Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Teilen Sie Ihre Dienste über AWS PrivateLink
Sie können Ihren eigenen Dienst AWS PrivateLink , einen sogenannten *Endpunktdienst*, hosten und ihn mit anderen AWS Kunden teilen.
**Topics**
+ [
## -Übersicht
](#endpoint-service-overview)
+ [
## DNS-Hostnamen
](#endpoint-service-dns-hostnames)
+ [
## Privates DNS
](#endpoint-service-private-dns)
+ [
## Subnetze und Availability Zones
](#endpoint-service-subnets-zones)
+ [
## Regionsübergreifender Zugriff
](#endpoint-service-cross-region)
+ [
## IP-Adresstypen
](#endpoint-service-ip-address-type)
+ [Erstellen eines Endpunkt-Service](create-endpoint-service.md)
+ [
# Konfigurieren eines Endpunkt-Service
](configure-endpoint-service.md)
+ [DNS-Namen verwalten](manage-dns-names.md)
+ [
# Empfangen von Warnmeldungen für Endpunkt-Serviceereignisse
](create-notification-endpoint-service.md)
+ [
# Löschen eines Endpunktservice
](delete-endpoint-service.md)
## -Übersicht
Das folgende Diagramm zeigt, wie Sie Ihren gehosteten Dienst AWS mit anderen AWS Kunden teilen und wie diese Kunden eine Verbindung zu Ihrem Dienst herstellen. Als Service-Anbieter erstellen Sie in Ihrer VPC einen Network Load Balancer als Service-Frontend. Anschließend wählen Sie diesen Load Balancer aus, wenn Sie die VPC-Endpunkt-Servicekonfiguration erstellen. Sie erteilen bestimmten AWS -Prinzipalen eine Berechtigung, damit diese eine Verbindung mit Ihrem Service herstellen können. Als Service-Verbraucher erstellt der Kunde einen Schnittstellen-VPC-Endpunkt, der Verbindungen zwischen den Subnetzen, die er aus seiner VPC auswählt, und Ihrem Endpunktservice herstellt. Der Load Balancer empfängt Anforderungen vom Service-Verbraucher und leitet sie an die Ziele weiter, die Ihren Service hosten.
![\[Servicenutzer stellen eine Verbindung zu Endpunktdiensten her, die von Dienstanbietern gehostet werden.\]](http://docs.aws.amazon.com/de_de/vpc/latest/privatelink/images/endpoint-services.png)
Für niedrige Latenz und Hochverfügbarkeit empfehlen wir, dass Sie Ihren Service in mindestens zwei Availability Zones zur Verfügung stellen.
## DNS-Hostnamen
Wenn ein Dienstanbieter einen VPC-Endpunktdienst erstellt, AWS generiert er einen endpunktspezifischen DNS-Hostnamen für den Dienst. Diese Namen haben die folgende Syntax:
```
endpoint_service_id.region.vpce.amazonaws.com
```
Das folgende Beispiel zeigt einen DNS-Hostnamen für einen VPC-Endpunkt-Service in der Region us-east-2:
```
vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com
```
Wenn ein Service-Verbraucher einen VPC-Schnittstellen-Endpunkt erstellt, erstellen wir regionale und zonale DNS-Namen, die der Service-Verbraucher für die Kommunikation mit dem Endpunkt-Service verwenden kann. Regionale Namen haben die folgende Syntax:
```
endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com
```
Zonale Namen haben die folgende Syntax:
```
endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com
```
## Privates DNS
Ein Service-Anbieter kann seinem Endpunkt-Service auch einen privaten DNS-Namen zuordnen, sodass Service-Verbraucher weiterhin mit ihrem vorhandenen DNS-Namen auf den Service zugreifen können. Wenn ein Service-Anbieter einen privaten DNS-Namen mit einem Endpunkt-Service verknüpft, können Service-Nutzer private DNS-Namen für den Schnittstellenendpunkt aktivieren. Wenn ein Service-Anbieter kein privates DNS aktiviert, müssen die Service-Nutzer möglicherweise die Anwendungen aktualisieren, um den öffentlichen DNS-Namen für den VPC-Endpunkt-Service zu verwenden. Weitere Informationen finden Sie unter [DNS-Namen verwalten](manage-dns-names.md).
## Subnetze und Availability Zones
Ihr Endpunktdienst ist in den Availability Zones verfügbar, die Sie für Ihren Network Load Balancer aktivieren. Für hohe Verfügbarkeit und Ausfallsicherheit empfehlen wir, dass Sie Ihren Load Balancer in mindestens zwei Availability Zones aktivieren, EC2-Instances in jeder aktivierten Zone bereitstellen und diese Instances bei Ihrer Load Balancer-Zielgruppe registrieren.
Sie können den zonenübergreifenden Load Balancing als Alternative zum Hosten Ihres Endpunktdienstes in mehreren Availability Zones aktivieren. Verbraucher verlieren jedoch den Zugriff auf den Endpunktdienst von beiden Zonen aus, wenn die Zone, in der der Endpunktdienst gehostet wird, ausfällt. Beachten Sie auch, dass beim Aktivieren des zonenübergreifenden Lastenausgleichs für einen Network Load Balancer EC2-Datenübertragungsgebühren anfallen.
Der Verbraucher kann VPC-Schnittstellen-Endpunkte in den Availability Zones erstellen, in denen Ihr Endpunktservice verfügbar ist. Wir erstellen in jedem Subnetz, das der Verbraucher für den VPC-Endpunkt konfiguriert, eine Endpunkt-Netzwerkschnittstelle. Wir weisen jeder Endpunkt-Netzwerkschnittstelle aus ihrem Subnetz IP-Adressen zu, basierend auf dem IP-Adresstyp des VPC-Endpunkts. Wenn eine Anfrage den regionalen Endpunkt für den VPC-Endpunktdienst verwendet, wählen wir eine fehlerfreie Endpunkt-Netzwerkschnittstelle aus und verwenden den Round-Robin-Algorithmus, um zwischen den Netzwerkschnittstellen in verschiedenen Availability Zones zu wechseln. Anschließend leiten wir den Datenverkehr an die IP-Adresse der ausgewählten Endpunkt-Netzwerkschnittstelle weiter.
Der Verbraucher kann die zonalen Endpunkte für den VPC-Endpunkt verwenden, wenn es für seinen Anwendungsfall besser ist, den Verkehr in derselben Availability Zone zu halten.
## Regionsübergreifender Zugriff
Ein Dienstanbieter kann einen Dienst in einer Region hosten und ihn in einer Reihe unterstützter Regionen verfügbar machen. Ein Servicenutzer wählt bei der Erstellung eines Endpunkts eine Dienstregion aus.
**Berechtigungen**
+ Standardmäßig sind IAM-Entitäten nicht berechtigt, einen Endpunktdienst in mehreren Regionen verfügbar zu machen oder regionsübergreifend auf einen Endpunktdienst zuzugreifen. Um die für den regionsübergreifenden Zugriff erforderlichen Berechtigungen zu gewähren, kann ein IAM-Administrator IAM-Richtlinien erstellen, die diese Aktion nur mit Berechtigungen zulassen. `vpce:AllowMultiRegion`
+ Verwenden Sie den Bedingungsschlüssel, um die Regionen zu steuern, die eine IAM-Entität bei der Erstellung eines Endpunktdienstes als unterstützte Region angeben kann. `ec2:VpceSupportedRegion`
+ Verwenden Sie den `ec2:VpceServiceRegion` Bedingungsschlüssel, um die Regionen zu steuern, die eine IAM-Entität beim Erstellen eines VPC-Endpunkts als Dienstregion angeben kann.
**Überlegungen**
+ Ein Dienstanbieter muss sich für eine Opt-in-Region entscheiden, bevor er sie als unterstützte Region für einen Endpunktservice hinzufügen kann.
+ Ihr Endpunktdienst muss von seiner Hostregion aus zugänglich sein. Sie können die Hostregion nicht aus der Gruppe der unterstützten Regionen entfernen. Aus Redundanzgründen können Sie Ihren Endpunktdienst in mehreren Regionen bereitstellen und den regionsübergreifenden Zugriff für jeden Endpunktdienst aktivieren.
+ Ein Servicenutzer muss sich für eine Opt-in-Region entscheiden, bevor er sie als Service-Region für einen Endpunkt auswählen kann. Wann immer möglich, empfehlen wir, dass Servicenutzer über regionsinterne Konnektivität statt über regionsübergreifende Konnektivität auf einen Dienst zugreifen. Die Konnektivität innerhalb der Region sorgt für eine geringere Latenz und geringere Kosten.
+ Wenn ein Dienstanbieter eine Region aus der Gruppe der unterstützten Regionen entfernt, können Servicekunden diese Region nicht als Dienstregion auswählen, wenn sie neue Endpunkte erstellen. Beachten Sie, dass dies den Zugriff auf den Endpunktdienst von bestehenden Endpunkten aus, die diese Region als Dienstregion verwenden, nicht beeinträchtigt.
+ Für eine hohe Verfügbarkeit müssen Anbieter mindestens zwei Availability Zones verwenden. Für den regionsübergreifenden Zugriff ist es nicht erforderlich, dass Anbieter und Verbraucher dieselben Availability Zones verwenden.
+ Der regionsübergreifende Zugriff wird für die folgenden Availability Zones nicht unterstützt:`use1-az3`,`usw1-az2`, `apne1-az3``apne2-az2`, und. `apne2-az4`
+ AWS PrivateLink Verwaltet mit regionsübergreifendem Zugriff den Failover zwischen Availability Zones. Es verwaltet kein regionsübergreifendes Failover.
+ Der regionsübergreifende Zugriff wird für Network Load Balancer nicht unterstützt, wenn für das TCP-Leerlauf-Timeout ein benutzerdefinierter Wert konfiguriert ist.
+ Regionsübergreifender Zugriff wird bei UDP-Fragmentierung nicht unterstützt.
+ Der regionsübergreifende Zugriff wird nur für Dienste unterstützt, die Sie gemeinsam nutzen. AWS PrivateLink
## IP-Adresstypen
Dienstanbieter können ihre Dienstendpunkte Servicenutzern über, oder beides IPv4 IPv6 IPv4 , zur Verfügung stellen IPv6, auch wenn ihre Backend-Server nur Support bieten. IPv4 Wenn Sie die Dual-Stack-Unterstützung aktivieren, können bestehende Kunden weiterhin auf Ihren Service zugreifen IPv4 , und neue Kunden können sich dafür entscheiden, Ihren Service IPv6 zu nutzen.
Wenn eine Schnittstelle, die der VPC-Endpunkt unterstützt IPv4, haben die Endpunkt-Netzwerkschnittstellen IPv4 Adressen. Wenn eine Schnittstelle, die der VPC-Endpunkt unterstützt IPv6, haben die Endpunkt-Netzwerkschnittstellen IPv6 Adressen. Die IPv6 Adresse für eine Endpunkt-Netzwerkschnittstelle ist vom Internet aus nicht erreichbar. Wenn Sie eine Endpunkt-Netzwerkschnittstelle mit einer IPv6 Adresse beschreiben, beachten Sie, dass diese aktiviert `denyAllIgwTraffic` ist.
**Voraussetzungen IPv6 für die Aktivierung eines Endpunktdienstes**
+ Die VPC und die Subnetze für den Endpunktdienst müssen zugeordnete IPv6 CIDR-Blöcke haben.
+ Alle Network Load Balancer für den Endpunkt-Service müssen den Dualstack-IP-Adresstyp verwenden. Die Ziele müssen keinen Datenverkehr unterstützen. IPv6 Wenn der Dienst Quell-IP-Adressen aus dem Header der Version 2 des Proxyprotokolls verarbeitet, muss er IPv6 Adressen verarbeiten.
**Voraussetzungen für die Aktivierung IPv6 für einen Schnittstellenendpunkt**
+ Der Endpunktdienst muss IPv6 Anfragen unterstützen.
+ Der IP-Adresstyp eines Schnittstellenendpunkts muss mit den Subnetzen für den Schnittstellenendpunkt kompatibel sein, wie hier beschrieben:
+ **IPv4**— Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv4 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 Adressbereiche haben.
+ **IPv6**— Weisen Sie Ihren Endpunkt-Netzwerkschnittstellen IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind.
+ **Dualstack** — Weisen Sie Ihren IPv4 Endpunkt-Netzwerkschnittstellen sowohl IPv6 Adressen als auch Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 sowohl IPv6 als auch Adressbereiche haben.
**IP-Adresstyp des DNS-Eintrags für einen Schnittstellenendpunkt**
Der IP-Adresstyp des DNS-Eintrags, den ein Schnittstellenendpunkt unterstützt, bestimmt die von uns erstellten DNS-Einträge. Der IP-Adresstyp des DNS-Eintrags eines Schnittstellenendpunkts muss mit dem IP-Adresstypen für den Schnittstellenendpunkt kompatibel sein, wie hier beschrieben:
+ **IPv4**— Erstellen Sie A-Einträge für die privaten, regionalen und zonalen DNS-Namen. Der IP-Adresstyp muss **IPv4**oder **Dualstack** sein.
+ **IPv6**— Erstellen Sie AAAA-Einträge für die privaten, regionalen und zonalen DNS-Namen. **Der IP-Adresstyp muss **IPv6**oder Dualstack sein.**
+ **Dualstack** – Erstellen Sie A- und AAAA-Datensätze für die privaten, regionalen und zonalen DNS-Namen. Der IP-Adresstyp muss **Dualstack** sein.
# Erstellen Sie einen Dienst, der unterstützt wird von AWS PrivateLink
Sie können Ihren eigenen Dienst erstellen AWS PrivateLink, der als *Endpunktdienst* bezeichnet wird. Sie sind der Service-Anbieter, und die AWS -Prinzipale, die Verbindungen zu Ihrem Service einrichten, sind die Service-Verbraucher.
Endpunkt-Services erfordern entweder einen Network Load Balancer oder einen Gateway Load Balancer. Der Load Balancer erhält Anfragen von Service-Verbrauchern und leitet sie an Ihren Service weiter. In diesem Fall erstellen Sie einen Endpunkt-Service mit einem Network Load Balancer. Weitere Informationen zum Erstellen eines Endpunktservice mit einem Gateway Load Balancer finden Sie unter [Zugriff auf virtuelle Appliances](vpce-gateway-load-balancer.md).
**Topics**
+ [
## Überlegungen
](#considerations-endpoint-services)
+ [
## Voraussetzungen
](#prerequisites-endpoint-services)
+ [
## Erstellen eines Endpunktservice
](#create-endpoint-service-nlb)
+ [
## Bereitstellen des Endpunkt-Service für Service-Verbraucher
](#share-endpoint-service)
+ [
## Herstellen einer Verbindung mit einem Endpunkt-Service als Service-Verbraucher
](#connect-to-endpoint-service)
## Überlegungen
+ Ein Endpunktservice ist in der Region verfügbar, in der Sie ihn erstellt haben. Verbraucher können von anderen Regionen aus auf Ihren Service zugreifen, wenn Sie den [regionsübergreifenden Zugriff](privatelink-share-your-services.md#endpoint-service-cross-region) aktivieren oder wenn sie VPC-Peering oder ein Transit-Gateway verwenden.
+ Wenn Service-Verbraucher Informationen zu einem Endpunkt-Service abrufen, können sie nur die Availability Zones sehen, die sie mit dem Service-Anbieter gemeinsam haben. Wenn sich der Service-Anbieter und der Service-Verbraucher in verschiedenen Konten befinden, kann ein Name der Availability Zone, z. B. `us-east-1a`, in jedem AWS-Konto einer anderen physischen Verfügbarkeitszone zugeordnet werden. Sie können AZ verwenden, IDs um die Availability Zones für Ihren Service konsistent zu identifizieren. Weitere Informationen finden Sie unter [AZ IDs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#az-ids) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ Wenn Service-Verbraucher Datenverkehr über einen Schnittstellenendpunkt an einen Service senden, sind die der Anwendung bereitgestellten Quell-IP-Adressen die privaten IP-Adressen der Load-Balancer-Knoten, nicht die IP-Adressen der Service-Verbraucher. Wenn Sie das Proxy-Protokoll auf dem Load Balancer aktivieren, können Sie die Adressen der Service-Verbraucher und der Schnittstellen-Endpunkte IDs aus dem Proxy-Protokoll-Header abrufen. Weitere Informationen finden Sie unter [Proxy-Protokoll](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol) im *Benutzerhandbuch für Network Load Balancers*.
+ Ein Network Load Balancer kann einem einzelnen Endpunktdienst zugeordnet werden, ein Endpunktdienst kann jedoch mehreren Network Load Balancern zugeordnet werden.
+ Wenn ein Endpunktservice mehreren Network Load Balancern zugeordnet ist, ist jede Endpunkt-Netzwerkschnittstelle einem Load Balancer zugeordnet. Wenn die erste Verbindung von einer Endpunkt-Netzwerkschnittstelle aus initiiert wird, wählen wir nach dem Zufallsprinzip einen der Network Load Balancer in derselben Availability Zone wie die Endpunkt-Netzwerkschnittstelle aus. Alle nachfolgenden Verbindungsanfragen von dieser Endpunkt-Netzwerkschnittstelle verwenden den ausgewählten Load Balancer. Wir empfehlen, für einen Endpunktservice dieselbe Listener- und Zielgruppenkonfiguration für alle Load Balancer zu verwenden, damit Verbraucher den Endpunktservice unabhängig von der Wahl des Load Balancers erfolgreich nutzen können.
+ Es gibt Kontingente für Ihre AWS PrivateLink Ressourcen. Weitere Informationen finden Sie unter [AWS PrivateLink Kontingente](vpc-limits-endpoints.md).
## Voraussetzungen
+ Erstellen Sie eine VPC für Ihren Endpunktservice mit mindestens einem Subnetz in jeder Availability Zone, in der der Service verfügbar sein soll.
+ Damit Servicekonsumenten IPv6 VPC-Schnittstellen-Endpunkte für Ihren Endpunktdienst erstellen können, müssen der VPC und den Subnetzen zugeordnete CIDR-Blöcke vorhanden sein. IPv6
+ Erstellen eines Network Load Balancers in Ihrer VPC. Wählen Sie pro Availability Zone ein Subnetz aus, in dem der Service für Service-Verbraucher verfügbar sein soll. Für niedrige Latenz und Fehlertoleranz empfehlen wir, dass Sie Ihren Service in mindestens zwei Availability Zones der Region zur Verfügung stellen.
+ Wenn Ihr Network Load Balancer über eine Sicherheitsgruppe verfügt, muss er eingehenden Datenverkehr von den IP-Adressen der Clients zulassen. Alternativ können Sie die Auswertung der Regeln für eingehende Sicherheitsgruppen für den durchgehenden Datenverkehr deaktivieren. AWS PrivateLink Weitere Informationen finden Sie unter [Sicherheitsgruppen](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html) im *Benutzerhandbuch für Network Load Balancers*.
+ Damit Ihr Endpunktdienst IPv6 Anfragen annehmen kann, müssen seine Network Load Balancer den Dualstack-IP-Adresstyp verwenden. Die Ziele müssen keinen Datenverkehr unterstützen. IPv6 Weitere Informationen finden Sie unter [IP-Adresstyp](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) im *Benutzerhandbuch für Network Load Balancer*.
Wenn Sie Quell-IP-Adressen aus dem Header der Version 2 des Proxyprotokolls verarbeiten, stellen Sie sicher, dass Sie IPv6 Adressen verarbeiten können.
+ Starten Sie Instances in jeder Availability Zone, in der der Service verfügbar sein soll, und registrieren Sie sie bei einer Load-Balancer-Zielgruppe. Wenn Sie Instances nicht in allen aktivierten Availability Zones starten, können Sie den zonenübergreifenden Lastenausgleich aktivieren, um Service-Verbraucher zu unterstützen, die zonale DNS-Hostnamen für den Zugriff auf den Service verwenden. Gebühren für regionale Datenübertragungen fallen an, wenn Sie den zonenübergreifenden Lastausgleich aktivieren. Weitere Informationen finden Sie unter [Zonenübergreifendes Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing) im *Benutzerhandbuch für Network Load Balancers*.
## Erstellen eines Endpunktservice
Verwenden Sie das folgende Verfahren, um einen Endpunkt-Service mit einem Network Load Balancer zu erstellen.
**So erstellen Sie einen Endpunktservice unter Verwendung der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie **Create Endpoint Service** (Endpunkt-Service erstellen) aus.
1. Wählen Sie für **Load balancer type** (Load-Balancer-Typ) die Option **Network** (Netzwerk) aus.
1. Wählen Sie für **Available load balancers (verfügbare Load Balancer)** die Network Load Balancer aus, die dem Endpunktservice zugeordnet werden sollen. **Informationen zu den Availability Zones, die für den ausgewählten Load Balancer aktiviert sind, finden Sie unter **Details der ausgewählten Load Balancer**, Inbegriffene Availability Zones.** Ihr Endpunktdienst wird in diesen Availability Zones verfügbar sein.
1. (Optional) Um Ihren Endpunktdienst in anderen Regionen als der Region, in der er gehostet wird, verfügbar zu machen, wählen Sie die Regionen unter **Serviceregionen** aus. Weitere Informationen finden Sie unter [Regionsübergreifender Zugriff](privatelink-share-your-services.md#endpoint-service-cross-region).
1. Wählen Sie für **Require acceptance for endpoint** (Akzeptanz für Endpunkt erforderlich) **Acceptance required** (Akzeptanz erforderlich), um zu verlangen, dass Verbindungsanforderungen an Ihren Endpunkt-Service manuell akzeptiert werden. Andernfalls werden diese Anfragen automatisch akzeptiert.
1. Wählen Sie für **Enable private DNS** (Privates DNS aktivieren) **Associate a private DNS name with the service** (Zuordnen eines privaten DNS-Namens zum Service), um einen privaten DNS-Namen zuzuordnen, den Service-Verbraucher für den Zugriff auf Ihren Service verwenden können, und geben Sie dann den privaten DNS-Namen ein. Andernfalls können Servicenutzer den endpunktspezifischen DNS-Namen verwenden, der von bereitgestellt wird. AWS Bevor Service-Verbraucher den privaten DNS-Namen verwenden können, muss der Service-Anbieter überprüfen, ob er Eigentümer der Domain ist. Weitere Informationen finden Sie unter [DNS-Namen verwalten](manage-dns-names.md).
1. Führen Sie für **Supported IP address types** (Unterstützte IP-Adresstyp) einen der folgenden Schritte aus:
+ Wählen Sie **IPv4**— Aktivieren Sie den Endpunktdienst für die Annahme IPv4 von Anfragen.
+ Wählen **IPv6**— Ermöglichen Sie dem Endpunktdienst die Annahme von IPv6 Anfragen.
+ Wählen Sie **IPv4**und **IPv6**— Aktivieren Sie den Endpunktdienst so, dass er IPv4 sowohl als auch IPv6 Anfragen akzeptiert.
1. (Optional) Sie fügen ein Tag hinzu, indem Sie **Add new tag (neuen Tag hinzufügen)** auswählen und den Schlüssel und den Wert für den Tag eingeben.
1. Wählen Sie **Erstellen** aus.
**So erstellen Sie einen Endpunktservice unter Verwendung der Befehlszeile**
+ [create-vpc-endpoint-service-Konfiguration](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [New-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html)(Tools für Windows PowerShell)
## Bereitstellen des Endpunkt-Service für Service-Verbraucher
AWS Principals können sich privat mit Ihrem Endpunktdienst verbinden, indem sie einen VPC-Schnittstellen-Endpunkt erstellen. Service-Anbieter müssen Folgendes tun, um ihre Services den Service-Verbrauchern zur Verfügung zu stellen.
+ Fügen Sie Berechtigungen hinzu, die es jedem Service-Verbraucher ermöglichen, eine Verbindung mit Ihrem Endpunkt-Service herzustellen. Weitere Informationen finden Sie unter [Verwalten von Berechtigungen](configure-endpoint-service.md#add-remove-permissions).
+ Geben Sie dem Service-Verbraucher den Namen Ihres Service und der unterstützten Availability Zonen, damit er einen Schnittstellenendpunkt erstellen kann, um eine Verbindung mit dem Service herzustellen. Weitere Informationen finden Sie unter [Herstellen einer Verbindung mit einem Endpunkt-Service als Service-Verbraucher](#connect-to-endpoint-service).
+ Akzeptieren Sie die Endpunktverbindungsanforderung vom Service-Verbraucher. Weitere Informationen finden Sie unter [Annehmen oder Ablehnen von Verbindungsanforderungen](configure-endpoint-service.md#accept-reject-connection-requests).
## Herstellen einer Verbindung mit einem Endpunkt-Service als Service-Verbraucher
Ein Service-Verbraucher verwendet das folgende Verfahren, um einen Schnittstellenendpunkt zu erstellen, um eine Verbindung mit dem Endpunkt-Service herzustellen.
**So erstellen Sie einen Schnittstellenendpunkt mit der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. Wählen Sie **Endpunkt erstellen** aus.
1. Wählen Sie als **Typ** die Option **Endpunktdienste aus, die und verwenden NLBs **. GWLBs
1. Geben Sie **unter Dienstname** den Namen des Dienstes ein (z. B.`com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc`), und wählen Sie dann **Dienst verifizieren** aus.
1. (Optional) Um eine Verbindung zu einem Endpunktdienst herzustellen, der in einer anderen Region als der Endpunktregion verfügbar ist, wählen Sie **Service-Region**, **Regionsübergreifenden Endpunkt aktivieren** und dann die Region aus. Weitere Informationen finden Sie unter [Regionsübergreifender Zugriff](privatelink-share-your-services.md#endpoint-service-cross-region).
1. Wählen Sie für **VPC** die VPC aus, von der aus Sie auf den Endpoint Service zugreifen.
1. Wählen Sie für **Subnetze** die Subnetze aus, in denen Endpunkt-Netzwerkschnittstellen erstellt werden sollen.
1. Wählen Sie für **IP address type** (IP-Adressentyp) eine der folgenden Optionen aus:
+ **IPv4**— Weisen Sie den Endpunkt-Netzwerkschnittstellen IPv4 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 Adressbereiche haben und der Endpunktdienst IPv4 Anfragen akzeptiert.
+ **IPv6**— Weist den Endpunkt-Netzwerkschnittstellen IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv6 nur Subnetze sind und der Endpunktdienst Anfragen akzeptiert IPv6 .
+ **Dualstack** — Weisen Sie den IPv4 Endpunkt-Netzwerkschnittstellen sowohl als auch IPv6 Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl als auch IPv6 Adressbereiche haben IPv4 und der Endpunktdienst sowohl Anfragen als auch IPv4 akzeptiert. IPv6
1. Wählen Sie für **DNS record IP type** (IP-Typ des DNS-Eintrags) eine der folgenden Optionen aus:
+ **IPv4**— Erstellen Sie A-Einträge für die privaten, regionalen und zonalen DNS-Namen. Der IP-Adresstyp muss **IPv4**oder **Dualstack** sein.
+ **IPv6**— Erstellen Sie AAAA-Einträge für die privaten, regionalen und zonalen DNS-Namen. **Der IP-Adresstyp muss **IPv6**oder Dualstack sein.**
+ **Dualstack** – Erstellen Sie A- und AAAA-Datensätze für die privaten, regionalen und zonalen DNS-Namen. Der IP-Adresstyp muss **Dualstack** sein.
+ **Service defined** (Service definiert) – Erstellen Sie A-Datensätze für die privaten, regionalen und zonalen DNS-Namen und AAAA-Einträge für die regionalen und zonalen DNS-Namen. Der IP-Adresstyp muss **Dualstack** sein.
1. Für **Sicherheitsgruppe** wählen Sie die Sicherheitsgruppen aus, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
1. Wählen Sie **Endpunkt erstellen**.
**So erstellen Sie einen Schnittstellenendpunkt mithilfe der Befehlszeile**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Tools für Windows) PowerShell
# Konfigurieren eines Endpunkt-Service
Nachdem Sie einen Endpunktservice erstellt haben, können Sie dessen Konfiguration aktualisieren.
**Topics**
+ [
## Verwalten von Berechtigungen
](#add-remove-permissions)
+ [
## Annehmen oder Ablehnen von Verbindungsanforderungen
](#accept-reject-connection-requests)
+ [
## Load Balancer verwalten
](#associate-load-balancer)
+ [
## Zuordnen eines privaten DNS-Namens
](#associate-private-dns-name)
+ [
## Ändern Sie die unterstützten Regionen
](#manage-supported-regions)
+ [
## Ändern der unterstützten IP-Adresstypen
](#supported-ip-address-types)
+ [
## Verwalten von Tags
](#add-remove-endpoint-service-tags)
## Verwalten von Berechtigungen
Mithilfe der Kombination aus Berechtigungen und Akzeptanzeinstellungen können Sie steuern, welche Dienstnutzer (AWS Prinzipale) auf Ihren Endpunktdienst zugreifen können. Beispielsweise können Sie bestimmten Prinzipalen, denen Sie vertrauen, Berechtigungen erteilen und alle Verbindungsanforderungen automatisch akzeptieren, oder einer allgemeineren Prinzipalgruppe Berechtigungen erteilen und nur bestimmte vertrauenswürdige Verbindungsanfragen manuell akzeptieren.
Standardmäßig ist Ihr Endpunkt-Service für Service-Verbraucher nicht verfügbar. Sie müssen Berechtigungen hinzufügen, die es bestimmten AWS Prinzipalen ermöglichen, einen VPC-Schnittstellen-Endpunkt zu erstellen, um eine Verbindung zu Ihrem Endpunktdienst herzustellen. Um Berechtigungen für einen AWS Prinzipal hinzuzufügen, benötigen Sie dessen Amazon-Ressourcennamen (ARN). Die folgende Liste enthält Beispiele ARNs für unterstützte AWS Principals.ARNs für Prinzipale AWS
AWS-Konto (beinhaltet alle Prinzipale im Konto)
arn:aws:iam: ::root *account\$1id*
Rolle
arn:aws:iam: :role/ *account\$1id* *role\$1name*
Benutzer
arn:aws:iam: :user/ *account\$1id* *user\$1name*
Alles in allem Schulleiter AWS-Konten
\$1
**Überlegungen**
+ Wenn Sie allen Benutzern die Berechtigung erteilen, auf den Endpunkt-Service zuzugreifen, und den Endpunkt-Service so konfigurieren, dass er alle Anforderungen akzeptiert, ist Ihr Load Balancer auch dann öffentlich, wenn er keine öffentliche IP-Adresse hat.
+ Wenn Sie Berechtigungen entfernen, hat dies keine Auswirkungen auf bestehende Verbindungen zwischen dem Endpunkt und dem Dienst, die zuvor akzeptiert wurden.
**So verwalten Sie Berechtigungen für den Endpunkt-Service mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie Ihren Endpunktservice aus und wählen Sie dann die Registerkarte **Allow principals** (Prinzipale zulassen).
1. Um Berechtigungen hinzuzufügen, wählen Sie **Allow principals** (Prinzipale zulassen). Geben Sie für **Principals to add** (Prinzipale zum Hinzufügen) den ARN des Prinzipals ein. Um einen weiteren Prinzipal hinzuzufügen, wählen Sie **Add principal (Prinzipal hinzufügen**. Wenn Sie mit dem Hinzufügen der Prinzipale fertig sind, wählen **Allow principals** (Prinzipale zulassen).
1. Um Berechtigungen zu entfernen, wählen Sie den Prinzipal aus und wählen Sie unter **Actions** (Aktionen) **Delete** (Löschen) aus. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein und wählen Sie dann **Löschen** aus.
**So fügen Sie Berechtigungen für Ihren Endpunkt-Service mithilfe der Befehlszeile hinzu**
+ [modify-vpc-endpoint-service-Berechtigungen](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) ()AWS CLI
+ [Edit-EC2EndpointServicePermission](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2EndpointServicePermission.html)(Tools für Windows PowerShell)
## Annehmen oder Ablehnen von Verbindungsanforderungen
Mithilfe der Kombination aus Berechtigungen und Akzeptanzeinstellungen können Sie steuern, welche Dienstnutzer (AWS Prinzipale) auf Ihren Endpunktdienst zugreifen können. Beispielsweise können Sie bestimmten Prinzipalen, denen Sie vertrauen, Berechtigungen erteilen und alle Verbindungsanforderungen automatisch akzeptieren, oder einer allgemeineren Prinzipalgruppe Berechtigungen erteilen und nur bestimmte vertrauenswürdige Verbindungsanfragen manuell akzeptieren.
Sie können Ihren Endpunkt-Service so konfigurieren, dass Verbindungsanforderungen automatisch akzeptiert werden. Andernfalls müssen Sie sie manuell akzeptieren oder ablehnen. Wenn Sie eine Verbindungsanforderung nicht akzeptieren, kann der Service-Verbraucher nicht auf Ihren Endpunkt-Service zugreifen.
Wenn Sie allen Benutzern die Berechtigung erteilen, auf den Endpunkt-Service zuzugreifen, und den Endpunkt-Service so konfigurieren, dass er alle Anforderungen akzeptiert, ist Ihr Load Balancer auch dann öffentlich, wenn er keine öffentliche IP-Adresse hat.
Sie können eine Benachrichtigung erhalten, wenn eine Verbindungsanfrage akzeptiert oder abgelehnt wird. Weitere Informationen finden Sie unter [Empfangen von Warnmeldungen für Endpunkt-Serviceereignisse](create-notification-endpoint-service.md).
**So ändern Sie die Akzeptanzeinstellung mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den Endpunktservice aus.
1. Wählen Sie **Actions**, **Modify endpoint acceptance setting**.
1. **Acceptance required** (Akzeptanz erforderlich) auswählen oder löschen.
1. Wählen Sie **Save Changes (Änderungen speichern)**
**So ändern Sie die Akzeptanzeinstellung mithilfe der Befehlszeile**
+ [modify-vpc-endpoint-service-Konfiguration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Tools für Windows PowerShell)
**So akzeptieren Sie eine Verbindungsanfrage mit Hilfe der Konsole oder lehnen diese ab**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den Endpunktservice aus.
1. Wählen Sie die Endpunktverbindung auf der Registerkarte **Endpoint connections** (Endpunktverbindungen) aus.
1. Um die Verbindungsanforderung zu akzeptieren, wählen Sie **Actions** (Aktionen), **Accept endpoint connection request** (Endpunkt-Verbindungsanforderung akzeptieren). Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **accept** ein und wählen Sie dann **Accept** (Akzeptieren).
1. Um die Verbindungsanforderung abzulehnen, wählen Sie **Actions (Aktionen)**, **Reject endpoint connection request (Endpunkt-Verbindungsanforderung ablehnen)**. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **reject** ein und wählen Sie dann **Reject** (Ablehnen).
**So akzeptieren Sie eine Verbindungsanfrage mit Hilfe der Befehlszeile oder lehnen diese ab**
+ [accept-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-endpoint-connections.html)oder [reject-vpc-endpoint-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html)(AWS CLI)
+ [Approve-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2EndpointConnection.html)oder [Deny-EC2EndpointConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2EndpointConnection.html)(Tools für Windows PowerShell)
## Load Balancer verwalten
Sie können die Load Balancer verwalten, die Ihrem Endpoint Service zugeordnet sind. Sie können einen Load Balancer nicht trennen, wenn Ihrem Endpunktservice Endpunkte zugeordnet sind.
Wenn Sie eine andere Availability Zone für Ihre Load Balancer aktivieren, wird die Availability Zone unter der Registerkarte **Load Balancers** auf der Seite **Endpoint** Services angezeigt. Sie wird jedoch nicht für den Endpunktdienst aktiviert oder auf der Registerkarte **Details** Ihres Endpunktdienstes auf der aufgeführt. AWS-Managementkonsole Sie müssen den Endpunktdienst für die neue Availability Zone aktivieren.
Es kann einige Minuten dauern, bis die Availability Zone des Load Balancers für Ihren Endpunktdienst bereit ist. Wenn Sie eine Automatisierung verwenden, empfehlen wir Ihnen, Ihrem Automatisierungsprozess eine Wartezeit hinzuzufügen, bevor Sie den Endpunktdienst für die neue Availability Zone aktivieren.
**Um die Load Balancer für Ihren Endpoint Service mithilfe der Konsole zu verwalten**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den Endpunktservice aus.
1. Wählen Sie **Actions** (Aktionen), **Associate or disassociate load balancers** (Load Balancer zuordnen oder trennen).
1. Ändern Sie die Konfiguration des Endpunktdienstes nach Bedarf. Beispiel:
+ Aktivieren Sie das Kontrollkästchen für einen Load Balancer, um ihn mit dem Endpunktdienst zu verknüpfen.
+ Deaktivieren Sie das Kontrollkästchen für einen Load Balancer, um ihn vom Endpunktdienst zu trennen. Sie müssen mindestens einen Load Balancer ausgewählt lassen.
1. Wählen Sie **Save Changes (Änderungen speichern)**
Der Endpunktdienst wird für alle neuen Availability Zones aktiviert, die Sie Ihrem Load Balancer hinzugefügt haben. Die neue Availability Zone ist auf den Registerkarten **Load Balancers** und **Details** des Endpoint Service aufgeführt.
Nachdem Sie eine Availability Zone für den Endpoint Service aktiviert haben, können Service Consumer ein Subnetz aus dieser Availability Zone zu ihren Schnittstellen-VPC-Endpunkten hinzufügen.
**Um die Load Balancer für Ihren Endpoint Service über die Befehlszeile zu verwalten**
+ [modify-vpc-endpoint-service-Konfiguration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Tools für Windows PowerShell)
Um den Endpunktdienst in einer Availability Zone zu aktivieren, die kürzlich für den Load Balancer aktiviert wurde, rufen Sie einfach den Befehl mit der ID des Endpunktdienstes auf.
## Zuordnen eines privaten DNS-Namens
Sie können einen privaten DNS-Namen mit Ihrem Endpunkt-Service verknüpfen. Nachdem Sie einen privaten DNS-Namen zugeordnet haben, müssen Sie den Eintrag für die Domain auf Ihrem DNS-Server aktualisieren. Bevor Service-Verbraucher den privaten DNS-Namen verwenden können, muss der Service-Anbieter überprüfen, ob er Eigentümer der Domain ist. Weitere Informationen finden Sie unter [DNS-Namen verwalten](manage-dns-names.md).
**So ändern Sie den privaten DNS-Namen eines Endpunktservice mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den Endpunktservice aus.
1. Wählen Sie **Actions** (Aktionen), **Modify Private DNS names** (Private DNS-Namen ändern).
1. Wählen Sie **Associate a private DNS name with the service** (dem Service einen privaten DNS-Namen zuordnen) aus und geben Sie den privaten DNS-Namen ein.
+ Domain-Namen müssen Kleinbuchstaben benutzen.
+ Sie können Platzhalter in Domain-Namen verwenden (z. B. **\$1.myexampleservice.com**).
1. Wählen Sie **Änderungen speichern ** aus.
1. Der private DNS-Name kann von Service-Verbrauchern verwendet werden, wenn der Überprüfungsstatus **verified** (verifiziert) lautet. Wenn sich der Überprüfungsstatus ändert, werden neue Verbindungsanforderungen abgelehnt, bestehende Verbindungen sind jedoch nicht betroffen.
**So ändern Sie den privaten DNS-Namen eines Endpunktservice mithilfe der Befehlszeile**
+ [modify-vpc-endpoint-service-Konfiguration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Tools für Windows PowerShell)
**So initiieren Sie den Domain-Überprüfungsprozess mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den Endpunktservice aus.
1. Wählen Sie **Actions** (Aktionen),**Verify domain ownership for private DNS name** (Domain-Besitz für privaten DNS-Namen verifizieren).
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **verify** ein und wählen Sie dann **Verify (Verifizieren)**.
**So initiieren Sie den Domain-Überprüfungsprozess mithilfe der Befehlszeile**
+ [start-vpc-endpoint-service-private-dns-verification](https://docs.aws.amazon.com/cli/latest/reference/ec2/start-vpc-endpoint-service-private-dns-verification.html) (AWS CLI)
+ [Start-EC2VpcEndpointServicePrivateDnsVerification](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-EC2VpcEndpointServicePrivateDnsVerification.html)(Tools für Windows PowerShell)
## Ändern Sie die unterstützten Regionen
Sie können die Gruppe der unterstützten Regionen für Ihren Endpunktdienst ändern. Bevor Sie eine Opt-in-Region hinzufügen können, müssen Sie sich anmelden. Sie können die Region, in der Ihr Endpunktdienst gehostet wird, nicht entfernen.
Nachdem Sie eine Region entfernt haben, können Servicekunden keine neuen Endpunkte mehr erstellen, die diese Region als Dienstregion angeben. Das Entfernen einer Region hat keine Auswirkungen auf bestehende Endpunkte, die sie als Dienstregion angeben. Wenn Sie eine Region entfernen, empfehlen wir Ihnen, alle bestehenden Endpunktverbindungen aus dieser Region abzulehnen.
**Um die unterstützten Regionen für Ihren Endpunktdienst zu ändern**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den Endpunktservice aus.
1. Wählen Sie **Aktionen**, **Unterstützte Regionen ändern** aus.
1. Wählen Sie nach Bedarf Regionen aus oder deaktivieren Sie sie.
1. Wählen Sie **Änderungen speichern ** aus.
## Ändern der unterstützten IP-Adresstypen
Sie können die IP-Adresstypen ändern, die von Ihrem Endpunkt-Service unterstützt werden.
**Überlegungen**
Damit Ihr Endpunktdienst IPv6 Anfragen annehmen kann, müssen seine Network Load Balancer den Dualstack-IP-Adresstyp verwenden. Die Ziele müssen keinen Datenverkehr unterstützen. IPv6 Weitere Informationen finden Sie unter [IP-Adresstyp](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type) im *Benutzerhandbuch für Network Load Balancer*.
**So ändern Sie die unterstützten IP-Adresstypen mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den VPC-Endpunktservice aus.
1. Wählen Sie **Actions** (Aktionen), **Modify supported IP address types** (Unterstützte IP-Adresstypen ändern).
1. Führen Sie für **Supported IP address types** (Unterstützte IP-Adresstyp) einen der folgenden Schritte aus:
+ Wählen **IPv4**— Aktivieren Sie den Endpunktdienst für die Annahme von IPv4 Anfragen.
+ Wählen **IPv6**— Ermöglichen Sie dem Endpunktdienst die Annahme von IPv6 Anfragen.
+ Wählen Sie **IPv4**und **IPv6**— Aktivieren Sie den Endpunktdienst so, dass er IPv4 sowohl als auch IPv6 Anfragen akzeptiert.
1. Wählen Sie **Änderungen speichern ** aus.
**So ändern Sie die unterstützten IP-Adresstypen mithilfe der Befehlszeile**
+ [modify-vpc-endpoint-service-Konfiguration](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html) ()AWS CLI
+ [Edit-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html)(Tools für Windows PowerShell)
## Verwalten von Tags
Sie können Ihre Ressourcen markieren, um sie zu identifizieren oder in Übereinstimmung mit den Anforderungen Ihrer Organisation kategorisieren zu können.
**So verwalten Sie Tags für den Endpunkt-Service mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den VPC-Endpunktservice aus.
1. Klicken Sie auf **Actions** (Aktionen), **Manage tags** (Markierungen verwalten).
1. Wählen Sie für jede Markierung **Add new tag** (Neue Markierung hinzufügen) und geben Sie den Schlüssel und Wert der Markierung ein.
1. Um eine Markierung zu entfernen, wählen Sie **Remove** (Entfernen) rechts neben dem Schlüssel und dem Wert der Markierung aus.
1. Wählen Sie **Speichern**.
**So verwalten Sie Tags für Ihre Endpunktverbindungen mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den VPC-Endpunktservice und dann die Registerkarte **Endpoint-Verbindungen**.
1. Wählen Sie die Endpunktverbindung und dann **Actions (Aktionen)**, **Manage tags (Tags verwalten)** aus.
1. Wählen Sie für jede Markierung **Add new tag** (Neue Markierung hinzufügen) und geben Sie den Schlüssel und Wert der Markierung ein.
1. Um eine Markierung zu entfernen, wählen Sie **Remove** (Entfernen) rechts neben dem Schlüssel und dem Wert der Markierung aus.
1. Wählen Sie **Speichern**.
**So verwalten Sie Tags für Ihre Endpunkt-Serviceberechtigungen mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den VPC-Endpunktservice und dann die Registerkarte **Allow principals** (Prinzipale zulassen) aus.
1. Wählen Sie den Prinzipal aus und wählen Sie dann **Actions** (Aktionen), **Manage tags** (Tags verwalten) aus.
1. Wählen Sie für jede Markierung **Add new tag** (Neue Markierung hinzufügen) und geben Sie den Schlüssel und Wert der Markierung ein.
1. Um eine Markierung zu entfernen, wählen Sie **Remove** (Entfernen) rechts neben dem Schlüssel und dem Wert der Markierung aus.
1. Wählen Sie **Speichern**.
**So fügen Sie Tags über die Befehlszeile hinzu und entfernen sie**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) und [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html)und [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html)(Tools für Windows PowerShell)
# DNS-Namen für VPC-Endpunktservices verwalten
Service-Anbieter können private DNS-Namen für ihre Endpunkt-Services konfigurieren. Angenommen, ein Dienstanbieter stellt seinen Dienst über einen öffentlichen Endpunkt und als Endpunktdienst zur Verfügung. Wenn der Dienstanbieter den DNS-Namen des öffentlichen Endpunkts als privaten DNS-Namen des Endpunktdienstes verwendet, können Dienstnutzer mit derselben Client-Anwendung ohne Änderung auf den öffentlichen Endpunkt oder den Endpunktdienst zugreifen. Wenn eine Anfrage von der Service Consumer-VPC kommt, lösen die privaten DNS-Server den DNS-Namen in die IP-Adressen der Endpunkt-Netzwerkschnittstellen auf. Andernfalls lösen die öffentlichen DNS-Server den DNS-Namen zum öffentlichen Endpunkt auf.
Bevor Sie einen privaten DNS-Namen für den Endpunkt-Service konfigurieren können, müssen Sie nachweisen, dass Sie Eigentümer der Domain sind, indem Sie eine Überprüfung des Domain-Besitzes durchführen.
**Überlegungen**
+ Ein Endpunktservice kann nur einen privaten DNS-Namen haben.
+ Wenn der Verbraucher einen Schnittstellenendpunkt erstellt, um eine Verbindung zu Ihrem Service herzustellen, erstellen wir eine private gehostete Zone und ordnen sie der Service-Consumer-VPC zu. Wir erstellen einen CNAME-Eintrag in der privaten Hosting-Zone, der den privaten DNS-Namen des Endpunktdienstes dem regionalen DNS-Namen des VPC-Endpunkts zuordnet. Wenn ein Verbraucher eine Anfrage an den öffentlichen DNS-Namen des Dienstes sendet, lösen die privaten DNS-Server die Anfrage an die IP-Adressen der Endpunkt-Netzwerkschnittstellen auf.
+ Um eine Domain zu überprüfen, benötigen Sie einen öffentlichen Hostnamen oder einen öffentlichen DNS-Anbieter.
+ Sie können die Domain einer Sub-Domain überprüfen. Beispielsweise können Sie *example.com* anstelle von *a.example.com* überprüfen. Jedes DNS-Label kann bis zu 63 Zeichen lang sein und der gesamte Domainname darf eine Gesamtlänge von 255 Zeichen nicht überschreiten.
Wenn Sie eine zusätzliche Sub-Domain hinzufügen, müssen Sie die Sub-Domain oder die Domain überprüfen. Angenommen, Sie hatten *a.example.com* und haben *example.com* überprüft. Sie fügen nun *b.example.com* als privaten DNS-Namen hinzu. Sie müssen *example.com* oder *b.example.com* überprüfen, bevor Service-Verbraucher den Namen verwenden können.
+ Private DNS-Namen werden für Gateway-Load-Balancer-Endpunkte nicht unterstützt.
## Domain-Verifizierungsname
Ihre Domain ist mit einer Reihe von DNS (Domain Name System)-Datensätzen verknüpft, die Sie über Ihren DNS-Anbieter verwalten. Ein TXT-Datensatz ist eine Art von DNS-Datensatz, der zusätzliche Informationen zu Ihrer Domain bereitstellt. Sie besteht aus einem Namen und einem Wert. Im Rahmen des Überprüfungsprozesses müssen Sie dem DNS-Server einen TXT-Eintrag für Ihre öffentliche Domain hinzufügen.
Domain-Eigentumsüberprüfung ist abgeschlossen, wenn wir erkennen, dass der TXT-Datensatz in den DNS-Einstellungen Ihrer Domain vorhanden ist.
Nachdem Sie einen Datensatz hinzugefügt haben, können Sie den Status des Domainverifizierungsprozesses über die Amazon-VPC-Konsole überprüfen. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus. Wählen Sie den Endpunkt-Service aus und überprüfen Sie den Wert von **Domain verification status** (Domain-Verifizierungsstatus) im Tab **Details**. Wenn die Domain-Überprüfung aussteht, warten Sie einige Minuten und aktualisieren Sie den Bildschirm. Bei Bedarf können Sie den Überprüfungsprozess manuell einleiten. Wählen Sie **Actions** (Aktionen),**Verify domain ownership for private DNS name** (Domain-Besitz für privaten DNS-Namen verifizieren).
Der private DNS-Name kann von Service-Verbrauchern verwendet werden, wenn der Überprüfungsstatus **verified** (verifiziert) lautet. Wenn sich der Überprüfungsstatus ändert, werden neue Verbindungsanforderungen abgelehnt, bestehende Verbindungen sind jedoch nicht betroffen.
Wenn der Überprüfungsstatus **failed** (fehlgeschlagen) lautet, siehe [Probleme mit der Domain-Verifizierung beheben](#troubleshoot-domain-verification).
## Abrufen des Namens und des Werts
Wir geben Ihnen den Namen und Wert, den Sie im TXT-Datensatz verwenden. Beispielsweise sind die Informationen im AWS-Managementkonsole verfügbar. Wählen Sie den Endpunkt-Service aus und siehe **Domain verification name**Domain-Verifizierungsname) und **Domain verification value** on the **Details** tab for the endpoint service (Domain-Verifizierungswert) auf der Details-Registerkarte für den Endpunkt-Service. Sie können auch den folgenden AWS CLI Befehl [describe-vpc-endpoint-service-configurations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-configurations.html) verwenden, um Informationen über die Konfiguration des privaten DNS-Namens für den angegebenen Endpunktdienst abzurufen.
```
aws ec2 describe-vpc-endpoint-service-configurations \
--service-ids vpce-svc-071afff70666e61e0 \
--query ServiceConfigurations[*].PrivateDnsNameConfiguration
```
Es folgt eine Beispielausgabe. Sie verwenden `Value` und `Name`, wenn Sie den TXT-Eintrag erstellen.
```
[
{
"State": "pendingVerification",
"Type": "TXT",
"Value": "vpce:l6p0ERxlTt45jevFwOCp",
"Name": "_6e86v84tqgqubxbwii1m"
}
]
```
Angenommen, Ihr Domainname ist beispielsweise *example.com* und `Value` und `Name` sind wie in der obigen Beispielausgabe gezeigt. Die folgende Tabelle ist ein Beispiel für die TXT-Datensatzeinstellungen.
| Name | Typ | Wert |
| --- | --- | --- |
| \$16e86v84tqgqubxbwii1m.example.com | TXT | vpce:l6p0 TT45jevfw ERxl OCp |
Es wird empfohlen, `Name` als Datensatz-Unter-Domain zu verwenden, da der Basis-Domain-Name möglicherweise bereits verwendet wird. Wenn Ihr DNS-Anbieter jedoch nicht zulässt, dass DNS-Datensatznamen Unterstriche enthalten, können Sie den Wert „\$16e86v84tqgqubxbwii1m“ weglassen und einfach „example.com“ im TXT-Eintrag verwenden.
Nachdem wir „\$16e86v84tqgqubxbwii1m.example.com“ verifiziert haben, können Service-Verbraucher „example.com“ oder eine Subdomain (z. B. „service.example.com“ oder „my.service.example.com“) verwenden.
## Fügen Sie einen TXT-Datensatz zum DNS-Server der Domain hinzu
Die Schritte zum Hinzufügen von TXT-Datensätzen zum DNS-Server Ihrer Domain hängen davon ab, wer den DNS-Service bereitstellt. Ihr DNS-Anbieter kann Amazon Route 53 oder eine andere Domain-Namen-Vergabestelle sein.
### Amazon Route 53
Erstellen Sie mithilfe einer einfachen Routing-Richtlinie einen Datensatz für Ihre öffentliche Hosting-Zone. Verwenden Sie die folgenden Werte:
+ Geben Sie für **Record name** (Datensatzname) die Domain oder Subdomain ein.
+ Wählen Sie für den **Record type (Datensatztyp)** **TXT**.
+ Geben Sie für **Value/Route traffic to** (Wert/Datenverkehr weiterleiten an) den Domain-Verifizierungswert ein.
+ Geben Sie für **TLL (Seconds)** (TTL (Sekunden)) den Wert **1800** ein.
Für weitere Informationen finden Sie unter [Erstellen von Datensätzen mithilfe der Konsole](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html) im *Amazon-Route-53-Entwicklerhandbuch*.
### Allgemeines Verfahren
Gehen Sie zur Website Ihres DNS-Anbieters und melden Sie sich bei Ihrem Konto an. Suchen Sie die Seite zum Aktualisieren der DNS-Einträge für Ihre Domain. Fügen Sie einen TXT-Eintrag mit dem angegebenen Namen und Wert hinzu. Es kann bis zu 48 Stunden dauern, bis DNS-Eintragsaktualisierungen wirksam werden, aber sie werden oft viel früher wirksam.
Genauere Anweisungen finden Sie in der Dokumentation Ihres DNS-Anbieters. Dieser Abschnitt enthält Links zur Dokumentation für mehrere gängige DNS-Anbieter. Diese Liste erhebt keinen Anspruch auf Vollständigkeit und ist auch nicht als Empfehlung der von diesen Unternehmen angebotenen Produkte oder Services gedacht.
| DNS/Hosting-Anbieter | Link zur Dokumentation |
| --- | --- |
| GoDaddy | [Einen TXT-Datensatz hinzufügen](https://www.godaddy.com/help/add-a-txt-record-19232) |
| Dreamhost | [Hinzufügen von benutzerdefinierten DNS-Datensätzen](https://help.dreamhost.com/hc/en-us/articles/360035516812-Adding-custom-DNS-records) |
| Cloudflare | [DNS-Datensätze verwalten](https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/) |
| HostGator | [Verwalten Sie DNS-Einträge mit HostGator /eNOM](https://www.hostgator.com/help/article/manage-dns-records-with-hostgatorenom) |
| Namecheap | [Wie füge ich TXT/SPF/DKIM/DMARC Einträge für meine Domain hinzu?](https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain/) |
| Names.co.uk | [Ändern der DNS-Einstellungen für Domain](https://www.names.co.uk/support/articles/changing-your-domains-dns-settings/) |
| Wix | [Hinzufügen oder Aktualisieren von TXT-Datensätzen in Ihrem Wix-Konto](https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account) |
## Prüfen Sie, ob der TXT-Datensatz veröffentlicht ist
Sie können mit den folgenden Schritten überprüfen, ob der TXT-Datensatz der Domain-Eigentumsüberprüfung Ihres privaten DNS-Namens ordnungsgemäß auf Ihrem DNS-Server veröffentlicht wird. Sie führen den **nslookup** Befehl aus, der für Windows und Linux verfügbar ist.
Sie fragen die DNS-Server ab, die Ihre Domain bedienen, da diese Server die meisten up-to-date Informationen für Ihre Domain enthalten. Es dauert einige Zeit, bis Ihre Domain-Informationen an andere DNS-Server weitergegeben werden.
**So überprüfen Sie, ob Ihr TXT-Datensatz auf Ihrem DNS-Server veröffentlicht wird**
1. Suchen Sie die Nameserver für Ihre Domain mit dem folgenden Befehl.
```
nslookup -type=NS example.com
```
In der Ausgabe werden alle Nameserver für Ihre Domain aufgelistet. Im nächsten Schritt werden Sie einen dieser Server abfragen.
1. Stellen Sie mithilfe des folgenden Befehls sicher, dass der TXT-Eintrag korrekt veröffentlicht wurde. Dabei *name\$1server* handelt es sich um einen der Nameserver, die Sie im vorherigen Schritt gefunden haben.
```
nslookup -type=TXT _6e86v84tqgqubxbwii1m.example.com name_server
```
1. Überprüfen Sie in der Ausgabe des vorherigen Schritts, ob die Zeichenfolge, die auf `text =` folgt, mit dem TXT-Wert übereinstimmt.
In unserem Beispiel enthält die Ausgabe Folgendes, wenn der Datensatz korrekt veröffentlicht wurde.
```
1. _6e86v84tqgqubxbwii1m.example.com text = "vpce:l6p0ERxlTt45jevFwOCp"
```
## Probleme mit der Domain-Verifizierung beheben
Wenn der Domain-Verifizierungsprozess fehlschlägt, können die folgenden Informationen Ihnen helfen, Probleme zu beheben.
+ Überprüfen Sie, ob Ihr DNS-Anbieter Unterstriche in TXT-Eintragsnamen zulässt. Wenn Ihr DNS-Anbieter keine Unterstriche zulässt, können Sie den Domain-Überprüfungsnamen (z. B. „\$16e86v84tqgqubxbwii1m“) im TXT-Eintrag weglassen.
+ Überprüfen Sie, ob Ihr DNS-Anbieter den Domain-Namen an das Ende des TXT-Eintrags angehängt hat. Einige DNS-Anbieter hängen den Namen Ihrer Domain automatisch an den Attributnamen des TXT-Datensatzes an. Um diese Duplizierung des Domain-Namens zu vermeiden, fügen Sie beim Erstellen des TXT-Eintrags einen Punkt am Ende des Domain-Namens hinzu. Dies gibt Ihrem DNS-Anbieter zu verstehen, dass es nicht erforderlich ist, den Domain-Namen an den TXT-Datensatz anzuhängen.
+ Überprüfen Sie, ob Ihr DNS-Anbieter den DNS-Datensatzwert geändert hat, um nur Kleinbuchstaben zu verwenden. Wir verifizieren Ihre Domain nur, wenn es einen Bestätigungsdatensatz mit einem Attributwert gibt, der genau mit dem von uns angegebenen Wert übereinstimmt. Wenn der DNS-Anbieter Ihre TXT-Eintragswerte so geändert hat, dass nur Kleinbuchstaben verwendet werden, wenden Sie sich an ihn, um Unterstützung zu erhalten.
+ Möglicherweise müssen Sie Ihre Domain mehr als einmal überprüfen, da Sie mehrere Regionen oder mehrere AWS-Konten unterstützen. Wenn Ihr DNS-Anbieter nicht mehr als einen TXT-Datensatz mit demselben Attributnamen zulässt, überprüfen Sie, ob Ihr DNS-Anbieter Ihnen gestattet, demselben TXT-Datensatz mehrere Attributwerte mit demselben Attributnamen zuzuweisen. Wenn Ihr DNS von Amazon Route 53 verwaltet wird, können Sie das folgende Verfahren verwenden.
1. Wählen Sie in der Route 53-Konsole den TXT-Datensatz aus, den Sie bei der Verifizierung Ihrer Domain in der ersten Region erstellt haben.
1. Navigieren Sie im Feld **Value** (Wert) zum Ende des vorhandenen Attributwertes und drücken Sie dann die Eingabetaste.
1. Fügen Sie den Attributwert für die zusätzliche Region hinzu und speichern Sie dann den Datensatz.
Wenn Ihr DNS-Anbieter Ihnen nicht gestattet, demselben TXT-Datensatz mehrere Werte zuzuweisen, können Sie die Domain einmal mit dem Wert im Attributnamen des TXT-Datensatzes und ein weiteres Mal ohne den Wert im Attributnamen verifizieren. Sie können dieselbe Domain jedoch nur zweimal verifizieren.
# Empfangen von Warnmeldungen für Endpunkt-Serviceereignisse
Sie können eine Benachrichtigung erstellen, um Warnungen für bestimmte Ereignisse im Zusammenhang mit Ihrem Endpunkt-Service zu erhalten. Beispielsweise können Sie eine E-Mail erhalten, wenn eine Verbindungsanfrage akzeptiert oder abgelehnt wird.
**Topics**
+ [
## Eine SNS-Benachrichtigung erstellen
](#create-sns-notification-endpoint-service)
+ [
## Eine Zugriffsrichtlinie hinzufügen
](#add-access-policy-endpoint-service)
+ [
## Eine Schlüsselrichtlinie hinzufügen
](#add-key-policy-endpoint-service)
## Eine SNS-Benachrichtigung erstellen
Gehen Sie folgendermaßen vor, um ein Amazon-SNS-Thema für die Benachrichtigungen zu erstellen und das Thema zu abonnieren.
**So erstellen Sie mithilfe der Konsole eine Benachrichtigung für einen Endpunkt-Service**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den Endpunktservice aus.
1. Wählen Sie aus der Registerkarte **Notifications** (Benachrichtigungen) die Option **Create notification** (Benachrichtigung erstellen) aus.
1. Wählen Sie für **Notification ARN** (Benachrichtigungs-ARN) den ARN für das SNS-Thema aus, das Sie erstellt haben.
1. Um ein Ereignis zu abonnieren, wählen Sie es aus **Events** (Ereignisse).
+ **Connect** (Verbinden) – Der Service-Verbraucher hat den Schnittstellenendpunkt erstellt. Dadurch wird eine Verbindungsanfrage an den Service-Anbieter gesendet.
+ **Accept** (Akzeptieren) – Der Service-Anbieter hat die Verbindungsanfrage akzeptiert.
+ **Reject** (Ablehnen) – Der Service-Anbieter hat die Verbindungsanfrage abgelehnt.
+ **Delete** (Löschen) – Der Service-Verbraucher hat den Schnittstellenendpunkt gelöscht.
1. Wählen Sie **Benachrichtigung erstellen** aus.
**So erstellen Sie mithilfe der Befehlszeile eine Benachrichtigung für einen Endpunkt-Service**
+ [create-vpc-endpoint-connection-Benachrichtigung](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-connection-notification.html) ()AWS CLI
+ [New-EC2VpcEndpointConnectionNotification](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointConnectionNotification.html)(Tools für Windows PowerShell)
## Eine Zugriffsrichtlinie hinzufügen
Fügen Sie dem SNS-Thema eine Zugriffsrichtlinie hinzu, die es ermöglicht, Benachrichtigungen in Ihrem Namen AWS PrivateLink zu veröffentlichen, z. B. die folgenden. Weitere Informationen finden Sie unter [Wie bearbeite ich die Zugriffsrichtlinie meines Amazon-SNS-Themas?](https://repost.aws/knowledge-center/sns-edit-topic-access-policy) Verwenden Sie die globalen Konditionsschlüssel `aws:SourceArn` und `aws:SourceAccount` zum Schutz vor dem Problem des [verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:us-east-1:111111111111:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
## Eine Schlüsselrichtlinie hinzufügen
Wenn Sie verschlüsselte SNS-Themen verwenden, muss die Ressourcenrichtlinie für den KMS-Schlüssel darauf vertrauen AWS PrivateLink , AWS KMS API-Operationen aufzurufen. Es folgt eine Beispielschlüsselrichtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111111111111:key/key-id",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111111111111:vpc-endpoint-service/service-id"
},
"StringEquals": {
"aws:SourceAccount": "111111111111"
}
}
}
]
}
```
------
# Löschen eines Endpunktservice
Wenn Sie einen Endpunkt-Service nicht mehr benötigen, können Sie ihn löschen. Sie können einen Endpunkt-Service nicht löschen, wenn Endpunkte vorhanden sind, die mit dem Endpunkt-Service verbunden sind, die sich im `available`- oder `pending-acceptance`-Status befinden.
Das Löschen eines Endpunkt-Services löscht nicht den zugehörigen Load Balancer und wirkt sich nicht auf die Anwendungsserver aus, die bei den Load-Balancer-Zielgruppen registriert sind.
**So löschen Sie einen Endpunktservice unter Verwendung der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoint Services (Endpunktservices)** aus.
1. Wählen Sie den Endpunktservice aus.
1. Wählen Sie **Actions (Aktionen)**, **Delete endpoint service (Endpunktservice löschen)**.
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein und wählen Sie dann **Löschen** aus.
**So löschen Sie einen Endpunktservice unter Verwendung der Befehlszeile**
+ [delete-vpc-endpoint-service-Konfigurationen](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-service-configurations.html) ()AWS CLI
+ [Remove-EC2EndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointServiceConfiguration.html)(Tools für Windows PowerShell)