS für Ihren Schnittstellen-VPC-Endpunkt aktivieren und in Ihrer VPC sowohl [DNS-Hostnamen als auch DNS-Auflösung](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) aktiviert sind, erstellen wir eine versteckte, AWS verwaltete private gehostete Zone für Sie. Die gehostete Zone enthält einen Datensatz für den DNS-Standardnamen für den Service, der in die privaten IP-Adressen der Endpunktnetzwerkschnittstellen in Ihrer VPC aufgelöst wird. Wenn Sie also bereits über Anwendungen verfügen, die Anfragen an einen öffentlichen regionalen Endpunkt senden, werden diese Anfragen jetzt über die Netzwerkschnittstellen der Endgeräte weitergeleitet, ohne dass Sie Änderungen an diesen Anwendungen vornehmen müssen. AWS-Service
Wir empfehlen die Aktivierung privater DNS-Namen für Ihren VPC-Endpunkt für AWS-Services. Dadurch wird sichergestellt, dass Anfragen, die die Endpunkte des öffentlichen Dienstes verwenden, z. B. Anfragen, die über ein AWS SDK gestellt wurden, an Ihren VPC-Endpunkt weitergeleitet werden.
Amazon stellt einen DNS-Server für Ihre VPC zu Verfügung, den [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html). Der Route 53 Resolver löst automatisch lokale VPC-Domainnamen und Datensätze in privaten gehosteten Zonen. Sie können den Route 53 Resolver jedoch nicht von außerhalb Ihrer VPC verwenden. Wenn Sie auf Ihren VPC-Endpunkt von Ihrem On-Premises-Netzwerk aus zugreifen möchten, können Sie Route 53 Resolver-Endpunkte und Resolver-Regeln verwenden. Weitere Informationen finden Sie unter [Integration AWS Transit Gateway mit AWS PrivateLink](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/) und. Amazon Route 53 Resolver
## Subnetze und Availability Zones
Sie können Ihre VPC-Endpunkte mit einem Subnetz pro Availability Zone konfigurieren. Wir erstellen eine Endpunkt-Netzwerkschnittstelle für den VPC-Endpunkt in Ihrem Subnetz. Wir weisen jeder Endpunkt-Netzwerkschnittstelle aus ihrem Subnetz IP-Adressen zu, basierend auf dem [IP-Adresstyp](#aws-service-ip-address-type) des VPC-Endpunkts. Die IP-Adressen einer Endpunkt-Netzwerkschnittstelle ändern sich während der Lebensdauer ihres VPC-Endpunkts nicht.
In einer Produktionsumgebung empfehlen wir für hohe Verfügbarkeit und Ausfallsicherheit Folgendes:
+ Konfigurieren Sie mindestens zwei Availability Zones pro VPC-Endpunkt und stellen Sie Ihre AWS Ressourcen bereit, die auf diese Availability Zones zugreifen müssen. AWS-Service
+ Konfigurieren Sie private DNS-Namen für den VPC-Endpunkt.
+ Greifen Sie AWS-Service über den regionalen DNS-Namen zu, der auch als öffentlicher Endpunkt bezeichnet wird.
Das folgende Diagramm zeigt einen VPC-Endpunkt für Amazon CloudWatch mit einer Endpunkt-Netzwerkschnittstelle in einer einzigen Availability Zone. Wenn eine Ressource in einem Subnetz in der VPC CloudWatch über ihren öffentlichen Endpunkt auf Amazon zugreift, lösen wir den Datenverkehr an die IP-Adresse der Endpunkt-Netzwerkschnittstelle auf. Dazu gehört auch Datenverkehr von Subnetzen in anderen Availability Zones. Wenn Availability Zone 1 jedoch beeinträchtigt ist, verlieren die Ressourcen in Availability Zone 2 den Zugriff auf Amazon CloudWatch.
![\[Ein VPC-Schnittstellen-Endpunkt für Amazon, der für eine einzelne Availability Zone CloudWatch aktiviert ist.\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/interface-endpoint-single-az.png)
Das folgende Diagramm zeigt einen VPC-Endpunkt für Amazon CloudWatch mit Endpunkt-Netzwerkschnittstellen in zwei Availability Zones. Wenn eine Ressource in einem Subnetz in der VPC über ihren öffentlichen Endpunkt auf Amazon CloudWatch zugreift, wählen wir eine funktionierende Endpunkt-Netzwerkschnittstelle aus und verwenden den Round-Robin-Algorithmus, um zwischen ihnen zu wechseln. Anschließend leiten wir den Datenverkehr an die IP-Adresse der ausgewählten Endpunkt-Netzwerkschnittstelle weiter.
![\[Ein VPC-Schnittstellen-Endpunkt für Amazon, der für mehrere Availability Zones CloudWatch aktiviert ist.\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/interface-endpoint-multi-az.png)
Wenn es für Ihren Anwendungsfall besser ist, können Sie den Datenverkehr von Ihren Ressourcen über die Endpunkt-Netzwerkschnittstelle in derselben Availability Zone an den AWS-Service senden. Verwenden Sie dazu den privaten zonalen Endpunkt oder die IP-Adresse der Endpunkt-Netzwerkschnittstelle.
![\[Ein VPC-Schnittstellen-Endpunkt mit Datenverkehr, der die privaten zonalen Endpunkte verwendet.\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/interface-endpoint-multi-az-zonal.png)
## IP-Adresstypen
AWS-Services kann IPv6 über ihre privaten Endpunkte Support bieten, auch wenn sie keinen Support IPv6 über ihre öffentlichen Endpunkte anbieten. Endgeräte, die dies unterstützen, IPv6 können auf DNS-Anfragen mit AAAA-Einträgen antworten.
**Anforderungen zur Aktivierung IPv6 für einen Schnittstellenendpunkt**
+ Der AWS-Service muss seine Dienstendpunkte über IPv6 verfügbar machen. Weitere Informationen finden Sie unter [IPv6 Support anzeigen](aws-services-privatelink-support.md#vpce-ipv6-support).
+ Der IP-Adresstyp eines Schnittstellenendpunkts muss mit den Subnetzen für den Schnittstellenendpunkt kompatibel sein, wie hier beschrieben:
+ **IPv4**— Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv4 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 Adressbereiche haben.
+ **IPv6**— Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind.
+ **Dualstack** — Weisen Sie Ihren IPv4 Endpunkt-Netzwerkschnittstellen sowohl IPv6 Adressen als auch Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 sowohl IPv6 als auch Adressbereiche haben.
Wenn eine Schnittstelle, die der VPC-Endpunkt unterstützt IPv4, haben die Endpunkt-Netzwerkschnittstellen IPv4 Adressen. Wenn eine Schnittstelle, die der VPC-Endpunkt unterstützt IPv6, haben die Endpunkt-Netzwerkschnittstellen IPv6 Adressen. Die IPv6 Adresse für eine Endpunkt-Netzwerkschnittstelle ist vom Internet aus nicht erreichbar. Wenn Sie eine Endpunkt-Netzwerkschnittstelle mit einer IPv6 Adresse beschreiben, beachten Sie, dass diese aktiviert `denyAllIgwTraffic` ist.
## IP-Typ des DNS-Eintrags
Abhängig von Ihrem IP-Adresstyp kann der AWS Service beim Aufrufen eines VPC-Endpunkts A-Datensätze, AAAA-Datensätze oder sowohl A- als auch AAAA-Datensätze zurückgeben. Sie können anpassen, welche Eintragstypen Ihr AWS Dienst zurückgibt, indem Sie den IP-Typ des DNS-Eintrags ändern. Die folgende Tabelle zeigt die unterstützten DNS-Eintrags-IP-Typen und die zurückgegebenen Eintragstypen:
| IP-Typ des DNS-Eintrags | Zurückgegebene Datensatztypen |
| --- | --- |
| IPv4 | A |
| IPv6 | AAAA |
| Dualstack | A und AAAA |
Standardmäßig entspricht der DNS-Eintragstyp dem IP-Adresstyp. Sie können einen anderen IP-Eintragstyp wählen, müssen jedoch einen kompatiblen IP-Adresstyp für den Endpunktdienst verwenden. Die folgende Tabelle zeigt den unterstützten DNS-Eintrags-IP-Typ für jeden IP-Adresstyp für Schnittstellenendpunkte:
| IP-Adresstyp | Unterstützte IP-Typen für DNS-Einträge |
| --- | --- |
| IPv4 | IPv4 |
| IPv6 | IPv6 |
| Dualstack | Dualstack\$1,,, dienstdefiniert IPv4 IPv6 |
\$1 Stellt den Standard-IP-Typ für DNS-Einträge dar.
Ein vom Dienst definierter DNS-Eintrags-IP-Typ gibt DNS-Einträge zurück, die auf dem von Ihnen aufgerufenen Dienstendpunkt basieren. Wenn Sie einen vom Dienst definierten DNS-Eintrags-IP-Typ verwenden, stellen Sie sicher, dass Ihr Dienst variable Aufrufe von Dienstendpunkten verarbeiten kann. Um die von Ihrem Schnittstellenendpunkt unterstützten DNS-Einträge zu sehen, sehen Sie sich die DNS-Namen für Ihren VPC-Endpunkt in oder an. AWS-Managementkonsole[DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html)
Das Verhalten des DNS-Eintrags-IP-Typs ist bei Gateway-Endpunkten anders. Weitere Informationen finden Sie unter [IP-Typ des DNS-Eintrags für Gateway-Endpunkte](gateway-endpoints.md#gateway-endpoint-dns-record-ip-type).
# AWS-Services die sich integrieren in AWS PrivateLink
Folgendes AWS-Services lässt sich in integrieren. AWS PrivateLink Sie können einen VPC-Endpunkt erstellen, um eine private Verbindung zu diesen Services herzustellen, als würden sie in Ihrer eigenen VPC ausgeführt werden.
Klicken Sie auf den Link in der **AWS-Service**Spalte, um die Dokumentation für Dienste anzuzeigen, die in integriert AWS PrivateLink werden können. Die Spalte **Dienstname** enthält den Dienstnamen, den Sie angeben, wenn Sie den Schnittstellen-VPC-Endpunkt erstellen, oder sie gibt an, dass der Dienst den Endpunkt verwaltet.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/aws-services-privatelink-support.html)
## Verfügbare Namen anzeigen AWS-Service
Sie können den [describe-vpc-endpoint-services](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)Befehl verwenden, um die Dienstnamen anzuzeigen, die VPC-Endpunkte unterstützen.
Im folgenden Beispiel werden die Endpunkte angezeigt AWS-Services , die Schnittstellenendpunkte in der angegebenen Region unterstützen. Die Option `--query` beschränkt die Ausgabe auf die Servicenamen.
```
aws ec2 describe-vpc-endpoint-services \
--filters Name=service-type,Values=Interface Name=owner,Values=amazon \
--region us-east-1 \
--query ServiceNames
```
Es folgt eine Beispielausgabe. Die vollständige Ausgabe wird nicht angezeigt.
```
[
"api.aws.us-east-1.cassandra-streams",
"aws.api.us-east-1.bcm-data-exports",
"aws.api.us-east-1.emr-service-cell01",
"aws.api.us-east-1.freetier",
"aws.api.us-east-1.kendra-ranking",
"aws.api.us-east-1.qbusiness",
. . .
"com.amazonaws.us-east-1.xray"
]
```
## Anzeigen von Informationen über einen Service
Sobald Sie den Dienstnamen haben, können Sie den [describe-vpc-endpoint-services](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)Befehl verwenden, um detaillierte Informationen zu jedem Endpunktdienst anzuzeigen.
Im folgenden Beispiel werden Informationen zum CloudWatch Amazon-Schnittstellenendpunkt in der angegebenen Region angezeigt.
```
aws ec2 describe-vpc-endpoint-services \
--service-name "com.amazonaws.us-east-1.monitoring" \
--region us-east-1
```
Es folgt eine Beispielausgabe. `VpcEndpointPolicySupported` gibt an, ob [Endpunkt-Richtlinien](vpc-endpoints-access.md) unterstützt werden. `SupportedIpAddressTypes` gibt an, welche IP-Adresstypen unterstützt werden.
```
{
"ServiceDetails": [
{
"ServiceName": "com.amazonaws.us-east-1.monitoring",
"ServiceId": "vpce-svc-0fc975f3e7e5beba4",
"ServiceType": [
{
"ServiceType": "Interface"
}
],
"AvailabilityZones": [
"us-east-1a",
"us-east-1b",
"us-east-1c",
"us-east-1d",
"us-east-1e",
"us-east-1f"
],
"Owner": "amazon",
"BaseEndpointDnsNames": [
"monitoring.us-east-1.vpce.amazonaws.com"
],
"PrivateDnsName": "monitoring.us-east-1.amazonaws.com",
"PrivateDnsNames": [
{
"PrivateDnsName": "monitoring.us-east-1.amazonaws.com"
},
{
"PrivateDnsName": "monitoring.us-east-1.api.aws"
},
{
"PrivateDnsName": "monitoring-fips.us-east-1.amazonaws.com"
},
{
"PrivateDnsName": "monitoring-fips.us-east-1.api.aws"
} ],
"VpcEndpointPolicySupported": true,
"AcceptanceRequired": false,
"ManagesVpcEndpoints": false,
"Tags": [],
"PrivateDnsNameVerificationState": "verified",
"SupportedIpAddressTypes": [
"ipv6",
"ipv4"
]
}
],
"ServiceNames": [
"com.amazonaws.us-east-1.monitoring"
]
}
```
## Anzeigen der Unterstützung für Endpunkt-Richtlinien
Um zu überprüfen, ob ein Service [Endpunktrichtlinien](vpc-endpoints-access.md) unterstützt, rufen Sie den [describe-vpc-endpoint-services](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)Befehl auf und überprüfen Sie den Wert von`VpcEndpointPolicySupported`. Die möglichen Werte sind `true` und `false`.
Im folgenden Beispiel wird geprüft, ob der angegebene Service Endpunktrichtlinien in der angegebenen Region unterstützt. Die Option `--query` beschränkt die Ausgabe auf den Wert von `VpcEndpointPolicySupported`.
```
aws ec2 describe-vpc-endpoint-services \
--service-name "com.amazonaws.us-east-1.s3" \
--region us-east-1 \
--query ServiceDetails[*].VpcEndpointPolicySupported \
--output text
```
Es folgt eine Beispielausgabe.
```
True
```
Das folgende Beispiel listet diejenigen auf AWS-Services , die Endpunktrichtlinien in der angegebenen Region unterstützen. Die Option `--query` beschränkt die Ausgabe auf die Servicenamen. Um diesen Befehl über die Windows-Befehlszeile auszuführen, entfernen Sie die einfachen Anführungszeichen rund um die Abfragezeichenfolge und ändern Sie das Zeilenfortsetzungszeichen von \$1 auf ^.
```
aws ec2 describe-vpc-endpoint-services \
--filters Name=service-type,Values=Interface Name=owner,Values=amazon \
--region us-east-1 \
--query 'ServiceDetails[?VpcEndpointPolicySupported==`true`].ServiceName'
```
Es folgt eine Beispielausgabe. Die vollständige Ausgabe wird nicht angezeigt.
```
[
"api.aws.us-east-1.cassandra-streams",
"aws.api.us-east-1.bcm-data-exports",
"aws.api.us-east-1.emr-service-cell01",
"aws.api.us-east-1.freetier",
"aws.api.us-east-1.kendra-ranking",
. . .
"com.amazonaws.us-east-1.xray"
]
```
Das folgende Beispiel listet diejenigen auf AWS-Services , die in der angegebenen Region keine Endpunktrichtlinien unterstützen. Die Option `--query` beschränkt die Ausgabe auf die Servicenamen. Um diesen Befehl über die Windows-Befehlszeile auszuführen, entfernen Sie die einfachen Anführungszeichen rund um die Abfragezeichenfolge und ändern Sie das Zeilenfortsetzungszeichen von \$1 auf ^.
```
aws ec2 describe-vpc-endpoint-services \
--filters Name=service-type,Values=Interface Name=owner,Values=amazon \
--region us-east-1 \
--query 'ServiceDetails[?VpcEndpointPolicySupported==`false`].ServiceName'
```
Es folgt eine Beispielausgabe. Die vollständige Ausgabe wird nicht angezeigt.
```
[
"com.amazonaws.us-east-1.appmesh-envoy-management",
"com.amazonaws.us-east-1.apprunner.requests",
"com.amazonaws.us-east-1.appstream.api",
"com.amazonaws.us-east-1.appstream.streaming",
"com.amazonaws.us-east-1.awsconnector",
. . .
"com.amazonaws.us-east-1.transfer.server"
]
```
## IPv6 Support anzeigen
Informationen zum IPv6 Support für AWS Dienste finden Sie unter [AWS Dienste, die unterstützen IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ipv6-support.html#ipv6-service-support). Sie können auch den folgenden [describe-vpc-endpoint-services](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)Befehl verwenden, um die anzuzeigen AWS-Services , auf die Sie IPv6 in der angegebenen Region zugreifen können. Die Option `--query` beschränkt die Ausgabe auf die Servicenamen.
```
aws ec2 describe-vpc-endpoint-services \
--filters Name=supported-ip-address-types,Values=ipv6 Name=owner,Values=amazon Name=service-type,Values=Interface \
--region us-east-1 \
--query ServiceNames
```
Es folgt eine Beispielausgabe. Die vollständige Ausgabe wird nicht angezeigt.
```
[
"api.aws.us-east-1.cassandra-streams",
"aws.api.us-east-1.bcm-data-exports",
"aws.api.us-east-1.freetier",
"aws.api.us-east-1.kendra-ranking",
"aws.api.us-east-1.qbusiness",
"aws.api.us-east-1.resource-explorer-2",
"aws.api.us-east-1.resource-explorer-2-fips",
"aws.sagemaker.us-east-1.experiments",
"aws.sagemaker.us-east-1.partner-app",
"com.amazonaws.iam",
"com.amazonaws.us-east-1.access-analyzer",
"com.amazonaws.us-east-1.account",
. . .
"com.amazonaws.us-east-1.xray"
]
```
# Regionsübergreifend aktiviert AWS-Services
Die folgenden AWS-Services lassen sich regionsübergreifend integrieren. AWS PrivateLink Sie können einen Schnittstellenendpunkt erstellen, um privat eine Verbindung zu diesen Diensten in einer anderen AWS Region herzustellen, als ob sie in Ihrer eigenen VPC ausgeführt würden.
Wählen Sie den Link in der **AWS-Service**Spalte, um die Servicedokumentation aufzurufen. Die Spalte **Dienstname** enthält den Dienstnamen, den Sie bei der Erstellung des Schnittstellenendpunkts angeben.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/aws-services-cross-region-privatelink-support.html)
## Verfügbare Namen anzeigen AWS-Service
Sie können den [describe-vpc-endpoint-services](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)Befehl verwenden, um regionsübergreifende Dienste anzuzeigen.
Das folgende Beispiel zeigt AWS-Services , wie ein Benutzer in der `us-east-1` Region über Schnittstellenendpunkte auf die angegebene (`us-west-2`) Dienstregion zugreifen kann. Die Option `--query` beschränkt die Ausgabe auf die Servicenamen.
```
aws ec2 describe-vpc-endpoint-services \
--filters Name=service-type,Values=Interface Name=owner,Values=amazon \
--region us-east-1 \
--service-region us-west-2 \
--query ServiceNames
```
Es folgt eine Beispielausgabe. Die vollständige Ausgabe wird nicht angezeigt.
```
[
"com.amazonaws.us-west-2.ecr.api",
"com.amazonaws.us-west-2.ecr.dkr",
"com.amazonaws.us-west-2.ecs",
"com.amazonaws.us-west-2.ecs-fips",
...
"com.amazonaws.us-west-2.s3"
]
```
**Anmerkung**
Sie müssen regionales DNS verwenden. Zonales DNS wird beim Zugriff AWS-Services in einer anderen Region nicht unterstützt. Weitere Informationen finden Sie unter [DNS-Attribute anzeigen und aktualisieren](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) im Amazon VPC-Benutzerhandbuch.
## Berechtigungen und Überlegungen
+ Standardmäßig sind IAM-Entitäten nicht berechtigt, auf eine AWS-Service in einer anderen Region zuzugreifen. Um die für den regionsübergreifenden Zugriff erforderlichen Berechtigungen zu gewähren, kann ein IAM-Administrator IAM-Richtlinien erstellen, die diese Aktion nur mit Zugriffsrechten zulassen. `vpce:AllowMultiRegion`
+ Stellen Sie sicher, dass Ihre Service Control Policy (SCP) keine Aktion verweigert, die nur auf Berechtigungen beschränkt ist. `vpce:AllowMultiRegion` Um die Funktion für AWS PrivateLink regionsübergreifende Konnektivität nutzen zu können, müssen sowohl Ihre Identitätsrichtlinie als auch Ihr SCP diese Aktion zulassen.
+ Verwenden Sie den `ec2:VpceServiceRegion` Bedingungsschlüssel, um die Regionen zu steuern, die eine IAM-Entität beim Erstellen eines VPC-Endpunkts als Dienstregion angeben kann.
+ Ein Servicenutzer muss sich für eine Opt-in-Region entscheiden, bevor er sie als Service-Region für einen Endpunkt auswählen kann. Wann immer möglich, empfehlen wir, dass Servicenutzer über regionsinterne Konnektivität statt über regionsübergreifende Konnektivität auf einen Dienst zugreifen. Die Konnektivität innerhalb der Region sorgt für eine geringere Latenz und geringere Kosten.
+ Sie können den neuen `aws:SourceVpcArn` globalen Bedingungsschlüssel von IAM verwenden, um zu sichern, aus welchen Regionen AWS-Konten und auf VPCs Ihre Ressourcen zugegriffen werden kann. Dieser Schlüssel hilft bei der Implementierung der Datenresidenz und der regionsbasierten Zugriffskontrolle.
+ Für eine hohe Verfügbarkeit sollten Sie einen regionsübergreifenden Schnittstellenendpunkt in mindestens zwei Availability Zones einrichten. In diesem Fall müssen Anbieter und Verbraucher nicht dieselben Availability Zones verwenden.
+ AWS PrivateLink Verwaltet mit regionsübergreifendem Zugriff den Failover zwischen Availability Zones sowohl in Service- als auch in Kundenregionen. Es verwaltet kein regionsübergreifendes Failover.
+ Der regionsübergreifende Zugriff wird für die folgenden Availability Zones nicht unterstützt: `use1-az3``usw1-az2`,`apne1-az3`,`apne2-az2`, und`apne2-az4`.
+ Sie können AWS Fault Injection Service es verwenden, um regionale Ereignisse zu simulieren und Ausfallszenarien für regionsinterne und regionsübergreifende Schnittstellenendpunkte zu modellieren. [Weitere Informationen finden Sie in der Dokumentation.AWS FIS](https://docs.aws.amazon.com/fis/latest/userguide/fis-actions-reference.html#network-actions-reference)
## Erstellen Sie einen Schnittstellenendpunkt zu einer AWS-Service in einer anderen Region
Informationen zum Erstellen eines Schnittstellenendpunkts mithilfe der Konsole finden [Sie im Abschnitt VPC-Endpunkt erstellen](https://docs.aws.amazon.com/vpc/latest/userguide/create-interface-endpoint.html#create-interface-endpoint-aws).
In der CLI können Sie den [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html)Befehl verwenden, um einen VPC-Endpunkt für eine AWS-Service in einer anderen Region zu erstellen. Das folgende Beispiel erstellt einen Schnittstellenendpunkt zu Amazon S3 in `us-west-2` einem VPC-Eingang. `us-east-1`
```
aws ec2 create-vpc-endpoint \
--vpc-id vpc-id \
--service-name com.amazonaws.us-west-2.s3 \
--vpc-endpoint-type Interface \
--subnet-ids subnet-id-1 subnet-id-2 \
--region us-east-1 \
--service-region us-west-2
```
# Zugriff und AWS-Service Verwendung eines VPC-Endpunkts mit einer Schnittstelle
Sie können einen VPC-Schnittstellen-Endpunkt erstellen, um eine Verbindung zu Diensten herzustellen AWS PrivateLink, von denen viele AWS-Services unterstützt werden. Eine Übersicht finden Sie unter [AWS PrivateLink Konzepte](concepts.md) und [Zugriff AWS-Services über AWS PrivateLink](privatelink-access-aws-services.md).
Für jedes Subnetz, das Sie in Ihrer VPC angeben, erstellen wir eine Endpunkt-Netzwerkschnittstelle im Subnetz und weisen ihr eine private IP-Adresse aus dem Subnetz-Adressbereich zu. Eine Endpunkt-Netzwerkschnittstelle ist eine vom Anforderer verwaltete Netzwerkschnittstelle. Sie können sie in Ihrem AWS-Konto anzeigen, aber Sie können sie nicht selbst verwalten.
Die stündliche Nutzung und Datenverarbeitungsgebühren werden Ihnen in Rechnung gestellt. Weitere Informationen finden Sie auf [Preise zu Schnittstellenendpunkte](https://aws.amazon.com/privatelink/pricing/#Interface_Endpoint_pricing).
**Topics**
+ [Voraussetzungen](#prerequisites-interface-endpoints)
+ [Erstellen eines VPC-Endpunkts](#create-interface-endpoint-aws)
+ [Gemeinsam genutzte Subnetze](#interface-endpoint-shared-subnets)
+ [ICMP](#interface-endpoint-icmp)
## Voraussetzungen
+ Stellen Sie die Ressourcen bereit, die auf die zugreifen, AWS-Service in Ihrer VPC.
+ Um privates DNS zu verwenden, müssen Sie DNS-Hostnamen und die DNS-Auflösung für Ihre VPC aktivieren. Mehr Informationen finden Sie unter [Anzeigen und Aktualisieren von DNS-Attributen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) im *Amazon-VPC-Benutzerhandbuch*.
+ Um sie IPv6 für einen Schnittstellenendpunkt zu aktivieren, AWS-Service muss dieser den Zugriff über IPv6 unterstützen. Weitere Informationen finden Sie unter [IP-Adresstypen](privatelink-access-aws-services.md#aws-service-ip-address-type).
+ Erstellen Sie eine Sicherheitsgruppe für die Endpunkt-Netzwerkschnittstelle, die den erwarteten Datenverkehr von den Ressourcen in Ihrer VPC zulässt. Um beispielsweise sicherzustellen, dass sie HTTPS-Anfragen an die senden AWS CLI kann AWS-Service, muss die Sicherheitsgruppe eingehenden HTTPS-Verkehr zulassen.
+ Wenn sich Ihre Ressourcen in einem Subnetz mit einer Netzwerk-ACL befinden, stellen Sie sicher, dass die Netzwerk-ACL den Verkehr zwischen den Ressourcen in Ihrer VPC und den Netzwerkschnittstellen der Endpunkte zulässt.
+ Es gibt Kontingente für Ihre AWS PrivateLink Ressourcen. Weitere Informationen finden Sie unter [AWS PrivateLink Kontingente](vpc-limits-endpoints.md).
## Erstellen eines VPC-Endpunkts
Gehen Sie wie folgt vor, um einen Schnittstellen-VPC-Endpunkt zu erstellen, der eine Verbindung zu einem AWS-Service herstellt.
**Um einen Schnittstellenendpunkt für eine zu erstellen AWS-Service**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie **Endpunkt erstellen** aus.
1. Wählen Sie für **Typ** die Option **AWS -Services** aus.
1. (Optional) Wenn Sie einen Endpunkt zu einem Endpunkt AWS-Service in einer anderen Region erstellen, **aktivieren Sie das Kontrollkästchen Regionsübergreifenden Endpunkt** aktivieren und wählen Sie dann die **Serviceregion** aus der Dropdownliste aus.
1. Wählen Sie für **Service name** (Servicename) den Service aus. Weitere Informationen finden Sie unter [AWS-Services die sich integrieren in AWS PrivateLink](aws-services-privatelink-support.md).
1. Wählen Sie für **VPC** die VPC aus, von der aus Sie auf AWS-Service zugreifen.
1. Wenn Sie in Schritt 5 den Servicenamen für Amazon S3 ausgewählt haben und die [Unterstützung für privates DNS](vpc-endpoints-s3.md#private-dns-s3) konfigurieren möchten, wählen Sie **Zusätzliche Einstellungen**, **DNS-Namen aktivieren** aus. Wenn Sie diese Auswahl treffen, wird automatisch auch die Option **Private DNS nur für eingehenden Endpunkt aktivieren** ausgewählt. Sie können privates DNS mit einem eingehenden Resolver-Endpunkt nur für Schnittstellenendpunkte für Amazon S3 konfigurieren. Wenn Sie keinen Gateway-Endpunkt für Amazon S3 haben und die Option **Private DNS nur für eingehende Endpunkte aktivieren** wählen, erhalten Sie eine Fehlermeldung, wenn Sie den letzten Schritt in diesem Verfahren ausführen.
Wenn Sie in Schritt 5 den Servicenamen für einen anderen Dienst als Amazon S3 ausgewählt haben, ist **Zusätzliche Einstellungen**, **DNS-Namen aktivieren** bereits ausgewählt. Wir empfehlen Ihnen, die Standardeinstellungen beizubehalten. Dadurch wird sichergestellt, dass Anfragen, die die Endpunkte des öffentlichen Dienstes verwenden, z. B. Anfragen, die über ein AWS SDK gestellt wurden, an Ihren VPC-Endpunkt weitergeleitet werden.
1. Wählen Sie **unter Subnetze** die Subnetze aus, in denen Endpunkt-Netzwerkschnittstellen erstellt werden sollen. Sie können ein Subnetz pro Availability Zone auswählen. Sie können nicht mehrere Subnetze aus derselben Availability Zone auswählen. Weitere Informationen finden Sie unter [Subnetze und Availability Zones](privatelink-access-aws-services.md#aws-service-subnets-zones).
Standardmäßig wählen wir IP-Adressen aus den Subnetz-IP-Adressbereichen aus und weisen sie den Endpunkt-Netzwerkschnittstellen zu. Um die IP-Adressen selbst auszuwählen, wählen Sie **IP-Adressen festlegen** aus. Beachten Sie, dass die ersten vier IP-Adressen und die letzte IP-Adresse in einem CIDR-Block für den internen Gebrauch reserviert sind, sodass Sie sie nicht für Ihre Endpunkt-Netzwerkschnittstellen angeben können.
1. Wählen Sie für **IP address type** (IP-Adressentyp) eine der folgenden Optionen aus:
+ **IPv4**— Weisen Sie den Endpunkt-Netzwerkschnittstellen IPv4 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 Adressbereiche haben und der Dienst IPv4 Anfragen akzeptiert.
+ **IPv6**— Weist den Endpunkt-Netzwerkschnittstellen IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind und der Dienst Anfragen akzeptiert IPv6 .
+ **Dualstack** — Weisen Sie den IPv4 Endpunkt-Netzwerkschnittstellen sowohl als auch IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl als auch IPv6 Adressbereiche haben IPv4 und der Dienst sowohl Anfragen als auch IPv4 Anfragen akzeptiert. IPv6
1. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den **Security groups** (Endpunkt-Netzwerkschnittstellen) zugeordnet werden sollen. Standardmäßig ordnen wir die Standard-Sicherheitsgruppe für die VPC zu.
1. Wählen Sie unter **Richtlinie** die Option **Vollzugriff** aus, um alle Operationen aller Prinzipale auf allen Ressourcen über den Schnittstellenendpunkt zuzulassen. Um den Zugriff einzuschränken, wählen Sie **Benutzerdefiniert** aus und geben Sie eine Richtlinie ein. Diese Option ist nur verfügbar, wenn der Service VPC-Endpunktrichtlinien unterstützt. Weitere Informationen finden Sie unter [Endpunktrichtlinien](vpc-endpoints-access.md).
1. (Optional) Sie fügen ein Tag hinzu, indem Sie **Neuen Tag hinzufügen** auswählen und den Schlüssel und den Wert für den Tag eingeben.
1. Wählen Sie **Endpunkt erstellen**.
**So erstellen Sie einen Schnittstellenendpunkt mithilfe der Befehlszeile**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Tools für Windows PowerShell)
## Gemeinsam genutzte Subnetze
Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden.
## ICMP
Schnittstellenendpunkte antworten nicht auf **ping** Anfragen. Sie können stattdessen die **nmap** Befehle **nc** oder verwenden.
# Konfigurieren eines Schnittstellenendpunkts
Nachdem Sie einen Schnittstellen-VPC-Endpunkt erstellt haben, können Sie dessen Konfiguration aktualisieren.
**Topics**
+ [Hinzufügen oder Entfernen von Subnetzen](#add-remove-subnets)
+ [Weisen Sie Sicherheitsgruppen zu](#associate-security-groups)
+ [Bearbeiten der VPC-Endpunktrichtlinie](#edit-vpc-endpoint-policy)
+ [Aktivieren von privaten DNS-Namen](#enable-private-dns-names)
+ [Verwalten von Tags](#add-remove-interface-endpoint-tags)
## Hinzufügen oder Entfernen von Subnetzen
Sie können ein Subnetz pro Availability Zone für Ihren Schnittstellenendpunkt auswählen. Wenn Sie ein Subnetz hinzufügen, erstellen wir eine Endpunktnetzwerkschnittstelle im Subnetz und weisen ihr eine private IP-Adresse aus dem IP-Adressbereich des Subnetzes zu. Wenn Sie ein Subnetz entfernen, löschen wir dessen Endpunkt-Netzwerkschnittstelle. Weitere Informationen finden Sie unter [Subnetze und Availability Zones](privatelink-access-aws-services.md#aws-service-subnets-zones).
**So ändern Sie die Subnetze mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie den Schnittstellenendpunkt.
1. Wählen Sie **Actions** (Aktionen), **Manage Subnets** (Subnetze verwalten).
1. Aktivieren oder deaktivieren Sie Availability Zones nach Bedarf. Wählen Sie für jede Availability Zone ein Subnetz aus. Standardmäßig wählen wir IP-Adressen aus den Subnetz-IP-Adressbereichen aus und weisen sie den Endpunkt-Netzwerkschnittstellen zu. Um die IP-Adressen für eine Endpunkt-Netzwerkschnittstelle auszuwählen, wählen Sie **IP-Adressen festlegen und geben Sie eine IPv4 Adresse aus dem Subnetzadressbereich** ein. Wenn der Endpunktdienst dies unterstützt IPv6, können Sie auch eine IPv6 Adresse aus dem Subnetz-Adressbereich eingeben.
Wenn Sie eine IP-Adresse für ein Subnetz angeben, das bereits über eine Endpunkt-Netzwerkschnittstelle für diesen VPC-Endpunkt verfügt, ersetzen wir die Endpunkt-Netzwerkschnittstelle durch eine neue. Dieser Prozess trennt vorübergehend die Verbindung zwischen dem Subnetz und dem VPC-Endpunkt.
1. Wählen Sie **Modify subnets** (Subnetze modifizieren).
**So ändern Sie die Subnetze über die Befehlszeile**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Tools für Windows PowerShell)
## Weisen Sie Sicherheitsgruppen zu
Sie können die Sicherheitsgruppen ändern, die den Netzwerkschnittstellen für Ihren Schnittstellenendpunkt zugeordnet sind. Die Sicherheitsgruppenregeln steuern den Datenverkehr, der von den Ressourcen in Ihrer VPC zur Endpunkt-Netzwerkschnittstelle zulässig ist.
**Ändern der Sicherheitsgruppen mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie den Schnittstellenendpunkt.
1. Wählen Sie **Actions (Aktionen)**, **Manage security groups (Verwalten von Sicherheitsgruppen)**.
1. Aktivieren oder deaktivieren Sie die Auswahl von Sicherheitsgruppen nach Bedarf.
1. Wählen Sie **Modify security groups** (Ändern von Sicherheitsgruppen).
**Ändern der Sicherheitsgruppen mithilfe der Befehlszeile**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Tools für Windows PowerShell)
## Bearbeiten der VPC-Endpunktrichtlinie
Wenn der AWS-Service Endpunktrichtlinien unterstützt, können Sie die Endpunktrichtlinie für den Endpunkt bearbeiten. Nachdem Sie eine Endpunktrichtlinie aktualisiert haben, kann es einige Minuten dauern, bis die Änderungen wirksam werden. Weitere Informationen finden Sie unter [Endpunktrichtlinien](vpc-endpoints-access.md).
**So ändern Sie die Endpunktrichtlinie mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie den Schnittstellenendpunkt.
1. Wählen Sie **Actions** (Aktionen), **Manage policy** (Verwalten von Richtlinien).
1. Wählen Sie **Full Access** (Voller Zugriff), um vollen Zugriff auf den Service zu gewähren, oder wählen Sie **Custom** (Benutzerdefiniert), und fügen Sie eine benutzerdefinierte Richtlinie hinzu.
1. Wählen Sie **Speichern**.
**So ändern Sie die Endpunktrichtlinie mithilfe der Befehlszeile**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Tools für Windows PowerShell)
## Aktivieren von privaten DNS-Namen
Wir empfehlen die Aktivierung privater DNS-Namen für Ihren VPC-Endpunkt für AWS-Services. Dadurch wird sichergestellt, dass Anfragen, die die Endpunkte des öffentlichen Dienstes verwenden, z. B. Anfragen, die über ein AWS SDK gestellt wurden, an Ihren VPC-Endpunkt weitergeleitet werden.
Um privates DNS zu verwenden, müssen Sie sowohl [DNS-Hostnamen als auch die DNS-Auflösung](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) für Ihre VPC aktivieren. Nachdem Sie private DNS-Namen aktiviert haben, kann es einige Minuten dauern, bis die privaten IP-Adressen verfügbar sind. Die DNS-Einträge, die wir erstellen, wenn Sie private DNS-Namen aktivieren, sind privat. Daher kann der private DNS-Name nicht öffentlich aufgelöst werden.
**So ändern Sie die Option für private DNS-Namen mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie den Schnittstellenendpunkt.
1. Wählen Sie **Actions** (Aktionen), **Modify Private DNS names** (Private DNS-Namen ändern).
1. **Enable for this endpoint** (Für diesen Endpunkt aktivieren) nach Bedarf auswählen oder löschen.
1. Wenn es sich bei dem Service um Amazon S3 handelt, wählen Sie im vorherigen Schritt **Für diesen Endpunkt aktivieren** auch **Privates DNS nur für eingehenden Endpunkt aktivieren**. Wenn Sie die standardmäßige private DNS-Funktionalität bevorzugen, deaktivieren Sie **Privates DNS nur für eingehenden Endpunkt aktivieren**. Wenn Sie zusätzlich zu einem Schnittstellenendpunkt für Amazon S3 keinen Gateway-Endpunkt für Amazon S3 haben und Sie **Privates DNS nur für eingehenden Endpunkt aktivieren** auswählen, erhalten Sie beim Speichern der Änderungen im nächsten Schritt eine Fehlermeldung. Weitere Informationen finden Sie unter [Privates DNS](vpc-endpoints-s3.md#private-dns-s3).
1. Wählen Sie **Änderungen speichern ** aus.
**So ändern Sie die Option für private DNS-Namen mithilfe der Befehlszeile**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Tools für Windows) PowerShell
## Verwalten von Tags
Sie können Ihren Schnittstellenendpunkt markieren, um ihn zu identifizieren oder in Übereinstimmung mit den Anforderungen Ihrer Organisation kategorisieren zu können.
**So verwalten Sie Tags mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie den Schnittstellenendpunkt.
1. Klicken Sie auf **Actions** (Aktionen), **Manage tags** (Markierungen verwalten).
1. Wählen Sie für jede Markierung **Add new tag** (Neue Markierung hinzufügen) und geben Sie den Schlüssel und Wert der Markierung ein.
1. Um eine Markierung zu entfernen, wählen Sie **Remove** (Entfernen) rechts neben dem Schlüssel und dem Wert der Markierung aus.
1. Wählen Sie **Speichern**.
**So verwalten Sie Tags mit der Befehlszeile**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) und [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html)und [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html)(Tools für Windows PowerShell)
# Empfangen von Warnmeldungen für Schnittstellen-Endpunkt-Ereignisse
Sie können eine Benachrichtigung erstellen, um Warnungen für bestimmte Ereignisse im Zusammenhang mit Ihrem Schnittstellenendpunkt zu erhalten. Beispielsweise können Sie eine E-Mail erhalten, wenn eine Verbindungsanfrage akzeptiert oder abgelehnt wird.
**Topics**
+ [Eine SNS-Benachrichtigung erstellen](#create-sns-notification)
+ [Eine Zugriffsrichtlinie hinzufügen](#add-access-policy)
+ [Eine Schlüsselrichtlinie hinzufügen](#add-key-policy)
## Eine SNS-Benachrichtigung erstellen
Gehen Sie folgendermaßen vor, um ein Amazon-SNS-Thema für die Benachrichtigungen zu erstellen und das Thema zu abonnieren.
**So erstellen Sie mithilfe der Konsole eine Benachrichtigung für einen Schnittstellenendpunkt**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie den Schnittstellenendpunkt.
1. Wählen Sie aus der Registerkarte **Notifications** (Benachrichtigungen) die Option **Create notification** (Benachrichtigung erstellen) aus.
1. Wählen Sie für **Notification ARN** den [Amazon-Ressourcennamen](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#ARN) (ARN) für das SNS-Thema, das Sie erstellt haben.
1. Um ein Ereignis zu abonnieren, wählen Sie es aus **Events** (Ereignisse).
+ **Connect** (Verbinden) – Der Service-Verbraucher hat den Schnittstellenendpunkt erstellt. Dadurch wird eine Verbindungsanfrage an den Service-Anbieter gesendet.
+ **Accept** (Akzeptieren) – Der Service-Anbieter hat die Verbindungsanfrage akzeptiert.
+ **Reject** (Ablehnen) – Der Service-Anbieter hat die Verbindungsanfrage abgelehnt.
+ **Delete** (Löschen) – Der Service-Verbraucher hat den Schnittstellenendpunkt gelöscht.
1. Wählen Sie **Benachrichtigung erstellen** aus.
**So erstellen Sie mithilfe der Befehlszeile eine Benachrichtigung für einen Schnittstellenendpunkt**
+ [create-vpc-endpoint-connection-Benachrichtigung](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-connection-notification.html) ()AWS CLI
+ [New-EC2VpcEndpointConnectionNotification](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointConnectionNotification.html)(Tools für Windows PowerShell)
## Eine Zugriffsrichtlinie hinzufügen
Fügen Sie dem Amazon SNS SNS-Thema eine Zugriffsrichtlinie hinzu, die es ermöglicht, Benachrichtigungen in Ihrem Namen AWS PrivateLink zu veröffentlichen, z. B. die folgenden. Weitere Informationen finden Sie unter [Wie bearbeite ich die Zugriffsrichtlinie meines Amazon-SNS-Themas?](https://repost.aws/knowledge-center/sns-edit-topic-access-policy) Verwenden Sie die globalen Konditionsschlüssel `aws:SourceArn` und `aws:SourceAccount` zum Schutz vor dem Problem des [verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111111111111:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/endpoint-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
## Eine Schlüsselrichtlinie hinzufügen
Wenn Sie verschlüsselte SNS-Themen verwenden, muss die Ressourcenrichtlinie für den KMS-Schlüssel darauf vertrauen AWS PrivateLink , AWS KMS API-Operationen aufzurufen. Es folgt eine Beispielschlüsselrichtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111111111111:key/key-id",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint/endpoint-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
# Löschen eines Schnittstellenendpunkts
Wenn Sie einen VPC-Endpunkt nicht mehr benötigen, können Sie ihn löschen. Das Löschen eines Schnittstellenendpunkts löscht auch seine Endpunktnetzwerkschnittstellen.
**So löschen Sie einen Schnittstellen-Endpunkt unter Verwendung der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie den Schnittstellenendpunkt.
1. Wählen Sie **Actions** (Aktionen), **Delete VPC Endpoint** (VPC-Endpunkte löschen).
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein.
1. Wählen Sie **Löschen**.
**So löschen Sie einen Schnittstellen-Endpunkt unter Verwendung der Befehlszeile**
+ [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html) (AWS CLI)
+ [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html)(Tools für Windows PowerShell)
# Gateway-Endpunkte
Gateway-VPC-Endpunkte bieten zuverlässige Konnektivität zu Amazon S3 und DynamoDB, ohne dass ein Internet-Gateway oder ein NAT-Gerät für Ihre VPC erforderlich ist. Gateway-Endpunkte verwenden AWS PrivateLink im Gegensatz zu anderen Arten von VPC-Endpunkten nicht.
Amazon S3 und DynamoDB unterstützen sowohl Gateway-Endpunkte als auch Schnittstellenendpunkte. Einen Vergleich der Optionen finden Sie im Folgenden:
+ [Arten von VPC-Endpunkten für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3)
+ [Arten von VPC-Endpunkten für Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-ddb)
**Preisgestaltung**
Für die Nutzung von Gateway-Endpunkten fallen keine zusätzlichen Gebühren an.
**Topics**
+ [-Übersicht](#gateway-endpoint-overview)
+ [Routing](#gateway-endpoint-routing)
+ [Sicherheit](#gateway-endpoint-security)
+ [IP address type (IP-Adresstyp)](#gateway-endpoint-ip-address-type)
+ [IP-Typ des DNS-Eintrags](#gateway-endpoint-dns-record-ip-type)
+ [Endpunkte für Amazon S3](vpc-endpoints-s3.md)
+ [Endpunkte für DynamoDB](vpc-endpoints-ddb.md)
## -Übersicht
Sie können über ihre öffentlichen Service-Endpunkte oder über Gateway-Endpunkte auf Amazon S3 und DynamoDB zugreifen. In dieser Übersicht werden diese Methoden verglichen.
**Zugriff über ein Internet-Gateway**
Das folgende Diagramm zeigt, wie Instances über ihre Endpunkte des öffentlichen Services auf Amazon S3 und DynamoDB zugreifen. Datenverkehr zu Amazon S3 oder DynamoDB von einer Instance in einem öffentlichen Subnetz wird zum Internet-Gateway für die VPC und dann an den Service geroutet. Instances in einem privaten Subnetz können keinen Datenverkehr an Amazon S3 oder DynamoDB senden, da private Subnetze per Definition keine Routen zu einem Internet-Gateway haben. Damit Instances im privaten Subnetz Datenverkehr an Amazon S3 oder DynamoDB senden können, fügen Sie ein NAT-Gerät zum öffentlichen Subnetz hinzu und leiten den Datenverkehr im privaten Subnetz an das NAT-Gerät weiter. Der Datenverkehr zu Amazon S3 oder DynamoDB durchquert zwar das Internet-Gateway, verlässt aber das Netzwerk nicht. AWS
![\[Der Datenverkehr verlässt Ihre VPC über ein Internet-Gateway, bleibt aber im AWS Netzwerk.\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/without-gateway-endpoints.png)
**Zugriff über einen Gateway-Endpunkt**
Das folgende Diagramm zeigt, wie Instances über einen Gateway-Endpunkt auf Amazon S3 und DynamoDB zugreifen. Datenverkehr von Ihrer VPC zu Amazon S3 oder DynamoDB wird an den Gateway-Endpunkt geleitet. Jede Subnetz-Routing-Tabelle muss über eine Route verfügen, die den für den Service bestimmten Datenverkehr mithilfe der Präfixliste für den Service an den Gateway-Endpunkt sendet. Weitere Informationen finden Sie im Abschnitt zur [AWS-verwalteten Präfixliste](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) im *Amazon-VPC-Benutzerhandbuch*.
![\[Der Datenverkehr von Ihrer VPC wird zum Gateway-Endpunkt weitergeleitet.\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/gateway-endpoints.png)
## Routing
Wenn Sie einen Gateway-Endpunkt erstellen, wählen Sie die VPC-Routing-Tabellen für die Subnetze aus, die Sie aktivieren. Die folgende Route wird automatisch zu jeder Routing-Tabelle hinzugefügt, die Sie auswählen. Das Ziel ist eine Präfixliste für den Dienst, dessen Eigentümer der Dienst ist, AWS und das Ziel ist der Gateway-Endpunkt.
| Bestimmungsort | Target |
| --- | --- |
| prefix\$1list\$1id | gateway\$1endpoint\$1id |
**Überlegungen**
+ Sie können die Endpunktrouten überprüfen, die wir Ihrer Routing-Tabelle hinzufügen, aber Sie können sie nicht ändern oder löschen. Um einer Routing-Tabelle eine Endpunktroute hinzuzufügen, ordnen Sie sie dem Gateway-Endpunkt zu. Wir löschen die Endpunktroute, wenn Sie die Routing-Tabelle vom Gateway-Endpunkt trennen oder wenn Sie den Gateway-Endpunkt löschen.
+ Alle Instances in den Subnetzen, die einer Routing-Tabelle zugeordnet sind, die einem Gateway-Endpunkt zugeordnet ist, verwenden automatisch den Gateway-Endpunkt, um auf den Service zuzugreifen. Instances in Subnetzen, die diesen Routing-Tabellen nicht zugeordnet sind, verwenden den öffentlichen Service-Endpunkt, nicht den Gateway-Endpunkt.
+ Eine Routing-Tabelle kann sowohl eine Endpunktroute zu Amazon S3 als auch eine Endpunktroute zu DynamoDB enthalten. Sie können Endpunktrouten an denselben Service (Amazon S3 oder DynamoDB) in mehreren Routing-Tabellen haben. Sie können nicht mehrere Endpunktrouten zum selben Service (Amazon S3 oder DynamoDB) in einer einzigen Routing-Tabelle haben.
+ Wir verwenden die spezifischste mit dem Datenverkehr übereinstimmende Route, um Datenverkehr weiterzuleiten (Übereinstimmung mit längstem Präfix). Für Routing-Tabellen mit einer Endpunktroute bedeutet dies Folgendes:
+ Wenn es eine Route gibt, die den gesamten Internetdatenverkehr (0.0.0.0/0) an ein Internet-Gateway sendet, hat die Endpunktroute Vorrang für Datenverkehr, der für den Service (Amazon S3 oder DynamoDB) in der aktuellen Region bestimmt ist. Datenverkehr, der für einen anderen bestimmt ist, AWS-Service verwendet das Internet-Gateway.
+ Datenverkehr, der für den Service (Amazon S3 oder DynamoDB) in einer anderen Region bestimmt ist, geht an das Internet-Gateway, da Präfixlisten spezifisch für eine Region sind.
+ Wenn es eine Route gibt, die den genauen IP-Adressbereich für den Service (Amazon S3 oder DynamoDB) in derselben Region angibt, hat diese Route Vorrang vor der Endpunktroute.
## Sicherheit
Wenn Ihre Instances über einen Gateway-Endpunkt auf Amazon S3 oder DynamoDB zugreifen, greifen sie über seinen öffentlichen Endpunkt auf den Service zu. Die Sicherheitsgruppen für diese Instances müssen den Datenverkehr aus dem Load Balancer zulassen. Es folgt ein Beispiel für eine Outbound-Regel. Es verweist auf die ID der [Präfixliste](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) für den Service.
| Ziel | Protocol (Protokoll) | Port-Bereich |
| --- | --- | --- |
| prefix\$1list\$1id | TCP | 443 |
Das Netzwerk ACLs für die Subnetze dieser Instances muss auch den Verkehr zum und vom Dienst zulassen. Es folgt ein Beispiel für eine Outbound-Regel. Sie können in Netzwerk-ACL-Regeln nicht auf Präfixlisten verweisen, aber Sie können die IP-Adresse für den Dienst aus der Präfixliste abrufen.
| Ziel | Protocol (Protokoll) | Port-Bereich |
| --- | --- | --- |
| service\$1cidr\$1block\$11 | TCP | 443 |
| service\$1cidr\$1block\$12 | TCP | 443 |
| service\$1cidr\$1block\$13 | TCP | 443 |
## IP address type (IP-Adresstyp)
Der IP-Adresstyp bestimmt, welche Präfixliste Ihrer Routing-Tabelle zugeordnet ist.
**Anforderungen zur Aktivierung IPv6 für einen Gateway-Endpunkt**
+ Der IP-Adresstyp eines Gateway-Endpunkts muss mit den Subnetzen für den Gateway-Endpunkt kompatibel sein, wie hier beschrieben:
+ **IPv4**— Fügen Sie die IPv4 Präfixliste des Dienstes zu Ihrer Routentabelle hinzu.
+ **IPv6**— Fügen Sie die IPv6 Präfixliste des Dienstes zu Ihrer Routentabelle hinzu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind.
+ **Dualstack** — Fügen Sie die IPv4 Präfixliste des Dienstes zu Ihrer Routing-Tabelle hinzu und fügen Sie die IPv6 Präfixliste des Dienstes zu Ihrer Routing-Tabelle hinzu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 sowohl IPv6 als auch Adressbereiche haben.
## IP-Typ des DNS-Eintrags
Standardmäßig gibt ein Gateway-Endpunkt DNS-Einträge zurück, die auf dem von Ihnen aufgerufenen Dienstendpunkt basieren. Wenn Sie Ihren Gateway-Endpunkt mithilfe des IPv4 Service-Endpunkts erstellen`s3.us-east-2.amazonaws.com`, z. B. gibt Amazon S3 A-Datensätze an Ihre Clients zurück, und alle Subnetze in Ihrer Routing-Tabelle verwenden diese IPv4.
Wenn Sie dagegen Ihren Gateway-Endpunkt mithilfe des Dual-Stack-Serviceendpunkts erstellen, gibt Amazon S3 sowohl A- als `s3.dualstack.us-east-2.amazonaws.com` auch AAAA-Datensätze an Ihre Clients zurück, und die Subnetze in Ihrer Routing-Tabelle verwenden und. IPv4 IPv6
**Anmerkung**
Bei Directory-Buckets oder S3 Express One Zone wären die Gateway-Endpunkte für die Datenebene jeweils und. `s3express-use2-az1.us-east-2.amazonaws.com` `s3express-use2-az1.dualstack.us-east-2.amazonaws.com`
Der IP-Typ des DNS-Eintrags wirkt sich darauf aus, wie der Datenverkehr an Ihre Clients weitergeleitet wird. Wenn Sie mithilfe des IPv4 Service-Endpunkts einen Gateway-Endpunkt erstellen und dann den Dual-Stack-Dienstendpunkt aufrufen, wird Datenverkehr, der AAAA-Datensätze verwendet, nicht über den Gateway-Endpunkt geleitet. Der Datenverkehr wird gelöscht oder über einen IPv6 -kompatiblen Pfad geleitet, falls einer vorhanden ist. Wenn Sie einen vom Dienst definierten IP-Typ für DNS-Einträge verwenden, stellen Sie sicher, dass Ihr Dienst variable Aufrufe von mehreren Dienstendpunkten verarbeiten kann.
Anstelle der standardmäßigen Einstellung für den DNS-Eintrags-IP-Typ von [service-defined](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptionsSpecification.html) können Sie den IP-Typ des DNS-Eintrags anpassen, um auszuwählen, welche Datensätze für einen bestimmten Endpunkt zurückgegeben werden. Die folgende Tabelle zeigt die unterstützten DNS-Eintrags-IP-Typen und die zurückgegebenen Eintragstypen:
| IP-Typ des DNS-Eintrags | Zurückgegebene Datensatztypen |
| --- | --- |
| IPv4 | A |
| IPv6 | AAAA |
| Dualstack | A und AAAA |
| dienstdefiniert | Die Datensätze hängen vom Service-Endpunkt ab |
Um einen IP-Typ für DNS-Einträge auszuwählen, müssen Sie einen kompatiblen IP-Adresstyp für den Endpunktdienst verwenden. Die folgende Tabelle zeigt den unterstützten DNS-Eintrags-IP-Typ für jeden IP-Adresstyp für Gateway-Endpunkte:
| IP-Adresstyp | Unterstützte IP-Typen für DNS-Einträge |
| --- | --- |
| IPv4 | IPv4, dienstdefiniert\$1 |
| IPv6 | IPv6, servicedefiniert\$1 |
| Dualstack | IPv4,, Dualstack, IPv6 servicedefiniert\$1 |
\$1 Stellt den Standard-IP-Typ für DNS-Einträge dar.
**Anmerkung**
Um für Ihren Gateway-Endpunkt andere als die vom Dienst definierten IP-Typen für DNS-Einträge zu verwenden, müssen Sie in Ihren VPC-Einstellungen die entsprechenden `enableDnsHostnames` Attribute zulassen`enableDnsSupport`.
Sie können den IP-Typ des DNS-Eintrags für einen DynamoDB-Gateway-Endpunkt nicht ändern. DynamoDB unterstützt nur den dienstdefinierten IP-Typ des DNS-Eintrags.
Das Verhalten des DNS-Eintrags-IP-Typs ist für Schnittstellenendpunkte unterschiedlich. Weitere Informationen finden Sie unter [IP-Typ des DNS-Eintrags für Schnittstellenendpunkte](privatelink-access-aws-services.md#aws-services-dns-record-ip-type).
# Gateway-Endpunkte für Amazon S3
Sie können über Gateway-VPC-Endpunkte von Ihrer VPC aus auf Amazon S3 zugreifen. Nachdem Sie den Gateway-Endpunkt erstellt haben, können Sie ihn als Ziel in Ihrer Routing-Tabelle für Datenverkehr hinzufügen, der von Ihrer VPC zu Amazon S3 bestimmt ist.
Für die Nutzung von Gateway-Endpunkten fallen keine zusätzlichen Gebühren an.
Amazon S3 unterstützt sowohl Gateway-Endpunkte als auch Schnittstellenendpunkte. Mit einem Gateway-Endpunkt können Sie von Ihrer VPC aus auf Amazon S3 zugreifen, ohne ein Internet-Gateway oder ein NAT-Gerät für Ihre VPC zu benötigen und ohne zusätzliche Kosten. Gateway-Endpunkte erlauben jedoch keinen Zugriff von lokalen Netzwerken, von Peering-Netzwerken VPCs in anderen AWS Regionen oder über ein Transit-Gateway. Für diese Szenarien müssen Sie einen Schnittstellenendpunkt verwenden, der gegen Aufpreis verfügbar ist. Weitere Informationen finden Sie unter [VPC-Endpunkte für Amazon-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3) im *Amazon-S3-Benutzerhandbuch*.
**Topics**
+ [Überlegungen](#gateway-endpoint-considerations-s3)
+ [Privates DNS](#private-dns-s3)
+ [Erstellen eines Gateway-Endpunkts](#create-gateway-endpoint-s3)
+ [Zugriffssteuerung mithilfe von Bucket-Richtlinien](#bucket-policies-s3)
+ [Zuordnen von Routing-Tabellen](#associate-route-tables-s3)
+ [Bearbeiten der VPC-Endpunktrichtlinie](#edit-vpc-endpoint-policy-s3)
+ [Löschen eines Gateway-Endpunkts](#delete-gateway-endpoint-s3)
## Überlegungen
+ Ein Gateway-Endpunkt ist nur in der Region verfügbar, in der Sie ihn erstellt haben. Stellen Sie sicher, dass Sie Ihren Gateway-Endpunkt in derselben Region wie Ihre S3-Buckets erstellen.
+ Wenn Sie die Amazon-DNS-Server verwenden, müssen Sie sowohl [DNS-Hostnamen als auch DNS-Auflösung](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) für Ihre VPC aktivieren. Wenn Sie Ihren eigenen DNS-Server verwenden, stellen Sie sicher, dass Anforderungen an Amazon S3 korrekt in die von AWS verwalteten IP-Adressen erfüllt werden.
+ Die ausgehenden Regeln für die Sicherheitsgruppe für Instances, die über den Gateway-Endpunkt auf Amazon S3 zugreifen, müssen Datenverkehr zu Amazon S3 zulassen. Sie können in den Regeln der Sicherheitsgruppe auf die ID der [Präfixliste](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) für Amazon S3 verweisen.
+ Die Netzwerk-ACL für das Subnetz für Ihre Instances, die über einen Gateway-Endpunkt auf Amazon S3 zugreifen, müssen Datenverkehr zu und von Amazon S3 zulassen. Sie können in Netzwerk-ACL-Regeln nicht auf Präfixlisten verweisen, aber Sie können die IP-Adresse für Amazon S3 aus der [Präfixliste](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) für Amazon S3 abrufen.
+ Prüfen Sie, ob Sie eine verwenden AWS-Service , die Zugriff auf einen S3-Bucket erfordert. Beispielsweise kann ein Dienst Zugriff auf Buckets benötigen, die Protokolldateien enthalten, oder Sie müssen Treiber oder Agenten auf Ihre EC2-Instances herunterladen. Wenn ja, stellen Sie sicher, dass Ihre Endpunktrichtlinie es der AWS-Service OR-Ressource erlaubt, mithilfe der `s3:GetObject` Aktion auf diese Buckets zuzugreifen.
+ Sie können die Bedingung `aws:SourceIp` nicht in einer Identitätsrichtlinie oder einer Bucket-Richtlinie für Anforderungen an Amazon S3 verwenden, die einen VPC-Endpunkt durchlaufen. Verwenden Sie stattdessen die Bedingung `aws:VpcSourceIp`. Alternativ können Sie auch Routing-Tabellen verwenden, um zu steuern, welche EC2-Instanzen über den VPC-Endpunkt auf Amazon S3 zugreifen können.
+ Die Quelle IPv4 oder IPv6 Adressen von Instances in Ihren betroffenen Subnetzen, die von Amazon S3 empfangen wurden, ändern sich von öffentlichen Adressen zu privaten Adressen in Ihrer VPC. Endpunkte wechseln zwischen Netzwerkrouten und trennen offene TCP-Verbindungen. Die vorherigen Verbindungen, für die öffentliche Adressen verwendet wurden, werden nicht wieder aufgenommen. Wir empfehlen, während des Erstellens oder Änderns eines Endpunkts keine wichtigen Aufgaben auszuführen oder zu testen, ob Ihre Software nach der Verbindungstrennung automatisch erneut eine Verbindung zu Amazon S3 herstellt.
+ Endpunktverbindungen können nicht auf einen Bereich außerhalb einer VPC erweitert werden. Ressourcen auf der anderen Seite einer VPN-Verbindung, VPC-Peering-Verbindung, eines Transit-Gateways oder einer Direct Connect Verbindung in Ihrer VPC können keinen Gateway-Endpunkt für die Kommunikation mit Amazon S3 verwenden.
+ Ihr Konto hat ein Standardkontingent von 20 Gateway-Endpunkten pro Region, das anpassbar ist. Pro VPC sind auch höchstens 255 Gateway-Endpunkte zulässig.
## Privates DNS
Sie können privates DNS zur Kostenoptimierung konfigurieren, wenn Sie sowohl einen Gateway-Endpunkt als auch einen Schnittstellenendpunkt für Amazon S3 erstellen.
**Route 53 Resolver**
Amazon stellt einen DNS-Server den [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) für Ihre VPC zur Verfügung. Der Route 53 Resolver löst automatisch lokale VPC-Domainnamen und Datensätze in privaten gehosteten Zonen auf. Sie können den Route 53 Resolver jedoch nicht von außerhalb Ihrer VPC verwenden. Route 53 bietet Resolver-Endpunkte und Resolver-Regeln, so dass Sie den Route 53 Resolver von außerhalb Ihrer VPC nutzen können. Ein *eingehender Resolver-Endpunkt* leitet DNS-Abfragen vom On-Premises Netzwerk an Route 53 Resolver weiter. Ein *ausgehender Resolver-Endpunkt* leitet DNS-Abfragen vom Route 53 Resolver an das On-Premises Netzwerk weiter.
Wenn Sie Ihren Schnittstellenendpunkt für Amazon S3 so konfigurieren, dass nur privates DNS für den eingehenden Resolver-Endpunkt verwendet wird, erstellen wir einen eingehenden Resolver-Endpunkt. Der eingehende Resolver-Endpunkt löst DNS-Abfragen an Amazon S3 von On-Premises-Standorten an die privaten IP-Adressen des Schnittstellenendpunkts. Außerdem fügen wir der öffentlich gehosteten Zone für Amazon S3 ALIAS-Datensätze für den Route 53 Resolver hinzu, so dass DNS-Abfragen von Ihrer VPC an die öffentlichen IP-Adressen von Amazon S3 weitergeleitet werden, die den Datenverkehr zum Gateway-Endpunkt weiterleiten.
**Privates DNS**
Wenn Sie privates DNS für Ihren Schnittstellenendpunkt für Amazon S3 konfigurieren, aber nicht nur privates DNS für den eingehenden Resolver-Endpunkt konfigurieren, verwenden Anfragen sowohl aus Ihrem On-Premises-Netzwerk als auch aus Ihrer VPC den Schnittstellenendpunkt, um auf Amazon S3 zuzugreifen. Daher zahlen Sie für die Verwendung des Schnittstellenendpunkts für den Datenverkehr von der VPC, anstatt den Gateway-Endpunkt ohne zusätzliche Kosten zu verwenden.
![\[Amazon S3 S3-Anforderungsweiterleitung mit beiden Endpunkttypen.\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/s3-private-dns-default.png)
**Privates DNS nur für den eingehenden Resolver-Endpunkt**
Wenn Sie privates DNS nur für den eingehenden Resolver-Endpunkt konfigurieren, verwenden Anfragen aus Ihrem On-Premises-Netzwerk den Schnittstellenendpunkt, um auf Amazon S3 zuzugreifen, und Anfragen aus Ihrer VPC verwenden den Gateway-Endpunkt, um auf Amazon S3 zuzugreifen. Daher optimieren Sie Ihre Kosten, da Sie für die Verwendung des Schnittstellenendpunkts nur für Datenverkehr zahlen, der den Gateway-Endpunkt nicht verwenden kann.
Um dies zu konfigurieren, muss der DNS-Eintrags-IP-Typ des Gateway-Endpunkts mit dem Schnittstellenendpunkt übereinstimmen oder sein`service-defined`. AWS PrivateLink unterstützt keine andere Kombination. Weitere Informationen finden Sie unter [IP-Typ des DNS-Eintrags](gateway-endpoints.md#gateway-endpoint-dns-record-ip-type).
![\[Amazon S3 S3-Anforderungsweiterleitung mit privatem DNS und einem Resolver-Endpunkt für eingehende Anrufe.\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/s3-private-dns-inbound-endpoint.png)
**Privates DNS konfigurieren**
Sie können privates DNS für einen Schnittstellenendpunkt für Amazon S3 konfigurieren, wenn Sie ihn erstellen oder nachdem Sie ihn erstellt haben. Weitere Informationen finden Sie unter [Erstellen eines VPC-Endpunkts](create-interface-endpoint.md#create-interface-endpoint-aws) (während der Erstellung konfigurieren) oder [Aktivieren von privaten DNS-Namen](interface-endpoints.md#enable-private-dns-names) (nach der Erstellung konfigurieren).
## Erstellen eines Gateway-Endpunkts
Gehen Sie wie folgt vor, um einen Gateway-Endpunkt zu erstellen, der eine Verbindung zu Amazon S3 herstellt.
**So erstellen Sie ein Gateway-Endpunkt mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie **Endpunkt erstellen**.
1. Wählen Sie für **Servicekategorie** die Option **AWS-Services** aus.
1. Fügen Sie für **Services** den Filter **Type = Gateway** hinzu.
Wenn Ihre Amazon S3 S3-Daten in Allzweck-Buckets gespeichert sind, wählen Sie **com.amazonaws** aus. *region***.s3**.
Wenn Ihre Amazon S3 S3-Daten in Verzeichnis-Buckets gespeichert sind, wählen Sie **com.amazonaws** aus. *region***.s3express**.
1. Wählen Sie für **VPC** eine VPC, in der der Endpunkt erstellt werden soll.
1. Wählen Sie für **IP address type** (IP-Adressentyp) eine der folgenden Optionen aus:
+ **IPv4**— Weisen Sie den IPv4 Netzwerkschnittstellen der Endpunkte Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 Adressbereiche haben und der Dienst IPv4 Anfragen akzeptiert.
+ **IPv6**— Weist den Endpunkt-Netzwerkschnittstellen IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind und der Dienst Anfragen akzeptiert IPv6 .
+ **Dualstack** — Weisen Sie den IPv4 Endpunkt-Netzwerkschnittstellen sowohl als auch IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl als auch IPv6 Adressbereiche haben IPv4 und der Dienst sowohl Anfragen als auch IPv4 Anfragen akzeptiert. IPv6
1. Wählen Sie für **Route tables** (Routing-Tabellen) die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Wir fügen automatisch eine Route hinzu, die den für den Service bestimmten Datenverkehr auf die Netzwerkschnittstelle des Endpunkts verweist.
1. Wählen Sie für **Policy** (Richtlinie) **Full access** (Vollzugriff), um alle Operationen aller Prinzipale auf allen Ressourcen über den VPC-Endpunkt zuzulassen. Wählen Sie andernfalls **Custom** (Benutzerdefiniert), um eine VPC-Endpunktrichtlinie anzufügen, die die Berechtigungen steuert, die Prinzipale zum Ausführen von Aktionen für Ressourcen über den VPC-Endpunkt haben.
1. (Optional) Sie fügen ein Tag hinzu, indem Sie **neuen Tag hinzufügen** auswählen und den Schlüssel und den Wert für den Tag eingeben.
1. Wählen Sie **Endpunkt erstellen**.
**So erstellen Sie ein Gateway-Endpunkt mithilfe der Befehlszeile**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Tools für Windows PowerShell)
## Zugriffssteuerung mithilfe von Bucket-Richtlinien
Sie können Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Endpunkten VPCs, IP-Adressbereichen und aus zu steuern. AWS-Konten In diesen Beispielen wird davon ausgegangen, dass es auch Richtlinienanweisungen gibt, die den für Ihre Anwendungsfälle erforderlichen Zugriff zulassen.
**Example Beispiel: Beschränken des Zugriffs auf einen bestimmten Endpunkt**
Sie können eine Bucket-Richtlinie mit dem [aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)-Bedingungsschlüssel erstellen, um den Zugriff auf einen bestimmten Endpunkt zu beschränken. Die folgende Richtlinie lehnt Zugriff auf den angegebenen Bucket mit den angegebenen Aktionen ab, es sei denn, der angegebene Gateway-Endpunkt wird verwendet. Beachten Sie, dass diese Richtlinie den Zugriff auf den angegebenen Bucket mit den angegebenen Aktionen über die AWS-Managementkonsole blockiert.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-VPCE",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
"Resource": ["arn:aws:s3:::bucket_name",
"arn:aws:s3:::bucket_name/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
```
**Example Beispiel: Beschränken des Zugriffs auf eine bestimmte VPC**
Mithilfe des Bedingungsschlüssels [aws:SourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) können Sie eine Bucket-Richtlinie erstellen, die VPCs den Zugriff auf bestimmte Bereiche beschränkt. Dies ist hilfreich, wenn Sie mehrere Endpunkte innerhalb derselben VPC konfiguriert haben. Die folgende Richtlinie lehnt Zugriff auf den angegebenen Bucket mit den angegebenen Aktionen ab, es sei denn, die Anforderung stammt von einer angegebenen VPC. Beachten Sie, dass diese Richtlinie den Zugriff auf den angegebenen Bucket mit den angegebenen Aktionen über die AWS-Managementkonsole blockiert.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-VPC",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
"Resource": ["arn:aws:s3:::example_bucket",
"arn:aws:s3:::example_bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-111bbb22"
}
}
}
]
}
```
**Example Beispiel: Beschränken des Zugriffs auf einen bestimmten IP-Adressbereich**
[Mithilfe des Bedingungsschlüssels aws: können Sie eine Richtlinie erstellen, die den Zugriff auf bestimmte IP-Adressbereiche einschränkt. VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) Die folgende Richtlinie verweigert den Zugriff auf den angegebenen Bucket, mit den angegebenen Aktionen, es sei denn, die Anforderung stammt von der angegebenen IP-Adresse. Beachten Sie, dass diese Richtlinie den Zugriff auf den angegebenen Bucket mit den angegebenen Aktionen über die AWS-Managementkonsole blockiert.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-VPC-CIDR",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
"Resource": ["arn:aws:s3:::bucket_name",
"arn:aws:s3:::bucket_name/*"],
"Condition": {
"NotIpAddress": {
"aws:VpcSourceIp": "172.31.0.0/16"
}
}
}
]
}
```
**Example Beispiel: Beschränken Sie den Zugriff auf Buckets in einem bestimmten AWS-Konto**
Sie können eine Richtlinie erstellen, die den Zugriff auf die S3-Buckets in einem bestimmten AWS-Konto einschränkt, indem Sie den Befehlsschlüssel `s3:ResourceAccount` verwenden. Die folgende Richtlinie verweigert den Zugriff auf S3-Buckets mit den angegebenen Aktionen, es sei denn, sie gehören dem angegebenen AWS-Konto an.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-bucket-in-specific-account",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:GetObject", "s3:PutObject", "s3:DeleteObject"],
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringNotEquals": {
"s3:ResourceAccount": "111122223333"
}
}
}
]
}
```
## Zuordnen von Routing-Tabellen
Sie können die Routing-Tabellen ändern, die dem Gateway-Endpunkt zugeordnet sind. Wenn Sie eine Routing-Tabelle zuordnen, fügen wir automatisch eine Route hinzu, die den für den Service bestimmten Datenverkehr auf die Netzwerkschnittstelle des Endpunkts verweist. Wenn Sie die Zuordnung einer Routing-Tabelle aufheben, entfernen wir die Endpunktroute automatisch aus der Routing-Tabelle.
**Zuordnen von Routing-Tabellen mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Erstellen des Gateway-Endpunkts.
1. Wählen Sie **Aktionen** und dann **Verwalte Routing-Tabelle** aus.
1. Aktivieren oder deaktivieren Sie die Auswahl von Routing-Tabellen nach Bedarf.
1. Wählen Sie **Modify route tables** (Ändern von Routing-Tabellen).
**Zuordnen von Routing-Tabellen mithilfe der Befehlszeile**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Tools für Windows PowerShell)
## Bearbeiten der VPC-Endpunktrichtlinie
Sie können die Endpunktrichtlinie für einen Gateway-Endpunkt bearbeiten, der den Zugriff auf Amazon S3 von der VPC über den Endpunkt steuert. Nachdem Sie eine Endpunktrichtlinie aktualisiert haben, kann es einige Minuten dauern, bis die Änderungen wirksam werden. Die Standardrichtlinie lässt Vollzugriff zu. Weitere Informationen finden Sie unter [Endpunktrichtlinien](vpc-endpoints-access.md).
**So ändern Sie die Endpunktrichtlinie mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Erstellen des Gateway-Endpunkts.
1. Wählen Sie **Aktionen**, **Verwalten von Richtlinien**.
1. Wählen Sie **Full Access** (Voller Zugriff), um vollen Zugriff auf den Service zu gewähren, oder wählen Sie **Custom** (Benutzerdefiniert), und fügen Sie eine benutzerdefinierte Richtlinie hinzu.
1. Wählen Sie **Speichern**.
Nachfolgend sind Beispielendpunktrichtlinien für den Zugriff auf Amazon S3 aufgeführt.
**Example Beispiel: Beschränken des Zugriffs auf einen bestimmten Bucket**
Sie können eine Richtlinie erstellen, die den Zugriff auf bestimmte S3-Buckets beschränkt. Dies ist nützlich, wenn Sie andere AWS-Services in Ihrer VPC haben, die S3-Buckets verwenden.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-bucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket_name",
"arn:aws:s3:::bucket_name/*"
]
}
]
}
```
**Example Beispiel: Beschränken des Zugriffs auf eine bestimmte IAM-Rolle**
Sie können eine Richtlinie erstellen, die den Zugriff auf eine bestimmte IAM-Rolle beschränkt. Sie müssen `aws:PrincipalArn` verwenden, um einem Prinzipal Zugriff zu gewähren.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-IAM-role",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
}
}
}
]
}
```
**Example Beispiel: Beschränken des Zugriffs auf Benutzer in einem bestimmten Konto**
Sie können eine Richtlinie erstellen, die den Zugriff auf ein bestimmtes Konto beschränkt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-callers-from-specific-account",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
## Löschen eines Gateway-Endpunkts
Wenn Sie einen Gateway-Endpunkt nicht mehr benötigen, können Sie ihn löschen. Wenn Sie einen Gateway-Endpunkt löschen, entfernen wir die Endpunktroute aus den Subnetz-Routing-Tabellen.
Ein Gateway-Endpunkt kann nicht gelöscht werden, wenn privates DNS aktiviert ist.
**So löschen Sie ein Gateway-Endpunkt mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Erstellen des Gateway-Endpunkts.
1. Wählen Sie **Actions** (Aktionen), **Delete VPC Endpoint** (VPC-Endpunkte löschen).
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein.
1. Wählen Sie **Löschen**.
**So löschen Sie ein Gateway-Endpunkt mithilfe der Befehlszeile**
+ [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html) (AWS CLI)
+ [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html)(Tools für Windows) PowerShell
# Gateway-Endpunkte für Amazon DynamoDB
Sie können über Gateway-VPC-Endpunkte von Ihrer VPC aus auf Amazon DynamoDB zugreifen. Nachdem Sie den Gateway-Endpunkt erstellt haben, können Sie ihn als Ziel in Ihrer Routing-Tabelle für Datenverkehr hinzufügen, der von Ihrer VPC zu DynamoDB bestimmt ist.
Für die Nutzung von Gateway-Endpunkten fallen keine zusätzlichen Gebühren an.
DynamoDB unterstützt sowohl Gateway-Endpunkte als auch Schnittstellenendpunkte. Mit einem Gateway-Endpunkt können Sie von Ihrer VPC aus auf DynamoDB zugreifen, ohne dass ein Internet-Gateway oder ein NAT-Gerät für Ihre VPC erforderlich ist, und ohne zusätzliche Kosten. Gateway-Endpunkte ermöglichen jedoch keinen Zugriff von lokalen Netzwerken, von Peering-Netzwerken VPCs in anderen AWS Regionen oder über ein Transit-Gateway. Für diese Szenarien müssen Sie einen Schnittstellenendpunkt verwenden, der gegen Aufpreis verfügbar ist. Weitere Informationen finden Sie unter [Typen von VPC-Endpunkten für DynamoDB im *Amazon* DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-ddb) Developer Guide.
**Topics**
+ [Überlegungen](#gateway-endpoint-considerations-ddb)
+ [Erstellen eines Gateway-Endpunkts](#create-gateway-endpoint-ddb)
+ [Zugriffssteuerung mit IAM-Richtlinien](#iam-policies-ddb)
+ [Zuordnen von Routing-Tabellen](#associate-route-tables-ddb)
+ [Bearbeiten der VPC-Endpunktrichtlinie](#edit-vpc-endpoint-policy-ddb)
+ [Löschen eines Gateway-Endpunkts](#delete-gateway-endpoint-ddb)
## Überlegungen
+ Ein Gateway-Endpunkt ist nur in der Region verfügbar, in der Sie ihn erstellt haben. Stellen Sie sicher, dass Sie Ihren Gateway-Endpunkt in derselben Region wie Ihre DynamoDB-Tabellen erstellen.
+ Wenn Sie die Amazon-DNS-Server verwenden, müssen Sie sowohl [DNS-Hostnamen als auch DNS-Auflösung](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) für Ihre VPC aktivieren. Wenn Sie Ihren eigenen DNS-Server verwenden, stellen Sie sicher, dass Anforderungen an DynamoDB korrekt in die von AWS verwalteten IP-Adressen erfüllt werden.
+ Die ausgehenden Regeln für die Sicherheitsgruppe für Instances, die über den Gateway-Endpunkt auf DynamoDB zugreifen, müssen Datenverkehr zu DynamoDB zulassen. Sie können in den Regeln der Sicherheitsgruppe auf die ID der [Präfixliste](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) für DynamoDB verweisen.
+ Die Netzwerk-ACL für das Subnetz für Ihre Instances, die über einen Gateway-Endpunkt auf DynamoDB zugreifen, muss Datenverkehr zu und von DynamoDB zulassen. Sie können in Netzwerk-ACL-Regeln nicht auf Präfixlisten verweisen, aber Sie können die IP-Adresse für DynamoDB aus der [Präfixliste](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) für DynamoDB abrufen.
+ Wenn Sie AWS CloudTrail DynamoDB-Operationen protokollieren, enthalten die Protokolldateien die privaten IP-Adressen der EC2-Instances in der Service Consumer-VPC und die ID des Gateway-Endpunkts für alle Anfragen, die über den Endpunkt ausgeführt werden.
+ Gateway-Endpunkte unterstützen nur Datenverkehr. IPv4
+ Die IPv4 Quelladressen von Instances in Ihren betroffenen Subnetzen ändern sich von öffentlichen IPv4 Adressen zu privaten IPv4 Adressen aus Ihrer VPC. Endpunkte wechseln zwischen Netzwerkrouten und trennen offene TCP-Verbindungen. Die vorherigen Verbindungen, für die öffentliche IPv4 Adressen verwendet wurden, werden nicht wieder aufgenommen. Wir empfehlen, während des Erstellens oder Änderns eines Gateway-Endpunkts keine wichtigen Aufgaben auszuführen. Testen Sie alternativ, um sicherzustellen, dass Ihre Software automatisch wieder eine Verbindung zu DynamoDB herstellen kann, wenn eine Verbindung unterbrochen wird.
+ Endpunktverbindungen können nicht auf einen Bereich außerhalb einer VPC erweitert werden. Ressourcen auf der anderen Seite einer VPN-Verbindung, VPC-Peering-Verbindung, eines Transit-Gateways oder einer Direct Connect Verbindung in Ihrer VPC können keinen Gateway-Endpunkt für die Kommunikation mit DynamoDB verwenden.
+ Ihr Konto hat ein Standardkontingent von 20 Gateway-Endpunkten pro Region, das anpassbar ist. Pro VPC sind auch höchstens 255 Gateway-Endpunkte zulässig.
## Erstellen eines Gateway-Endpunkts
Gehen Sie wie folgt vor, um einen Gateway-Endpunkt zu erstellen, der eine Verbindung zu DynamoDB herstellt.
**So erstellen Sie ein Gateway-Endpunkt mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie **Endpunkt erstellen**.
1. Wählen Sie für **Servicekategorie** die Option **AWS-Services** aus.
1. **Fügen Sie für **Services** den Filter **Type =** Gateway hinzu und wählen Sie com.amazonaws aus.** *region***.dynamodb.**
1. Wählen Sie für **VPC** eine VPC, in der der Endpunkt erstellt werden soll.
1. Wählen Sie für **Route tables** (Routing-Tabellen) die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Wir fügen automatisch eine Route hinzu, die den für den Service bestimmten Datenverkehr auf die Netzwerkschnittstelle des Endpunkts verweist.
1. Wählen Sie für **Policy** (Richtlinie) **Full access** (Vollzugriff), um alle Operationen aller Prinzipale auf allen Ressourcen über den VPC-Endpunkt zuzulassen. Wählen Sie andernfalls **Custom** (Benutzerdefiniert), um eine VPC-Endpunktrichtlinie anzufügen, die die Berechtigungen steuert, die Prinzipale zum Ausführen von Aktionen für Ressourcen über den VPC-Endpunkt haben.
1. (Optional) Sie fügen ein Tag hinzu, indem Sie **neuen Tag hinzufügen** auswählen und den Schlüssel und den Wert für den Tag eingeben.
1. Wählen Sie **Endpunkt erstellen**.
**So erstellen Sie ein Gateway-Endpunkt mithilfe der Befehlszeile**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Tools für Windows) PowerShell
## Zugriffssteuerung mit IAM-Richtlinien
Sie können IAM-Richtlinien erstellen, um zu steuern, welche IAM-Prinzipale über einen bestimmten VPC-Endpunkt auf DynamoDB-Tabellen zugreifen können.
**Example Beispiel: Beschränken des Zugriffs auf einen bestimmten Endpunkt**
Sie können eine Richtlinie mit dem [aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)-Bedingungsschlüssel erstellen, um den Zugriff auf einen bestimmten VPC-Endpunkt zu beschränken. Die folgende Richtlinie verweigert den Zugriff auf DynamoDB-Tabellen im Konto, sofern der angegebene VPC-Endpunkt nicht verwendet wird. In diesem Beispiel wird davon ausgegangen, dass es auch eine Richtlinienanweisung gibt, die den für Ihre Anwendungsfälle erforderlichen Zugriff ermöglicht.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-from-specific-endpoint",
"Effect": "Deny",
"Principal": "*",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-1:111111111111:table/*",
"Condition": {
"StringNotEquals" : {
"aws:sourceVpce": "vpce-11aa22bb"
}
}
}
]
}
```
**Example Beispiel: Erlauben des Zugriffs von einer bestimmten IAM-Rolle**
Sie können eine Richtlinie erstellen, die den Zugriff mithilfe einer bestimmten IAM-Rolle zulässt. Die folgende Richtlinie gewährt Zugriff auf die angegebene IAM-Rolle.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-from-specific-IAM-role",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
}
}
}
]
}
```
**Example Beispiel: Ermöglicht den Zugriff von einem bestimmten Konto aus**
Sie können eine Richtlinie erstellen, die den Zugriff nur von einem bestimmten Konto aus zulässt. Die folgende Richtlinie gewährt Benutzern im angegebenen Konto Zugriff.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-from-account",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
## Zuordnen von Routing-Tabellen
Sie können die Routing-Tabellen ändern, die dem Gateway-Endpunkt zugeordnet sind. Wenn Sie eine Routing-Tabelle zuordnen, fügen wir automatisch eine Route hinzu, die den für den Service bestimmten Datenverkehr auf die Netzwerkschnittstelle des Endpunkts verweist. Wenn Sie die Zuordnung einer Routing-Tabelle aufheben, entfernen wir die Endpunktroute automatisch aus der Routing-Tabelle.
**Zuordnen von Routing-Tabellen mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Erstellen des Gateway-Endpunkts.
1. Wählen Sie **Aktionen** und dann **Verwalte Routing-Tabelle** aus.
1. Aktivieren oder deaktivieren Sie die Auswahl von Routing-Tabellen nach Bedarf.
1. Wählen Sie **Modify route tables** (Ändern von Routing-Tabellen).
**Zuordnen von Routing-Tabellen mithilfe der Befehlszeile**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Tools für Windows PowerShell)
## Bearbeiten der VPC-Endpunktrichtlinie
Sie können die Endpunktrichtlinie für einen Gateway-Endpunkt bearbeiten, der den Zugriff auf DynamoDB von der VPC über den Endpunkt steuert. Nachdem Sie eine Endpunktrichtlinie aktualisiert haben, kann es einige Minuten dauern, bis die Änderungen wirksam werden. Die Standardrichtlinie lässt Vollzugriff zu. Weitere Informationen finden Sie unter [Endpunktrichtlinien](vpc-endpoints-access.md).
**So ändern Sie die Endpunktrichtlinie mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Erstellen des Gateway-Endpunkts.
1. Wählen Sie **Aktionen**, **Verwalten von Richtlinien**.
1. Wählen Sie **Full Access** (Voller Zugriff), um vollen Zugriff auf den Service zu gewähren, oder wählen Sie **Custom** (Benutzerdefiniert), und fügen Sie eine benutzerdefinierte Richtlinie hinzu.
1. Wählen Sie **Speichern**.
**So ändern Sie ein Gateway-Endpunkt mithilfe der Befehlszeile**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Tools für Windows PowerShell)
Nachfolgend sind Beispielendpunktrichtlinien für den Zugriff auf DynamoDB aufgeführt.
**Example Beispiel: Schreibgeschützten Zugriff zulassen**
Sie können eine Richtlinie erstellen, die den Zugriff auf den schreibgeschützten Zugriff beschränkt. Die folgende Richtlinie erteilt die Berechtigung zum Auflisten und Beschreiben von DynamoDB-Tabellen.
```
{
"Statement": [
{
"Sid": "ReadOnlyAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"dynamodb:DescribeTable",
"dynamodb:ListTables"
],
"Resource": "*"
}
]
}
```
**Example Beispiel: Beschränken des Zugriffs auf eine bestimmte Tabelle**
Sie können eine Richtlinie erstellen, die den Zugriff auf eine bestimmte DynamoDB-Tabelle beschränkt. Die folgende Richtlinie gewährt den Zugriff auf die angegebene DynamoDB-Tabelle.
```
{
"Statement": [
{
"Sid": "Allow-access-to-specific-table",
"Effect": "Allow",
"Principal": "*",
"Action": [
"dynamodb:Batch*",
"dynamodb:Delete*",
"dynamodb:DescribeTable",
"dynamodb:GetItem",
"dynamodb:PutItem",
"dynamodb:Update*"
],
"Resource": "arn:aws:dynamodb:region:123456789012:table/table_name"
}
]
}
```
## Löschen eines Gateway-Endpunkts
Wenn Sie einen Gateway-Endpunkt nicht mehr benötigen, können Sie ihn löschen. Wenn Sie einen Gateway-Endpunkt löschen, entfernen wir die Endpunktroute aus den Subnetz-Routing-Tabellen.
**So löschen Sie ein Gateway-Endpunkt mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Erstellen des Gateway-Endpunkts.
1. Wählen Sie **Actions** (Aktionen), **Delete VPC Endpoint** (VPC-Endpunkte löschen).
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein.
1. Wählen Sie **Löschen**.
**So löschen Sie ein Gateway-Endpunkt mithilfe der Befehlszeile**
+ [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html) (AWS CLI)
+ [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html)(Tools für Windows PowerShell)