

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Herstellen einer Verbindung mit Amazon Athena über einen Schnittstellen-VPC-Endpunkt
<a name="interface-vpc-endpoint"></a>

Sie können die Sicherheit Ihrer VPC verbessern, indem Sie einen [Schnittstellen-VPC-Endpunkt (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) und einen [AWS Glue -VPC-Endpunkt](https://docs.aws.amazon.com/glue/latest/dg/vpc-endpoint.html) in Ihrer Virtual Private Cloud (VPC) verwenden. Ein VPC-Schnittstellen-Endpunkt verbessert die Sicherheit, indem er Ihnen die Kontrolle darüber gibt, welche Ziele innerhalb Ihrer VPC erreicht werden können. Jeder VPC-Endpunkt wird durch eine oder mehrere [Elastic Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.

Der VPC-Endpunkt der Schnittstelle verbindet Ihre VPC ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder Verbindung direkt mit Athena. Direct Connect Die Instances in Ihrer VPC benötigen für die Kommunikation mit der Athena-API keine öffentlichen IP-Adressen.

Um Athena über Ihre VPC zu verwenden, müssen Sie für die Verbindung eine Instance innerhalb Ihrer VPC verwenden oder Ihr privates Netzwerk mit Ihrer VPC verbinden. Dies erreichen Sie mithilfe eines Amazon Virtual Private Network (VPN) oder mit Direct Connect. Informationen zu Amazon VPN finden Sie unter [VPN-Verbindungen](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) im *Benutzerhandbuch für Amazon Virtual Private Cloud*. *Weitere Informationen dazu AWS Direct Connect finden Sie unter [Verbindung erstellen](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) im Direct Connect Benutzerhandbuch.*

[Athena unterstützt VPC-Endpunkte überall dort, AWS-Regionen wo sowohl [Amazon VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) als auch Athena verfügbar sind.](https://docs.aws.amazon.com/general/latest/gr/rande.html#athena)

Sie können einen VPC-Schnittstellen-Endpunkt erstellen, um mit den Befehlen AWS-Managementkonsole oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Athena herzustellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint).

Wenn Sie nach dem Erstellen eines VPC-Schnittstellen-Endpunkts [private DNS-Hostnamen](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) für den Endpunkt aktivieren, wird dies der standardmäßige Athena-Endpunkt sein (https://athena. {{Region}}.amazonaws.com) wird zu Ihrem VPC-Endpunkt aufgelöst.

Wenn Sie keine privaten DNS-Hostnamen aktiviert haben, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

```
{{VPC_Endpoint_ID}}.athena.{{Region}}.vpce.amazonaws.com
```

Weitere Informationen finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon VPC-Benutzerhandbuch*.

Athena unterstützt Aufrufe aller [API-Aktionen](https://docs.aws.amazon.com/athena/latest/APIReference/API_Operations.html) innerhalb Ihrer VPC.

## Erstellen einer VPC-Endpunktrichtlinie für Athena
<a name="api-private-link-policy"></a>

Sie können eine Richtlinie für Amazon-VPC-Endpunkte für Athena erstellen, in der Sie Restriktionen wie die folgenden angeben:
+ **Prinzipal** – Prinzipal, der die Aktionen ausführen kann.
+ **Aktionen** – Aktionen, die ausgeführt werden können
+ **Ressourcen** – Die Ressourcen, für die Aktionen ausgeführt werden können.
+ **Nur vertrauenswürdige Identitäten** — Verwenden Sie die `aws:PrincipalOrgId` Bedingung, um den Zugriff nur auf Anmeldeinformationen zu beschränken, die Teil Ihrer Organisation sind. AWS Dies kann dazu beitragen, den Zugriff durch unbeabsichtigte Prinzipale zu verhindern. 
+ **Nur vertrauenswürdige Ressourcen** – Verwenden Sie diese `aws:ResourceOrgId`-Bedingung, um den Zugriff auf unbeabsichtigte Ressourcen zu verhindern. 
+ **Nur vertrauenswürdige Identitäten und Ressourcen** – Erstellen Sie eine kombinierte Richtlinie für einen VPC-Endpunkt, die den Zugriff auf unbeabsichtigte Prinzipale und Ressourcen verhindert. 

Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Dienste mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon VPC-Benutzerhandbuch* und [Anhang 2 — Beispiele für VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/appendix-2-vpc-endpoint-policy-examples.html) im AWS Whitepaper *Building* a data perimeter on. AWS

**Example – VPC-Endpunktrichtlinie**  
Das folgende Beispiel erlaubt Anfragen von Organisationsidentitäten an Unternehmensressourcen und Anfragen von Service Principals. AWS     
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "{{my-org-id}}",
                    "aws:ResourceOrgID": "{{my-org-id}}"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}
```

Wenn Sie IAM-Richtlinien verwenden, stellen Sie sicher, dass Sie die bewährten IAM-Methoden befolgen. Weitere Informationen finden Sie unter [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Über VPC-Endpunkte in gemeinsam genutzten Subnetzen
<a name="interface-vpc-endpoint-shared-subnets"></a>

Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Weitere Informationen zur Freigabe von VPCs finden Sie unter [Freigeben Ihrer VPC für andere Konten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) im *Amazon-VPC-Benutzerhandbuch*.