View a markdown version of this page

VPC-BPA-Grundlagen - Amazon Virtual Private Cloud
Regionale VerfügbarkeitAWS Auswirkungen auf den Service und SupportVPC-BPA-EinschränkungenSteuerung des Zugriffs auf VPC BPA mit einer IAM-RichtlinieAktivieren des bidirektionalen VPC-BPA-Modus für Ihr KontoÄndern des VPC-BPA-Modus auf nur eingehenden DatenverkehrErstellen und Löschen von AusschlüssenAktivieren von VPC BPA auf Organisationsebene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-BPA-Grundlagen

Dieser Abschnitt behandelt wichtige Details zu VPC BPA, einschließlich der Services, die es unterstützen und wie Sie damit arbeiten können.

Regionale Verfügbarkeit

VPC BPA ist in allen AWS Handelsregionen, einschließlich GovCloud der Regionen China, erhältlich.

In diesem Leitfaden finden Sie auch Informationen zur Verwendung von Network Access Analyzer und Reachability Analyzer mit VPC BPA. Beachten Sie, dass Network Access Analyzer und Reachability Analyzer nicht in allen kommerziellen Regionen verfügbar sind. Informationen zur regionalen Verfügbarkeit von Network Access Analyzer und Reachability Analyzer finden Sie unter Einschränkungen im Handbuch für Network Access Analyzer sowie unter Überlegungen im Leitfaden Reachability Analyzer.

AWS Auswirkungen auf den Service und Support

Die folgenden Ressourcen und Services unterstützen VPC BPA und der Datenverkehr zu diesen Services und Ressourcen wird durch VPC BPA beeinträchtigt:

  • Internet-Gateway: Der gesamte eingehende und ausgehende Datenverkehr wird blockiert.

  • Egress-only Internet-Gateway: Der gesamte ausgehende Verkehr ist blockiert. Egress-only Internet-Gateways lassen keinen eingehenden Verkehr zu.

  • Gateway Load Balancer (GWLB): Der gesamte eingehende und ausgehende Verkehr wird blockiert, sofern das Subnetz mit den GWLB-Endpunkten nicht ausgeschlossen ist.

  • NAT-Gateway: Der gesamte eingehende und ausgehende Datenverkehr wird blockiert. NAT-Gateways benötigen ein Internet-Gateway für die Internetverbindung.

  • Internet-facing Network Load Balancer: Der gesamte ein- und ausgehende Datenverkehr wird blockiert. Internet-facing Network Load Balancer benötigen ein Internet-Gateway für die Internetverbindung.

  • Internet-facing Application Load Balancer: Der gesamte ein- und ausgehende Datenverkehr wird blockiert. Internet-facing Application Load Balancer benötigen ein Internet-Gateway für die Internetverbindung.

  • Amazon CloudFront VPC Origins: Der gesamte eingehende und ausgehende Verkehr ist blockiert.

  • Direct Connect: Der gesamte ein- und ausgehende Datenverkehr, der öffentliche virtuelle Schnittstellen (öffentliche IPv4- oder globale Unicast-IPv6-Adressen) verwendet, wird blockiert. Dieser Datenverkehr nutzt das Internet-Gateway (oder das Internet-Gateway nur für ausgehenden Datenverkehr) für die Konnektivität.

  • AWS Global Accelerator: Eingehender Datenverkehr zu VPCs wird blockiert, unabhängig davon, ob das Ziel anderweitig über das Internet zugänglich ist oder nicht.

  • AWS Network Firewall: Der gesamte ein- und ausgehende Datenverkehr wird blockiert, auch wenn das Subnetz mit Firewall-Endpunkten ausgeschlossen ist.

  • AWS Wavelength Carrier-Gateway: Der gesamte eingehende und ausgehende Verkehr ist blockiert.

Datenverkehr im Zusammenhang mit privater Konnektivität, wie z. B. Datenverkehr für die folgenden Services und Ressourcen, wird von VPC BPA nicht blockiert oder beeinträchtigt:

  • AWS Client VPN

  • AWS CloudWAN

  • AWS Outposts lokales Gateway

  • AWS Site-to-Site VPN

  • Transit Gateway

  • AWS Verified Access

Wichtig

  • Wenn Sie ein- und ausgehenden Datenverkehr über eine Appliance (z. B. ein Sicherheits- oder Überwachungstool eines Drittanbieters) weiterleiten, die auf einer EC2-Instance in einem Subnetz ausgeführt wird, muss bei Verwendung von VPC BPA dieses Subnetz ausgeschlossen werden, damit der Datenverkehr ein- und ausgehen kann. Andere Subnetze, die Datenverkehr an das Appliance-Subnetz und nicht an das Internet-Gateway senden, müssen nicht als Ausnahmen ergänzt werden.

  • Privater Datenverkehr, der von Ressourcen in Ihrer VPC an andere in Ihrer VPC ausgeführte Services, wie z. B. den Route-53-Resolver, gesendet wird, ist auch dann zulässig, wenn VPC BPA aktiviert ist, da er nicht über ein Internet-Gateway in Ihrer VPC läuft. Es ist möglich, dass diese Services in Ihrem Namen Anfragen an Ressourcen außerhalb der VPC stellen, z. B. um eine DNS-Abfrage aufzulösen, und Informationen über die Aktivität von Ressourcen innerhalb Ihrer VPC preisgeben, wenn sie nicht durch andere Sicherheitskontrollen abgeschwächt werden.

  • Wenn Sie über einen mit dem Internet verbundenen Load Balancer verfügen und einen VPC-BPA-Ausschluss nur für eines seiner Subnetze erstellen, kann der Load Balancer weiterhin öffentlichen Verkehr im ausgeschlossenen Subnetz empfangen und ihn privat an Ziele in Subnetzen weiterleiten, die nicht ausgeschlossen sind. Um sicherzustellen, dass VPC BPA den öffentlichen Zugriff auf Ihre Ziele vollständig blockiert, stellen Sie sicher, dass keines der Load Balancer-Subnetze ausgeschlossen ist.

VPC-BPA-Einschränkungen

Der Modus nur für eingehenden Datenverkehr von VPC BPA wird in lokalen Zonen (LZs) nicht unterstützt, in denen NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr nicht zulässig sind.

Steuerung des Zugriffs auf VPC BPA mit einer IAM-Richtlinie

Beispiele für IAM-Richtlinien, die allow/deny auf die VPC BPA-Funktion zugreifen, finden Sie unter. Blockieren des öffentlichen Zugriffs auf VPCs und Subnetze

Aktivieren des bidirektionalen VPC-BPA-Modus für Ihr Konto

Der bidirektionale Modus von VPC BPA blockiert den gesamten Datenverkehr zu und von Internet-Gateways und Internet-Gateways nur für ausgehenden Verkehr in dieser Region (mit Ausnahme der ausgeschlossenen VPCs und Subnetze). Weitere Informationen über Ausschlüsse finden Sie unter Erstellen und Löschen von Ausschlüssen.

Wichtig

Wir empfehlen Ihnen dringend, die Workloads, die Internetzugang benötigen, gründlich zu überprüfen, bevor Sie VPC BPA in Ihren Produktionskonten aktivieren.

Anmerkung

  • Sie müssen Eigentümer der VPCs und Subnetze sein, um VPC BPA für die VPCs und Subnetze in Ihrem Konto aktivieren zu können.

  • Wenn Sie derzeit VPC-Subnetze für andere Konten freigeben, gilt der vom Eigentümer des Subnetzes erzwungene VPC-BPA-Modus auch für den Datenverkehr der Teilnehmer, aber die Teilnehmer können die VPC-BPA-Einstellungen, die sich auf das freigegebene Subnetz auswirken, nicht kontrollieren.

AWS-Managementkonsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im linken Navigationsbereich die Option Einstellungen aus.

  3. Wählen Sie Einstellungen für den öffentlichen Zugriff bearbeiten aus.

  4. Wählen Sie Blockieren des öffentlichen Zugriffs aktivieren und Bidirektional und anschließend Änderungen speichern aus.

  5. Warten Sie, bis sich der Status zu Ein ändert. Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.

Der bidirektionale Modus von VPC BPA ist nun aktiviert.

AWS CLI

  1. Aktivieren Sie VPC BPA:

    aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional

    Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.

  2. Zeigen Sie den Status von VPC BPA an:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-options

Ändern des VPC-BPA-Modus auf nur eingehenden Datenverkehr

Der Modus nur für eingehenden Datenverkehr von VPC BPA blockiert den gesamten Internetverkehr zu den VPCs in dieser Region (mit Ausnahme der ausgeschlossenen VPCs oder Subnetze). Nur der Datenverkehr von und zu NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr wird zugelassen, da diese Gateways nur den Aufbau von ausgehenden Verbindungen erlauben.

AWS-Managementkonsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im linken Navigationsbereich die Option Einstellungen aus.

  3. Wählen Sie Einstellungen für den öffentlichen Zugriff bearbeiten aus.

  4. Ändern Sie die Richtung zu. Ingress-only

  5. Speichern Sie die Änderungen und warten Sie, bis der Status aktualisiert wird. Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.

AWS CLI

  1. Ändern Sie die Blockierrichtung von VPC BPA:

    aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress

    Es kann einige Minuten dauern, bis die VPC-BPA-Einstellungen wirksam werden und der Status aktualisiert wird.

  2. Zeigen Sie den Status von VPC BPA an:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-options

Erstellen und Löschen von Ausschlüssen

Ein VPC-BPA-Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein Subnetz angewendet werden kann, der es vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen oder nur ausgehenden Zugriff erlaubt. Sie können VPC-BPA-Ausschlüsse für VPCs und Subnetze erstellen, auch wenn VPC BPA für das Konto nicht aktiviert ist, um sicherzustellen, dass der Datenverkehr nicht unterbrochen wird, wenn VPC BPA aktiviert ist. Ein Ausschluss für eine VPC gilt automatisch für alle Subnetze in der VPC.

Sie können maximal 50 Ausschlüsse erstellen. Informationen zum Anfordern einer Grenzwerterhöhung finden Sie unter VPC BPA exclusions per account in Amazon VPC-Kontingente.

AWS-Managementkonsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im linken Navigationsbereich die Option Einstellungen aus.

  3. Führen Sie auf der Registerkarte Öffentlichen Zugriff blockieren unter Ausnahmen eine der folgenden Aktionen aus:

    • Um eine Ausnahme zu löschen, wählen Sie die Ausnahme und dann Aktionen > Ausnahmen löschen aus.

    • Um eine Ausnahme zu erstellen, wählen Sie Ausnahmen erstellen und fahren Sie mit den weiteren Schritten fort.

  4. Wählen Sie eine Blockierrichtung aus:

    • Bidirektional: Erlaubt den gesamten Internetverkehr zu und von den ausgeschlossenen VPCs und Subnetzen.

    • Egress-only: Lässt ausgehenden Internetverkehr von den ausgeschlossenen VPCs und Subnetzen zu. Blockiert den eingehenden Internetverkehr zu den ausgeschlossenen VPCs und Subnetzen. Diese Einstellung gilt, wenn VPC-BPA auf Bidirektional eingestellt ist.

  5. Wählen Sie eine VPC oder ein Subnetz aus.

  6. Wählen Sie Ausschlüsse erstellen aus.

  7. Warten Sie, bis sich der Status Ausschluss auf Aktiv ändert. Möglicherweise müssen Sie die Ausschlusstabelle aktualisieren, damit die Änderung angezeigt wird.

Der Ausschluss wurde erstellt.

AWS CLI

  1. Ändern Sie die Richtung der Ausschlusserlaubnis:

    aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional

  2. Es kann einige Zeit dauern, bis der Ausschlussstatus aktualisiert wird. So zeigen Sie den Status des Ausschlusses an:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id

Aktivieren von VPC BPA auf Organisationsebene

Wenn Sie AWS Organizations verwenden, um Konten in Ihrer Organisation zu verwalten, können Sie eine AWS deklarative Organisationsrichtlinie verwenden, um VPC BPA für die Konten in der Organisation durchzusetzen. Weitere Informationen über die deklarative Richtlinie für VPC BPA finden Sie unter Supported declarative policies im AWS -Organizations-Benutzerhandbuch.

Anmerkung

  • Sie können die deklarative Richtlinie für VPC BPA verwenden, um zu konfigurieren, ob Ausschlüsse zulässig sind. Sie können mit der Richtlinie jedoch keine Ausschlüsse erstellen. Um Ausnahmen zu erstellen, müssen Sie sie weiterhin in dem Konto erstellen, das Eigentümer der VPC ist. Weitere Informationen zum Erstellen von VPC-BPA-Ausschlüssen finden Sie unter Erstellen und Löschen von Ausschlüssen.

  • Wenn die deklarative Richtlinie für VPC BPA aktiviert ist, wird in den Einstellungen für Öffentlichen Zugriff blockieren die Option Von der deklarativen Richtlinie verwaltet angezeigt, und Sie können die Einstellungen für VPC BPA auf Kontoebene nicht ändern.