Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verifizierte Access-Instanzen
Eine AWS Verified Access Instanz ist eine AWS Ressource, mit der Sie Ihre Vertrauensanbieter und Gruppen mit verifiziertem Zugriff organisieren können. Eine Instanz wertet Anwendungsanfragen aus und gewährt Zugriff nur, wenn Ihre Sicherheitsanforderungen erfüllt sind.
**Topics**
+ [Erstellen und verwalten Sie eine Verified Access-Instanz](create-verified-access-instance.md)
+ [Löschen Sie eine Instanz mit verifiziertem Zugriff](delete-verified-access-instance.md)
+ [Integrieren Sie Verified Access mit AWS WAF](waf-integration.md)
+ [FIPS-Konformität für verifizierten Zugriff](fips-compliance.md)
# Erstellen und verwalten Sie eine Verified Access-Instanz
Sie verwenden eine Verified Access-Instanz, um Ihre Vertrauensanbieter und Verified Access-Gruppen zu organisieren. Gehen Sie wie folgt vor, um eine Verified Access-Instanz zu erstellen und anschließend Verified Access einen Trust Provider zuzuordnen oder einen Trust Provider von Verified Access zu trennen.
**Topics**
+ [Erstellen Sie eine Instanz mit verifiziertem Zugriff](#create-instance)
+ [Ordnen Sie einer Verified Access-Instanz einen Vertrauensanbieter zu](#attach-trust-provider)
+ [Trennen Sie einen Vertrauensanbieter von einer Verified Access-Instanz](#detach-trust-provider)
+ [Fügen Sie eine benutzerdefinierte Subdomain hinzu](#modify-custom-subdomain)
## Erstellen Sie eine Instanz mit verifiziertem Zugriff
Gehen Sie wie folgt vor, um eine Verified Access-Instanz zu erstellen.
**So erstellen Sie eine Verified Access-Instanz mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access-Instances** und dann **Create Verified Access-Instanz aus**.
1. (Optional) Geben Sie **unter Name** und **Beschreibung** einen Namen und eine Beschreibung für die Verified Access-Instanz ein.
1. (Netzwerk-CIDR-Endpunkte) Geben Sie für **Benutzerdefinierte Subdomain für Netzwerk-CIDR-Endpoint** eine benutzerdefinierte Subdomain ein.
1. (Optional) Wählen Sie **Enable** for **Federal Information Process Standards (FIPS), wenn Verified Access FIPS-konform** sein muss.
1. (Optional) Wählen Sie für **Verified Access Trust Provider** einen Trust Provider aus, der an die Verified Access-Instanz angehängt werden soll.
1. (Optional) Sie fügen ein Tag hinzu, indem Sie **neues Tag hinzufügen** auswählen und den Schlüssel und den Wert für das Tag eingeben.
1. Wählen Sie **Instanz mit verifiziertem Zugriff erstellen aus**.
**Um eine Instanz mit verifiziertem Zugriff zu erstellen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [create-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-instance.html).
## Ordnen Sie einer Verified Access-Instanz einen Vertrauensanbieter zu
Gehen Sie wie folgt vor, um einer Verified Access-Instanz einen Vertrauensanbieter zuzuordnen.
**So fügen Sie mithilfe der Konsole einen Trust Provider an eine Verified Access-Instanz an**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access-Instances** aus.
1. Wählen Sie die Instance aus.
1. Wählen Sie **Aktionen**, **Vertrauensanbieter mit verifiziertem Zugriff anhängen** aus.
1. Wählen Sie unter **Vertrauensanbieter mit verifiziertem Zugriff** einen Vertrauensanbieter aus.
1. Wählen Sie **Attach Verified Access Trust Provider**.
**Um einen Vertrauensanbieter an eine Verified Access-Instanz anzuhängen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [attach-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-verified-access-trust-provider.html).
## Trennen Sie einen Vertrauensanbieter von einer Verified Access-Instanz
Gehen Sie wie folgt vor, um einen Vertrauensanbieter von einer Verified Access-Instanz zu trennen.
**So trennen Sie mithilfe der Konsole einen Trust Provider von einer Verified Access-Instanz**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access-Instances** aus.
1. Wählen Sie die Instance aus.
1. Wählen Sie **Aktionen**, **Vertrauensanbieter mit verifiziertem Zugriff trennen** aus.
1. Wählen Sie für **Verified Access Trust Provider** den Trust Provider aus.
1. Wählen Sie **Detach Verified Access Trust Provider** aus.
**Um einen Vertrauensanbieter von einer Verified Access-Instanz zu trennen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [detach-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-verified-access-trust-provider.html).
## Fügen Sie eine benutzerdefinierte Subdomain hinzu
Gehen Sie wie folgt vor, um eine benutzerdefinierte Subdomain hinzuzufügen oder zu aktualisieren. Diese Subdomain wird nur verwendet, wenn Sie einen [Netzwerk-CIDR-Endpunkt](create-network-cidr-endpoint.md) erstellen.
**So fügen Sie mithilfe der Konsole eine benutzerdefinierte Subdomain hinzu**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access-Instances** aus.
1. Wählen Sie die Instance aus.
1. Wählen Sie **Aktionen**, **Instanz mit verifiziertem Zugriff ändern aus**.
1. Geben Sie **unter Benutzerdefinierte Subdomain für Netzwerk-CIDR-Endpunkt** eine benutzerdefinierte Subdomain ein.
1. Wählen Sie Instanz mit **verifiziertem Zugriff modifizieren** aus.
1. Aktualisieren Sie die Nameserver für Ihre Subdomain und geben Sie die von Verified Access bereitgestellten Nameserver ein. **Diese Liste ist unter **Nameserver** auf der Registerkarte Details für die Instanz verfügbar.**
**Um eine benutzerdefinierte Subdomain hinzuzufügen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [modify-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance.html).
# Löschen Sie eine Instanz mit verifiziertem Zugriff
Wenn Sie mit einer Verified Access-Instanz fertig sind, können Sie sie löschen. Bevor Sie eine Instanz löschen können, müssen Sie alle zugehörigen Trust Provider oder Verified Access-Gruppen entfernen.
**Um eine Verified Access-Instanz mithilfe der Konsole zu löschen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access-Instances** aus.
1. Wählen Sie die Verified Access-Instanz aus.
1. Wählen Sie **Aktionen**, **Instanz mit verifiziertem Zugriff löschen aus**.
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein und wählen Sie dann **Delete** (Löschen) aus.
**Um eine Instanz mit verifiziertem Zugriff zu löschen, verwenden Sie AWS CLI**
Verwenden Sie den Befehl [delete-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-instance.html).
# Integrieren Sie Verified Access mit AWS WAF
Zusätzlich zu den Authentifizierungs- und Autorisierungsregeln, die von Verified Access durchgesetzt werden, möchten Sie möglicherweise auch den Perimeterschutz anwenden. Dies kann Ihnen helfen, Ihre Anwendungen vor zusätzlichen Bedrohungen zu schützen. Sie können dies erreichen, indem Sie es AWS WAF in Ihre Verified Access-Bereitstellung integrieren. AWS WAF ist eine Firewall für Webanwendungen, mit der Sie die HTTP-Anfragen überwachen können, die an Ihre geschützten Webanwendungsressourcen weitergeleitet werden. Weitere Informationen finden Sie im [AWS WAF -Entwicklerhandbuch](https://docs.aws.amazon.com/waf/latest/developerguide/).
Sie können Verified Access AWS WAF integrieren, indem Sie einer Verified Access-Instanz eine AWS WAF Web Access Control List (ACL) zuordnen. Eine Web-ACL ist eine AWS WAF Ressource, die Ihnen eine genaue Kontrolle über alle HTTP-Webanfragen gibt, auf die Ihre geschützte Ressource reagiert. Während der Bearbeitung AWS WAF der Zuordnungs- oder Trennungsanfrage wird der Status aller mit der Instance verbundenen Verified Access-Endpunkte als angezeigt. `updating` Nachdem die Anfrage abgeschlossen ist, kehrt der Status zu zurück. `active` Sie können den Status im AWS-Managementkonsole oder anzeigen, indem Sie den Endpunkt mit dem beschreiben AWS CLI.
Der Vertrauensanbieter für Benutzeridentitäten bestimmt, wann der AWS WAF Datenverkehr überprüft wird. Wenn Sie IAM Identity Center verwenden, wird der Datenverkehr vor der AWS WAF Benutzerauthentifizierung überprüft. Wenn Sie OpenID Connect (OIDC) verwenden, AWS WAF überprüft es den Datenverkehr nach der Benutzerauthentifizierung.
**Topics**
+ [Erforderliche IAM-Berechtigungen](#waf-permissions)
+ [Ordnen Sie eine AWS WAF Web-ACL zu](#associate-web-acl)
+ [Überprüfen Sie den Status der Zuordnung](#waf-integration-status)
+ [Trennen Sie die Zuordnung einer AWS WAF Web-ACL](#disassociate-web-acl)
## Erforderliche IAM-Berechtigungen
Die Integration AWS WAF mit Verified Access umfasst Aktionen, die nur mit Zugriffsrechten ausgeführt werden und nicht direkt einem API-Vorgang entsprechen. Diese Aktionen sind in der AWS Identity and Access Management *Serviceautorisierungsreferenz* mit angegeben. `[permission only]` Weitere Informationen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) in der *Service Authorization Reference.*
Um mit einer Web-ACL arbeiten zu können, muss Ihr AWS Identity and Access Management Principal über die folgenden Berechtigungen verfügen.
+ `ec2:AssociateVerifiedAccessInstanceWebAcl`
+ `ec2:DisassociateVerifiedAccessInstanceWebAcl`
+ `ec2:DescribeVerifiedAccessInstanceWebAclAssociations`
+ `ec2:GetVerifiedAccessInstanceWebAcl`
## Ordnen Sie eine AWS WAF Web-ACL zu
Die folgenden Schritte zeigen, wie Sie mithilfe der Verified Access-Konsole eine AWS WAF Web Access Control List (ACL) einer Verified Access-Instanz zuordnen.
**Voraussetzung**
Bevor Sie beginnen, erstellen Sie eine AWS WAF Web-ACL. Weitere Informationen finden Sie unter [Erstellen einer Web-ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html) im *AWS WAF Entwicklerhandbuch*.
**So ordnen Sie einer Verified Access-Instanz eine AWS WAF Web-ACL zu**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access-Instances** aus.
1. Wählen Sie die Verified Access-Instanz aus.
1. Wählen Sie den Tab **Integrationen** aus.
1. Wählen Sie „**Aktionen**“ und anschließend „**Web-ACL zuordnen**“.
1. Wählen Sie für **Web-ACL** eine bestehende Web-ACL und dann **Associate Web ACL** aus.
Alternativ können Sie die AWS WAF Konsole verwenden. Wenn Sie die AWS WAF Konsole oder API verwenden, benötigen Sie den Amazon Resource Name (ARN) Ihrer Verified Access-Instance. Ein AVA-ARN hat das folgende Format:`arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}`. Weitere Informationen finden Sie im *AWS WAF Entwicklerhandbuch* unter [Zuordnen einer Web-ACL zu einer AWS Ressource](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating.html).
## Überprüfen Sie den Status der Zuordnung
Mithilfe der Verified AWS WAF Access-Konsole können Sie überprüfen, ob eine Web Access Control List (ACL) einer Verified Access-Instanz zugeordnet ist oder nicht.
**Um den Status der AWS WAF Integration mit einer Verified Access-Instanz anzuzeigen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access-Instances** aus.
1. Wählen Sie die Verified Access-Instanz aus.
1. Wählen Sie den Tab **Integrationen** aus.
1. Überprüfen Sie die Details, die unter **WAF-Integrationsstatus** aufgeführt sind. **Der Status wird zusammen mit der Web-ACL-Kennung als Zugeordnet oder **Nicht verknüpft** angezeigt, sofern der Status Zugeordnet **ist**.**
## Trennen Sie die Zuordnung einer AWS WAF Web-ACL
In den folgenden Schritten wird veranschaulicht, wie Sie mithilfe der Verified Access-Konsole die Zuordnung einer AWS WAF Web Access Control List (ACL) zu einer Verified Access-Instanz aufheben.
**So trennen Sie die Zuordnung einer AWS WAF Web-ACL zu einer Verified Access-Instanz**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Verified Access-Instances** aus.
1. Wählen Sie die Verified Access-Instanz aus.
1. Wählen Sie den Tab **Integrationen** aus.
1. Wählen Sie „**Aktionen**“ und dann „**Web-ACL trennen**“.
1. Bestätigen Sie, indem Sie „**Web-ACL trennen**“ wählen.
Alternativ können Sie die AWS WAF Konsole verwenden. Weitere Informationen finden Sie im *AWS WAF Entwicklerhandbuch* unter [Trennen der Zuordnung einer Web-ACL zu einer AWS Ressource](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-dissociating-aws-resource.html).
# FIPS-Konformität für verifizierten Zugriff
Der Federal Information Processing Standard (FIPS) ist ein US-amerikanischer und kanadischer Regierungsstandard, der Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. AWS Verified Access bietet die Möglichkeit, Ihre Umgebung so zu konfigurieren, dass sie der FIPS-Publikation 140-2 entspricht. Die FIPS-Konformität für Verified Access ist in den folgenden Regionen verfügbar: AWS
+ US East (Ohio)
+ USA Ost (Nord-Virginia)
+ USA West (Nordkalifornien)
+ USA West (Oregon)
+ Kanada (Zentral)
+ AWS GovCloud (US) Westen
+ AWS GovCloud (US) Osten
Auf dieser Seite erfahren Sie, wie Sie eine neue oder eine bestehende Verified Access-Umgebung so konfigurieren, dass sie FIPS-konform ist.
**Topics**
+ [Bestehende Umgebung](#migrate-configuration)
+ [Neue Umgebung](#new-configuration)
## Konfigurieren Sie eine bestehende Verified Access-Umgebung für die FIPS-Konformität
Wenn Sie über eine bestehende Verified Access-Umgebung verfügen und diese so konfigurieren möchten, dass sie FIPS-konform ist, müssen einige Ressourcen gelöscht und neu erstellt werden, um die FIPS-Konformität zu aktivieren.
Gehen Sie wie folgt vor, um eine bestehende AWS Verified Access Umgebung so zu konfigurieren, dass sie FIPS-konform ist.
1. Löschen Sie Ihre ursprünglichen Verified Access-Endpunkte, Gruppen und Instanzen. Ihre konfigurierten Vertrauensanbieter können wiederverwendet werden.
1. Erstellen Sie eine Verified Access-Instanz und achten Sie darauf, dass bei der Erstellung die **Federal Information Process Standards (FIPS)** aktiviert sind. Fügen Sie außerdem während der Erstellung den **Verified Access-Vertrauensanbieter** hinzu, den Sie verwenden möchten, indem Sie ihn aus der Dropdownliste auswählen.
1. Erstellen Sie eine [Gruppe mit verifiziertem](verified-access-groups.md) Zugriff. Während der Erstellung der Gruppe ordnen Sie sie der soeben erstellten Verified Access-Instanz zu.
1. Erstellen Sie eine oder mehrere[Verifizierte Zugriffsendpunkte](verified-access-endpoints.md). Bei der Erstellung Ihrer Endpunkte ordnen Sie sie der Gruppe zu, die Sie im vorherigen Schritt erstellt haben.
## Konfigurieren Sie eine neue Verified Access-Umgebung für die FIPS-Konformität
Gehen Sie wie folgt vor, um eine neue AWS Verified Access Umgebung zu konfigurieren, die FIPS-konform ist.
1. Konfigurieren Sie einen [Vertrauensanbieter](trust-providers.md). Je nach Ihren Anforderungen müssen Sie einen Vertrauensanbieter für [Benutzeridentitäten](user-trust.md) und (optional) einen [gerätebasierten](device-trust.md) Vertrauensanbieter einrichten.
1. Erstellen Sie eine Verified [Access-Instanz](verified-access-instances.md) und achten Sie darauf, dass Sie während des Vorgangs die **Federal Information Process Standards (FIPS)** aktivieren. Fügen Sie bei der Erstellung außerdem den **Verified Access-Vertrauensanbieter** hinzu, den Sie im vorherigen Schritt erstellt haben, indem Sie ihn aus der Dropdownliste auswählen.
1. Erstellen Sie eine [Gruppe mit verifiziertem](verified-access-groups.md) Zugriff. Während der Erstellung der Gruppe ordnen Sie sie der soeben erstellten Verified Access-Instanz zu.
1. Erstellen Sie eine oder mehrere[Verifizierte Zugriffsendpunkte](verified-access-endpoints.md). Bei der Erstellung Ihrer Endpunkte ordnen Sie sie der Gruppe zu, die Sie im vorherigen Schritt erstellt haben.