Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement in AWS Transit Gateway
AWS verwendet Sicherheitsanmeldedaten, um Sie zu identifizieren und Ihnen Zugriff auf Ihre AWS Ressourcen zu gewähren. Sie können Funktionen von AWS Identity and Access Management (IAM) verwenden, um es anderen Benutzern, Diensten und Anwendungen zu ermöglichen, Ihre AWS Ressourcen vollständig oder eingeschränkt zu nutzen, ohne Ihre Sicherheitsanmeldeinformationen weiterzugeben.
Standardmäßig sind IAM-Benutzer nicht berechtigt, Ressourcen zu erstellen, anzuzeigen oder zu ändern AWS . Um einem Benutzer zu erlauben, auf Ressourcen wie ein Transit Gateway zuzugreifen und Aufgaben auszuführen, müssen Sie eine IAM-Richtlinie erstellen, die dem Benutzer die Berechtigung zum Verwenden der spezifischen benötigten Ressourcen und API-Funktionen gewährt. Fügen Sie dann die Richtlinie an die Gruppe an, welcher der Benutzer angehört. Wenn Sie einem Benutzer oder einer Benutzergruppe eine Richtlinie zuordnen, wird den Benutzern die Ausführung der angegebenen Aufgaben für die angegebenen Ressourcen gestattet oder verweigert.
Um mit einem Transit-Gateway zu arbeiten, könnte eine der folgenden AWS verwalteten Richtlinien Ihren Anforderungen entsprechen:
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## Beispielrichtlinien für die Verwaltung von Transit Gateways
Im Folgenden finden Sie IAM-Beispielrichtlinien für das Arbeiten mit Transit Gateways.
**Erstellen eines Transit Gateways mit den erforderlichen Tags**
Im folgenden Beispiel können Benutzer Transit Gateways erstellen. Der `aws:RequestTag`-Bedingungsschlüssel erfordert, dass Benutzer das Transit Gateway mit dem `stack=prod`-Tag kennzeichnen. Der `aws:TagKeys`-Bedingungsschlüssel verwendet den Modifikator `ForAllValues`, um anzuzeigen, dass nur der Schlüssel `stack` in der Anforderung zulässig ist (es können keine anderen Tags angegeben werden). Wenn Benutzer dieses spezifische Tag beim Erstellen des Transit Gateways nicht übergeben, oder wenn sie überhaupt keine Tags angeben, schlägt die Anforderung fehl.
Die zweite Anweisung enthält den `ec2:CreateAction`-Bedingungsschlüssel, sodass die Benutzer Tags nur im Kontext von `CreateTransitGateway` erstellen können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedTGWs",
"Effect": "Allow",
"Action": "ec2:CreateTransitGateway",
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/stack": "prod"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"stack"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateTransitGateway"
}
}
}
]
}
```
------
**Arbeiten mit Transit-Gateway-Routing-Tabellen**
Im folgenden Beispiel können Benutzer nur für ein bestimmtes Transit Gateway Routing-Tabellen erstellen und löschen (`tgw-11223344556677889`). Benutzer können Routen auch in einer beliebigen Routing-Tabelle des Transit Gateways erstellen und ersetzen, jedoch nur für Anhänge mit dem Tag `network=new-york-office`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGatewayRouteTable",
"ec2:CreateTransitGatewayRouteTable"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11223344556677889",
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/network": "new-york-office"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*"
}
]
}
```
------
# Verwenden Sie serviceverknüpfte Rollen für Transit-Gateways in AWS Transit Gateway
Amazon VPC nutzt serviceverknüpfte Rollen für die Berechtigungen, die für den Aufruf anderer AWS -Services in Ihrem Namen benötigt werden. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) im *IAM-Benutzerhandbuch*.
## Serviceverknüpfte Rolle für Transit Gateways
Amazon VPC verwendet serviceverknüpfte Rollen für die Berechtigungen, die für den Aufruf anderer AWS -Services in Ihrem Namen benötigt werden, wenn Sie mit einem Transit Gateway arbeiten.
### Von der serviceverknüpften Rolle erteilte Berechtigungen
Amazon VPC verwendet die serviceverknüpfte Rolle namens **AWSServiceRoleForVPCTransitGateway**, um die folgenden Aktionen in Ihrem Namen aufzurufen, wenn Sie mit einem Transit-Gateway arbeiten:
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:ModifyNetworkInterfaceAttribute`
+ `ec2:DeleteNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnAssignIpv6Addresses`
Die **AWSServiceRoleForVPCTransitGateway-Rolle** vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `transitgateway.amazonaws.com`
**AWSServiceRoleForVPCTransitGateway** verwendet die verwaltete Richtlinie[AWSVPCTransitGatewayServiceRolePolicy](security-iam-awsmanpol.md#AWSVPCTransitGatewayServiceRolePolicy).
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
### Erstellen der serviceverknüpften Rolle
Sie müssen die **AWSServiceRoleForVPCTransitGateway-Rolle** nicht manuell erstellen. Amazon VPC erstellt diese Rolle für Sie, wenn Sie eine VPC in Ihrem Konto an ein Transit Gateway anhängen.
### Bearbeiten der serviceverknüpften Rolle
Sie können die Beschreibung von **AWSServiceRoleForVPCTransitGateway** mithilfe von IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rollenbeschreibung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) im *IAM-Benutzerhandbuch*.
### Löschen der serviceverknüpften Rolle
**Wenn Sie Transit-Gateways nicht mehr verwenden müssen, empfehlen wir, Gateway zu löschen AWSService RoleForVPCTransit.**
Sie können diese serviceverknüpfte Rolle erst löschen, nachdem Sie alle Transit-Gateway-VPC-Anlagen in Ihrem AWS Konto gelöscht haben. Auf diese Weise wird sichergestellt, dass Sie nicht versehentlich die Berechtigung für den Zugriff auf Ihre VPC-Anhänge entfernen.
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um serviceverknüpfte Rollen zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) im *IAM-Benutzerhandbuch*.
Nachdem Sie **AWSServiceRoleForVPCTransitGateway** gelöscht haben, erstellt Amazon VPC die Rolle erneut, wenn Sie eine VPC in Ihrem Konto an ein Transit-Gateway anhängen.
# AWS verwaltete Richtlinien für Transit-Gateways in AWS Transit Gateway
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Um mit einem Transit-Gateway zu arbeiten, könnte eine der folgenden AWS verwalteten Richtlinien Ihren Anforderungen entsprechen:
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## AWS verwaltete Richtlinie: AWSVPCTransit GatewayServiceRolePolicy
Diese Richtlinie ist der Rolle [AWSServiceRoleForVPCTransitGateway](service-linked-roles.md) zugeordnet. Auf diese Weise kann Amazon VPC Ressourcen für Ihre Transit-Gateway-Anhänge erstellen und verwalten.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSVPCTransitGatewayServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCTransitGatewayServiceRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## Transit Gateway-Aktualisierungen AWS verwalteter Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Transit-Gateways an, seit Amazon VPC im März 2021 damit begonnen hat, diese Änderungen zu verfolgen.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| Amazon VPC hat mit der Verfolgung von Änderungen begonnen | Amazon VPC hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 1. März 2021 |
# Netzwerk ACLs für Transit-Gateways in AWS Transit Gateway
Eine Netzwerk-ACL (Network Access Control List; NACL) ist eine optionale Sicherheitsebene.
NACL-Regeln werden je nach Szenario unterschiedlich angewendet:
+ [Gleiches Subnetz für EC2-Instances und Transit-Gateway-Zuordnung](#nacl-tgw-same-subnet)
+ [Verschiedene Subnetze für EC2-Instances und Transit-Gateway-Zuordnung](#nacl-tgw-different-subnet)
## Gleiches Subnetz für EC2-Instances und Transit-Gateway-Zuordnung
Betrachten Sie eine Konfiguration, bei der Sie über EC2-Instances und eine Transit-Gateway-Zuordnung im selben Subnetz verfügen. Die gleiche Netzwerk-ACL wird sowohl für den Datenverkehr von den EC2-Instances zum Transit-Gateway als auch für den Datenverkehr vom Transit-Gateway zu den Instances verwendet.
NACL-Regeln werden auf folgende Weise für den Datenverkehr von Instances zum Transit Gateway angewendet:
+ Ausgehende Regeln verwenden die Ziel-IP-Adresse für die Auswertung.
+ Eingehende Regeln verwenden die Quell-IP-Adresse für die Auswertung.
NACL-Regeln werden auf folgende Weise für den Datenverkehr vom Transit Gateway zu den Instances angewendet:
+ Ausgehende Regeln werden nicht ausgewertet.
+ Eingehende Regeln werden nicht ausgewertet.
## Verschiedene Subnetze für EC2-Instances und Transit-Gateway-Zuordnung
Betrachten Sie eine Konfiguration, bei der Sie EC2-Instances in einem Subnetz und eine Transit-Gateway-Zuordnung in einem anderen Subnetz haben und jedes Subnetz einer anderen Netzwerk-ACL zugeordnet ist.
Netzwerk-ACL-Regeln werden für das EC2-Instance-Subnetz wie folgt angewendet:
+ Ausgehende Regeln verwenden die Ziel-IP-Adresse, um den Datenverkehr von den Instances auf das Transit-Gateway auszuwerten.
+ Eingehende Regeln verwenden die Quell-IP-Adresse, um den Datenverkehr vom Transit-Gateway zu den Instances auszuwerten.
NACL-Regeln werden für das Transit-Gateway-Subnetz wie folgt angewendet:
+ Ausgehende Regeln verwenden die Ziel-IP-Adresse, um den Datenverkehr vom Transit-Gateway zu den Instances auszuwerten.
+ Ausgehende Regeln werden nicht verwendet, um den Datenverkehr von den Instances zum Transit-Gateway auszuwerten.
+ Eingehende Regeln verwenden die Quell-IP-Adresse, um den Datenverkehr von den Instances auf das Transit-Gateway auszuwerten.
+ Eingehende Regeln werden nicht verwendet, um den Datenverkehr vom Transit-Gateway zu den Instances auszuwerten.
## Bewährte Methoden
Verwenden Sie für jeden Transit-Gateway-VPC-Anhang ein separates Subnetz. Verwenden Sie für jedes Subnetz einen kleinen CIDR, z. B. /28, damit Sie mehr Adressen für EC2-Ressourcen haben. Wenn Sie ein separates Subnetz verwenden, können Sie Folgendes konfigurieren:
+ Halten Sie die eingehende und ausgehende NACL offen, die den Transit-Gateway-Subnetzen zugeordnet ist.
+ Abhängig von Ihrem Datenverkehrsfluss können Sie sich NACLs auf Ihre Workload-Subnetze beziehen.
Weitere Informationen zu der Funktionsweise von VPC-Anhängen finden Sie unter [Ressourcen-Anhänge](how-transit-gateways-work.md#tgw-attachments-overview).