Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Netzwerkkonnektivität für eine Architektur mit mehreren Konten
## Verbindung herstellen VPCs
Viele Unternehmen nutzen VPC-Peering in Amazon Virtual Private Cloud (Amazon VPC), um Entwicklung und Produktion zu verbinden. VPCs Mithilfe einer VPC-Peering-Verbindung können Sie den Verkehr zwischen zwei Verbindungen VPCs mithilfe einer privaten IP-Adressierung weiterleiten. Die Verbindung VPCs kann unterschiedlich AWS-Konten und unterschiedlich sein. AWS-Regionen Weitere Informationen finden Sie unter [Was ist VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) (Amazon-VPC-Dokumentation). Wenn Unternehmen wachsen und die Anzahl der Unternehmen VPCs zunimmt, VPCs kann die Aufrechterhaltung von Peering-Verbindungen zwischen allen zu einer Wartungsbelastung werden. Möglicherweise sind Sie auch durch die maximale Anzahl von VPC-Peering-Verbindungen pro VPC begrenzt. Weitere Informationen finden Sie unter [VPC-Peering-Verbindung-Quota](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering) (Amazon-VPC-Dokumentation).
Wenn Sie über mehrere Entwicklungs-, Test- und Staging-Umgebungen verfügen, in denen Daten außerhalb der Produktion gespeichert werden AWS-Konten, möchten Sie möglicherweise Netzwerkkonnektivität zwischen all diesen Umgebungen bereitstellen, VPCs aber jeglichen Zugriff auf Produktionsumgebungen verbieten. Sie können es verwenden [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html), um mehrere Konten miteinander zu verbinden VPCs . Sie können die Routing-Tabellen trennen, um zu verhindern, dass die Entwicklung VPCs VPCs über das Transit-Gateway, das als zentraler Router fungiert, mit der Produktion kommuniziert. Weitere Informationen finden Sie unter [Zentralisierter Router](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html) (Transit-Gateway-Dokumentation).
Transit-Gateway unterstützt auch Peering mit anderen Transit-Gateways, einschließlich solcher in verschiedenen AWS-Konten oder AWS-Regionen. Da es sich bei Transit-Gateway um einen vollständig verwalteten, hochverfügbaren Service handelt, müssen Sie für jede Region nur ein Transit-Gateway bereitstellen.
Weitere Informationen und detaillierte Netzwerkarchitekturen finden Sie unter [Aufbau einer skalierbaren und sicheren AWS Multi-VPC-Netzwerkinfrastruktur](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html) (AWS Whitepaper).
## Anwendungen verbinden
Wenn Sie die Kommunikation zwischen Anwendungen in verschiedenen Umgebungen in derselben Umgebung (z. B. AWS-Konten in der Produktion) einrichten müssen, können Sie eine der folgenden Optionen verwenden:
+ [VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) oder [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) kann Konnektivität auf Netzwerkebene bereitstellen, wenn Sie einen breiten Zugriff auf mehrere IP-Adressen und Ports ermöglichen möchten.
+ [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) erstellt Endpunkte in einem privaten Subnetz der VPC und diese Endpunkte werden als DNS-Einträge in [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) registriert. Mithilfe von DNS können Anwendungen die Endpunkte auflösen und eine Verbindung zu den registrierten Services herstellen, ohne dass NAT-Gateways oder Internet-Gateways in der VPC erforderlich sind.
+ [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-service-network.html) ordnet Dienste wie Anwendungen mehreren Konten zu VPCs und fasst sie in einem Servicenetzwerk zusammen. Kunden, die mit dem Servicenetzwerk VPCs verbunden sind, können Anfragen an alle anderen Dienste senden, die dem Servicenetzwerk zugeordnet sind, unabhängig davon, ob sie sich im selben Konto befinden. VPC Lattice lässt sich in AWS Resource Access Manager (AWS RAM) integrieren, sodass Sie Ressourcen mit anderen Konten oder über gemeinsam nutzen können. AWS Organizations Sie können eine VPC nur einem Servicenetzwerk zuordnen. Diese Lösung erfordert kein VPC-Peering oder AWS Transit Gateway , um kontenübergreifend zu kommunizieren.
## Bewährte Methoden für Netzwerkkonnektivität
+ Erstellen Sie einen AWS-Konto , den Sie für das zentrale Netzwerk verwenden. Geben Sie diesem Konto den Namen **network-prod** und verwenden Sie es für AWS Transit Gateway [Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) (IPAM). Fügen Sie dieses Konto der **Infrastructure\$1Prod** Organisationseinheit hinzu.
+ Verwenden Sie [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) (AWS RAM), um das Transit-Gateway, die VPC-Lattice-Servicenetzwerke und die IPAM-Pools mit dem Rest der Organisation zu teilen. Auf diese Weise kann jeder AWS-Konto in Ihrer Organisation mit diesen Diensten interagieren.
+ Durch die Verwendung von IPAM-Pools zur zentralen Verwaltung IPv4 und IPv6 Adressierung von Zuweisungen können Sie es Ihren Endbenutzern ermöglichen, sich selbst VPCs bereitzustellen, indem Sie [AWS Service Catalog](https://aws.amazon.com/servicecatalog/) Auf diese Weise können Sie IP-Adressräume angemessen dimensionieren VPCs und überlappende IP-Adressräume verhindern.
+ Verwenden Sie einen zentralisierten Ausgangsansatz für Datenverkehr, der an das Internet gebunden ist, und verwenden Sie einen dezentralen Eingangsansatz für Datenverkehr, der aus dem Internet in Ihre Umgebung gelangt. Weitere Informationen erhalten Sie unter [Zentralisierter Ausgang](centralized-egress.md) und [Dezentraler Eingang](decentralized-ingress.md).
# Zentralisierter Ausgang
*Zentralisierter Ausgang* ist das Prinzip der Verwendung eines einzigen, gemeinsamen Eingangspunkts für den gesamten Netzwerkverkehr, der für das Internet bestimmt ist. Sie können die Inspektion an diesem Eingangspunkt einrichten und den Datenverkehr nur zu bestimmten Domänen oder nur über bestimmte Ports oder Protokolle zulassen. Durch die Zentralisierung von ausgehendem Datenverkehr können Sie auch Kosten senken, da Sie nicht mehr in jedem Ihrer VPCs Systeme NAT-Gateways einrichten müssen, um auf das Internet zuzugreifen. Aus Sicherheitsgründen ist dies von Vorteil, da dadurch die Gefahr von extern zugänglichen bösartigen Ressourcen, wie z. B. der C&C-Infrastruktur (Malware Command and Control – C&C), begrenzt wird. Weitere Informationen und Architekturoptionen für zentralisierten ausgehenden Datenverkehr finden Sie unter [Zentralisierter Ausgang ins Internet (Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-egress-to-internet.html)).AWS
Sie können [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) verwenden, wobei es sich um einen zustandsbehafteten, verwalteten Netzwerk-Firewall und Service zur Erkennung und Verhinderung von Eindringlingen handelt, der als zentraler Inspektionspunkt für ausgehenden Datenverkehr dient. Sie richten diese Firewall in einer dedizierten VPC für ausgehenden Datenverkehr ein. Die Network Firewall unterstützt statusbehaftete Regeln, mit denen Sie den Internetzugriff auf bestimmte Domains beschränken können. Weitere Informationen finden Sie unter [Domainfilterung](https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-examples.html#suricata-example-domain-filtering) (Dokumentation zur Network Firewall).
Sie können auch die [Amazon Route 53 Resolver -DNS-Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) verwenden, um den ausgehenden Verkehr auf bestimmte Domainnamen zu beschränken, hauptsächlich um die unbefugte Exfiltration Ihrer Daten zu verhindern. In den DNS-Firewallregeln können Sie [Domainlisten](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-domain-lists.html) (Route-53-Dokumentation) anwenden, die den Zugriff auf bestimmte Domains zulassen oder verweigern. Sie können AWS verwaltete Domänenlisten verwenden, die Domainnamen enthalten, die mit böswilligen Aktivitäten oder anderen potenziellen Bedrohungen in Verbindung stehen, oder Sie können benutzerdefinierte Domänenlisten erstellen. Sie erstellen DNS-Firewall-Regelgruppen und wenden sie dann auf Ihre an VPCs. Ausgehende DNS-Anfragen werden zur Domainnamenauflösung über einen Resolver in der VPC weitergeleitet, und die DNS-Firewall filtert die Anfragen auf der Grundlage der auf die VPC angewendeten Regelgruppen. Rekursive DNS-Anfragen, die an Resolver gehen, werden nicht über den Transit-Gateway- und Netzwerkfirewall-Pfad geleitet. Route 53 Resolver und DNS-Firewall sollten als separate Ausgangspfade aus der VPC betrachtet werden.
Die folgende Abbildung zeigt eine Beispielarchitektur für zentralisierten Ausgang. Bevor die Netzwerkkommunikation beginnt, werden DNS-Anfragen an Route 53 Resolver gesendet, wo die DNS-Firewall die Auflösung der für die Kommunikation verwendeten IP-Adresse zulässt oder verweigert. Der für das Internet bestimmte Datenverkehr wird über ein zentrales Netzwerkkonto an ein Transit-Gateway weitergeleitet. Das Transit-Gateway leitet den Datenverkehr zur Überprüfung an die Network Firewall weiter. Wenn die Firewall-Richtlinie den ausgehenden Verkehr zulässt, wird der Datenverkehr über ein NAT-Gateway, über ein Internet-Gateway und ins Internet geleitet. Sie können AWS Firewall Manager damit DNS-Firewall-Regelgruppen und Netzwerk-Firewall-Richtlinien in Ihrer Infrastruktur mit mehreren Konten zentral verwalten.
![\[Weiterleitung des Datenverkehrs von anderen Konten über das Netzwerkkonto zum Internet.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/images/3_egress.png)
## Bewährte Methoden zur Absicherung des ausgehenden Datenverkehrs
+ Fangen Sie an im [Nur-Protokollierungs-Modus](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-actions.html) (Dokumentation zu Route 53). Wechseln Sie in den Blockmodus, nachdem Sie überprüft haben, dass legitimer Datenverkehr nicht beeinträchtigt wird.
+ Blockieren Sie den DNS-Verkehr, der ins Internet geht, mithilfe von [AWS Firewall Manager Richtlinien für Netzwerkzugriffskontrolllisten](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html) oder mithilfe AWS Network Firewall von Alle DNS-Abfragen sollten über einen Route 53 Resolver geleitet werden, wo Sie sie mit Amazon überwachen GuardDuty (falls aktiviert) und mit der [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) (falls aktiviert) filtern können. Weitere Informationen finden Sie unter [Auflösen von DNS-Abfragen zwischen VPCs und Ihrem Netzwerk](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) (Route 53-Dokumentation).
+ Verwenden Sie die [AWS -verwalteten Domainlisten](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-managed-domain-lists.html) (Dokumentation zu Route 53) in DNS-Firewall und Netzwerk-Firewall.
+ Erwägen Sie, ungenutzte Top-Level-Domains mit hohem Risiko wie .info, .top, .xyz oder einige Ländercode-Domains zu blockieren.
+ Erwägen Sie, ungenutzte Ports mit hohem Risiko zu blockieren, z. B. die Ports 1389, 4444, 3333, 445, 135, 139 oder 53.
+ Als Ausgangspunkt können Sie eine Ablehnungsliste verwenden, die die AWS verwalteten Regeln enthält. Anschließend können Sie im Laufe der Zeit an der Implementierung eines Modells für Zulassungslisten arbeiten. *Anstatt beispielsweise nur eine strikte Liste voll qualifizierter Domainnamen in die Zulassungsliste aufzunehmen, sollten Sie zunächst einige Platzhalter verwenden, z. B. \$1.example.com.* Sie können sogar nur die Top-Level-Domains zulassen, die Sie erwarten, und alle anderen blockieren. Grenzen Sie diese dann im Laufe der Zeit auch ein.
+ Verwenden Sie [Route 53-Profile](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) (Route 53-Dokumentation), um DNS-bezogene Route 53-Konfigurationen auf viele VPCs und unterschiedliche Arten anzuwenden. AWS-Konten
+ Definieren Sie einen Prozess für den Umgang mit Ausnahmen von diesen bewährten Methoden.
# Dezentraler Eingang
*Dezentraler Eingang* ist das Prinzip, bei dem auf der Ebene eines einzelnen Kontos festgelegt wird, wie der Verkehr aus dem Internet die Workloads in diesem Konto erreicht. In Architekturen mit mehreren Konten besteht einer der Vorteile des dezentralen Eingangs darin, dass jedes Konto den für seine Workloads am besten geeigneten Eingangsservice oder die für seine Workloads am besten geeignete Eingangsressource verwenden kann, z. B. einen Application Load Balancer, Amazon API Gateway oder Network Load Balancer.
Dezentraler Eingang bedeutet zwar, dass Sie jedes Konto einzeln verwalten müssen, aber Sie können Ihre Konfigurationen mit [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) zentral verwalten. Firewall Manager unterstützt Schutzmaßnahmen wie [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) und [Amazon-VPC-Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html). Sie können eine Verbindung AWS WAF zu einem Application Load Balancer, Amazon CloudFront, API Gateway oder AWS AppSync herstellen. Wenn Sie eine Eingangs-VPC und ein Transit-Gateway wie unter [Zentralisierter Ausgang](centralized-egress.md) beschrieben verwenden, enthält jede Spoke-VPC öffentliche und private Subnetze. Es ist jedoch nicht erforderlich, NAT-Gateways bereitzustellen, da der Datenverkehr über die Ausgangs-VPC im Netzwerkkonto geleitet wird.
Die folgende Abbildung zeigt ein Beispiel für eine Person AWS-Konto , die über eine einzelne VPC verfügt, die einen über das Internet zugänglichen Workload enthält. Datenverkehr aus dem Internet greift über ein Internet-Gateway auf die VPC zu und erreicht Load–Balancing- und Sicherheits-Services, die in einem öffentlichen Subnetz gehostet werden. (Ein *öffentliches Subnetz* enthält eine Standardroute zu einem Internet-Gateway). Stellen Sie Load Balancer in öffentlichen Subnetzen bereit und hängen Sie AWS WAF Zugriffskontrolllisten (ACLs) an, um sich vor bösartigem Datenverkehr wie Cross-Site-Scripting zu schützen. Stellen Sie Workloads, die Anwendungen hosten, in *privaten Subnetzen* bereit, die keinen direkten Zugang zum und vom Internet haben.
![\[Datenverkehr aus dem Internet, der über ein Internet-Gateway und Load Balancer auf eine VPC zugreift. AWS WAF\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/images/4_ingress.png)
Wenn Sie VPCs in Ihrer Organisation viele davon haben, möchten Sie möglicherweise gemeinsame Endpunkte nutzen, AWS-Services indem Sie VPC-Endpunkte mit Schnittstellen oder private gehostete Zonen in einer dedizierten und gemeinsam genutzten Zone erstellen. AWS-Konto Weitere Informationen finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink Dokumentation) und [Arbeiten mit privaten gehosteten Zonen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (Route 53-Dokumentation).
Die folgende Abbildung zeigt ein Beispiel für eine AWS-Konto , die Ressourcen hostet, die in der gesamten Organisation gemeinsam genutzt werden können. VPC-Endpunkte können von mehreren Konten gemeinsam genutzt werden, indem sie in einer dedizierten VPC erstellt werden. Wenn Sie einen VPC-Endpunkt erstellen, können Sie optional AWS die DNS-Einträge für den Endpunkt verwalten lassen. Um einen Endpunkt gemeinsam zu nutzen, deaktivieren Sie diese Option und erstellen Sie die DNS-Einträge in einer separaten privat gehosteten Zone (PHZ) von Route 53. Anschließend können Sie die PHZ allen VPCs in Ihrer Organisation zuordnen, um die zentrale DNS-Auflösung der VPC-Endpunkte zu gewährleisten. Sie müssen auch sicherstellen, dass die Routentabellen des Transit-Gateways Routen für die gemeinsam genutzte VPC zur anderen VPCs enthalten. Weitere Informationen finden Sie unter [Zentralisierter Zugriff auf VPC-Schnittstellen-Endpunkte](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) (AWS Whitepaper).
![\[Ein gemeinsam genutztes Konto, das Dienstendpunkte und Ressourcen hostet, die mit anderen Mitgliedskonten gemeinsam genutzt werden können.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/images/5_shared.png)
Ein geteiltes AWS-Konto Konto ist auch ein guter Ort, um AWS Service Catalog Portfolios zu hosten. Ein *Portfolio* ist eine Sammlung von IT-Services, die Sie für die Bereitstellung zur Verfügung stellen möchten AWS, und das Portfolio enthält Konfigurationsinformationen für diese Services. Sie können die Portfolios im gemeinsamen Konto erstellen, sie für die Organisation freigeben, und dann importiert jedes Mitgliedskonto das Portfolio in seine eigene regionale Service Catalog-Instanz. Weitere Informationen finden Sie unter [Teilen mit AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) (Dokumentation zum Service Catalog).
In ähnlicher Weise können Sie mit Amazon VPC Lattice das gemeinsame Konto verwenden, um Ihre Umgebung und Service-Vorlagen als Entitäten zentral zu verwalten und dann Kontoverbindungen mit den Mitgliedskonten der Organisation einzurichten. Weitere Informationen finden Sie unter [Teilen Ihrer VPC Lattice-Entitäten (VPC Lattice-Dokumentation](https://docs.aws.amazon.com/vpc-lattice/latest/ug/sharing.html)).