Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie

PDF
Fokusmodus
Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenToolsBewährte MethodenEpenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellt von Sergiy Shevchenko (AWS), Sean O'Sullivan (AWS) und Victor Mazeo Whitaker (AWS)

Übersicht

Organizations möchten häufig den Internetzugang für Kontoressourcen einschränken, die privat bleiben sollten. In diesen Konten sollten die Ressourcen in virtuellen privaten Clouds (VPCs) auf keinen Fall auf das Internet zugreifen. Viele Unternehmen entscheiden sich für eine zentralisierte Inspektionsarchitektur. Für den Ost-West-Verkehr (VPC-zu-VPC) in einer zentralen Inspektionsarchitektur müssen Sie sicherstellen, dass die Spoke-Konten und ihre Ressourcen keinen Zugriff auf das Internet haben. Für Nord-Süd-Verkehr (ausgehender und lokaler Internetverkehr) möchten Sie den Internetzugang nur über die Inspektions-VPC zulassen.

Dieses Muster verwendet eine Service Control Policy (SCP), um den Internetzugang zu verhindern. Sie können dieses SCP auf Konto- oder Organisationseinheitsebene (OU) anwenden. Das SCP schränkt die Internetkonnektivität ein, indem es Folgendes verhindert:

  • Erstellen oder Anhängen eines IPv4 oder IPv6 Internet-Gateways, das direkten Internetzugriff auf die VPC ermöglicht

  • Erstellen oder Annehmen einer VPC-Peering-Verbindung, die möglicherweise indirekten Internetzugang über eine andere VPC ermöglicht

  • Erstellen oder Aktualisieren einer AWS Global AcceleratorKonfiguration, die direkten Internetzugriff auf VPC-Ressourcen ermöglichen könnte

Voraussetzungen und Einschränkungen

Voraussetzungen

Einschränkungen

  • SCPs wirken sich nicht auf Benutzer oder Rollen im Verwaltungskonto aus. Sie wirken sich nur auf die Mitgliedskonten Ihrer Organisation aus.

  • SCPs betreffen nur AWS Identity and Access Management (IAM-) Benutzer und Rollen, die von Konten verwaltet werden, die Teil der Organisation sind. Weitere Informationen zu SCP-Auswirkungen auf Berechtigungen.

Tools

AWS-Services

  • AWS Organizationsist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten. In diesem Muster verwenden Sie Richtlinien zur Dienststeuerung (SCPs) in AWS Organizations.

  • Amazon Virtual Private Cloud (Amazon VPC) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS.

Bewährte Methoden

Nachdem Sie dieses SCP in Ihrem Unternehmen eingerichtet haben, stellen Sie sicher, dass Sie es regelmäßig aktualisieren, um alle neuen Funktionen AWS-Services oder Funktionen zu berücksichtigen, die den Internetzugang beeinträchtigen könnten.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie das SCP.

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich mit dem Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie im linken Bereich Richtlinien aus.

  3. Wählen Sie auf der Seite mit den Richtlinien die Option Dienststeuerungsrichtlinien aus.

  4. Wählen Sie auf der Seite Service-Kontrollrichtlinien die Option Richtlinie erstellen aus.

  5. Geben Sie auf der Seite Neue Dienststeuerungsrichtlinie erstellen einen Richtliniennamen und optional eine Richtlinienbeschreibung ein.

  6. (Optional) Fügen Sie Ihrer Richtlinie AWS Tags hinzu.

  7. Löschen Sie im JSON-Editor die Platzhalterrichtlinie.

  8. Fügen Sie die folgende -Richtlinie in den JSON-Editor ein.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Wählen Sie Create Policy (Richtlinie erstellen) aus.

AWS-Administrator

Hängen Sie das SCP an.

  1. Wählen Sie auf der Seite Service Control-Richtlinien die Richtlinie aus, die Sie erstellt haben.

  2. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  3. Wählen Sie die Organisationseinheit oder das Konto aus, an das Sie die Richtlinie anhängen möchten. Möglicherweise müssen Sie das erweitern, OUs um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  4. Wählen Sie Richtlinie anfügen aus.

AWS-Administrator

Erstelle das SCP und hänge es an

AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie das SCP.

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich mit dem Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie im linken Bereich Richtlinien aus.

  3. Wählen Sie auf der Seite mit den Richtlinien die Option Dienststeuerungsrichtlinien aus.

  4. Wählen Sie auf der Seite Service-Kontrollrichtlinien die Option Richtlinie erstellen aus.

  5. Geben Sie auf der Seite Neue Dienststeuerungsrichtlinie erstellen einen Richtliniennamen und optional eine Richtlinienbeschreibung ein.

  6. (Optional) Fügen Sie Ihrer Richtlinie AWS Tags hinzu.

  7. Löschen Sie im JSON-Editor die Platzhalterrichtlinie.

  8. Fügen Sie die folgende -Richtlinie in den JSON-Editor ein.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Wählen Sie Create Policy (Richtlinie erstellen) aus.

AWS-Administrator

Hängen Sie das SCP an.

  1. Wählen Sie auf der Seite Service Control-Richtlinien die Richtlinie aus, die Sie erstellt haben.

  2. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  3. Wählen Sie die Organisationseinheit oder das Konto aus, an das Sie die Richtlinie anhängen möchten. Möglicherweise müssen Sie das erweitern, OUs um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  4. Wählen Sie Richtlinie anfügen aus.

AWS-Administrator

Zugehörige Ressourcen

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.