Amazon Virtual Private Cloud - AWS PrivateLink

Die Seite wird erstellt Thomas Fischer

Bildung

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Amazon Virtual Private Cloud - AWS PrivateLink

Amazon Virtual Private Cloud
       AWS PrivateLink

Amazon Virtual Private Cloud AWS PrivateLink

Amazon Virtual Private Cloud: AWS PrivateLink
Copyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Die Marken und Handelsmarken von Amazon dürfen nicht in einer Weise in Verbindung mit nicht von Amazon
stammenden Produkten oder Services verwendet werden, die geeignet ist, Kunden irrezuführen oder Amazon in
irgendeiner Weise herabzusetzen oder zu diskreditieren. Alle anderen Marken, die nicht im Besitz von Amazon sind,
gehören den jeweiligen Besitzern, die möglicherweise mit Amazon verbunden sind oder von Amazon gesponsert
werden.

Amazon Virtual Private Cloud AWS PrivateLink

Table of Contents
Was ist AWS PrivateLink? ................................................................................................................... 1
VPC-Endpunktkonzepte ............................................................................................................... 1
Arbeiten mit VPC-Endpunkten ...................................................................................................... 2
Beispiel-Endpunktkonfigurationen .................................................................................................. 2
Endpunktpreise .......................................................................................................................... 2
VPC-Endpunkte .................................................................................................................................. 3
Schnittstellenendpunkte ............................................................................................................... 3
Private DNS für Schnittstellenendpunkte ................................................................................ 5
Eigenschaften und Beschränkungen von Schnittstellenendpunkten ............................................. 7
Verbindung mit On-Premises-Rechenzentren .......................................................................... 7
Lebenszyklus eines Schnittstellenendpunkts ........................................................................... 8
Überlegungen zur Availability Zone eines Schnittstellenendpunkts .............................................. 8
Anzeigen der verfügbaren AWS-Servicenamen ....................................................................... 8
Erstellen eines Schnittstellenendpunkts .................................................................................. 9
Anzeigen Ihres Schnittstellenendpunkts ................................................................................ 13
Erstellen und Verwalten einer Benachrichtigung für einen Schnittstellenendpunkt ......................... 14
Zugriff auf einen Service über einen Schnittstellenendpunkt ..................................................... 15
Ändern eines Schnittstellenendpunkts .................................................................................. 15
Gateway Load Balancer-Endpunkte ............................................................................................. 17
Eigenschaften und Einschränkungen des Gateway Load Balancer-Endpunkts ............................. 18
Lebenszyklus von Gateway Load Balancer-Endpunkten .......................................................... 19
Preise für Gateway-Load-Balancer-Endpunkte ....................................................................... 19
Erstellen eines Gateway-Load-Balancer-Endpunkts ................................................................ 20
Anzeigen Ihres Gateway Load Balancer-Endpunkts ................................................................ 20
Hinzufügen oder Entfernen von Tags für einen Gateway Load Balancer-Endpunkts ...................... 21
Gateway-Endpunkte .................................................................................................................. 21
Preise für Gateway-Endpunkte ............................................................................................ 23
Routing für Gateway-Endpunkte .......................................................................................... 23
Beschränkungen von Gateway-Endpunkten .......................................................................... 25
Endpunkte für Amazon S3 ................................................................................................. 25
Endpunkte für Amazon DynamoDB ...................................................................................... 33
Erstellen eines Gateway-Endpunkts ..................................................................................... 35
Ändern Sie Ihre Sicherheitsgruppe ...................................................................................... 37
Ändern eines Gateway-Endpunkts ....................................................................................... 38
Hinzufügen oder Entfernen eines Gateway-Endpunkt-Tags ...................................................... 39
Steuern des Zugriffs auf Services ................................................................................................ 39
Verwenden von VPC-Endpunktrichtlinien .............................................................................. 40
Sicherheitsgruppen ............................................................................................................ 40
Löschen eines VPC-Endpunktes ................................................................................................. 41
VPC-Endpunkt-Services ..................................................................................................................... 42
VPC-Endpunktdienste für Schnittstellen-Endpunkte ........................................................................ 42
Überlegungen zur Availability Zone des Endpunktservice ........................................................ 44
DNS-Namen des Endpunktservice ....................................................................................... 44
Verbindung mit On-Premises-Rechenzentren .......................................................................... 7
Zugriff auf Services über eine VPC-Peering-Verbindung .......................................................... 45
Verwenden des Proxy-Protokolls für Verbindungsinformationen ................................................ 45
Regeln und Einschränkungen ............................................................................................. 45
VPC-Endpunktdienste für Gateway Load Balancer-Endpunkte .......................................................... 46
Überlegungen zu Availability Zones ..................................................................................... 47
Regeln und Einschränkungen ............................................................................................. 48
VPC-Endpunktservicekonfiguration für Schnittstellenendpunkte erstellen ............................................ 48
VPC-Endpunktservicekonfiguration für Gateway Load Balancer-Endpunkte erstellen ............................ 50
Berechtigungen für Ihren Endpunktservice hinzufügen und entfernen ................................................ 51
Ändern der Endpunktservice-Konfiguration .................................................................................... 52

iii

Amazon Virtual Private Cloud AWS PrivateLink

Akzeptieren und Ablehnen von Endpunkt-Verbindungsanfragen ab ................................................... 53
Benachrichtigung für einen Endpunktservice erstellen und verwalten ................................................. 55
Hinzufügen oder Entfernen eines VPC-Endpunktservice-Tags .......................................................... 57
Eine Endpunktservice-Konfiguration löschen ................................................................................. 58
Identity and Access Management ........................................................................................................ 60
Private DNS-Namen .......................................................................................................................... 63
Überlegungen zur Domänennamensverifizierung ............................................................................ 64
Verifizierung eines privaten DNS-Namens des VPC-Endpunktservice ................................................ 64
Fügen Sie einen TXT-Datensatz zum DNS-Server der Domäne hinzu ....................................... 65
Ändern des privaten DNS-Namens eines vorhandenen Endpunktservice ............................................ 66
Anzeigen der privaten DNS-Namenskonfiguration eines Endpunktservice ........................................... 67
Manuelles Starten der Verifizierung der privaten DNS-Namensdomäne des Endpunktservice ................. 67
Entfernen des privaten DNS-Namens des Endpunktservice ............................................................. 68
TXT-Datensätze für die Domänenverifizierung eines privaten DNS-Namens ....................................... 68
Problembehandlung bei allgemeinen Domänenverifizierungsproblemen ............................................. 70
Probleme mit der Domänenverifizierung ............................................................................... 70
So überprüfen Sie Einstellungen für die Domänenverifizierung ................................................. 71
Services, AWS PrivateLink unterstützen ............................................................................................... 73
Anzeigen der verfügbaren AWS-Servicenamen .............................................................................. 79
CloudWatch-Metriken ......................................................................................................................... 81
Endpunkt-Metriken und -Dimensionen .......................................................................................... 81
Endpunktservicemetriken und -dimensionen .................................................................................. 83
CloudWatch-Metriken anzeigen ................................................................................................... 85
Kontingente ...................................................................................................................................... 87
Dokumentverlauf ............................................................................................................................... 88

Amazon Virtual Private Cloud AWS PrivateLink
VPC-Endpunktkonzepte

AWS PrivateLink und VPC-
Endpunkte
AWS PrivateLink ist eine leicht zugängliche, skalierbare Technologie, die Ihnen ermöglicht, Ihre VPC privat
mit unterstützten AWS-Services, von anderen AWS-Konten gehostete Services (VPC-Endpunktservices)
und unterstützten AWS Marketplace-Partnerservices zu verbinden. Sie benötigen kein Internet-Gateway,
kein NAT-Gerät, keine öffentliche IP-Adresse und auch keine AWS Direct Connect- oder AWS Site-to-
Site VPN-Verbindung, um mit dem Service zu kommunizieren. Daher steuern Sie die spezifischen API-
Endpunkte, Websites und Services, die von Ihrer VPC aus erreichbar sind.

Sie können Ihren eigenen von AWS PrivateLink gestützten VPC-Endpunkt-Service erstellen und anderen
AWS-Kunden Zugriff auf Ihren Service erteilen.

VPC-Endpunktkonzepte
Die wichtigsten Konzepte für VPC-Endpunkte sind folgende:

• VPC-Endpunkt — Der Eintrittspunkt in Ihrer VPC, über den Sie eine private Verbindung zu einem Dienst
herstellen können. Im Folgenden werden die verschiedenen Arten von VPC-Endpunkten beschrieben.
Erstellen Sie die Art von VPC-Endpunkt, die von dem unterstützten Service benötigt wird.
• Gateway-Endpunkt (p. 21)
• Schnittstellenendpunkt (p. 3)
• Gateway Load Balancer-Endpunkt (p. 17)
• Endpunktservice – Ihre eigene Anwendung in Ihrer VPC. Andere AWS-Prinzipale können einen Endpunkt
von ihrer VPC zu Ihrem Endpunktservice herstellen.

Um AWS PrivateLink zu verwenden, erstellen Sie einen VPC-Endpunkt für einen Service in Ihrer VPC.
Erstellen Sie die Art von VPC-Endpunkt, die von dem unterstützten Service benötigt wird. Damit wird eine
Elastic Network-Schnittstelle in Ihrem Subnetz mit einer privaten IP-Adresse erstellt, die als Eintrittspunkt
für Datenverkehr zu einem unterstützten Service dient. Das folgende Diagramm zeigt die grundlegende
Architektur einer sicheren Verbindungen zwischen einer VPC und einem AWS-Service, der AWS
PrivateLink unterstützt.

Amazon Virtual Private Cloud AWS PrivateLink
Arbeiten mit VPC-Endpunkten

Arbeiten mit VPC-Endpunkten
Sie können VPC-Endpunkte mit einer der folgenden Funktionen erstellen, darauf zugreifen und verwalten:

• AWS Management Console — Bietet eine Webschnittstelle für den Zugriff auf Ihre VPC-Endpunkte.
• AWS Command Line Interface (AWS CLI) stellt Befehle für eine breite Palette von AWS-Services bereit,
Amazon VPC. Die AWS CLI wird unter Windows, macOS und Linux unterstützt. Weitere Informationen
finden Sie unter AWS Command Line Interface.
• AWSSDKs – Geben sprachspezifische APIs an. Die SDKs kümmern sich um viele der
Verbindungsdetails, wie z. B. das Berechnen von Signaturen, die Verarbeitung von
Anforderungswiederholungen und die Behandlung von Fehlern. Weitere Informationen finden Sie unter
AWS-SDKs.
• Abfrage-API – Bietet API-Aktionen auf niedriger Ebene, die Sie mithilfe von HTTPS-Anforderungen
aufrufen. Die Verwendung der Abfrage-API ist die direkteste Möglichkeit für den Zugriff auf Amazon VPC.
Allerdings müssen dann viele technische Abläufe, wie beispielsweise das Erzeugen des Hashwerts zum
Signieren der Anforderung und zur Fehlerbehandlung, in der Anwendung durchgeführt werden. Weitere
Informationen finden Sie in der Amazon EC2 API-Referenz.

Beispiel-Endpunktkonfigurationen
Informationen zu AWS PrivateLink und VPC-Peering-Beispielen finden Sie unter Beispiele: Services mit
AWS PrivateLink und VPC Peering im Amazon-VPC-Benutzerhandbuch.

Endpunktpreise
Weitere Informationen zu Preisen für Endpunkte finden Sie unter AWS PrivateLink– Preise.

Amazon Virtual Private Cloud AWS PrivateLink
Schnittstellenendpunkte

VPC-Endpunkte
Ein VPC-Endpunkt ermöglicht Verbindungen zwischen einer Virtual Private Cloud (VPC) und unterstützten
Diensten, ohne dass Sie ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct
Connect-Verbindung verwenden müssen. Daher steuern Sie die spezifischen API-Endpunkte, Websites
und Services, die von Ihrer VPC aus erreichbar sind.

VPC Endpunkte sind virtuelle Geräte. Es handelt sich bei ihnen um horizontal skalierte, redundante und
hochverfügbare VPC-Komponenten. Im Folgenden werden die verschiedenen Arten von VPC-Endpunkten
beschrieben. Erstellen Sie die Art von VPC-Endpunkt, die von dem unterstützten Service benötigt wird.

Schnittstellenendpunkte

Ein Schnittstellenendpunkt (p. 3) ist eine Elastic Network-Schnittstelle mit einer privaten IP-Adresse
aus dem IP-Adressbereich Ihres Subnetzes. Er dient als Eintrittspunkt für Datenverkehr an einen Dienst,
der im Besitz von AWS oder im Besitz eines AWS-Kunden oder -Partners ist. Eine Liste der AWS-
Services, die mit AWS PrivateLink integriert werden können, finden Sie unter Services, AWS PrivateLink
unterstützen (p. 73).

Die stündliche Nutzung und Datenverarbeitungsgebühren werden Ihnen in Rechnung gestellt. Weitere
Informationen finden Sie auf Preise zu Schnittstellenendpunkte.

Gateway Load Balancer-Endpunkte

Ein Gateway Load Balancer-Endpunkt (p. 17) ist eine Elastic Network-Schnittstelle mit einer privaten
IP-Adresse aus dem IP-Adressbereich Ihres Subnetzes. Er dient als Eintrittspunkt, um den Datenverkehr
abzufangen und an ein Netzwerk oder einen Sicherheitsdienst weiterzuleiten, den Sie mit einem Gateway
Load Balancer konfiguriert haben. Sie geben einen Gateway Load Balancer-Endpunkt als Ziel für eine
Route in einer Routingtabelle an. Gateway-Load-Balancer-Endpunkte werden nur für Endpunktdienste
unterstützt, die ausschließlich mit einem Gateway Load Balancer konfiguriert sind.

Die stündliche Nutzung und Datenverarbeitungsgebühren werden Ihnen in Rechnung gestellt. Weitere
Informationen finden Sie auf Preise zu Gateway-Load-Balancer-Endpunkte.

Gateway-Endpunkte

Ein Gateway-Endpunkt (p. 21) ist ein Gateway, das ein Ziel für eine in Ihrer Routing-Tabelle
angegebene Route ist und das für Datenverkehr zu Amazon S3 oder DynamoDB verwendet wird.

Für die Nutzung von Gateway-Endpunkten fallen keine Gebühren an.

Amazon S3 unterstützt sowohl Gateway-Endpunkte als auch Schnittstellenendpunkte. Einen Vergleich der
beiden Optionen finden Sie unter Arten von VPC-Endpunkten für Amazon S3 im Benutzerhandbuch zu
Amazon S3.

Schnittstellen-VPC-Endpunkte (AWS PrivateLink)
Ein Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt) ermöglicht Ihnen, eine Verbindung zu Services
einzurichten, die von AWS PrivateLink bereitgestellt werden. Zu diesen Services gehören verschiedene
AWS-Services, die von anderen AWS-Kunden und -Partnern in ihren eigenen VPCs gehostet werden (auch
als Endpunktservices bezeichnet), sowie unterstützte AWS Marketplace-Partnerservices. Der Eigentümer
des Service ist der Service-Anbieter, und Sie, als der Prinzipal, der den Schnittstellenendpunkt erstellt, sind
der Service-Verbraucher.

Nachfolgend finden Sie die allgemeinen Schritte für die Einrichtung eines Schnittstellenendpunkts:

Amazon Virtual Private Cloud AWS PrivateLink
Schnittstellenendpunkte

1. Wählen Sie die VPC, in der der Schnittstellenendpunkt erstellt werden soll, und geben Sie den Namen
des AWS-Service, des Endpunktservice oder des AWS Marketplace-Service an, zu dem Sie eine
Verbindung einrichten.
2. Wählen Sie ein Subnetz in Ihrer VPC, um den Schnittstellenendpunkt zu verwenden. Wir erstellen
eine Endpunktnetzwerkschnittstelle im Subnetz. Einer Endpunkt-Netzwerkschnittstelle wird eine
private IP-Adresse aus dem IP-Adressbereich Ihres Subnetzes zugewiesen und behält diese IP-
Adresse so lange bei, bis der Schnittstellenendpunkt gelöscht wird. Sie können mehrere Subnetze in
unterschiedlichen Availability Zones angeben (wie vom Service unterstützt), um sicherzustellen, dass Ihr
Schnittstellenendpunkt robust gegenüber Ausfällen von Availability Zone ist. In diesem Fall erstellen wir
in jedem von Ihnen angegebenen Subnetz eine Endpunktnetzwerkschnittstelle.
Note

Eine Endpunkt- Netzwerkschnittstelle ist eine vom Anforderer verwaltete Netzwerkschnittstelle.
Sie können sie in Ihrem Konto anzeigen, aber Sie können sie nicht selbst verwalten. Weitere
Informationen finden Sie unter Anforderer-verwaltete Netzwerkschnittstellen.
3. Geben Sie die Sicherheitsgruppen an, die der Endpunktnetzwerkschnittstelle zugeordnet werden sollen.
Die Regeln der Sicherheitsgruppen kontrollieren den Datenverkehr zu der Endpunktnetzwerkschnittstelle
von Ressourcen in Ihrer VPC. Wenn Sie keine Sicherheitsgruppen-ID angeben, ordnen wir der VPC die
Standardsicherheitsgruppe zu.
4. (Optional, nur AWS-Services und AWS Marketplace-Partnerservices) Aktivieren Sie ein privates
DNS (p. 5) für den Endpunkt, um Anfragen über den DNS-Standardhostnamen an den Service
stellen zu können.
Important

Ein privates DNS ist standarmäßig für Endpunkte aktiviert, die für AWS-Services und AWS
Marketplace-Partnerservices erstellt wurden.
Private DNS ist in den anderen Subnetzen aktiviert, die sich in derselben VPC und Availability
Zone oder Local Zone befinden.
5. Wenn sich der Serviceanbieter und der Konsument in verschiedenen Konten befinden, finden Sie unter
the section called “Überlegungen zur Availability Zone eines Schnittstellenendpunkts” (p. 8) weitere
Informationen zur Verwendung von Availability Zone-IDs zum Identifizieren der Availability Zone des
Schnittstellenendpunkts.
6. Nachdem Sie den Schnittstellenendpunkt erstellt haben, steht er für die Nutzung zur Verfügung, sobald
er vom Service-Anbieter akzeptiert wurde. Der Service-Anbieter muss den Service so konfigurieren,
dass Anfragen automatisch akzeptiert werden oder diese manuell genehmigt werden müssen. AWS-
Services und AWS Marketplace-Services akzeptieren allgemein alle Endpunktanfragen automatisch.
Weitere Informationen zum Lebenszyklus eines Endpunkts finden Sie unter Lebenszyklus eines
Schnittstellenendpunkts (p. 8).

Services können keine Anfragen an Ressourcen in Ihrer VPC über den Endpunkt veranlassen. Ein
Endpunkt gibt nur Antworten auf Datenverkehr zurück, der von Ressourcen in Ihrer VPC ausgeht.
Bevor Sie einen Service oder einen Endpunkt integrieren, überprüfen Sie die Dokumentation des
servicespezifischen VPC-Endpunkts auf servicespezifische Konfigurationen und Einschränkungen.

Inhalt
• Private DNS für Schnittstellenendpunkte (p. 5)
• Eigenschaften und Beschränkungen von Schnittstellenendpunkten (p. 7)
• Verbindung mit On-Premises-Rechenzentren (p. 7)
• Lebenszyklus eines Schnittstellenendpunkts (p. 8)
• Überlegungen zur Availability Zone eines Schnittstellenendpunkts (p. 8)
• Anzeigen der verfügbaren AWS-Servicenamen (p. 8)
• Erstellen eines Schnittstellenendpunkts (p. 9)

Amazon Virtual Private Cloud AWS PrivateLink
                          Private DNS für Schnittstellenendpunkte

 • Anzeigen Ihres Schnittstellenendpunkts (p. 13)
 • Erstellen und Verwalten einer Benachrichtigung für einen Schnittstellenendpunkt (p. 14)
 • Zugriff auf einen Service über einen Schnittstellenendpunkt (p. 15)
 • Ändern eines Schnittstellenendpunkts (p. 15)

Private DNS für Schnittstellenendpunkte
    Important

    Privates DNS wird für Amazon S3-Schnittstellenendpunkte nicht unterstützt.

Wenn Sie einen Schnittstellenendpunkt erstellen, erzeugen wir endpunktspezifische DNS-Hostnamen, die
Sie verwenden können, um mit dem Service zu kommunizieren. Bei AWS-Services und AWS Marketplace-
Partnerservices ordnet eine private DNS-Option (standardmäßig aktiviert) Ihrer VPC eine private gehostete
Zone zu. Die gehostete Zone enthält einen Datensatz für den DNS-Standardnamen für den Service (z. B.
ec2.us-east-1.amazonaws.com), der in die privaten IP-Adressen der Endpunktnetzwerkschnittstellen
in Ihrer VPC aufgelöst wird. Auf diese Weise können Sie Anfragen über den DNS-Standardhostnamen an
den Service stellen, statt die endpunktspezifischen DNS-Hostnamen verwenden zu müssen. Wenn Ihre
vorhandenen Anwendungen beispielsweise Anfragen an einen AWS-Service stellen, können sie weiterhin
Anfragen über den Schnittstellenendpunkt machen, ohne dass Konfigurationsänderungen notwendig sind.

Im Beispiel im folgenden Diagramm gibt es einen Schnittstellen-Endpunkt für Amazon Kinesis Data
Streams und eine Endpunkt-Netzwerkschnittstelle in Subnetz 2. Für den Schnittstellenendpunkt ist das
private DNS deaktiviert. Die Routing-Tabellen für die Subnetze enthalten die folgenden Routen.

 Subnetz 1

 Ziel                                                 Ziel

 10.0.0.0/16                                          Local

 0.0.0.0/0                                            internet-gateway-id

 Subnetz 2

 Ziel                                                 Ziel

 10.0.0.0/16                                          Local

Instances in jedem Subnetz können Anforderungen an Amazon Kinesis Data Streams über den
Schnittstellendpunkt unter Verwendung eines endpunktspezifischen DNS-Hostnamens senden. Instances
in Subnetz 1 können über den öffentlichen IP-Adressraum in der AWS-Region unter Verwendung des
Standard-DNS-Namens mit Amazon Kinesis Data Streams kommunizieren.

                                              5

Amazon Virtual Private Cloud AWS PrivateLink
                         Private DNS für Schnittstellenendpunkte

Im nächsten Diagramm ist privates DNS für den Endpunkt aktiviert. Instances in einem Subnetz können
Anforderungen an Amazon Kinesis Data Streams über den Schnittstellendpunkt senden, indem sie
entweder den standardmäßigen DNS-Hostnamen oder den endpunktspezifischen DNS-Hostnamen
verwenden.

    Important

    Zur Verwendung eines privaten DNS müssen Sie die folgenden VPC-Attribute auf true setzen:
    enableDnsHostnames und enableDnsSupport. Weitere Informationen finden Sie unter
    Anzeigen und Aktualisieren der DNS-Unterstützung für Ihre VPC. IAM-Benutzer benötigen
    die Berechtigung für die Arbeit in gehosteten Zonen. Weitere Informationen finden Sie unter
    Authentifizierung und Zugriffskontrolle für Route 53.

                                             6

Amazon Virtual Private Cloud AWS PrivateLink
Eigenschaften und Beschränkungen
von Schnittstellenendpunkten

Eigenschaften und Beschränkungen von
Schnittstellenendpunkten
Machen Sie sich bei der Verwendung von Schnittstellenendpunkten ihre Eigenschaften und aktuellen
Beschränkungen bewusst:

• Sie können für jeden Schnittstellenendpunkt nur ein Subnetz pro Availability Zone auswählen.
• Die Services stehen möglicherweise nicht in allen Availability Zones über einen Schnittstellenendpunkt
zur Verfügung. Um festzustellen, welche Availability Zones unterstützt werden, verwenden Sie den
Befehl describe-vpc-endpoint-services oder verwenden die Amazon VPC-Konsole. Weitere Informationen
finden Sie unter Erstellen eines Schnittstellenendpunkts (p. 9).
• Wenn Sie einen Schnittstellenendpunkt erstellen, wird der Endpunkt in der Availability Zone erstellt, die
Ihrem Konto zugeordnet und unabhängig von anderen Konten ist. Wenn sich der Serviceanbieter und
der Konsument in verschiedenen Konten befinden, finden Sie unter the section called “Überlegungen zur
Availability Zone eines Schnittstellenendpunkts” (p. 8) weitere Informationen zur Verwendung von
Availability Zone-IDs zum Identifizieren der Availability Zone des Schnittstellenendpunkts.
• Wenn der Dienstanbieter und der Verbraucher unterschiedliche Konten haben sowie mehrere Availability
Zones verwenden und der Verbraucher die VPC-Endpunktserviceinformationen anzeigt, enthält die
Antwort nur die allgemeinen Availability Zones. Wenn das Dienstanbieterkonto beispielsweise us-
east-1a und us-east-1c verwendet und der Verbraucher verwendet us-east-1a und us-east-1b,
enthält die Antwort die VPC-Endpunktservices in der allgemeinen Availability Zone us-east-1a.
• Jeder Schnittstellenendpunkt kann standardmäßig eine Bandbreite von bis zu 10 GBit/s pro Availability
Zone und Spitzen von bis zu 40 Gbit/s unterstützen. Wenn Ihre Anwendung höhere Spitzen oder
anhaltenden Durchsatz benötigt, wenden Sie sich an den AWS-Support.
• Wenn die Netzwerk-ACL für Ihr Subnetz den Datenverkehr beschränkt, können Sie möglicherweise
keinen Verkehr über die Endpunkt-Netzwerkschnittstelle senden. Stellen Sie sicher, dass Sie geeignete
Regeln hinzufügen, die Datenverkehr zum und vom CIDR-Block des Subnetzes zulassen.
• Stellen Sie sicher, dass die Sicherheitsgruppe, die der Endpunkt-Netzwerkschnittstelle zugeordnet ist,
die Kommunikation zwischen der Endpunkt-Netzwerkschnittstelle und den Ressourcen in Ihrer VPC
ermöglicht, die mit dem Service kommunizieren. Um sicherzustellen, dass Befehlszeilentools wie AWS
CLI über HTTPS Anforderungen von Ressourcen in der VPC an einen AWS-Service stellen können,
muss die Sicherheitsgruppe eingehenden HTTPS-Datenverkehr (Port 443) zulassen.
• Ein Schnittstellenendpunkt unterstützt nur TCP-Verkehr.
• Wenn Sie einen Endpunkt erstellen, können Sie ihm eine Endpunktrichtlinie zuweisen, die den Zugriff
auf den Service, mit dem Sie eine Verbindung herstellen, steuert. Weitere Informationen finden Sie unter
Bewährte Methoden für Richtlinien und the section called “Steuern des Zugriffs auf Services” (p. 39).
• Überprüfen Sie die servicespezifischen Grenzwerte für Ihren Endpunktservice.
• Teilnehmer können keine Amazon Route53-Resolver-Endpunkte in einer VPC erstellen, die sie nicht
besitzen. Nur der VPC Besitzer kann Ressourcen wie eingehende Endpunkte auf VPC-Ebene erstellen.
• Endpunkte werden nur innerhalb derselben Region unterstützt. Sie können keinen Endpunkt zwischen
einer VPC und einem Service in einer anderen Region erstellen.
• Für Endpunkte wird nur IPv4-Datenverkehr unterstützt.
• Sie können einen Endpunkt nicht von einer VPC auf eine andere oder von einem Service auf einen
anderen übertragen.
• Die Anzahl der Endpunkte, die Sie pro VPC erstellen können, ist kontingentiert. Weitere Informationen
finden Sie unter AWS PrivateLink-Kontingente (p. 87).

Verbindung mit On-Premises-Rechenzentren
Sie können die folgenden Verbindungstypen für eine Verbindung zwischen einem Schnittstellendpunkt und
Ihrem lokalen Rechenzentrum verwenden:

Amazon Virtual Private Cloud AWS PrivateLink
Lebenszyklus eines Schnittstellenendpunkts

• AWS Direct Connect
• AWS Site-to-Site VPN

Lebenszyklus eines Schnittstellenendpunkts
Ein Schnittstellenendpunkt durchläuft verschiedene Phasen, nachdem Sie ihn erstellt haben (mit der
Verbindungsanfrage für den Endpunkt). In jeder Phase kann es Maßnahmen geben, die der Service-
Verbraucher und der Service-Anbieter ergreifen können.

Es gelten die folgenden Regeln:

• Ein Service-Anbieter kann seinen Service so konfigurieren, dass Schnittstellenendpunktanfragen
automatisch akzeptiert werden oder diese manuell genehmigt werden müssen. AWS-Services und AWS
Marketplace-Services akzeptieren allgemein alle Endpunktanfragen automatisch.
• Ein Service-Anbieter kann einen Schnittstellenendpunkt zu seinem Service nicht löschen. Nur der
Service-Verbraucher, der die Verbindung mit dem Schnittstellenendpunkt angefordert hat, kann den
Schnittstellenendpunkt löschen.
• Ein Service-Anbieter kann den Schnittstellenendpunkt ablehnen, nachdem er (manuell oder automatisch)
akzeptiert wurde und sich im Status available befindet.

Überlegungen zur Availability Zone eines
Schnittstellenendpunkts
Wenn Sie einen Schnittstellenendpunkt erstellen, wird der Endpunkt in der Availability Zone erstellt, die
Ihrem Konto zugeordnet und unabhängig von anderen Konten ist. Wenn sich der Serviceanbieter und der
Konsument in verschiedenen Konten befinden, verwenden Sie die Availability Zone-IDs zum eindeutigen
und konsistenten Identifizieren der Availability Zone des Schnittstellenendpunkts. Beispielsweise use1-
az1 ist eine Availability Zone-ID für die Region us-east-1 und ist demselben Speicherort in jedem
AWS Konto zugeordnet. Weitere Informationen zu Availability Zone-IDs finden Sie unter AZ-IDs für Ihre
Ressourcen im AWS RAMBenutzerhandbuch oder verwenden Sie describe-availability-zones.

Die Services stehen möglicherweise nicht in allen Availability Zones über einen Schnittstellenendpunkt zur
Verfügung. Sie können mit beliebigen der folgenden Methoden herausfinden, welche Availability Zones für
einen Service unterstützt werden:

• describe-vpc-endpoint-services (AWS CLI)
• DescribeVpcEndpointServices (API)
• Die Amazon VPC-Konsole, wenn Sie einen Schnittstellenendpunkt erstellen. Weitere Informationen
finden Sie unter the section called “Erstellen eines Schnittstellenendpunkts” (p. 9).

Anzeigen der verfügbaren AWS-Servicenamen
Wenn Sie die Amazon VPC-Konsole verwenden, um einen Endpunkt zu erstellen, können Sie eine Liste
der verfügbaren AWS-Servicenamen abrufen.

Wenn Sie die AWS CLI verwenden, um einen Endpunkt zu erstellen, können Sie den Befehl describe-vpc-
endpoint-services verwenden, um die Dienstnamen anzuzeigen, und dann den Endpunkt mit dem Befehl
create-vpc-endpoint zu erstellen.

Amazon Virtual Private Cloud AWS PrivateLink
Erstellen eines Schnittstellenendpunkts

Console

So zeigen Sie verfügbare AWS-Services über die Konsole an

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
2. Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint.
3. Im Abschnitt Service Name (Servicename) werden die verfügbaren Services aufgelistet.

Command line

So zeigen Sie verfügbare AWS-Services über die AWS CLI-Konsole an

• Verwenden Sie den Befehl describe-vpc-endpoint-services, um eine Liste der verfügbaren
Services abzurufen, zu denen Sie eine Verbindung herstellen können. Das Feld ServiceType
zeigt an, ob Sie die Verbindung mit dem Service über einen Schnittstellen- oder einen Gateway-
Endpunkt einrichten wollen. Das Feld ServiceName enthält den Namen des Service. Im
folgenden Beispiel werden die Namen und Besitzer von allen Schnittstellenendpunkten aufgelistet.

aws ec2 describe-vpc-endpoint-services --filter "Name=service-
type,Values=Interface" --query "ServiceDetails[*].[ServiceName, Owner]" --output
table

So zeigen Sie verfügbare AWS-Services über die AWS Tools for Windows PowerShell-
Konsole an

• Get-EC2VpcEndpointService

So zeigen Sie verfügbare AWS-Services über die API an

• DescribeVpcEndpointServices

Erstellen eines Schnittstellenendpunkts
Wenn Sie einen Schnittstellenendpunkt erstellen, müssen Sie die VPC angeben, in der der
Schnittstellenendpunkt erstellt werden soll, sowie den Service, zu dem Sie eine Verbindung herstellen
möchten.

Für AWS-Services oder AWS Marketplace-Partnerservices können Sie optional ein privates DNS (p. 5)
für den Endpunkt aktivieren, um Anforderungen des Service über den DNS-Standardhostnamen senden zu
können.
Important

Ein privates DNS ist standarmäßig für Endpunkte aktiviert, die für AWS-Services und AWS
Marketplace-Partnerservices erstellt wurden.

Amazon Virtual Private Cloud AWS PrivateLink
Erstellen eines Schnittstellenendpunkts

Console

So erstellen Sie mit der Konsole einen Schnittstellenendpunkt zu einem AWS-Service

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
2. Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint.
3. Stellen Sie sicher, dass bei Servicekategorie die Option AWSServices ausgewählt ist.
4. Für Service Name wählen Sie den Service, zu dem Sie eine Verbindung herstellen wollen. Stellen
Sie sicher, dass für Type die Option Interface angegeben ist.
5. Tragen Sie die folgenden Informationen ein und wählen Sie Create endpoint.

• Für VPC wählen Sie eine VPC, in der der Endpunkt erstellt werden soll.
• Für Subnets wählen Sie die Subnetze (Availability Zones) aus, in denen die
Endpunktnetzwerkschnittstellen erstellt werden sollen.

Möglicherweise werden nicht alle Availability Zones für alle AWS-Services unterstützt.
• Um ein privates DNS für den Schnittstellenendpunkt zu aktivieren, aktivieren Sie das
Kontrollkästchen für Enable DNS Name (DNS-Name aktivieren).
Important

Privates DNS wird für Amazon S3-Schnittstellenendpunkte nicht unterstützt.

Diese Option ist standardmäßig aktiviert. Zur Verwendung des optionalen privaten DNS
müssen die folgenden VPC-Attribute auf true gesetzt werden: enableDnsHostnames und
enableDnsSupport. Weitere Informationen finden Sie unter Anzeigen und Aktualisieren der
DNS-Unterstützung für Ihre VPC.
• Für Security group wählen Sie die Sicherheitsgruppen aus, die den
Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
• (Optional) Hinzufügen oder Entfernen eines Tags.

[Markierung hinzufügen] Wählen Sie Add tag (Markierung hinzufügen), und führen Sie die
folgenden Schritte aus:
• Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein.
• Geben Sie bei Value (Wert) den Wert des Schlüssels ein.

[Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert
des Tags.

Um einen Schnittstellenendpunkt für einen Endpunktservice zu erstellen, benötigen Sie den Namen
des Services, mit dem eine Verbindung eingerichtet werden soll. Diesen Namen kann Ihnen der
Service-Anbieter bereitstellen.

So erstellen Sie einen Schnittstellenendpunkt zu einem Endpunktservice

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
2. Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint.
3. Für Service category wählen Sie Find service by name.
4. Für Service Name geben Sie den Namen des Service ein (z. B. com.amazonaws.vpce.us-
east-1.vpce-svc-0e123abc123198abc) und wählen Verify.
5. Tragen Sie die folgenden Informationen ein und wählen Sie Create endpoint.

Amazon Virtual Private Cloud AWS PrivateLink
Erstellen eines Schnittstellenendpunkts

Möglicherweise werden nicht alle Availability Zones für den Service unterstützt.
• Für Security group wählen Sie die Sicherheitsgruppen aus, die den
Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
• (Optional) Hinzufügen oder Entfernen eines Tags.

[Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert
des Tags.

So erstellen Sie einen Schnittstellenendpunkt zu einem AWS Marketplace-Partnerservice

1. Navigieren Sie auf die Seite PrivateLink zu AWS Marketplace und melden Sie sich
für einen Service von einem SaaS-Anbieter (Software as a Service) an. Services, die
Schnittstellenendpunkte unterstützen, beinhalten eine Option zur Einrichtung einer Verbindung
über einen Endpunkt.
2. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
3. Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint.
4. Für Servicekategorie wählen Sie Ihre AWSMarketplace-Services.
5. Wählen Sie den AWS Marketplace-Service, den Sie abonniert haben.
6. Tragen Sie die folgenden Informationen ein und wählen Sie Create endpoint.

[Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert
des Tags.

Command line

So erstellen Sie einen Schnittstellenendpunkt mit der AWS CLI

1. Verwenden Sie den Befehl describe-vpc-endpoint-services, um eine Liste der verfügbaren
Services abzurufen. Notieren Sie sich von der Ausgabe den Namen des Service, mit dem eine
Verbindung einrichtet werden soll. Das Feld ServiceType zeigt an, ob Sie die Verbindung mit
dem Service über einen Schnittstellen- oder einen Gateway-Endpunkt einrichten wollen. Das Feld
ServiceName enthält den Namen des Service.

Amazon Virtual Private Cloud AWS PrivateLink
                      Erstellen eines Schnittstellenendpunkts

2.   Um einen Schnittstellenendpunkt zu erstellen, verwenden Sie den Befehl create-vpc-endpoint
     und geben die VPC-ID an, den Typ des VPC-Endpunkts (Schnittstelle), den Servicenamen,
     die Subnetze, die den Endpunkt verwenden, sowie die Sicherheitsgruppen, die den
     Endpunktnetzwerkschnittstellen zugeordnet werden sollen.

     Im folgenden Beispiel wird ein Schnittstellenendpunkt zum Elastic Load Balancing-Service erstellt.

     aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface
      --service-name com.amazonaws.us-east-1.elasticloadbalancing --subnet-id subnet-
     abababab --security-group-id sg-1a2b3c4d

     {
          "VpcEndpoint": {
               "PolicyDocument": "{\n \"Statement\": [\n       {\n      \"Action\": \"*\",
       \n        \"Effect\": \"Allow\", \n       \"Principal\": \"*\", \n      \"Resource\":
       \"*\"\n      }\n ]\n}",
               "VpcId": "vpc-ec43eb89",
               "NetworkInterfaceIds": [
                    "eni-bf8aa46b"
               ],
               "SubnetIds": [
                    "subnet-abababab"
               ],
               "PrivateDnsEnabled": true,
               "State": "pending",
               "ServiceName": "com.amazonaws.us-east-1.elasticloadbalancing",
               "RouteTableIds": [],
               "Groups": [
                    {
                        "GroupName": "default",
                        "GroupId": "sg-1a2b3c4d"
                    }
               ],
               "VpcEndpointId": "vpce-088d25a4bbf4a7abc",
               "VpcEndpointType": "Interface",
               "CreationTimestamp": "2017-09-05T20:14:41.240Z",
               "DnsEntries": [
                    {
                        "HostedZoneId": "Z7HUB22UULQXV",
                        "DnsName": "vpce-088d25a4bbf4a7abc-
     ks83awe7.elasticloadbalancing.us-east-1.vpce.amazonaws.com"
                    },
                    {
                        "HostedZoneId": "Z7HUB22UULQXV",
                        "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7-us-
     east-1a.elasticloadbalancing.us-east-1.vpce.amazonaws.com"
                    },
                    {
                        "HostedZoneId": "Z1K56Z6FNPJRR",
                        "DnsName": "elasticloadbalancing.us-east-1.amazonaws.com"
                    }
               ]
          }
     }

     Alternativ erstellt das folgende Beispiel einen Schnittstellenendpunkt zu einem Endpunktservice in
     einem anderen Konto (der Service-Anbieter teilt Ihnen den Namen des Endpunktservice mit).

     aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface
      --service-name com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc --subnet-
     id subnet-abababab --security-group-id sg-1a2b3c4d

                                          12

Amazon Virtual Private Cloud AWS PrivateLink
Anzeigen Ihres Schnittstellenendpunkts

Notieren Sie sich die privateDnsNames-Felder der Ausgabe. Sie können diese DNS-Namen für
den Zugriff auf den AWS-Service verwenden.

So beschreiben Sie verfügbare Services und erstellen einen VPC-Endpunkt mithilfe des AWS
Tools for Windows PowerShell

• Get-EC2VpcEndpointService
• New-EC2VpcEndpoint

So beschreiben Sie verfügbare Dienste und erstellen einen VPC-Endpunkt mithilfe der API:

• DescribeVpcEndpointServices
• CreateVpcEndpoint

Anzeigen Ihres Schnittstellenendpunkts
Nachdem Sie einen Schnittstellenendpunkt erstellt haben, können Sie Informationen darüber anzeigen.

Console

So zeigen Sie mit der Konsole Informationen über einen Schnittstellenendpunkt an

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
2. Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie Ihren Schnittstellenendpunkt aus.
3. Um Informationen über den Schnittstellenendpunkt anzuzeigen, wählen Sie Details. Das Feld DNS
Names zeigt die DNS-Namen an, die für den Zugriff auf den Service verwendet werden müssen.
4. Um die Subnetze anzuzeigen, in denen der Schnittstellenendpunkt erstellt wurde, sowie die ID der
Endpunktnetzwerkschnittstelle in jedem Subnetz, wählen Sie Subnets.
5. Um die Sicherheitsgruppen anzuzeigen, die einer Endpunktnetzwerkschnittstelle zugeordnet sind,
wählen Sie Security Groups.

Command line

So beschreiben Sie Ihren Schnittstellenendpunkt mithilfe der AWS CLI

• Sie können Ihren Endpunkt mit dem Befehl describe-vpc-endpoints beschreiben.

aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-088d25a4bbf4a7abc

So beschreiben Sie Ihre VPC-Endpunkte unter Verwendung von AWS Tools for PowerShell
oder API:

• Get-EC2VpcEndpoint (Tools for Windows PowerShell)
• DescribeVpcEndpoints (Amazon EC2-Abfrage-API)

Amazon Virtual Private Cloud AWS PrivateLink
Erstellen und Verwalten einer Benachrichtigung
für einen Schnittstellenendpunkt

Erstellen und Verwalten einer Benachrichtigung für
einen Schnittstellenendpunkt
Sie können eine Benachrichtigung erstellen, um Warnungen bei bestimmten Ereignissen zu erhalten,
die auf Ihrem Schnittstellenendpunkt stattfinden. Beispielsweise können Sie eine E-Mail erhalten, wenn
ein Schnittstellenendpunkt vom Service-Anbieter akzeptiert wird. Um eine Benachrichtigung zu erstellen,
müssen Sie dieser ein Amazon SNS-Thema zuordnen. Sie können das SNS-Thema abonnieren, um eine
E-Mail-Benachrichtigung zu erhalten, wenn ein Endpunktereignis auftritt.

Das Amazon SNS-Thema, das Sie für Benachrichtigungen verwenden, muss eine Themen-Richtlinie
haben, die es dem VPC-Endpunktservice von Amazon gestattet, Benachrichtigungen für Sie zu
veröffentlichen. Stellen Sie sicher, dass Sie die folgende Anweisung in Ihre Themenrichtlinie aufnehmen.
Weitere Informationen finden Sie unter Identity and Access Management in Amazon SNS im Amazon
Simple Notification Service-Entwicklerhandbuch.

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpce.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:region:account:topic-name"
}
]
}

Command line

So erstellen und verwalten Sie eine Benachrichtigung mit der AWS CLI

1. Um eine Benachrichtigung für einen Schnittstellendpunkt zu erstellen, verwenden Sie den
Befehl create-vpc-endpoint-connection-notification . Geben Sie den ARN des SNS-Themas, die
Ereignisse, über die benachrichtigt werden sollen, und die ID des Endpunkts an, wie im folgenden
Beispiel dargestellt.

aws ec2 create-vpc-endpoint-connection-notification --connection-notification-
arn arn:aws:sns:us-east-2:123456789012:EndpointNotification --connection-events
Accept Reject --vpc-endpoint-id vpce-123abc3420c1931d7

2. Um Ihre Benachrichtigungen anzuzeigen, führen Sie den Befehl describe-vpc-endpoint-
connection-notifications aus.

aws ec2 describe-vpc-endpoint-connection-notifications

3. Um das SNS-Thema oder Endpunkt-Ereignisse für die Benachrichtigung zu ändern, verwenden
Sie den Befehl modify-vpc-endpoint-connection-notification.

aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-
id vpce-nfn-008776de7e03f5abc --connection-events Accept --connection-notification-
arn arn:aws:sns:us-east-2:123456789012:mytopic

4. Um eine Benachrichtigung zu löschen, führen Sie den Befehl delete-vpc-endpoint-connection-
notifications aus.

Amazon Virtual Private Cloud AWS PrivateLink
Zugriff auf einen Service über einen Schnittstellenendpunkt

aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-
ids vpce-nfn-008776de7e03f5abc

Zugriff auf einen Service über einen
Schnittstellenendpunkt
Nachdem Sie einen Schnittstellenendpunkt erstellt haben, können Sie Anfragen an den unterstützten
Service über eine Endpunkt-URL stellen. Sie können die folgende Abfrage verwenden:

• Wenn Sie ein privates DNS für den Endpunkt aktiviert haben (eine private gehostete Zone, nur gültig für
AWS-Services und AWS Marketplace-Partnerservices), den DNS-Standardhostnamen für den AWS-
Service für die Region. Beispielsweise ec2.us-east-1.amazonaws.com.
Important

Privates DNS wird für Amazon S3-Schnittstellenendpunkte nicht unterstützt.
• Den endpunktspezifischen regionalen DNS-Hostnamen, den wir für den Schnittstellenendpunkt
erzeugen. Der Hostname enthält einen eindeutigen Endpunktbezeichner, eine Service-
ID, die Region und vpce.amazonaws.com in seinem Namen. Beispielsweise
vpce-0fe5b17a0707d6abc-29p5708s.ec2.us-east-1.vpce.amazonaws.com.
• Den endpunktspezifischen zonenspezifischen DNS-Hostnamen, den wir für jede Availability Zone
erzeugen, in der der Endpunkt zur Verfügung steht. Der Hostname enthält die Availability Zone in
seinem Namen. Beispielsweise vpce-0fe5b17a0707d6abc-29p5708s-us-east-1a.ec2.us-
east-1.vpce.amazonaws.com. Sie können diese Option verwenden, wenn Ihre Architektur Availability
Zones isoliert (z. B. zur Fehlerbegrenzung oder zur Reduzierung regionaler Datenübertragungskosten).

Eine Anfrage an den zonenspezifischen DNS-Hostnamen wird an den entsprechenden Standort der
Availability Zone im Konto des Dienstanbieters gerichtet, der möglicherweise nicht dieselbe Availability
Zone wie Ihr Konto hat. Weitere Informationen finden Sie unter Regionen und Availability Zone –
Konzepte.
• Die private IP-Adresse der Endpunktnetzwerkschnittstelle in der VPC.

Informationen zum Abrufen der regionalen und zonenspezifischen DNS-Namen finden Sie unter Anzeigen
Ihres Schnittstellenendpunkts (p. 13).

Beispielsweise verwenden Sie in einem Subnetz, in dem Sie einen Schnittstellenendpunkt für Elastic Load
Balancing haben, und für das Sie die Option eines privaten DNS nicht aktiviert haben, den folgenden
AWS CLI-Befehl aus einer Instance, um Ihre Load Balancer zu beschreiben. Der Befehl verwendet den
endpunktspezifischen regionalen DNS-Hostnamen, um die Anfrage über den Schnittstellenendpunkt zu
stellen.

aws elbv2 describe-load-balancers --endpoint-url https://vpce-0f89a33420c193abc-
bluzidnv.elasticloadbalancing.us-east-1.vpce.amazonaws.com/

Wenn Sie die Option für das private DNS aktivieren, müssen Sie in der Anfrage die Endpunkt-URL
nicht angeben. Die AWS CLI verwendet den Standardendpunkt für den AWS-Service für die Region
(elasticloadbalancing.us-east-1.amazonaws.com).

Ändern eines Schnittstellenendpunkts
Sie können die folgenden Attribute eines Schnittstellenendpunkts ändern:

Amazon Virtual Private Cloud AWS PrivateLink
                             Ändern eines Schnittstellenendpunkts

• Das Subnetz, in dem sich der Schnittstellendpunkt befindet
• Die Sicherheitsgruppen, die der Endpunkt-Netzwerkschnittstelle zugeordnet sind
• Die Tags
• Die private DNS-Option
         Note

         Wenn Sie private DNS aktivieren, kann es einige Minuten dauern, bis die privaten IP-Adressen
         verfügbar sind.
• Die Endpunktrichtlinie (sofern vom Service unterstützt)

Wenn Sie ein Subnetz für den Schnittstellenendpunkt entfernen, wird die entsprechende
Endpunktnetzwerkschnittstelle im Subnetz gelöscht.

Console

    So ändern Sie die Subnetze für einen Schnittstellenendpunkt

    1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
    2.     Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus.
    3.     Wählen Sie Actions, Manage Subnets.
    4.     Wählen Sie Subnetze aus bzw. heben Sie die Auswahl auf und klicken Sie anschließend auf
           Modify Subnets.

    So fügen Sie Sicherheitsgruppen hinzu, die einem Schnittstellenendpunkt zugeordnet sind,
    oder entfernen diese

    1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
    2.     Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus.
    3.     Wählen Sie Actions, Manage security groups.
    4.     Wählen Sie Sicherheitsgruppen aus bzw. heben Sie die Auswahl auf und klicken Sie anschließend
           auf Save (Speichern).

    So verfahren Sie zum Hinzufügen oder Entfernen eines Schnittstellenendpunkt-Tags

    1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
    2.     Wählen Sie im Navigationsbereich Endpoints (Endpunkte) aus.
    3.     Wählen Sie den Schnittstellenendpunkt und danach Actions (Aktionen), Add/Edit Tags (Tags
           hinzufügen/bearbeiten) aus.
    4.     Hinzufügen oder Entfernen eines Tag.

           [Tag hinzufügen] Wählen Sie Create tag (Tag erstellen) und führen Sie die folgenden Schritte aus:
           •    Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein.
           •    Geben Sie bei Value (Wert) den Wert des Schlüssels ein.

           [Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert des
           Tags.

    So ändern Sie die private DNS-Option:

    1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

                                                16

Amazon Virtual Private Cloud AWS PrivateLink
Gateway Load Balancer-Endpunkte

2. Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus.
3. Wählen Sie Actions (Aktionen), Modify Private DNS names (Private DNS-Namen ändern).
4. Stellen Sie die Option nach Bedarf ein, und wählen Sie Modify Private DNS names (Private DNS-
Namen ändern).

So aktualisieren Sie die Endpunktrichtlinie:

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
2. Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus.
3. Wählen Sie Actions und dann Edit policy.
4. Wählen Sie Full Access (Voller Zugriff), um vollen Zugriff auf den Service zu gewähren, oder
wählen Sie Custom (Benutzerdefiniert), und geben Sie eine benutzerdefinierte Richtlinie an.
Wählen Sie Save (Speichern) aus.

Command line

So ändern Sie einen VPC-Endpunkt mit der AWS CLI-Konsole

1. Verwenden Sie den Befehl describe-vpc-endpoints, um die ID Ihres Schnittstellenendpunkts
anzufordern.

aws ec2 describe-vpc-endpoints

2. Das folgende Beispiel verwendet den Befehl modify-vpc-endpoint, um dem Schnittstellenendpunkt
das Subnetz subnet-aabb1122 zuzuordnen.

aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-0fe5b17a0707d6abc --add-subnet-
id subnet-aabb1122

So ändern Sie einen VPC-Endpunkt mit AWS Tools for Windows PowerShell oder einer API

• Edit-EC2VpcEndpoint (AWS Tools for Windows PowerShell)
• ModifyVpcEndpoint (Amazon EC2-Abfrage-API)

So verfahren beim Hinzufügen oder Entfernen eines VPC-Endpunkt-Tags mithilfe von AWS
Tools for Windows PowerShell oder einer API

• tag-resource (AWS CLI)
• TagResource (AWS Tools for Windows PowerShell)
• untag-resource (AWS CLI)
• TagResource (AWS Tools for Windows PowerShell)

Gateway Load Balancer-Endpunkte (AWS
PrivateLink)
Ein Gateway Load Balancer-Endpunkt ermöglicht es Ihnen, Datenverkehr abzufangen und an einen Dienst
weiterzuleiten, den Sie mit Gateway Load Balancerskonfiguriert haben, z. B. zur Sicherheitsinspektion. Der

Sie können auch lesen