Konfigurieren eines Endpunkt-Service

Nachdem Sie einen Endpunktservice erstellt haben, können Sie dessen Konfiguration aktualisieren.

Verwalten von Berechtigungen

Mithilfe der Kombination aus Berechtigungen und Akzeptanzeinstellungen können Sie steuern, welche Dienstnutzer (AWS Prinzipale) auf Ihren Endpunktdienst zugreifen können. Beispielsweise können Sie bestimmten Prinzipalen, denen Sie vertrauen, Berechtigungen erteilen und alle Verbindungsanforderungen automatisch akzeptieren, oder einer allgemeineren Prinzipalgruppe Berechtigungen erteilen und nur bestimmte vertrauenswürdige Verbindungsanfragen manuell akzeptieren.

Standardmäßig ist Ihr Endpunkt-Service für Service-Verbraucher nicht verfügbar. Sie müssen Berechtigungen hinzufügen, die es bestimmten AWS Prinzipalen ermöglichen, einen VPC-Schnittstellen-Endpunkt zu erstellen, um eine Verbindung zu Ihrem Endpunktdienst herzustellen. Um Berechtigungen für einen AWS Prinzipal hinzuzufügen, benötigen Sie dessen Amazon-Ressourcennamen (ARN). Die folgende Liste enthält Beispiel-ARNs für unterstützte AWS -Prinzipale.

ARNs für AWS Principals

AWS-Konto (beinhaltet alle Principals im Konto)

arn:aws:iam::account_id:root

Rolle

arn:aws:iam::account_id:role/role_name

Benutzer

arn:aws:iam::account_id:user/user_name

Insgesamt alle Schulleiter AWS-Konten

*

Überlegungen

• Wenn Sie allen Benutzern die Berechtigung erteilen, auf den Endpunkt-Service zuzugreifen, und den Endpunkt-Service so konfigurieren, dass er alle Anforderungen akzeptiert, ist Ihr Load Balancer auch dann öffentlich, wenn er keine öffentliche IP-Adresse hat.

• Wenn Sie Berechtigungen entfernen, hat dies keine Auswirkungen auf bestehende Verbindungen zwischen dem Endpunkt und dem Dienst, die zuvor akzeptiert wurden.

So verwalten Sie Berechtigungen für den Endpunkt-Service mithilfe der Konsole

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie Ihren Endpunktservice aus und wählen Sie dann die Registerkarte Allow principals (Prinzipale zulassen).

4. Um Berechtigungen hinzuzufügen, wählen Sie Allow principals (Prinzipale zulassen). Geben Sie für Principals to add (Prinzipale zum Hinzufügen) den ARN des Prinzipals ein. Um einen weiteren Prinzipal hinzuzufügen, wählen Sie Add principal (Prinzipal hinzufügen. Wenn Sie mit dem Hinzufügen der Prinzipale fertig sind, wählen Allow principals (Prinzipale zulassen).

5. Um Berechtigungen zu entfernen, wählen Sie den Prinzipal aus und wählen Sie unter Actions (Aktionen) Delete (Löschen) aus. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie delete ein und wählen Sie dann Löschen aus.

So fügen Sie Berechtigungen für Ihren Endpunkt-Service mithilfe der Befehlszeile hinzu

• modify-vpc-endpoint-service-permissions (AWS CLI)

• Edit-EC2EndpointServicePermission(Tools für Windows PowerShell)

Annehmen oder Ablehnen von Verbindungsanforderungen

Mithilfe der Kombination aus Berechtigungen und Akzeptanzeinstellungen können Sie steuern, welche Dienstnutzer (AWS Prinzipale) auf Ihren Endpunktdienst zugreifen können. Beispielsweise können Sie bestimmten Prinzipalen, denen Sie vertrauen, Berechtigungen erteilen und alle Verbindungsanforderungen automatisch akzeptieren, oder einer allgemeineren Prinzipalgruppe Berechtigungen erteilen und nur bestimmte vertrauenswürdige Verbindungsanfragen manuell akzeptieren.

Sie können Ihren Endpunkt-Service so konfigurieren, dass Verbindungsanforderungen automatisch akzeptiert werden. Andernfalls müssen Sie sie manuell akzeptieren oder ablehnen. Wenn Sie eine Verbindungsanforderung nicht akzeptieren, kann der Service-Verbraucher nicht auf Ihren Endpunkt-Service zugreifen.

Sie können eine Benachrichtigung erhalten, wenn eine Verbindungsanfrage akzeptiert oder abgelehnt wird. Weitere Informationen finden Sie unter Empfangen von Warnmeldungen für Endpunkt-Serviceereignisse.

Überlegungen

• Wenn Sie allen Benutzern die Berechtigung erteilen, auf den Endpunkt-Service zuzugreifen, und den Endpunkt-Service so konfigurieren, dass er alle Anforderungen akzeptiert, ist Ihr Load Balancer auch dann öffentlich, wenn er keine öffentliche IP-Adresse hat.

• Wenn Sie eine Anfrage ablehnen, die bereits akzeptiert wurde, hat dies keine Auswirkungen auf die Verbindung zwischen dem Endpunkt und dem Dienst.

So ändern Sie die Akzeptanzeinstellung mithilfe der Konsole

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie den Endpunktservice aus.

4. Wählen Sie Actions, Modify endpoint acceptance setting.

5. Acceptance required (Akzeptanz erforderlich) auswählen oder löschen.

6. Wählen Sie Save Changes (Änderungen speichern)

So ändern Sie die Akzeptanzeinstellung mithilfe der Befehlszeile

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(Tools für Windows PowerShell)

So akzeptieren Sie eine Verbindungsanfrage mit Hilfe der Konsole oder lehnen diese ab

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie den Endpunktservice aus.

4. Wählen Sie die Endpunktverbindung auf der Registerkarte Endpoint connections (Endpunktverbindungen) aus.

5. Um die Verbindungsanforderung zu akzeptieren, wählen Sie Actions (Aktionen), Accept endpoint connection request (Endpunkt-Verbindungsanforderung akzeptieren). Wenn Sie zur Bestätigung aufgefordert werden, geben Sie accept ein und wählen Sie dann Accept (Akzeptieren).

6. Um die Verbindungsanforderung abzulehnen, wählen Sie Actions (Aktionen), Reject endpoint connection request (Endpunkt-Verbindungsanforderung ablehnen). Wenn Sie zur Bestätigung aufgefordert werden, geben Sie reject ein und wählen Sie dann Reject (Ablehnen).

So akzeptieren Sie eine Verbindungsanfrage mit Hilfe der Befehlszeile oder lehnen diese ab

• accept-vpc-endpoint-connections oder reject-vpc-endpoint-connections (AWS CLI)

• Approve-EC2EndpointConnectionoder Deny-EC2EndpointConnection(Tools für Windows PowerShell)

Load Balancer verwalten

Sie können die Load Balancer verwalten, die Ihrem Endpoint Service zugeordnet sind. Sie können einen Load Balancer nicht trennen, wenn Ihrem Endpunktservice Endpunkte zugeordnet sind.

Wenn Sie eine andere Availability Zone für einen Network Load Balancer aktivieren, können Sie auch die Availability Zone für Ihren Endpoint Service aktivieren. Nachdem Sie eine Availability Zone für den Endpoint Service aktiviert haben, können Service Consumer ein Subnetz aus dieser Availability Zone zu ihren Schnittstellen-VPC-Endpunkten hinzufügen.

Um die Load Balancer für Ihren Endpoint Service mithilfe der Konsole zu verwalten

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie den Endpunktservice aus.

4. Wählen Sie Actions (Aktionen), Associate or disassociate load balancers (Load Balancer zuordnen oder trennen).

5. Ändern Sie die Konfiguration des Endpunktdienstes nach Bedarf. Beispielsweise:

   • Aktivieren Sie das Kontrollkästchen für einen Load Balancer, um ihn mit dem Endpunktdienst zu verknüpfen.

   • Deaktivieren Sie das Kontrollkästchen für einen Load Balancer, um ihn vom Endpunktdienst zu trennen. Sie müssen mindestens einen Load Balancer ausgewählt lassen.

   • Wenn Sie kürzlich eine andere Availability Zone für Ihren Load Balancer aktiviert haben, wird diese unter Inbegriffene Availability Zones angezeigt. Wenn Sie im nächsten Schritt Änderungen speichern, wird dadurch der Endpunktdienst für die neue Availability Zone aktiviert.

6. Wählen Sie Save Changes (Änderungen speichern)

Um die Load Balancer für Ihren Endpoint Service über die Befehlszeile zu verwalten

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(Tools für Windows PowerShell)

Um den Endpunktdienst in einer Availability Zone zu aktivieren, die kürzlich für den Load Balancer aktiviert wurde, rufen Sie einfach den Befehl mit der ID des Endpunktdienstes auf.

Zuordnen eines privaten DNS-Namens

Sie können einen privaten DNS-Namen mit Ihrem Endpunkt-Service verknüpfen. Nachdem Sie einen privaten DNS-Namen zugeordnet haben, müssen Sie den Eintrag für die Domain auf Ihrem DNS-Server aktualisieren. Bevor Service-Verbraucher den privaten DNS-Namen verwenden können, muss der Service-Anbieter überprüfen, ob er Eigentümer der Domain ist. Weitere Informationen finden Sie unter DNS-Namen verwalten.

So ändern Sie den privaten DNS-Namen eines Endpunktservice mithilfe der Konsole

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie den Endpunktservice aus.

4. Wählen Sie Actions (Aktionen), Modify Private DNS names (Private DNS-Namen ändern).

5. Wählen Sie Associate a private DNS name with the service (dem Service einen privaten DNS-Namen zuordnen) aus und geben Sie den privaten DNS-Namen ein.

   • Domain-Namen müssen Kleinbuchstaben benutzen.

   • Sie können Platzhalter in Domain-Namen verwenden (z. B. *.myexampleservice.com).

6. Wählen Sie Änderungen speichern aus.

7. Der private DNS-Name kann von Service-Verbrauchern verwendet werden, wenn der Überprüfungsstatus verified (verifiziert) lautet. Wenn sich der Überprüfungsstatus ändert, werden neue Verbindungsanforderungen abgelehnt, bestehende Verbindungen sind jedoch nicht betroffen.

So ändern Sie den privaten DNS-Namen eines Endpunktservice mithilfe der Befehlszeile

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(Tools für Windows PowerShell)

So initiieren Sie den Domain-Überprüfungsprozess mithilfe der Konsole

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie den Endpunktservice aus.

4. Wählen Sie Actions (Aktionen),Verify domain ownership for private DNS name (Domain-Besitz für privaten DNS-Namen verifizieren).

5. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie verify ein und wählen Sie dann Verify (Verifizieren).

So initiieren Sie den Domain-Überprüfungsprozess mithilfe der Befehlszeile

• start-vpc-endpoint-service-private-dns-verification (AWS CLI)

• Start-EC2VpcEndpointServicePrivateDnsVerification(Tools für Windows PowerShell)

Ändern der unterstützten IP-Adresstypen

Sie können die IP-Adresstypen ändern, die von Ihrem Endpunkt-Service unterstützt werden.

Überlegungen

Damit Ihr Endpunkt-Service IPv6-Anfragen akzeptieren kann, müssen seine Network Load Balancer den Dualstack-IP-Adresstypen verwenden. Die Ziele müssen keinen IPv6-Datenverkehr unterstützen. Weitere Informationen finden Sie unter IP-Adresstyp im Benutzerhandbuch für Network Load Balancer.

So ändern Sie die unterstützten IP-Adresstypen mithilfe der Konsole

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie den VPC-Endpunktservice aus.

4. Wählen Sie Actions (Aktionen), Modify supported IP address types (Unterstützte IP-Adresstypen ändern).

5. Führen Sie für Supported IP address types (Unterstützte IP-Adresstyp) einen der folgenden Schritte aus:

   • Wählen Sie IPv4 – Aktivieren Sie den Endpunkt-Service, um IPv4-Anfragen anzunehmen.

   • Wählen Sie IPv6 – Aktivieren Sie den Endpunkt-Service, um IPv6-Anfragen zu akzeptieren.

   • Wählen Sie IPv4 und IPv6 – Aktivieren Sie den Endpunkt-Service, um IPv4- und IPv6-Anfragen zu akzeptieren.

6. Wählen Sie Änderungen speichern aus.

So ändern Sie die unterstützten IP-Adresstypen mithilfe der Befehlszeile

• modify-vpc-endpoint-service-configuration (AWS CLI)

• Edit-EC2VpcEndpointServiceConfiguration(Tools für Windows PowerShell)

Verwalten von Tags

Sie können Ihre Ressourcen markieren, um sie zu identifizieren oder in Übereinstimmung mit den Anforderungen Ihrer Organisation kategorisieren zu können.

So verwalten Sie Tags für den Endpunkt-Service mithilfe der Konsole

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie den VPC-Endpunktservice aus.

4. Klicken Sie auf Actions (Aktionen), Manage tags (Markierungen verwalten).

5. Wählen Sie für jede Markierung Add new tag (Neue Markierung hinzufügen) und geben Sie den Schlüssel und Wert der Markierung ein.

6. Um eine Markierung zu entfernen, wählen Sie Remove (Entfernen) rechts neben dem Schlüssel und dem Wert der Markierung aus.

7. Wählen Sie Speichern.

So verwalten Sie Tags für Ihre Endpunktverbindungen mithilfe der Konsole

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie den VPC-Endpunktservice und dann die Registerkarte Endpoint-Verbindungen.

4. Wählen Sie die Endpunktverbindung und dann Actions (Aktionen), Manage tags (Tags verwalten) aus.

5. Wählen Sie für jede Markierung Add new tag (Neue Markierung hinzufügen) und geben Sie den Schlüssel und Wert der Markierung ein.

6. Um eine Markierung zu entfernen, wählen Sie Remove (Entfernen) rechts neben dem Schlüssel und dem Wert der Markierung aus.

7. Wählen Sie Speichern.

So verwalten Sie Tags für Ihre Endpunkt-Serviceberechtigungen mithilfe der Konsole

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpoint Services (Endpunktservices) aus.

3. Wählen Sie den VPC-Endpunktservice und dann die Registerkarte Allow principals (Prinzipale zulassen) aus.

4. Wählen Sie den Prinzipal aus und wählen Sie dann Actions (Aktionen), Manage tags (Tags verwalten) aus.

5. Wählen Sie für jede Markierung Add new tag (Neue Markierung hinzufügen) und geben Sie den Schlüssel und Wert der Markierung ein.

6. Um eine Markierung zu entfernen, wählen Sie Remove (Entfernen) rechts neben dem Schlüssel und dem Wert der Markierung aus.

7. Wählen Sie Speichern.

So fügen Sie Tags über die Befehlszeile hinzu und entfernen sie

• create-tags und delete-tags (AWS CLI)

• New-EC2Tagund Remove-EC2Tag(Tools für Windows PowerShell)