Amazon Virtual Private Cloud - AWS PrivateLink

Die Seite wird erstellt Thomas Fischer
 
WEITER LESEN
Amazon Virtual Private Cloud - AWS PrivateLink
Amazon Virtual Private Cloud
       AWS PrivateLink
Amazon Virtual Private Cloud - AWS PrivateLink
Amazon Virtual Private Cloud AWS PrivateLink

Amazon Virtual Private Cloud: AWS PrivateLink
Copyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Die Marken und Handelsmarken von Amazon dürfen nicht in einer Weise in Verbindung mit nicht von Amazon
stammenden Produkten oder Services verwendet werden, die geeignet ist, Kunden irrezuführen oder Amazon in
irgendeiner Weise herabzusetzen oder zu diskreditieren. Alle anderen Marken, die nicht im Besitz von Amazon sind,
gehören den jeweiligen Besitzern, die möglicherweise mit Amazon verbunden sind oder von Amazon gesponsert
werden.
Amazon Virtual Private Cloud AWS PrivateLink

Table of Contents
  Was ist AWS PrivateLink? ................................................................................................................... 1
       VPC-Endpunktkonzepte ............................................................................................................... 1
       Arbeiten mit VPC-Endpunkten ...................................................................................................... 2
       Beispiel-Endpunktkonfigurationen .................................................................................................. 2
       Endpunktpreise .......................................................................................................................... 2
  VPC-Endpunkte .................................................................................................................................. 3
       Schnittstellenendpunkte ............................................................................................................... 3
             Private DNS für Schnittstellenendpunkte ................................................................................ 5
             Eigenschaften und Beschränkungen von Schnittstellenendpunkten ............................................. 7
             Verbindung mit On-Premises-Rechenzentren .......................................................................... 7
             Lebenszyklus eines Schnittstellenendpunkts ........................................................................... 8
             Überlegungen zur Availability Zone eines Schnittstellenendpunkts .............................................. 8
             Anzeigen der verfügbaren AWS-Servicenamen ....................................................................... 8
             Erstellen eines Schnittstellenendpunkts .................................................................................. 9
             Anzeigen Ihres Schnittstellenendpunkts ................................................................................ 13
             Erstellen und Verwalten einer Benachrichtigung für einen Schnittstellenendpunkt ......................... 14
             Zugriff auf einen Service über einen Schnittstellenendpunkt ..................................................... 15
             Ändern eines Schnittstellenendpunkts .................................................................................. 15
       Gateway Load Balancer-Endpunkte ............................................................................................. 17
             Eigenschaften und Einschränkungen des Gateway Load Balancer-Endpunkts ............................. 18
             Lebenszyklus von Gateway Load Balancer-Endpunkten .......................................................... 19
             Preise für Gateway-Load-Balancer-Endpunkte ....................................................................... 19
             Erstellen eines Gateway-Load-Balancer-Endpunkts ................................................................ 20
             Anzeigen Ihres Gateway Load Balancer-Endpunkts ................................................................ 20
             Hinzufügen oder Entfernen von Tags für einen Gateway Load Balancer-Endpunkts ...................... 21
       Gateway-Endpunkte .................................................................................................................. 21
             Preise für Gateway-Endpunkte ............................................................................................ 23
             Routing für Gateway-Endpunkte .......................................................................................... 23
             Beschränkungen von Gateway-Endpunkten .......................................................................... 25
             Endpunkte für Amazon S3 ................................................................................................. 25
             Endpunkte für Amazon DynamoDB ...................................................................................... 33
             Erstellen eines Gateway-Endpunkts ..................................................................................... 35
             Ändern Sie Ihre Sicherheitsgruppe ...................................................................................... 37
             Ändern eines Gateway-Endpunkts ....................................................................................... 38
             Hinzufügen oder Entfernen eines Gateway-Endpunkt-Tags ...................................................... 39
       Steuern des Zugriffs auf Services ................................................................................................ 39
             Verwenden von VPC-Endpunktrichtlinien .............................................................................. 40
             Sicherheitsgruppen ............................................................................................................ 40
       Löschen eines VPC-Endpunktes ................................................................................................. 41
  VPC-Endpunkt-Services ..................................................................................................................... 42
       VPC-Endpunktdienste für Schnittstellen-Endpunkte ........................................................................ 42
             Überlegungen zur Availability Zone des Endpunktservice ........................................................ 44
             DNS-Namen des Endpunktservice ....................................................................................... 44
             Verbindung mit On-Premises-Rechenzentren .......................................................................... 7
             Zugriff auf Services über eine VPC-Peering-Verbindung .......................................................... 45
             Verwenden des Proxy-Protokolls für Verbindungsinformationen ................................................ 45
             Regeln und Einschränkungen ............................................................................................. 45
       VPC-Endpunktdienste für Gateway Load Balancer-Endpunkte .......................................................... 46
             Überlegungen zu Availability Zones ..................................................................................... 47
             Regeln und Einschränkungen ............................................................................................. 48
       VPC-Endpunktservicekonfiguration für Schnittstellenendpunkte erstellen ............................................ 48
       VPC-Endpunktservicekonfiguration für Gateway Load Balancer-Endpunkte erstellen ............................ 50
       Berechtigungen für Ihren Endpunktservice hinzufügen und entfernen ................................................ 51
       Ändern der Endpunktservice-Konfiguration .................................................................................... 52

                                                                       iii
Amazon Virtual Private Cloud AWS PrivateLink

       Akzeptieren und Ablehnen von Endpunkt-Verbindungsanfragen ab ...................................................                              53
       Benachrichtigung für einen Endpunktservice erstellen und verwalten .................................................                          55
       Hinzufügen oder Entfernen eines VPC-Endpunktservice-Tags ..........................................................                           57
       Eine Endpunktservice-Konfiguration löschen .................................................................................                  58
Identity and Access Management ........................................................................................................              60
Private DNS-Namen ..........................................................................................................................         63
       Überlegungen zur Domänennamensverifizierung ............................................................................                      64
       Verifizierung eines privaten DNS-Namens des VPC-Endpunktservice ................................................                              64
              Fügen Sie einen TXT-Datensatz zum DNS-Server der Domäne hinzu .......................................                                  65
       Ändern des privaten DNS-Namens eines vorhandenen Endpunktservice ............................................                                 66
       Anzeigen der privaten DNS-Namenskonfiguration eines Endpunktservice ...........................................                               67
       Manuelles Starten der Verifizierung der privaten DNS-Namensdomäne des Endpunktservice .................                                       67
       Entfernen des privaten DNS-Namens des Endpunktservice .............................................................                           68
       TXT-Datensätze für die Domänenverifizierung eines privaten DNS-Namens .......................................                                 68
       Problembehandlung bei allgemeinen Domänenverifizierungsproblemen .............................................                                70
              Probleme mit der Domänenverifizierung ...............................................................................                  70
              So überprüfen Sie Einstellungen für die Domänenverifizierung .................................................                         71
Services, AWS PrivateLink unterstützen ...............................................................................................               73
       Anzeigen der verfügbaren AWS-Servicenamen ..............................................................................                      79
CloudWatch-Metriken .........................................................................................................................        81
       Endpunkt-Metriken und -Dimensionen ..........................................................................................                 81
       Endpunktservicemetriken und -dimensionen ..................................................................................                   83
       CloudWatch-Metriken anzeigen ...................................................................................................              85
Kontingente ......................................................................................................................................   87
Dokumentverlauf ...............................................................................................................................      88

                                                                       iv
Amazon Virtual Private Cloud AWS PrivateLink
                                       VPC-Endpunktkonzepte

AWS PrivateLink und VPC-
Endpunkte
    AWS PrivateLink ist eine leicht zugängliche, skalierbare Technologie, die Ihnen ermöglicht, Ihre VPC privat
    mit unterstützten AWS-Services, von anderen AWS-Konten gehostete Services (VPC-Endpunktservices)
    und unterstützten AWS Marketplace-Partnerservices zu verbinden. Sie benötigen kein Internet-Gateway,
    kein NAT-Gerät, keine öffentliche IP-Adresse und auch keine AWS Direct Connect- oder AWS Site-to-
    Site VPN-Verbindung, um mit dem Service zu kommunizieren. Daher steuern Sie die spezifischen API-
    Endpunkte, Websites und Services, die von Ihrer VPC aus erreichbar sind.

    Sie können Ihren eigenen von AWS PrivateLink gestützten VPC-Endpunkt-Service erstellen und anderen
    AWS-Kunden Zugriff auf Ihren Service erteilen.

VPC-Endpunktkonzepte
    Die wichtigsten Konzepte für VPC-Endpunkte sind folgende:

    • VPC-Endpunkt — Der Eintrittspunkt in Ihrer VPC, über den Sie eine private Verbindung zu einem Dienst
      herstellen können. Im Folgenden werden die verschiedenen Arten von VPC-Endpunkten beschrieben.
      Erstellen Sie die Art von VPC-Endpunkt, die von dem unterstützten Service benötigt wird.
      • Gateway-Endpunkt (p. 21)
      • Schnittstellenendpunkt (p. 3)
      • Gateway Load Balancer-Endpunkt (p. 17)
    • Endpunktservice – Ihre eigene Anwendung in Ihrer VPC. Andere AWS-Prinzipale können einen Endpunkt
      von ihrer VPC zu Ihrem Endpunktservice herstellen.

    Um AWS PrivateLink zu verwenden, erstellen Sie einen VPC-Endpunkt für einen Service in Ihrer VPC.
    Erstellen Sie die Art von VPC-Endpunkt, die von dem unterstützten Service benötigt wird. Damit wird eine
    Elastic Network-Schnittstelle in Ihrem Subnetz mit einer privaten IP-Adresse erstellt, die als Eintrittspunkt
    für Datenverkehr zu einem unterstützten Service dient. Das folgende Diagramm zeigt die grundlegende
    Architektur einer sicheren Verbindungen zwischen einer VPC und einem AWS-Service, der AWS
    PrivateLink unterstützt.

                                                    1
Amazon Virtual Private Cloud AWS PrivateLink
                                  Arbeiten mit VPC-Endpunkten

Arbeiten mit VPC-Endpunkten
    Sie können VPC-Endpunkte mit einer der folgenden Funktionen erstellen, darauf zugreifen und verwalten:

    • AWS Management Console — Bietet eine Webschnittstelle für den Zugriff auf Ihre VPC-Endpunkte.
    • AWS Command Line Interface (AWS CLI) stellt Befehle für eine breite Palette von AWS-Services bereit,
      Amazon VPC. Die AWS CLI wird unter Windows, macOS und Linux unterstützt. Weitere Informationen
      finden Sie unter AWS Command Line Interface.
    • AWSSDKs – Geben sprachspezifische APIs an. Die SDKs kümmern sich um viele der
      Verbindungsdetails, wie z. B. das Berechnen von Signaturen, die Verarbeitung von
      Anforderungswiederholungen und die Behandlung von Fehlern. Weitere Informationen finden Sie unter
      AWS-SDKs.
    • Abfrage-API – Bietet API-Aktionen auf niedriger Ebene, die Sie mithilfe von HTTPS-Anforderungen
      aufrufen. Die Verwendung der Abfrage-API ist die direkteste Möglichkeit für den Zugriff auf Amazon VPC.
      Allerdings müssen dann viele technische Abläufe, wie beispielsweise das Erzeugen des Hashwerts zum
      Signieren der Anforderung und zur Fehlerbehandlung, in der Anwendung durchgeführt werden. Weitere
      Informationen finden Sie in der Amazon EC2 API-Referenz.

Beispiel-Endpunktkonfigurationen
    Informationen zu AWS PrivateLink und VPC-Peering-Beispielen finden Sie unter Beispiele: Services mit
    AWS PrivateLink und VPC Peering im Amazon-VPC-Benutzerhandbuch.

Endpunktpreise
    Weitere Informationen zu Preisen für Endpunkte finden Sie unter AWS PrivateLink– Preise.

                                                  2
Amazon Virtual Private Cloud AWS PrivateLink
                                        Schnittstellenendpunkte

VPC-Endpunkte
    Ein VPC-Endpunkt ermöglicht Verbindungen zwischen einer Virtual Private Cloud (VPC) und unterstützten
    Diensten, ohne dass Sie ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct
    Connect-Verbindung verwenden müssen. Daher steuern Sie die spezifischen API-Endpunkte, Websites
    und Services, die von Ihrer VPC aus erreichbar sind.

    VPC Endpunkte sind virtuelle Geräte. Es handelt sich bei ihnen um horizontal skalierte, redundante und
    hochverfügbare VPC-Komponenten. Im Folgenden werden die verschiedenen Arten von VPC-Endpunkten
    beschrieben. Erstellen Sie die Art von VPC-Endpunkt, die von dem unterstützten Service benötigt wird.

    Schnittstellenendpunkte

    Ein Schnittstellenendpunkt (p. 3) ist eine Elastic Network-Schnittstelle mit einer privaten IP-Adresse
    aus dem IP-Adressbereich Ihres Subnetzes. Er dient als Eintrittspunkt für Datenverkehr an einen Dienst,
    der im Besitz von AWS oder im Besitz eines AWS-Kunden oder -Partners ist. Eine Liste der AWS-
    Services, die mit AWS PrivateLink integriert werden können, finden Sie unter Services, AWS PrivateLink
    unterstützen (p. 73).

    Die stündliche Nutzung und Datenverarbeitungsgebühren werden Ihnen in Rechnung gestellt. Weitere
    Informationen finden Sie auf Preise zu Schnittstellenendpunkte.

    Gateway Load Balancer-Endpunkte

    Ein Gateway Load Balancer-Endpunkt (p. 17) ist eine Elastic Network-Schnittstelle mit einer privaten
    IP-Adresse aus dem IP-Adressbereich Ihres Subnetzes. Er dient als Eintrittspunkt, um den Datenverkehr
    abzufangen und an ein Netzwerk oder einen Sicherheitsdienst weiterzuleiten, den Sie mit einem Gateway
    Load Balancer konfiguriert haben. Sie geben einen Gateway Load Balancer-Endpunkt als Ziel für eine
    Route in einer Routingtabelle an. Gateway-Load-Balancer-Endpunkte werden nur für Endpunktdienste
    unterstützt, die ausschließlich mit einem Gateway Load Balancer konfiguriert sind.

    Die stündliche Nutzung und Datenverarbeitungsgebühren werden Ihnen in Rechnung gestellt. Weitere
    Informationen finden Sie auf Preise zu Gateway-Load-Balancer-Endpunkte.

    Gateway-Endpunkte

    Ein Gateway-Endpunkt (p. 21) ist ein Gateway, das ein Ziel für eine in Ihrer Routing-Tabelle
    angegebene Route ist und das für Datenverkehr zu Amazon S3 oder DynamoDB verwendet wird.

    Für die Nutzung von Gateway-Endpunkten fallen keine Gebühren an.

    Amazon S3 unterstützt sowohl Gateway-Endpunkte als auch Schnittstellenendpunkte. Einen Vergleich der
    beiden Optionen finden Sie unter Arten von VPC-Endpunkten für Amazon S3 im Benutzerhandbuch zu
    Amazon S3.

Schnittstellen-VPC-Endpunkte (AWS PrivateLink)
    Ein Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt) ermöglicht Ihnen, eine Verbindung zu Services
    einzurichten, die von AWS PrivateLink bereitgestellt werden. Zu diesen Services gehören verschiedene
    AWS-Services, die von anderen AWS-Kunden und -Partnern in ihren eigenen VPCs gehostet werden (auch
    als Endpunktservices bezeichnet), sowie unterstützte AWS Marketplace-Partnerservices. Der Eigentümer
    des Service ist der Service-Anbieter, und Sie, als der Prinzipal, der den Schnittstellenendpunkt erstellt, sind
    der Service-Verbraucher.

    Nachfolgend finden Sie die allgemeinen Schritte für die Einrichtung eines Schnittstellenendpunkts:

                                                    3
Amazon Virtual Private Cloud AWS PrivateLink
                                    Schnittstellenendpunkte

1. Wählen Sie die VPC, in der der Schnittstellenendpunkt erstellt werden soll, und geben Sie den Namen
   des AWS-Service, des Endpunktservice oder des AWS Marketplace-Service an, zu dem Sie eine
   Verbindung einrichten.
2. Wählen Sie ein Subnetz in Ihrer VPC, um den Schnittstellenendpunkt zu verwenden. Wir erstellen
   eine Endpunktnetzwerkschnittstelle im Subnetz. Einer Endpunkt-Netzwerkschnittstelle wird eine
   private IP-Adresse aus dem IP-Adressbereich Ihres Subnetzes zugewiesen und behält diese IP-
   Adresse so lange bei, bis der Schnittstellenendpunkt gelöscht wird. Sie können mehrere Subnetze in
   unterschiedlichen Availability Zones angeben (wie vom Service unterstützt), um sicherzustellen, dass Ihr
   Schnittstellenendpunkt robust gegenüber Ausfällen von Availability Zone ist. In diesem Fall erstellen wir
   in jedem von Ihnen angegebenen Subnetz eine Endpunktnetzwerkschnittstelle.
         Note

         Eine Endpunkt- Netzwerkschnittstelle ist eine vom Anforderer verwaltete Netzwerkschnittstelle.
         Sie können sie in Ihrem Konto anzeigen, aber Sie können sie nicht selbst verwalten. Weitere
         Informationen finden Sie unter Anforderer-verwaltete Netzwerkschnittstellen.
3. Geben Sie die Sicherheitsgruppen an, die der Endpunktnetzwerkschnittstelle zugeordnet werden sollen.
   Die Regeln der Sicherheitsgruppen kontrollieren den Datenverkehr zu der Endpunktnetzwerkschnittstelle
   von Ressourcen in Ihrer VPC. Wenn Sie keine Sicherheitsgruppen-ID angeben, ordnen wir der VPC die
   Standardsicherheitsgruppe zu.
4. (Optional, nur AWS-Services und AWS Marketplace-Partnerservices) Aktivieren Sie ein privates
   DNS (p. 5) für den Endpunkt, um Anfragen über den DNS-Standardhostnamen an den Service
   stellen zu können.
         Important

         Ein privates DNS ist standarmäßig für Endpunkte aktiviert, die für AWS-Services und AWS
         Marketplace-Partnerservices erstellt wurden.
         Private DNS ist in den anderen Subnetzen aktiviert, die sich in derselben VPC und Availability
         Zone oder Local Zone befinden.
5. Wenn sich der Serviceanbieter und der Konsument in verschiedenen Konten befinden, finden Sie unter
   the section called “Überlegungen zur Availability Zone eines Schnittstellenendpunkts” (p. 8) weitere
   Informationen zur Verwendung von Availability Zone-IDs zum Identifizieren der Availability Zone des
   Schnittstellenendpunkts.
6. Nachdem Sie den Schnittstellenendpunkt erstellt haben, steht er für die Nutzung zur Verfügung, sobald
   er vom Service-Anbieter akzeptiert wurde. Der Service-Anbieter muss den Service so konfigurieren,
   dass Anfragen automatisch akzeptiert werden oder diese manuell genehmigt werden müssen. AWS-
   Services und AWS Marketplace-Services akzeptieren allgemein alle Endpunktanfragen automatisch.
   Weitere Informationen zum Lebenszyklus eines Endpunkts finden Sie unter Lebenszyklus eines
   Schnittstellenendpunkts (p. 8).

Services können keine Anfragen an Ressourcen in Ihrer VPC über den Endpunkt veranlassen. Ein
Endpunkt gibt nur Antworten auf Datenverkehr zurück, der von Ressourcen in Ihrer VPC ausgeht.
Bevor Sie einen Service oder einen Endpunkt integrieren, überprüfen Sie die Dokumentation des
servicespezifischen VPC-Endpunkts auf servicespezifische Konfigurationen und Einschränkungen.

Inhalt
 • Private DNS für Schnittstellenendpunkte (p. 5)
 • Eigenschaften und Beschränkungen von Schnittstellenendpunkten (p. 7)
 • Verbindung mit On-Premises-Rechenzentren (p. 7)
 • Lebenszyklus eines Schnittstellenendpunkts (p. 8)
 • Überlegungen zur Availability Zone eines Schnittstellenendpunkts (p. 8)
 • Anzeigen der verfügbaren AWS-Servicenamen (p. 8)
 • Erstellen eines Schnittstellenendpunkts (p. 9)

                                                 4
Amazon Virtual Private Cloud AWS PrivateLink
                          Private DNS für Schnittstellenendpunkte

 • Anzeigen Ihres Schnittstellenendpunkts (p. 13)
 • Erstellen und Verwalten einer Benachrichtigung für einen Schnittstellenendpunkt (p. 14)
 • Zugriff auf einen Service über einen Schnittstellenendpunkt (p. 15)
 • Ändern eines Schnittstellenendpunkts (p. 15)

Private DNS für Schnittstellenendpunkte
    Important

    Privates DNS wird für Amazon S3-Schnittstellenendpunkte nicht unterstützt.

Wenn Sie einen Schnittstellenendpunkt erstellen, erzeugen wir endpunktspezifische DNS-Hostnamen, die
Sie verwenden können, um mit dem Service zu kommunizieren. Bei AWS-Services und AWS Marketplace-
Partnerservices ordnet eine private DNS-Option (standardmäßig aktiviert) Ihrer VPC eine private gehostete
Zone zu. Die gehostete Zone enthält einen Datensatz für den DNS-Standardnamen für den Service (z. B.
ec2.us-east-1.amazonaws.com), der in die privaten IP-Adressen der Endpunktnetzwerkschnittstellen
in Ihrer VPC aufgelöst wird. Auf diese Weise können Sie Anfragen über den DNS-Standardhostnamen an
den Service stellen, statt die endpunktspezifischen DNS-Hostnamen verwenden zu müssen. Wenn Ihre
vorhandenen Anwendungen beispielsweise Anfragen an einen AWS-Service stellen, können sie weiterhin
Anfragen über den Schnittstellenendpunkt machen, ohne dass Konfigurationsänderungen notwendig sind.

Im Beispiel im folgenden Diagramm gibt es einen Schnittstellen-Endpunkt für Amazon Kinesis Data
Streams und eine Endpunkt-Netzwerkschnittstelle in Subnetz 2. Für den Schnittstellenendpunkt ist das
private DNS deaktiviert. Die Routing-Tabellen für die Subnetze enthalten die folgenden Routen.

 Subnetz 1

 Ziel                                                 Ziel

 10.0.0.0/16                                          Local

 0.0.0.0/0                                            internet-gateway-id

 Subnetz 2

 Ziel                                                 Ziel

 10.0.0.0/16                                          Local

Instances in jedem Subnetz können Anforderungen an Amazon Kinesis Data Streams über den
Schnittstellendpunkt unter Verwendung eines endpunktspezifischen DNS-Hostnamens senden. Instances
in Subnetz 1 können über den öffentlichen IP-Adressraum in der AWS-Region unter Verwendung des
Standard-DNS-Namens mit Amazon Kinesis Data Streams kommunizieren.

                                              5
Amazon Virtual Private Cloud AWS PrivateLink
                         Private DNS für Schnittstellenendpunkte

Im nächsten Diagramm ist privates DNS für den Endpunkt aktiviert. Instances in einem Subnetz können
Anforderungen an Amazon Kinesis Data Streams über den Schnittstellendpunkt senden, indem sie
entweder den standardmäßigen DNS-Hostnamen oder den endpunktspezifischen DNS-Hostnamen
verwenden.

    Important

    Zur Verwendung eines privaten DNS müssen Sie die folgenden VPC-Attribute auf true setzen:
    enableDnsHostnames und enableDnsSupport. Weitere Informationen finden Sie unter
    Anzeigen und Aktualisieren der DNS-Unterstützung für Ihre VPC. IAM-Benutzer benötigen
    die Berechtigung für die Arbeit in gehosteten Zonen. Weitere Informationen finden Sie unter
    Authentifizierung und Zugriffskontrolle für Route 53.

                                             6
Amazon Virtual Private Cloud AWS PrivateLink
                            Eigenschaften und Beschränkungen
                               von Schnittstellenendpunkten

Eigenschaften und Beschränkungen von
Schnittstellenendpunkten
Machen Sie sich bei der Verwendung von Schnittstellenendpunkten ihre Eigenschaften und aktuellen
Beschränkungen bewusst:

• Sie können für jeden Schnittstellenendpunkt nur ein Subnetz pro Availability Zone auswählen.
• Die Services stehen möglicherweise nicht in allen Availability Zones über einen Schnittstellenendpunkt
  zur Verfügung. Um festzustellen, welche Availability Zones unterstützt werden, verwenden Sie den
  Befehl describe-vpc-endpoint-services oder verwenden die Amazon VPC-Konsole. Weitere Informationen
  finden Sie unter Erstellen eines Schnittstellenendpunkts (p. 9).
• Wenn Sie einen Schnittstellenendpunkt erstellen, wird der Endpunkt in der Availability Zone erstellt, die
  Ihrem Konto zugeordnet und unabhängig von anderen Konten ist. Wenn sich der Serviceanbieter und
  der Konsument in verschiedenen Konten befinden, finden Sie unter the section called “Überlegungen zur
  Availability Zone eines Schnittstellenendpunkts” (p. 8) weitere Informationen zur Verwendung von
  Availability Zone-IDs zum Identifizieren der Availability Zone des Schnittstellenendpunkts.
• Wenn der Dienstanbieter und der Verbraucher unterschiedliche Konten haben sowie mehrere Availability
  Zones verwenden und der Verbraucher die VPC-Endpunktserviceinformationen anzeigt, enthält die
  Antwort nur die allgemeinen Availability Zones. Wenn das Dienstanbieterkonto beispielsweise us-
  east-1a und us-east-1c verwendet und der Verbraucher verwendet us-east-1a und us-east-1b,
  enthält die Antwort die VPC-Endpunktservices in der allgemeinen Availability Zone us-east-1a.
• Jeder Schnittstellenendpunkt kann standardmäßig eine Bandbreite von bis zu 10 GBit/s pro Availability
  Zone und Spitzen von bis zu 40 Gbit/s unterstützen. Wenn Ihre Anwendung höhere Spitzen oder
  anhaltenden Durchsatz benötigt, wenden Sie sich an den AWS-Support.
• Wenn die Netzwerk-ACL für Ihr Subnetz den Datenverkehr beschränkt, können Sie möglicherweise
  keinen Verkehr über die Endpunkt-Netzwerkschnittstelle senden. Stellen Sie sicher, dass Sie geeignete
  Regeln hinzufügen, die Datenverkehr zum und vom CIDR-Block des Subnetzes zulassen.
• Stellen Sie sicher, dass die Sicherheitsgruppe, die der Endpunkt-Netzwerkschnittstelle zugeordnet ist,
  die Kommunikation zwischen der Endpunkt-Netzwerkschnittstelle und den Ressourcen in Ihrer VPC
  ermöglicht, die mit dem Service kommunizieren. Um sicherzustellen, dass Befehlszeilentools wie AWS
  CLI über HTTPS Anforderungen von Ressourcen in der VPC an einen AWS-Service stellen können,
  muss die Sicherheitsgruppe eingehenden HTTPS-Datenverkehr (Port 443) zulassen.
• Ein Schnittstellenendpunkt unterstützt nur TCP-Verkehr.
• Wenn Sie einen Endpunkt erstellen, können Sie ihm eine Endpunktrichtlinie zuweisen, die den Zugriff
  auf den Service, mit dem Sie eine Verbindung herstellen, steuert. Weitere Informationen finden Sie unter
  Bewährte Methoden für Richtlinien und the section called “Steuern des Zugriffs auf Services” (p. 39).
• Überprüfen Sie die servicespezifischen Grenzwerte für Ihren Endpunktservice.
• Teilnehmer können keine Amazon Route53-Resolver-Endpunkte in einer VPC erstellen, die sie nicht
  besitzen. Nur der VPC Besitzer kann Ressourcen wie eingehende Endpunkte auf VPC-Ebene erstellen.
• Endpunkte werden nur innerhalb derselben Region unterstützt. Sie können keinen Endpunkt zwischen
  einer VPC und einem Service in einer anderen Region erstellen.
• Für Endpunkte wird nur IPv4-Datenverkehr unterstützt.
• Sie können einen Endpunkt nicht von einer VPC auf eine andere oder von einem Service auf einen
  anderen übertragen.
• Die Anzahl der Endpunkte, die Sie pro VPC erstellen können, ist kontingentiert. Weitere Informationen
  finden Sie unter AWS PrivateLink-Kontingente (p. 87).

Verbindung mit On-Premises-Rechenzentren
Sie können die folgenden Verbindungstypen für eine Verbindung zwischen einem Schnittstellendpunkt und
Ihrem lokalen Rechenzentrum verwenden:

                                               7
Amazon Virtual Private Cloud AWS PrivateLink
                          Lebenszyklus eines Schnittstellenendpunkts

• AWS Direct Connect
• AWS Site-to-Site VPN

Lebenszyklus eines Schnittstellenendpunkts
Ein Schnittstellenendpunkt durchläuft verschiedene Phasen, nachdem Sie ihn erstellt haben (mit der
Verbindungsanfrage für den Endpunkt). In jeder Phase kann es Maßnahmen geben, die der Service-
Verbraucher und der Service-Anbieter ergreifen können.

Es gelten die folgenden Regeln:

• Ein Service-Anbieter kann seinen Service so konfigurieren, dass Schnittstellenendpunktanfragen
  automatisch akzeptiert werden oder diese manuell genehmigt werden müssen. AWS-Services und AWS
  Marketplace-Services akzeptieren allgemein alle Endpunktanfragen automatisch.
• Ein Service-Anbieter kann einen Schnittstellenendpunkt zu seinem Service nicht löschen. Nur der
  Service-Verbraucher, der die Verbindung mit dem Schnittstellenendpunkt angefordert hat, kann den
  Schnittstellenendpunkt löschen.
• Ein Service-Anbieter kann den Schnittstellenendpunkt ablehnen, nachdem er (manuell oder automatisch)
  akzeptiert wurde und sich im Status available befindet.

Überlegungen zur Availability Zone eines
Schnittstellenendpunkts
Wenn Sie einen Schnittstellenendpunkt erstellen, wird der Endpunkt in der Availability Zone erstellt, die
Ihrem Konto zugeordnet und unabhängig von anderen Konten ist. Wenn sich der Serviceanbieter und der
Konsument in verschiedenen Konten befinden, verwenden Sie die Availability Zone-IDs zum eindeutigen
und konsistenten Identifizieren der Availability Zone des Schnittstellenendpunkts. Beispielsweise use1-
az1 ist eine Availability Zone-ID für die Region us-east-1 und ist demselben Speicherort in jedem
AWS Konto zugeordnet. Weitere Informationen zu Availability Zone-IDs finden Sie unter AZ-IDs für Ihre
Ressourcen im AWS RAMBenutzerhandbuch oder verwenden Sie describe-availability-zones.

Die Services stehen möglicherweise nicht in allen Availability Zones über einen Schnittstellenendpunkt zur
Verfügung. Sie können mit beliebigen der folgenden Methoden herausfinden, welche Availability Zones für
einen Service unterstützt werden:

• describe-vpc-endpoint-services (AWS CLI)
• DescribeVpcEndpointServices (API)
• Die Amazon VPC-Konsole, wenn Sie einen Schnittstellenendpunkt erstellen. Weitere Informationen
  finden Sie unter the section called “Erstellen eines Schnittstellenendpunkts” (p. 9).

Anzeigen der verfügbaren AWS-Servicenamen
Wenn Sie die Amazon VPC-Konsole verwenden, um einen Endpunkt zu erstellen, können Sie eine Liste
der verfügbaren AWS-Servicenamen abrufen.

Wenn Sie die AWS CLI verwenden, um einen Endpunkt zu erstellen, können Sie den Befehl describe-vpc-
endpoint-services verwenden, um die Dienstnamen anzuzeigen, und dann den Endpunkt mit dem Befehl
create-vpc-endpoint zu erstellen.

                                               8
Amazon Virtual Private Cloud AWS PrivateLink
                           Erstellen eines Schnittstellenendpunkts

Console

    So zeigen Sie verfügbare AWS-Services über die Konsole an

    1.    Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
    2.    Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint.
    3.    Im Abschnitt Service Name (Servicename) werden die verfügbaren Services aufgelistet.

Command line

    So zeigen Sie verfügbare AWS-Services über die AWS CLI-Konsole an

    •     Verwenden Sie den Befehl describe-vpc-endpoint-services, um eine Liste der verfügbaren
          Services abzurufen, zu denen Sie eine Verbindung herstellen können. Das Feld ServiceType
          zeigt an, ob Sie die Verbindung mit dem Service über einen Schnittstellen- oder einen Gateway-
          Endpunkt einrichten wollen. Das Feld ServiceName enthält den Namen des Service. Im
          folgenden Beispiel werden die Namen und Besitzer von allen Schnittstellenendpunkten aufgelistet.

          aws ec2 describe-vpc-endpoint-services --filter "Name=service-
          type,Values=Interface" --query "ServiceDetails[*].[ServiceName, Owner]" --output
           table

          ----------------------------------------------------------------------
          |                     DescribeVpcEndpointServices                    |
          +----------------------------------------------------------+---------+
          | aws.sagemaker.us-west-2.notebook                         | amazon |
          | aws.sagemaker.us-west-2.studio                           | amazon |
          | com.amazonaws.us-west-2.access-analyzer                  | amazon |
          | com.amazonaws.us-west-2.acm-pca                          | amazon |
          ...

    So zeigen Sie verfügbare AWS-Services über die AWS Tools for Windows PowerShell-
    Konsole an

    • Get-EC2VpcEndpointService

    So zeigen Sie verfügbare AWS-Services über die API an

    • DescribeVpcEndpointServices

Erstellen eines Schnittstellenendpunkts
Wenn Sie einen Schnittstellenendpunkt erstellen, müssen Sie die VPC angeben, in der der
Schnittstellenendpunkt erstellt werden soll, sowie den Service, zu dem Sie eine Verbindung herstellen
möchten.

Für AWS-Services oder AWS Marketplace-Partnerservices können Sie optional ein privates DNS (p. 5)
für den Endpunkt aktivieren, um Anforderungen des Service über den DNS-Standardhostnamen senden zu
können.
    Important

    Ein privates DNS ist standarmäßig für Endpunkte aktiviert, die für AWS-Services und AWS
    Marketplace-Partnerservices erstellt wurden.

                                               9
Amazon Virtual Private Cloud AWS PrivateLink
                           Erstellen eines Schnittstellenendpunkts

Console

   So erstellen Sie mit der Konsole einen Schnittstellenendpunkt zu einem AWS-Service

   1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
   2.     Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint.
   3.     Stellen Sie sicher, dass bei Servicekategorie die Option AWSServices ausgewählt ist.
   4.     Für Service Name wählen Sie den Service, zu dem Sie eine Verbindung herstellen wollen. Stellen
          Sie sicher, dass für Type die Option Interface angegeben ist.
   5.     Tragen Sie die folgenden Informationen ein und wählen Sie Create endpoint.

          • Für VPC wählen Sie eine VPC, in der der Endpunkt erstellt werden soll.
          • Für Subnets wählen Sie die Subnetze (Availability Zones) aus, in denen die
            Endpunktnetzwerkschnittstellen erstellt werden sollen.

            Möglicherweise werden nicht alle Availability Zones für alle AWS-Services unterstützt.
          • Um ein privates DNS für den Schnittstellenendpunkt zu aktivieren, aktivieren Sie das
            Kontrollkästchen für Enable DNS Name (DNS-Name aktivieren).
                Important

                Privates DNS wird für Amazon S3-Schnittstellenendpunkte nicht unterstützt.

            Diese Option ist standardmäßig aktiviert. Zur Verwendung des optionalen privaten DNS
            müssen die folgenden VPC-Attribute auf true gesetzt werden: enableDnsHostnames und
            enableDnsSupport. Weitere Informationen finden Sie unter Anzeigen und Aktualisieren der
            DNS-Unterstützung für Ihre VPC.
          • Für Security group wählen Sie die Sicherheitsgruppen aus, die den
            Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
          • (Optional) Hinzufügen oder Entfernen eines Tags.

            [Markierung hinzufügen] Wählen Sie Add tag (Markierung hinzufügen), und führen Sie die
            folgenden Schritte aus:
            • Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein.
            • Geben Sie bei Value (Wert) den Wert des Schlüssels ein.

            [Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert
            des Tags.

   Um einen Schnittstellenendpunkt für einen Endpunktservice zu erstellen, benötigen Sie den Namen
   des Services, mit dem eine Verbindung eingerichtet werden soll. Diesen Namen kann Ihnen der
   Service-Anbieter bereitstellen.

   So erstellen Sie einen Schnittstellenendpunkt zu einem Endpunktservice

   1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
   2.     Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint.
   3.     Für Service category wählen Sie Find service by name.
   4.     Für Service Name geben Sie den Namen des Service ein (z. B. com.amazonaws.vpce.us-
          east-1.vpce-svc-0e123abc123198abc) und wählen Verify.
   5.     Tragen Sie die folgenden Informationen ein und wählen Sie Create endpoint.

          • Für VPC wählen Sie eine VPC, in der der Endpunkt erstellt werden soll.
          • Für Subnets wählen Sie die Subnetze (Availability Zones) aus, in denen die
            Endpunktnetzwerkschnittstellen erstellt werden sollen.

                                               10
Amazon Virtual Private Cloud AWS PrivateLink
                         Erstellen eines Schnittstellenendpunkts

          Möglicherweise werden nicht alle Availability Zones für den Service unterstützt.
        • Für Security group wählen Sie die Sicherheitsgruppen aus, die den
          Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
        • (Optional) Hinzufügen oder Entfernen eines Tags.

          [Markierung hinzufügen] Wählen Sie Add tag (Markierung hinzufügen), und führen Sie die
          folgenden Schritte aus:
          • Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein.
          • Geben Sie bei Value (Wert) den Wert des Schlüssels ein.

          [Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert
          des Tags.

   So erstellen Sie einen Schnittstellenendpunkt zu einem AWS Marketplace-Partnerservice

   1.   Navigieren Sie auf die Seite PrivateLink zu AWS Marketplace und melden Sie sich
        für einen Service von einem SaaS-Anbieter (Software as a Service) an. Services, die
        Schnittstellenendpunkte unterstützen, beinhalten eine Option zur Einrichtung einer Verbindung
        über einen Endpunkt.
   2.   Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
   3.   Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint.
   4.   Für Servicekategorie wählen Sie Ihre AWSMarketplace-Services.
   5.   Wählen Sie den AWS Marketplace-Service, den Sie abonniert haben.
   6.   Tragen Sie die folgenden Informationen ein und wählen Sie Create endpoint.

        • Für VPC wählen Sie eine VPC, in der der Endpunkt erstellt werden soll.
        • Für Subnets wählen Sie die Subnetze (Availability Zones) aus, in denen die
          Endpunktnetzwerkschnittstellen erstellt werden sollen.

          Möglicherweise werden nicht alle Availability Zones für den Service unterstützt.
        • Für Security group wählen Sie die Sicherheitsgruppen aus, die den
          Endpunktnetzwerkschnittstellen zugeordnet werden sollen.
        • (Optional) Hinzufügen oder Entfernen eines Tags.

          [Markierung hinzufügen] Wählen Sie Add tag (Markierung hinzufügen), und führen Sie die
          folgenden Schritte aus:
          • Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein.
          • Geben Sie bei Value (Wert) den Wert des Schlüssels ein.

          [Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert
          des Tags.

Command line

   So erstellen Sie einen Schnittstellenendpunkt mit der AWS CLI

   1.   Verwenden Sie den Befehl describe-vpc-endpoint-services, um eine Liste der verfügbaren
        Services abzurufen. Notieren Sie sich von der Ausgabe den Namen des Service, mit dem eine
        Verbindung einrichtet werden soll. Das Feld ServiceType zeigt an, ob Sie die Verbindung mit
        dem Service über einen Schnittstellen- oder einen Gateway-Endpunkt einrichten wollen. Das Feld
        ServiceName enthält den Namen des Service.

                                             11
Amazon Virtual Private Cloud AWS PrivateLink
                      Erstellen eines Schnittstellenendpunkts

2.   Um einen Schnittstellenendpunkt zu erstellen, verwenden Sie den Befehl create-vpc-endpoint
     und geben die VPC-ID an, den Typ des VPC-Endpunkts (Schnittstelle), den Servicenamen,
     die Subnetze, die den Endpunkt verwenden, sowie die Sicherheitsgruppen, die den
     Endpunktnetzwerkschnittstellen zugeordnet werden sollen.

     Im folgenden Beispiel wird ein Schnittstellenendpunkt zum Elastic Load Balancing-Service erstellt.

     aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface
      --service-name com.amazonaws.us-east-1.elasticloadbalancing --subnet-id subnet-
     abababab --security-group-id sg-1a2b3c4d

     {
          "VpcEndpoint": {
               "PolicyDocument": "{\n \"Statement\": [\n       {\n      \"Action\": \"*\",
       \n        \"Effect\": \"Allow\", \n       \"Principal\": \"*\", \n      \"Resource\":
       \"*\"\n      }\n ]\n}",
               "VpcId": "vpc-ec43eb89",
               "NetworkInterfaceIds": [
                    "eni-bf8aa46b"
               ],
               "SubnetIds": [
                    "subnet-abababab"
               ],
               "PrivateDnsEnabled": true,
               "State": "pending",
               "ServiceName": "com.amazonaws.us-east-1.elasticloadbalancing",
               "RouteTableIds": [],
               "Groups": [
                    {
                        "GroupName": "default",
                        "GroupId": "sg-1a2b3c4d"
                    }
               ],
               "VpcEndpointId": "vpce-088d25a4bbf4a7abc",
               "VpcEndpointType": "Interface",
               "CreationTimestamp": "2017-09-05T20:14:41.240Z",
               "DnsEntries": [
                    {
                        "HostedZoneId": "Z7HUB22UULQXV",
                        "DnsName": "vpce-088d25a4bbf4a7abc-
     ks83awe7.elasticloadbalancing.us-east-1.vpce.amazonaws.com"
                    },
                    {
                        "HostedZoneId": "Z7HUB22UULQXV",
                        "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7-us-
     east-1a.elasticloadbalancing.us-east-1.vpce.amazonaws.com"
                    },
                    {
                        "HostedZoneId": "Z1K56Z6FNPJRR",
                        "DnsName": "elasticloadbalancing.us-east-1.amazonaws.com"
                    }
               ]
          }
     }

     Alternativ erstellt das folgende Beispiel einen Schnittstellenendpunkt zu einem Endpunktservice in
     einem anderen Konto (der Service-Anbieter teilt Ihnen den Namen des Endpunktservice mit).

     aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface
      --service-name com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc --subnet-
     id subnet-abababab --security-group-id sg-1a2b3c4d

                                          12
Amazon Virtual Private Cloud AWS PrivateLink
                           Anzeigen Ihres Schnittstellenendpunkts

          Notieren Sie sich die privateDnsNames-Felder der Ausgabe. Sie können diese DNS-Namen für
          den Zugriff auf den AWS-Service verwenden.

    So beschreiben Sie verfügbare Services und erstellen einen VPC-Endpunkt mithilfe des AWS
    Tools for Windows PowerShell

    • Get-EC2VpcEndpointService
    • New-EC2VpcEndpoint

    So beschreiben Sie verfügbare Dienste und erstellen einen VPC-Endpunkt mithilfe der API:

    • DescribeVpcEndpointServices
    • CreateVpcEndpoint

Anzeigen Ihres Schnittstellenendpunkts
Nachdem Sie einen Schnittstellenendpunkt erstellt haben, können Sie Informationen darüber anzeigen.

Console

    So zeigen Sie mit der Konsole Informationen über einen Schnittstellenendpunkt an

    1.    Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
    2.    Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie Ihren Schnittstellenendpunkt aus.
    3.    Um Informationen über den Schnittstellenendpunkt anzuzeigen, wählen Sie Details. Das Feld DNS
          Names zeigt die DNS-Namen an, die für den Zugriff auf den Service verwendet werden müssen.
    4.    Um die Subnetze anzuzeigen, in denen der Schnittstellenendpunkt erstellt wurde, sowie die ID der
          Endpunktnetzwerkschnittstelle in jedem Subnetz, wählen Sie Subnets.
    5.    Um die Sicherheitsgruppen anzuzeigen, die einer Endpunktnetzwerkschnittstelle zugeordnet sind,
          wählen Sie Security Groups.

Command line

    So beschreiben Sie Ihren Schnittstellenendpunkt mithilfe der AWS CLI

    •     Sie können Ihren Endpunkt mit dem Befehl describe-vpc-endpoints beschreiben.

          aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-088d25a4bbf4a7abc

    So beschreiben Sie Ihre VPC-Endpunkte unter Verwendung von AWS Tools for PowerShell
    oder API:

    • Get-EC2VpcEndpoint (Tools for Windows PowerShell)
    • DescribeVpcEndpoints (Amazon EC2-Abfrage-API)

                                              13
Amazon Virtual Private Cloud AWS PrivateLink
                         Erstellen und Verwalten einer Benachrichtigung
                                 für einen Schnittstellenendpunkt

Erstellen und Verwalten einer Benachrichtigung für
einen Schnittstellenendpunkt
Sie können eine Benachrichtigung erstellen, um Warnungen bei bestimmten Ereignissen zu erhalten,
die auf Ihrem Schnittstellenendpunkt stattfinden. Beispielsweise können Sie eine E-Mail erhalten, wenn
ein Schnittstellenendpunkt vom Service-Anbieter akzeptiert wird. Um eine Benachrichtigung zu erstellen,
müssen Sie dieser ein Amazon SNS-Thema zuordnen. Sie können das SNS-Thema abonnieren, um eine
E-Mail-Benachrichtigung zu erhalten, wenn ein Endpunktereignis auftritt.

Das Amazon SNS-Thema, das Sie für Benachrichtigungen verwenden, muss eine Themen-Richtlinie
haben, die es dem VPC-Endpunktservice von Amazon gestattet, Benachrichtigungen für Sie zu
veröffentlichen. Stellen Sie sicher, dass Sie die folgende Anweisung in Ihre Themenrichtlinie aufnehmen.
Weitere Informationen finden Sie unter Identity and Access Management in Amazon SNS im Amazon
Simple Notification Service-Entwicklerhandbuch.

{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
           "Service": "vpce.amazonaws.com"
        },
        "Action": "SNS:Publish",
        "Resource": "arn:aws:sns:region:account:topic-name"
      }
    ]
}

Command line

     So erstellen und verwalten Sie eine Benachrichtigung mit der AWS CLI

     1.   Um eine Benachrichtigung für einen Schnittstellendpunkt zu erstellen, verwenden Sie den
          Befehl create-vpc-endpoint-connection-notification . Geben Sie den ARN des SNS-Themas, die
          Ereignisse, über die benachrichtigt werden sollen, und die ID des Endpunkts an, wie im folgenden
          Beispiel dargestellt.

          aws ec2 create-vpc-endpoint-connection-notification --connection-notification-
          arn arn:aws:sns:us-east-2:123456789012:EndpointNotification --connection-events
           Accept Reject --vpc-endpoint-id vpce-123abc3420c1931d7

     2.   Um Ihre Benachrichtigungen anzuzeigen, führen Sie den Befehl describe-vpc-endpoint-
          connection-notifications aus.

          aws ec2 describe-vpc-endpoint-connection-notifications

     3.   Um das SNS-Thema oder Endpunkt-Ereignisse für die Benachrichtigung zu ändern, verwenden
          Sie den Befehl modify-vpc-endpoint-connection-notification.

          aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-
          id vpce-nfn-008776de7e03f5abc --connection-events Accept --connection-notification-
          arn arn:aws:sns:us-east-2:123456789012:mytopic

     4.   Um eine Benachrichtigung zu löschen, führen Sie den Befehl delete-vpc-endpoint-connection-
          notifications aus.

                                               14
Amazon Virtual Private Cloud AWS PrivateLink
                  Zugriff auf einen Service über einen Schnittstellenendpunkt

        aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-
        ids vpce-nfn-008776de7e03f5abc

Zugriff auf einen Service über einen
Schnittstellenendpunkt
Nachdem Sie einen Schnittstellenendpunkt erstellt haben, können Sie Anfragen an den unterstützten
Service über eine Endpunkt-URL stellen. Sie können die folgende Abfrage verwenden:

• Wenn Sie ein privates DNS für den Endpunkt aktiviert haben (eine private gehostete Zone, nur gültig für
  AWS-Services und AWS Marketplace-Partnerservices), den DNS-Standardhostnamen für den AWS-
  Service für die Region. Beispielsweise ec2.us-east-1.amazonaws.com.
      Important

      Privates DNS wird für Amazon S3-Schnittstellenendpunkte nicht unterstützt.
• Den endpunktspezifischen regionalen DNS-Hostnamen, den wir für den Schnittstellenendpunkt
  erzeugen. Der Hostname enthält einen eindeutigen Endpunktbezeichner, eine Service-
  ID, die Region und vpce.amazonaws.com in seinem Namen. Beispielsweise
  vpce-0fe5b17a0707d6abc-29p5708s.ec2.us-east-1.vpce.amazonaws.com.
• Den endpunktspezifischen zonenspezifischen DNS-Hostnamen, den wir für jede Availability Zone
  erzeugen, in der der Endpunkt zur Verfügung steht. Der Hostname enthält die Availability Zone in
  seinem Namen. Beispielsweise vpce-0fe5b17a0707d6abc-29p5708s-us-east-1a.ec2.us-
  east-1.vpce.amazonaws.com. Sie können diese Option verwenden, wenn Ihre Architektur Availability
  Zones isoliert (z. B. zur Fehlerbegrenzung oder zur Reduzierung regionaler Datenübertragungskosten).

  Eine Anfrage an den zonenspezifischen DNS-Hostnamen wird an den entsprechenden Standort der
  Availability Zone im Konto des Dienstanbieters gerichtet, der möglicherweise nicht dieselbe Availability
  Zone wie Ihr Konto hat. Weitere Informationen finden Sie unter Regionen und Availability Zone –
  Konzepte.
• Die private IP-Adresse der Endpunktnetzwerkschnittstelle in der VPC.

Informationen zum Abrufen der regionalen und zonenspezifischen DNS-Namen finden Sie unter Anzeigen
Ihres Schnittstellenendpunkts (p. 13).

Beispielsweise verwenden Sie in einem Subnetz, in dem Sie einen Schnittstellenendpunkt für Elastic Load
Balancing haben, und für das Sie die Option eines privaten DNS nicht aktiviert haben, den folgenden
AWS CLI-Befehl aus einer Instance, um Ihre Load Balancer zu beschreiben. Der Befehl verwendet den
endpunktspezifischen regionalen DNS-Hostnamen, um die Anfrage über den Schnittstellenendpunkt zu
stellen.

aws elbv2 describe-load-balancers --endpoint-url https://vpce-0f89a33420c193abc-
bluzidnv.elasticloadbalancing.us-east-1.vpce.amazonaws.com/

Wenn Sie die Option für das private DNS aktivieren, müssen Sie in der Anfrage die Endpunkt-URL
nicht angeben. Die AWS CLI verwendet den Standardendpunkt für den AWS-Service für die Region
(elasticloadbalancing.us-east-1.amazonaws.com).

Ändern eines Schnittstellenendpunkts
Sie können die folgenden Attribute eines Schnittstellenendpunkts ändern:

                                               15
Amazon Virtual Private Cloud AWS PrivateLink
                             Ändern eines Schnittstellenendpunkts

• Das Subnetz, in dem sich der Schnittstellendpunkt befindet
• Die Sicherheitsgruppen, die der Endpunkt-Netzwerkschnittstelle zugeordnet sind
• Die Tags
• Die private DNS-Option
         Note

         Wenn Sie private DNS aktivieren, kann es einige Minuten dauern, bis die privaten IP-Adressen
         verfügbar sind.
• Die Endpunktrichtlinie (sofern vom Service unterstützt)

Wenn Sie ein Subnetz für den Schnittstellenendpunkt entfernen, wird die entsprechende
Endpunktnetzwerkschnittstelle im Subnetz gelöscht.

Console

    So ändern Sie die Subnetze für einen Schnittstellenendpunkt

    1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
    2.     Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus.
    3.     Wählen Sie Actions, Manage Subnets.
    4.     Wählen Sie Subnetze aus bzw. heben Sie die Auswahl auf und klicken Sie anschließend auf
           Modify Subnets.

    So fügen Sie Sicherheitsgruppen hinzu, die einem Schnittstellenendpunkt zugeordnet sind,
    oder entfernen diese

    1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
    2.     Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus.
    3.     Wählen Sie Actions, Manage security groups.
    4.     Wählen Sie Sicherheitsgruppen aus bzw. heben Sie die Auswahl auf und klicken Sie anschließend
           auf Save (Speichern).

    So verfahren Sie zum Hinzufügen oder Entfernen eines Schnittstellenendpunkt-Tags

    1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
    2.     Wählen Sie im Navigationsbereich Endpoints (Endpunkte) aus.
    3.     Wählen Sie den Schnittstellenendpunkt und danach Actions (Aktionen), Add/Edit Tags (Tags
           hinzufügen/bearbeiten) aus.
    4.     Hinzufügen oder Entfernen eines Tag.

           [Tag hinzufügen] Wählen Sie Create tag (Tag erstellen) und führen Sie die folgenden Schritte aus:
           •    Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein.
           •    Geben Sie bei Value (Wert) den Wert des Schlüssels ein.

           [Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert des
           Tags.

    So ändern Sie die private DNS-Option:

    1.     Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

                                                16
Amazon Virtual Private Cloud AWS PrivateLink
                                Gateway Load Balancer-Endpunkte

        2.   Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus.
        3.   Wählen Sie Actions (Aktionen), Modify Private DNS names (Private DNS-Namen ändern).
        4.   Stellen Sie die Option nach Bedarf ein, und wählen Sie Modify Private DNS names (Private DNS-
             Namen ändern).

        So aktualisieren Sie die Endpunktrichtlinie:

        1.   Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
        2.   Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus.
        3.   Wählen Sie Actions und dann Edit policy.
        4.   Wählen Sie Full Access (Voller Zugriff), um vollen Zugriff auf den Service zu gewähren, oder
             wählen Sie Custom (Benutzerdefiniert), und geben Sie eine benutzerdefinierte Richtlinie an.
             Wählen Sie Save (Speichern) aus.

    Command line

        So ändern Sie einen VPC-Endpunkt mit der AWS CLI-Konsole

        1.   Verwenden Sie den Befehl describe-vpc-endpoints, um die ID Ihres Schnittstellenendpunkts
             anzufordern.

             aws ec2 describe-vpc-endpoints

        2.   Das folgende Beispiel verwendet den Befehl modify-vpc-endpoint, um dem Schnittstellenendpunkt
             das Subnetz subnet-aabb1122 zuzuordnen.

             aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-0fe5b17a0707d6abc --add-subnet-
             id subnet-aabb1122

        So ändern Sie einen VPC-Endpunkt mit AWS Tools for Windows PowerShell oder einer API

        • Edit-EC2VpcEndpoint (AWS Tools for Windows PowerShell)
        • ModifyVpcEndpoint (Amazon EC2-Abfrage-API)

        So verfahren beim Hinzufügen oder Entfernen eines VPC-Endpunkt-Tags mithilfe von AWS
        Tools for Windows PowerShell oder einer API

        • tag-resource (AWS CLI)
        • TagResource (AWS Tools for Windows PowerShell)
        • untag-resource (AWS CLI)
        • TagResource (AWS Tools for Windows PowerShell)

Gateway Load Balancer-Endpunkte (AWS
PrivateLink)
    Ein Gateway Load Balancer-Endpunkt ermöglicht es Ihnen, Datenverkehr abzufangen und an einen Dienst
    weiterzuleiten, den Sie mit Gateway Load Balancerskonfiguriert haben, z. B. zur Sicherheitsinspektion. Der

                                                  17
Sie können auch lesen