Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenToolsBewährte MethodenEpenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie

PDF

Erstellt von Sergiy Shevchenko (AWS), Sean O'Sullivan () und Victor Mazeo Whitaker () AWS AWS

Übersicht

Organizations möchten häufig den Internetzugang für Kontoressourcen einschränken, die privat bleiben sollten. In diesen Konten sollten die Ressourcen in virtuellen privaten Clouds (VPCs) auf keinen Fall auf das Internet zugreifen. Viele Unternehmen entscheiden sich für eine zentralisierte Inspektionsarchitektur. Für den Ost-West-Verkehr (VPC-nach-VPC) in einer zentralisierten Inspektionsarchitektur müssen Sie sicherstellen, dass die Spoke-Konten und ihre Ressourcen keinen Zugriff auf das Internet haben. Für den Nord-Süd-Verkehr (ausgehender Internetanschluss und lokaler Datenverkehr) sollten Sie den Internetzugang nur während der Inspektion zulassen. VPC

Dieses Muster verwendet eine Dienststeuerungsrichtlinie (SCP), um den Internetzugang zu verhindern. Sie können dies SCP auf Konto- oder Organisationseinheitsebene (OU) anwenden. Dadurch wird die Internetkonnektivität SCP eingeschränkt, indem Folgendes verhindert wird:

  • Erstellen oder Anhängen eines IPv4 oder IPv6 Internet-Gateways, das direkten Internetzugriff auf das ermöglicht VPC

  • Erstellen oder Annehmen einer VPCPeering-Verbindung, die möglicherweise einen indirekten Internetzugang über eine andere ermöglicht VPC

  • Erstellen oder Aktualisieren einer AWS Global AcceleratorKonfiguration, die direkten Internetzugriff auf Ressourcen ermöglichen könnte VPC

Voraussetzungen und Einschränkungen

Voraussetzungen

Einschränkungen

  • SCPswirken sich nicht auf Benutzer oder Rollen im Verwaltungskonto aus. Sie wirken sich nur auf die Mitgliedskonten Ihrer Organisation aus.

  • SCPsbetreffen nur AWS Identity and Access Management (IAM) Benutzer und Rollen, die von Konten verwaltet werden, die Teil der Organisation sind. Weitere Informationen finden Sie unter SCPAuswirkungen auf Berechtigungen.

Tools

AWS-Services

  • AWS Organizationsist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten. In diesem Muster verwenden Sie Richtlinien zur Dienststeuerung (SCPs) in AWS Organizations.

  • Amazon Virtual Private Cloud (AmazonVPC) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS.

Bewährte Methoden

Nachdem Sie dies SCP in Ihrem Unternehmen eingerichtet haben, stellen Sie sicher, dass Sie es regelmäßig aktualisieren, um alle neuen Funktionen AWS-Services oder Funktionen zu berücksichtigen, die den Internetzugang beeinträchtigen könnten.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie den SCP.

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich mit dem Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie im linken Bereich Richtlinien aus.

  3. Wählen Sie auf der Seite mit den Richtlinien die Option Dienststeuerungsrichtlinien aus.

  4. Wählen Sie auf der Seite Service-Kontrollrichtlinien die Option Richtlinie erstellen aus.

  5. Geben Sie auf der Seite Neue Dienststeuerungsrichtlinie erstellen einen Richtliniennamen und optional eine Richtlinienbeschreibung ein.

  6. (Optional) Fügen Sie Ihrer Richtlinie AWS Tags hinzu.

  7. Löschen Sie im JSON Editor die Platzhalterrichtlinie.

  8. Fügen Sie die folgende Richtlinie in den JSON Editor ein.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Wählen Sie Create Policy (Richtlinie erstellen) aus.

AWS-Administrator

Hängen Sie das anSCP.

  1. Wählen Sie auf der Seite Service Control-Richtlinien die Richtlinie aus, die Sie erstellt haben.

  2. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  3. Wählen Sie die Organisationseinheit oder das Konto aus, an das Sie die Richtlinie anhängen möchten. Möglicherweise müssen Sie das erweitern, OUs um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  4. Wählen Sie Richtlinie anfügen aus.

AWS-Administrator

Erstelle und hänge das an SCP

AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie den SCP.

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich mit dem Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie im linken Bereich Richtlinien aus.

  3. Wählen Sie auf der Seite mit den Richtlinien die Option Dienststeuerungsrichtlinien aus.

  4. Wählen Sie auf der Seite Service-Kontrollrichtlinien die Option Richtlinie erstellen aus.

  5. Geben Sie auf der Seite Neue Dienststeuerungsrichtlinie erstellen einen Richtliniennamen und optional eine Richtlinienbeschreibung ein.

  6. (Optional) Fügen Sie Ihrer Richtlinie AWS Tags hinzu.

  7. Löschen Sie im JSON Editor die Platzhalterrichtlinie.

  8. Fügen Sie die folgende Richtlinie in den JSON Editor ein.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Wählen Sie Create Policy (Richtlinie erstellen) aus.

AWS-Administrator

Hängen Sie das anSCP.

  1. Wählen Sie auf der Seite Service Control-Richtlinien die Richtlinie aus, die Sie erstellt haben.

  2. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  3. Wählen Sie die Organisationseinheit oder das Konto aus, an das Sie die Richtlinie anhängen möchten. Möglicherweise müssen Sie das erweitern, OUs um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  4. Wählen Sie Richtlinie anfügen aus.

AWS-Administrator

Zugehörige Ressourcen

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.