WKLD.12 – Verwenden von VPC-Endpunkten, um auf unterstützte Services zuzugreifen

In VPCs benötigen Ressourcen, die auf AWS oder andere externe Services zugreifen müssen, entweder eine Route zum Internet (0.0.0.0/0) oder an die öffentliche IP-Adresse des Zielservices. Verwenden Sie VPC-Endpunkte, um eine private IP-Route von Ihrer VPC zu unterstützten AWS oder andere Services zu aktivieren, mit denen die Verwendung eines Internet-Gateways, eines NAT-Geräts oder einer Virtual Private Network (VPN) vermieden wird, oder eine AWS Direct Connect-Verbindung.

VPC-Endpunkte unterstützen das Anhängen von Richtlinien und Sicherheitsgruppen, um den Zugriff auf einen Service weiter zu kontrollieren. Sie können beispielsweise eine VPC-Endpunktrichtlinie für Amazon DynamoDB schreiben, um nur Aktionen auf Elementebene zuzulassen und Aktionen auf Tabellenebene für alle Ressourcen in der VPC zu verhindern, unabhängig von deren eigenen Berechtigungsrichtlinien. Sie können auch eine S3-Bucket-Richtlinie schreiben, um nur Anfragen zuzulassen, die von einem bestimmten VPC-Endpunkt stammen, und jeden anderen externen Zugriff zu verweigern. Ein VPC-Endpunkt kann auch über eine Sicherheitsgruppenregel verfügen, die beispielsweise den Zugriff auf nur EC2-Instances beschränkt, die einer anwendungsspezifischen Sicherheitsgruppe zugeordnet sind, z. B. der Geschäftslogikebene einer Webanwendung.

Es gibt verschiedene Arten von VPC-Endpunkten. Sie greifen über einen VPC-Schnittstellenendpunkt auf die meisten Services zu. Auf DynamoDB wird über einen Gateway-Endpunkt zugegriffen. Amazon S3 unterstützt sowohl Gateway- als auch Schnittstellen-Endpunkte. Gateway-Endpunkte werden für Workloads empfohlen, die in einem einzigen AWS-Konto und einer einzigen Region enthalten sind, und sind ohne zusätzliche Kosten erhältlich. Schnittstellenendpunkte werden empfohlen, wenn ein erweiterbarer Zugriff erforderlich ist, z. B. auf einen S3-Bucket von anderen VPCs, On-Premises-Netzwerken oder von anderen AWS-Regionen. Für Schnittstellenendpunkte fallen eine stündliche Verfügbarkeitsgebühr und eine Datenverarbeitungsgebühr pro GB an, die beide niedriger sind als die jeweiligen Gebühren für das Senden der Daten an 0.0.0.0/0 durch AWS-NAT-Gateway.

Weitere Informationen zur Verwendung von VPC-Endpunkten finden Sie in den folgenden zusätzlichen Ressourcen:

Weitere Informationen zur Auswahl zwischen Gateway- und Schnittstellen-Endpunkten für Amazon S3 finden Sie unter Wählen Sie Ihre VPC-Endpunkt-Strategie für Amazon S3 (AWS-Blogbeitrag).
Erstellen eines Schnittstellen-Endpunkts (Amazon-VPC-Dokumentation).
Einen Gateway-Endpunkt erstellen (Amazon-VPC-Dokumentation).
Beispielhafte S3-Bucket-Richtlinien, mit denen der Zugriff auf eine bestimmte VPC oder VPC-Endpunkt eingeschränkt wird, finden Sie unter Beschränkung des Zugriffs auf eine bestimmte VPC (Amazon-S3-Dokumentation).
Beispielhafte DynamoDB-Endpunktrichtlinien, die Aktionen einschränken, finden Sie unter Endpunktrichtlinien für DynamoDB (Amazon-VPC-Dokumentation).

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

WKLD.11 – Sicherheitsgruppen verwenden, um den Zugriff zu beschränken

WKLD.13 – HTTPS für alle öffentlichen Web-Endpunkte erfordern