Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy"></a>

*Sergiy Shevchenko, Sean O'Sullivan und Victor Mazeo Whitaker, Amazon Web Services*

## Zusammenfassung
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-summary"></a>

Organizations möchten häufig den Internetzugang für Kontoressourcen einschränken, die privat bleiben sollten. In diesen Konten sollten die Ressourcen in virtuellen privaten Clouds (VPCs) auf keinen Fall auf das Internet zugreifen. Viele Unternehmen entscheiden sich für eine [zentralisierte Inspektionsarchitektur](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/). Für den Ost-West-Verkehr (VPC-zu-VPC) in einer zentralen Inspektionsarchitektur müssen Sie sicherstellen, dass die Spoke-Konten und ihre Ressourcen keinen Zugriff auf das Internet haben. Für Nord-Süd-Verkehr (ausgehender und lokaler Internetverkehr) möchten Sie den Internetzugang nur über die Inspektions-VPC zulassen.

Dieses Muster verwendet eine [Service Control Policy (SCP), um den Internetzugang zu verhindern](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Sie können dieses SCP auf Konto- oder Organisationseinheitsebene (OU) anwenden. Das SCP schränkt die Internetkonnektivität ein, indem es Folgendes verhindert:
+ Erstellen oder Anhängen eines IPv4 oder IPv6 [Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html), das direkten Internetzugriff auf die VPC ermöglicht
+ Erstellen oder Annehmen einer [VPC-Peering-Verbindung](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html), die möglicherweise indirekten Internetzugang über eine andere VPC ermöglicht
+ Erstellen oder Aktualisieren einer [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)Konfiguration, die direkten Internetzugriff auf VPC-Ressourcen ermöglichen könnte

## Voraussetzungen und Einschränkungen
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-prereqs"></a>

**Voraussetzungen**
+ Eine oder mehrere AWS-Konten werden als Organisation verwaltet in AWS Organizations.
+ [Alle Funktionen sind in aktiviert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) AWS Organizations.
+ [SCPs sind in der Organisation aktiviert](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html).
+ Berechtigungen für:
  + Greifen Sie auf das Verwaltungskonto der Organisation zu.
  + Erstellen SCPs. Weitere Informationen zu den Mindestberechtigungen finden Sie unter [SCP erstellen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#create-an-scp).
  + Ordnen Sie den SCP den Zielkonten oder Organisationseinheiten zu ()OUs. Weitere Informationen zu den Mindestberechtigungen finden Sie unter [Dienststeuerungsrichtlinien anhängen und trennen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).

**Einschränkungen**
+ SCPs wirken sich nicht auf Benutzer oder Rollen im Verwaltungskonto aus. Sie wirken sich nur auf die Mitgliedskonten Ihrer Organisation aus.
+ SCPs betreffen nur AWS Identity and Access Management (IAM-) Benutzer und Rollen, die von Konten verwaltet werden, die Teil der Organisation sind. Weitere Informationen zu [SCP-Auswirkungen auf Berechtigungen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).

## Tools
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-tools"></a>

**AWS-Services**
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten. In diesem Muster verwenden Sie [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) in AWS Organizations.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS.

## Best Practices
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-best-practices"></a>

Nachdem Sie dieses SCP in Ihrem Unternehmen eingerichtet haben, stellen Sie sicher, dass Sie es regelmäßig aktualisieren, um alle neuen Funktionen AWS-Services oder Funktionen zu berücksichtigen, die den Internetzugang beeinträchtigen könnten.

## Epen
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-epics"></a>

### Erstelle das SCP und hänge es an
<a name="create-and-attach-the-scp"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Erstellen Sie das SCP. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | AWS-Administrator | 
| Hängen Sie das SCP an. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | AWS-Administrator | 

## Zugehörige Ressourcen
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-resources"></a>
+ [AWS Organizations Dokumentation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [Richtlinien zur Servicekontrolle (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [Zentralisierte Inspektionsarchitektur mit AWS Gateway Load Balancer und AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) (AWS Blogbeitrag)