Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Amazon VPC-Anlagen in AWS Transit Gateway
Eine Amazon Virtual Private Cloud (VPC-) Verbindung zu einem Transit-Gateway ermöglicht es Ihnen, den Verkehr zu und von einem oder mehreren VPC-Subnetzen weiterzuleiten. Wenn Sie einem Transit Gateway eine VPC anhängen, müssen Sie ein Subnetz aus jeder Availability Zone angeben, die das Transit Gateway für die Weiterleitung des Datenverkehrs verwenden soll. Die angegebenen Subnetze dienen als Eingangs- und Ausgangspunkte für den Transit-Gateway-Verkehr. Der Verkehr kann Ressourcen in anderen Subnetzen innerhalb derselben Availability Zone nur erreichen, wenn für die Transit-Gateway-Anhangssubnetze in ihren Routentabellen, die auf die Zielsubnetze verweisen, entsprechende Routen konfiguriert sind.
**Einschränkungen**
+ Wenn Sie eine VPC an ein Transit Gateway anhängen, können keine Ressourcen in Availability Zones ohne Transit-Gateway-Anhang das Transit Gateway nicht erreichen.
**Anmerkung**
Innerhalb von Availability Zones, die Transit-Gateway-Anlagen haben, wird der Verkehr nur von den spezifischen Subnetzen, die dem Anhang zugeordnet sind, an das Transit-Gateway weitergeleitet. Wenn es in einer Subnetz-Routentabelle eine Route zum Transit-Gateway gibt, wird der Verkehr nur dann an das Transit-Gateway weitergeleitet, wenn das Transit-Gateway eine Verbindung in einem Subnetz in derselben Availability Zone hat und die Routentabelle des Anhangssubnetzes entsprechende Routen zum beabsichtigten Ziel des Datenverkehrs innerhalb der VPC enthält.
+ Ein Transit-Gateway unterstützt keine DNS-Auflösung für benutzerdefinierte DNS-Namen von angehängten VPCs Einrichtungen, die private gehostete Zonen in Amazon Route 53 verwenden. Informationen zur Konfiguration der Namensauflösung für privat gehostete Zonen für alle, die an ein Transit-Gateway VPCs angeschlossen sind, finden Sie unter [Zentralisierte DNS-Verwaltung der Hybrid Cloud mit Amazon Route 53 und AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/).
+ Ein Transit-Gateway unterstützt kein Routing zwischen identischen Verbindungen CIDRs oder wenn sich ein CIDR in einem Bereich VPCs mit einem CIDR in einer angeschlossenen VPC überschneidet. Wenn Sie eine VPC an ein Transit-Gateway anhängen und ihr CIDR mit dem CIDR einer anderen VPC, die bereits an das Transit-Gateway angeschlossen ist, identisch ist oder sich mit diesem überschneidet, werden die Routen für die neu hinzugefügte VPC nicht an die Transit-Gateway-Routentabelle weitergegeben.
+ Sie können keinen Anhang für ein VPC-Subnetz erstellen, das sich in einer Local Zone befindet. Jedoch können Sie Ihr Netzwerk so konfigurieren, dass Subnetze in der Local Zone eine Verbindung mit einem Transit-Gateway über die übergeordnete Availability Zone herstellen. Weitere Informationen finden Sie unter [Verbinden von Subnetzen der Local Zone mit einem Transit Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw).
+ Sie können keinen Transit-Gateway-Anhang erstellen, der nur Subnetze verwendet. IPv6 Subnetze für Transit-Gateway-Anhänge müssen auch Adressen unterstützen. IPv4
+ Ein Transit-Gateway muss mindestens einen VPC-Anhang haben, bevor dieses Transit-Gateway zu einer Routing-Tabelle hinzugefügt werden kann.
## Anforderungen an die Routentabelle für VPC-Anlagen
Für die korrekte Funktion von Transit-Gateway-VPC-Anhängen sind spezielle Routing-Tabellenkonfigurationen erforderlich:
+ **Routing-Tabellen für Anhang-Subnetze**: Die Subnetze, die dem Transit-Gateway-Anhang zugeordnet sind, müssen Routentabelleneinträge für alle Ziele innerhalb der VPC enthalten, die über das Transit-Gateway erreichbar sein müssen. Dazu gehören Routen zu anderen Subnetzen, Internet-Gateways, NAT-Gateways und VPC-Endpunkten.
+ **Routing-Tabellen für Zielsubnetze**: Subnetze, die Ressourcen enthalten, die über das Transit-Gateway kommunizieren müssen, müssen über Routen verfügen, die auf das Transit-Gateway verweisen, damit der Verkehr zu externen Zielen zurückgesendet wird.
+ **Lokaler VPC-Verkehr**: Die Transit-Gateway-Verbindung ermöglicht nicht automatisch die Kommunikation zwischen Subnetzen innerhalb derselben VPC. Es gelten die Standard-VPC-Routingregeln, und die lokale Route (VPC CIDR) muss in Routentabellen für die VPC-interne Kommunikation vorhanden sein.
**Anmerkung**
Wenn Routen in Subnetzen ohne Verbindung innerhalb derselben Availability Zone konfiguriert sind, wird der Verkehrsfluss nicht aktiviert. Nur die spezifischen Subnetze, die dem Transit-Gateway-Anhang zugeordnet sind, können als entry/exit Punkte für den Transit-Gateway-Verkehr dienen.
## Lebenszyklus von VPC-Anhängen
Eine VPC-Anhang durchläuft verschiedene Phasen, die mit der Einleitung der Anforderung beginnen. In jeder Phase kann es Aktionen geben, die Sie einleiten können. Am Ende Ihres Lebenszyklus bleibt der VPC-Anhang in der Amazon Virtual Private Cloud Console und in der API- oder Befehlszeilenausgabe eine Zeit lang sichtbar.
Das folgende Diagramm zeigt die Phasen, die eine Anhang in einer einzelnen Kontokonfiguration oder eine kontoübergreifende Konfiguration durchlaufen kann, bei der **Auto accept shared attachments (Gemeinsame Anhänge automatisch akzeptieren)** werden aktiviert ist.
![\[Lebenszyklus von VPC-Anhängen\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **Ausstehend**: Eine Anfrage für einen VPC-Anfügung wurde initiiert und befindet sich im Bereitstellungsprozess. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` verschoben werden.
+ **Fehlgeschlagen**: Eine Anfrage für einen VPC-Anfügung schlägt fehl. In dieser Phase kann die VPC-Anfügung nach `failed` verschoben werden.
+ **Fehlgeschlagen**: Die Anforderung für die VPC-Anfügungen ist fehlgeschlagen. In dieser Phase kann er nicht gelöscht werden. Der fehlgeschlagene VPC-Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
+ **Verfügbar**: Die VPC-Anfügung ist verfügbar und der Datenverkehr kann zwischen der VPC und dem Transit-Gateway fließen. In dieser Phase kann eine Anfügung fehlschlagen oder nach `modifying` bzw. `deleting` verschoben werden.
+ **Löschen**: Eine VPC-Anfügung , die gerade gelöscht wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach `deleted` verschoben werden.
+ **Gelöscht**: Eine `available`-VPC-Anfügung wurde gelöscht. In dieser Phase kann der VPC-Anhang nicht geändert werden. Der VPC-Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
+ **Ändern**: Es wurde eine Anfrage zum Ändern der Eigenschaften der VPC-Anfügung gestellt. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` bzw. `rolling back` verschoben werden.
+ **Wiederherstellen**: Die VPC-Anfügungsanforderung kann nicht abgeschlossen werden, und das System macht alle vorgenommenen Änderungen rückgängig. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` verschoben werden.
Das folgende Diagramm zeigt die Phasen, die eine Anfügung in einer kontoübergreifenden Konfiguration durchlaufen kann, bei der **Auto accept shared attachments (Gemeinsame Anfügungen automatisch akzeptieren)** deaktiviert ist.
![\[Kontoübergreifender Lebenszyklus von VPC-Anhängen, bei dem die Funktion Auto accept shared attachments (Freigegebene Anhänge automatisch akzeptieren) deaktiviert ist\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **Ausstehende Annahme**: Die VPC-Anfügungsanfrage wartet auf Annahme. In dieser Phase kann die Anfügung nach `pending`, `rejecting` oder `deleting` verschoben werden.
+ **Ablehnen**: Eine VPC-Anfügung, die gerade abgelehnt wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach `rejected` verschoben werden.
+ **Abgelehnt**: Eine `pending acceptance`-VPC-Anfügung wurde abgelehnt. In dieser Phase kann der VPC-Anhang nicht geändert werden. Der VPC-Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
+ **Ausstehend**: Die VPC-Anfügung wurde angenommen und befindet sich im Bereitstellungsprozess. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` verschoben werden.
+ **Fehlgeschlagen**: Eine Anfrage für einen VPC-Anfügung schlägt fehl. In dieser Phase kann die VPC-Anfügung nach `failed` verschoben werden.
+ **Fehlgeschlagen**: Die Anforderung für die VPC-Anfügungen ist fehlgeschlagen. In dieser Phase kann er nicht gelöscht werden. Der fehlgeschlagene VPC-Anhang bleibt 2 Stunden lang sichtbar und ist dann nicht mehr sichtbar.
+ **Verfügbar**: Die VPC-Anfügung ist verfügbar und der Datenverkehr kann zwischen der VPC und dem Transit-Gateway fließen. In dieser Phase kann eine Anfügung fehlschlagen oder nach `modifying` bzw. `deleting` verschoben werden.
+ **Löschen**: Eine VPC-Anfügung , die gerade gelöscht wird. In dieser Phase kann eine Anfügung fehlschlagen oder nach `deleted` verschoben werden.
+ **Gelöscht**: Ein `available`- oder `pending acceptance`-VPC-Anhang wurde gelöscht. In dieser Phase kann der VPC-Anhang nicht geändert werden. Der VPC-Anhang bleibt 2 Stunden sichtbar und ist dann nicht mehr sichtbar.
+ **Ändern**: Es wurde eine Anfrage zum Ändern der Eigenschaften der VPC-Anfügung gestellt. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` bzw. `rolling back` verschoben werden.
+ **Wiederherstellen**: Die VPC-Anfügungsanforderung kann nicht abgeschlossen werden, und das System macht alle vorgenommenen Änderungen rückgängig. In dieser Phase kann eine Anfügung fehlschlagen oder nach `available` verschoben werden.
## Appliance-Modus
Wenn Sie planen, eine statusbehaftete Netzwerk-Appliance in Ihrer VPC zu konfigurieren, können Sie die Appliance-Modus-Unterstützung für den VPC-Anhang aktivieren, in dem sich die Appliance befindet, wenn Sie einen Anhang erstellen. Dadurch wird sichergestellt, dass AWS Transit Gateway während der gesamten Lebensdauer des Datenverkehrs zwischen einer Quelle und einem Ziel dieselbe Availability Zone für diesen VPC-Anhang verwendet. Es ermöglicht einem Transit-Gateway auch, Datenverkehr an eine beliebige Availability Zone in der VPC zu senden, sofern in dieser Zone eine Subnetzverbindung besteht. Der Appliance-Modus wird zwar nur für VPC-Anlagen unterstützt, der Netzwerkfluss kann jedoch von jedem anderen Transit-Gateway-Anhangstyp stammen, einschließlich VPC-, VPN- und Connect-Anhängen. Der Appliance-Modus funktioniert auch für Netzwerkflüsse mit unterschiedlichen Quellen und Zielen. AWS-Regionen Netzwerkflüsse können möglicherweise zwischen verschiedenen Availability Zones neu verteilt werden, wenn Sie den Appliance-Modus zunächst nicht aktivieren, aber später die Anhangskonfiguration bearbeiten, um ihn zu aktivieren. Sie können den Appliance-Modus entweder über die Konsole, die Befehlszeile oder die API aktivieren oder deaktivieren.
Der Appliance-Modus in AWS Transit Gateway optimiert das Traffic-Routing, indem er bei der Bestimmung des Pfads durch eine VPC im Appliance-Modus die Quell- und Ziel-Availability Zones berücksichtigt. Dieser Ansatz verbessert die Effizienz und reduziert die Latenz. Das Verhalten hängt von der spezifischen Konfiguration und den Datenverkehrsmustern ab. Im Folgenden finden Sie Beispielszenarien.
### Szenario 1: Datenverkehrs-Routing innerhalb der Availability Zone über Appliance-VPC
Wenn der Verkehr von der Quell-Availability Zone us-east-1a zur zielseitigen Availability Zone us-east-1a fließt, mit VPC-Anhängen im Appliance-Modus sowohl in us-east-1a als auch us-east-1b, wählt Transit Gateway innerhalb der Appliance-VPC eine Netzwerkschnittstelle von us-east-1a aus. Diese Availability Zone wird für die gesamte Dauer des Datenverkehrs zwischen Quelle und Ziel beibehalten.
### Szenario 2: Datenverkehrs-Routing zwischen Availability Zones über Appliance-VPC
Für den Verkehr, der von der Quell-Availability Zone us-east-1a zur Ziel-Availability Zone us-east-1b fließt, mit VPC-Anhängen im Appliance-Modus sowohl in us-east-1a als auch us-east-1b, verwendet Transit Gateway einen Flow-Hash-Algorithmus, um entweder us-east-1a oder us-east-1b in der Appliance-VPC auszuwählen. Die gewählte Availability Zone wird während der gesamten Lebensdauer des Datenflusses konsistent verwendet.
### Szenario 3: Weiterleitung des Datenverkehrs über eine Appliance-VPC ohne Availability Zone-Daten
Wenn der Verkehr von der Quell-Availability Zone us-east-1a zu einem Ziel ohne Availability Zone-Informationen (z. B. internetgebundener Verkehr) mit VPC-Anhängen im Appliance-Modus sowohl in us-east-1a als auch us-east-1b stammt, wählt Transit Gateway innerhalb der Appliance-VPC eine Netzwerkschnittstelle von us-east-1a aus.
### Szenario 4: Weiterleitung des Datenverkehrs durch eine Appliance-VPC in einer Availability Zone, die sich entweder von der Quelle oder dem Ziel unterscheidet
Wenn der Verkehr von der Quell-Availability Zone us-east-1a zur Ziel-Availability Zone us-east-1b fließt und VPC-Anhänge im Appliance-Modus in verschiedenen Availability Zones liegen, z. B. us-east-1c und us-east-1d, verwendet Transit Gateway einen Flow-Hash-Algorithmus, um entweder us-east-1c oder us-east-1d in der Appliance-VPC auszuwählen. Die gewählte Availability Zone wird während der gesamten Lebensdauer des Datenflusses konsistent verwendet.
**Anmerkung**
Der Appliance-Modus wird nur für VPC-Anhänge unterstützt. Stellen Sie sicher, dass die Routenverbreitung für eine Routentabelle aktiviert ist, die einem VPC-Anhang der Appliance zugeordnet ist.
## Referenzierung von Sicherheitsgruppen
Sie können diese Funktion verwenden, um die Verwaltung von Sicherheitsgruppen und die Kontrolle des instance-to-instance Datenverkehrs zu vereinfachen VPCs , der an dasselbe Transit-Gateway angeschlossen ist. Sie können nur in Regeln für eingehenden Datenverkehr Querverweise auf Sicherheitsgruppen erstellen. Sicherheitsregeln für ausgehende Nachrichten unterstützen keine Verweise auf Sicherheitsgruppen. Mit der Aktivierung oder Verwendung der Sicherheitsgruppenreferenzierung sind keine zusätzlichen Kosten verbunden.
Die Unterstützung von Verweisen auf Sicherheitsgruppen kann sowohl für Transit-Gateways als auch für Transit-Gateway-VPC-Anlagen konfiguriert werden und funktioniert nur, wenn sie sowohl für ein Transit-Gateway als auch für dessen VPC-Anlagen aktiviert wurde.
### Einschränkungen
Die folgenden Einschränkungen gelten, wenn Sie die Sicherheitsgruppenreferenzierung mit einem VPC-Anhang verwenden.
+ Die Referenzierung von Sicherheitsgruppen wird für Transit-Gateway-Peering-Verbindungen nicht unterstützt. Beide VPCs müssen an dasselbe Transit-Gateway angeschlossen sein.
+ Die Referenzierung von Sicherheitsgruppen wird für VPC-Anlagen in der Availability Zone use1-az3 nicht unterstützt.
+ Die Referenzierung von Sicherheitsgruppen wird für Endpoints nicht unterstützt. PrivateLink Wir empfehlen die Verwendung von IP-CIDR-basierten Sicherheitsregeln als Alternative.
+ Die Referenzierung von Sicherheitsgruppen funktioniert für Elastic File System (EFS), solange für die EFS-Schnittstellen in der VPC eine Sicherheitsgruppenregel „Allow All Egress“ konfiguriert ist.
+ Für Local Zone-Konnektivität über ein Transit-Gateway werden nur die folgenden Local Zones unterstützt: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a und us-west-2-phx-2a.
+ Wir empfehlen, diese Funktion auf VPC-Anhangsebene für VPCs Subnetze in nicht unterstützten Local Zones, AWS Outposts und AWS Wavelength Zones zu deaktivieren, da dies zu Dienstunterbrechungen führen kann.
+ Wenn Sie über eine Inspektions-VPC verfügen, funktioniert die Referenzierung von Sicherheitsgruppen über das Transit-Gateway nicht über den AWS Gateway Load Balancer oder eine AWS Network Firewall hinweg.
**Topics**
+ [Anforderungen an die Routentabelle für VPC-Anlagen](#vpc-attachment-routing-requirements)
+ [Lebenszyklus von VPC-Anhängen](#vpc-attachment-lifecycle)
+ [Appliance-Modus](#tgw-appliancemode)
+ [Referenzierung von Sicherheitsgruppen](#vpc-attachment-security)
+ [Erstellen Sie einen VPC-Anhang](create-vpc-attachment.md)
+ [Einen VPC-Anhang ändern](modify-vpc-attachment.md)
+ [VPC-Anhangs-Tags ändern](modify-vpc-attachment-tag.md)
+ [VPC-Anhang anzeigen](view-vpc-attachment.md)
+ [Löschen eines VPC-Anhangs](delete-vpc-attachment.md)
+ [Aktualisieren Sie die Regeln für eingehende Sicherheitsgruppen](tgw-sg-updates-update.md)
+ [Identifizieren Sie referenzierte Sicherheitsgruppen](tgw-sg-updates-identify.md)
+ [Entfernen Sie veraltete Sicherheitsgruppenregeln](tgw-sg-updates-stale.md)
+ [Problembehandlung bei VPC-Anhängen](transit-gateway-vpc-attach-troubleshooting.md)
# Erstellen Sie einen VPC-Anhang in AWS Transit Gateway
**Erstellen eines VPC-Anhangs mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit Gateway-Anhänge)**.
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
1. Geben Sie für **Name tag (Namens-Tag)** optional einen Namen für den Transit-Gateway-Anhang ein.
1. Wählen Sie für **Transit-Gateway-ID** das Transit Gateway für den Anhang aus. Sie können ein Transit Gateway auswählen, das Sie besitzen, oder ein Transit Gateway, das für Sie freigegeben wurde.
1. Wählen Sie bei **Attachment type (Anhangstyp)** die Option **VPC** aus.
1. Wählen Sie aus, ob **DNS-Support, **IPv6Support**** und **Appliance-Modus-Support aktiviert werden sollen**.
Wenn der Appliance-Modus ausgewählt ist, verwendet der Verkehrsfluss zwischen einer Quelle und einem Ziel für die gesamte Lebensdauer dieses Flusses dieselbe Availability Zone für den VPC-Anhang.
1. Wählen Sie aus, ob die Unterstützung für die **Referenzierung von Sicherheitsgruppen** aktiviert werden soll. Aktivieren Sie diese Funktion, um auf eine Sicherheitsgruppe zu verweisen, die mit einem Transit-Gateway VPCs verbunden ist. Weitere Informationen zur Referenzierung von Sicherheitsgruppen finden Sie unter[Referenzierung von Sicherheitsgruppen](tgw-vpc-attachments.md#vpc-attachment-security).
1. Wählen Sie aus, ob **IPv6Support** aktiviert werden soll.
1. Wählen Sie für **VPC ID** die VPC aus, die dem Transit-Gateway angefügt werden soll.
Dieser VPC muss mindestens ein Subnetz zugeordnet sein.
1. Wählen Sie unter **Subnetz** ein Subnetz für jede Availability Zone aus IDs, das vom Transit-Gateway zur Weiterleitung des Datenverkehrs verwendet werden soll. Sie müssen mindestens ein Subnetz auswählen. Sie können nur ein Subnetz pro Availability Zone auswählen.
1. Wählen Sie **Create Transit Gateway Attachment (Transit-Gateway-Anhang erstellen)** aus.
**So erstellen Sie einen VPC-Anhang mit dem AWS CLI**
Verwenden Sie den Befehl [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html).
# Ändern Sie einen VPC-Anhang in AWS Transit Gateway
**So zeigen Sie VPC-Anhänge mit der Konsole an**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den VPC-Anhang und dann **Aktionen**, **Ändern des Transit-Gateway-Anhangs** aus.
1. Aktivieren oder deaktivieren Sie eine der folgenden Optionen:
+ **DNS-Unterstützung**
+ **IPv6 Unterstützung**
+ **Unterstützung für den Appliance-Modus**
1. Um dem Anhang ein Subnetz hinzuzufügen oder daraus zu entfernen, aktivieren oder deaktivieren Sie das Kontrollkästchen neben der **Subnetz-ID**, die Sie hinzufügen oder entfernen möchten.
**Anmerkung**
Das Hinzufügen oder Ändern eines VPC-Anhangs-Subnetzes kann sich auf den Datenverkehr auswirken, während sich der Anhang in einem Änderungszustand befindet.
1. Um auf eine Sicherheitsgruppe verweisen zu können, die mit einem Transit-Gateway VPCs verbunden ist, wählen Sie Unterstützung für die **Referenzierung von Sicherheitsgruppen** aus. Weitere Informationen zur Referenzierung von Sicherheitsgruppen finden Sie unter. [Referenzierung von Sicherheitsgruppen](tgw-vpc-attachments.md#vpc-attachment-security)
**Anmerkung**
Wenn Sie die Sicherheitsgruppenreferenzierung für ein vorhandenes Transit-Gateway deaktivieren, wird sie für alle VPC-Anlagen deaktiviert.
1. Wählen Sie **Ändern des Transit-Gateway-Anhangs** aus.
**So ändern Sie Ihre VPC-Anlagen mit dem AWS CLI**
Verwenden Sie den Befehl [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html).
# Ändern Sie VPC-Anhangs-Tags in AWS Transit Gateway
**So zeigen Sie VPC-Anhang-Tags mit der Konsole an**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den VPC-Anhang und dann **Actions (Aktionen)**, **Manage tags (Tags verwalten)** aus.
1. [Tag (Markierung) hinzufügen] Wählen Sie **Add new tag (Neuen Tag (Markierung) hinzufügen)**, und führen Sie die folgenden Schritte aus:
+ Geben Sie bei **Key (Schlüssel)** den Schlüsselnamen ein.
+ Geben Sie bei **Value (Wert)** den Wert des Schlüssels ein.
1. [Tag entfernen] Wählen Sie neben dem Tag die Option **Remove (Entfernen)** aus.
1. Wählen Sie **Speichern**.
VPC-Anhangs-Tags können nur mit der Konsole geändert werden.
# Einen VPC-Anhang in AWS Transit Gateway anzeigen
**Anzeigen Ihrer VPC-Anhänge mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Suchen Sie in der Spalte **Resource type (Ressourcentyp)** nach **VPC**. Dies sind die VPC-Anhänge.
1. Wählen Sie einen Anhang aus, um dessen Details anzuzeigen.
**So zeigen Sie Ihre VPC-Anlagen mit dem AWS CLI**
Verwenden Sie den Befehl [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html).
# Löschen Sie einen VPC-Anhang in AWS Transit Gateway
**Löschen eines VPC-Anhangs mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateway Attachments (Transit-Gateway-Anhang)**.
1. Wählen Sie den VPC-Anhang aus.
1. Wählen Sie **Aktionen**, **Löschen des Transit-Gateway-Anhangs** aus.
1. Geben Sie bei der Aufforderung **delete** ein und wählen Sie **Delete (Löschen)** aus.
**Um einen VPC-Anhang mit dem AWS CLI**
Verwenden Sie den Befehl [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html).
# AWS Transit Gateway Sicherheitsgruppenregeln für eingehende Nachrichten aktualisieren
Sie können alle Sicherheitsgruppenregeln für eingehenden Datenverkehr aktualisieren, die einem Transit-Gateway zugeordnet sind. Sie können Sicherheitsgruppenregeln entweder über die Amazon VPC-Konsolenkonsole oder über die Befehlszeile oder API aktualisieren. Weitere Informationen zur Referenzierung von Sicherheitsgruppen finden Sie unter. [Referenzierung von Sicherheitsgruppen](tgw-vpc-attachments.md#vpc-attachment-security)
**So aktualisieren Sie Ihre Sicherheitsgruppenregeln mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie die Sicherheitsgruppe aus und klicken Sie auf **Aktionen**, Regeln für **eingehenden Datenverkehr bearbeiten, um die Regeln für eingehenden** Datenverkehr zu ändern.
1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** und geben Sie bei Bedarf den Typ, das Protokoll und den Portbereich an. Geben Sie für **Quelle** (eingehende Regel) die ID der Sicherheitsgruppe in der VPC ein, die mit dem Transit-Gateway verbunden ist.
**Anmerkung**
Sicherheitsgruppen in einer VPC, die mit dem Transit Gateway verbunden ist, werden nicht automatisch angezeigt.
1. Um eine bestehende Regel zu bearbeiten, ändern Sie ihre Werte (z. B. die Quelle oder die Beschreibung).
1. Um eine Regel zu löschen, wählen Sie die Schaltfläche **Löschen** neben der Regel.
1. Wählen Sie **Save rules (Regeln speichern)** aus.
**So aktualisieren Sie Regeln für eingehenden Datenverkehr über die Befehlszeile**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# Identifizieren Sie AWS Transit Gateway referenzierte Sicherheitsgruppen
Verwenden Sie einen der folgenden Befehle, um festzustellen, ob in den Regeln einer Sicherheitsgruppe in einer VPC, die an dasselbe Transit-Gateway angeschlossen ist, auf Ihre Sicherheitsgruppe verwiesen wird.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# Entfernen Sie veraltete AWS Transit Gateway Sicherheitsgruppenregeln
Eine veraltete Sicherheitsgruppenregel ist eine Regel, die auf eine gelöschte Sicherheitsgruppe in derselben VPC oder in einer VPC verweist, die mit demselben Transit-Gateway verbunden ist. Wenn eine Sicherheitsgruppenregel veraltet ist, wird sie nicht automatisch aus der Sicherheitsgruppe entfernt – Sie müssen Sie manuell entfernen.
Sie können die veralteten Sicherheitsgruppenregeln einer VPC mit der Amazon VPC-Konsole anzeigen und löschen.
**So zeigen Sie veraltete Sicherheitsgruppenregeln an und löschen sie**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. **Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.**
1. Klicken Sie auf **Actions** (Aktionen), **Manage stale rules** (Verwalten veraltter Regeln).
1. Wählen Sie unter **VPC** die VPC mit den veraltbaren Regeln aus.
1. Wählen Sie **Bearbeiten** aus.
1. Wählen Sie die Schaltfläche **Löschen** neben der Regel, die Sie löschen möchten. Wählen Sie **Preview changes (Änderungen überprüfen)**, **Save rules (Regeln speichern)**.
**Um Ihre veralteten Sicherheitsgruppenregeln mithilfe der Befehlszeile zu beschreiben**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
Nachdem Sie die veralteten Sicherheitsgruppenregeln identifiziert haben, können Sie sie mit den Befehlen [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)oder [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)löschen.
# Problembehandlung bei der AWS Erstellung von VPC-Anhängen für Transit Gateway
Das folgende Thema kann Ihnen bei der Behebung von Problemen helfen, die beim Erstellen eines VPC-Anhangs auftreten könnten.
**Problem**
Der VPC-Anhang ist fehlgeschlagen.
**Ursache**
Dies kann folgende Ursachen haben:
1. Der Benutzer, der den VPC-Anhang erstellt, hat keine korrekten Berechtigungen zum Erstellen einer serviceverknüpften Rolle.
1. Es gibt ein Problem mit der Drosselung aufgrund zu vieler IAM-Anforderungen. Sie verwenden zum Beispiel CloudFormation , um Berechtigungen und Rollen zu erstellen.
1. Das Konto hat die serviceverknüpfte Rolle, und die serviceverknüpfte Rolle wurde geändert.
1. Das Transit-Gateway befindet sich nicht in der Phase `available`.
**Lösung**
Versuchen Sie je nach Ursache Folgendes:
1. Stellen Sie sicher, dass der Benutzer über die richtigen Berechtigungen zum Erstellen von serviceverknüpften Rollen verfügt. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*. Nachdem der Benutzer die Berechtigungen hat, erstellen Sie den VPC-Anhang.
1. Erstellen Sie den VPC-Anhang manuell. Weitere Informationen finden Sie unter [Erstellen Sie einen VPC-Anhang in AWS Transit Gateway](create-vpc-attachment.md).
1. Stellen Sie sicher, dass die serviceverknüpfte Rolle die richtigen Berechtigungen hat. Weitere Informationen finden Sie unter [Serviceverknüpfte Rolle für Transit Gateways](service-linked-roles.md#tgw-service-linked-roles).
1. Prüfen Sie, ob das Transit-Gateway sich in der Phase `available` befindet. Weitere Informationen finden Sie unter [Transit-Gateway-Informationen in AWS Transit Gateway anzeigen](view-tgws.md).