AWS PrivateLink – Häufig gestellte Fragen

Mit AWS PrivateLink können Benutzer Services und Ressourcen, die auf AWS gehostet werden, auf hochverfügbare und skalierbare Weise aufrufen und dabei sicherstellen, dass der Netzwerkdatenverkehr ausschließlich über das AWS-Netzwerk abgewickelt wird. Benutzer können von ihrer Amazon Virtual Private Cloud (VPC) oder On-Premises privat auf Services und Ressourcen zugreifen, die von PrivateLink bereitgestellt werden, ohne öffentliche IPs zu verwenden und ohne dass der Datenverkehr über das Internet geleitet werden muss. Service-Besitzer können ihre Network Load Balancer bei PrivateLink-Services registrieren, um ihre Services für andere AWS-Kunden bereitzustellen. Ressourcenbesitzer können ihre Ressourcen direkt teilen, ohne Network Load Balancer zu verwenden.

Als Benutzer müssen Sie VPC-Endpunkte (unterstützt von PrivateLink) erstellen, um auf Dienste und Ressourcen zugreifen zu können. Diese VPC-Endpunkte erscheinen dann als Elastic-Network-Schnittstellen mit privaten IPs in Ihren VPCs. Nach der Erstellung dieser Endpunkte wird jeder Datenverkehr an diese IP-Adressen privat an die entsprechenden Services oder Ressourcen geleitet.

Als Serviceeigentümer können Sie Ihren Service bei AWS PrivateLink registrieren, indem Sie einen Network Load Balancer vor Ihren Service schalten und einen PrivateLink-Service erstellen, den Sie beim Network Load Balancer registrieren. Ihre Kunden werden dann dazu in der Lage sein, Endpunkte in Ihrer VPC zu erstellen, um sich mit Ihrem Service zu verbinden, nachdem Sie ihre Konten und IAM-Rollen auf eine Zulassungsliste gesetzt haben.

Über VPC-Endpunkte können Sie Ihre VPC privat ohne Internet-Gateway, NAT-Gerät, VPN oder Firewall-Proxys mit Services oder Ressourcen verbinden, die auf AWS gehostet werden. Endpunkte sind horizontal skalierbare und hochverfügbare virtuelle Geräte zur Kommunikation zwischen Instances in Ihren VPC und AWS Services/Ressourcen. Amazon VPC bietet fünf verschiedene Arten von VPC-Endpunkten: Gateway-Endpunkt, Schnittstellenendpunkt, Gateway-Load-Balancer-Endpunkt, Ressourcen-Endpunkt und Servicenetzwerk-Endpunkt. Alle VPC-Endpunkttypen außer dem Gateway-Endpunkt werden von PrivateLink betrieben.

Schnittstellen-Endpunkte bieten private Konnektivität zu Services, die von PrivateLink unterstützt werden. Bei diesen Services kann es sich um AWS-Services, Ihre eigenen Services oder Software as a Service (SaaS)-Lösungen handeln. Schnittstellen-Endpunkte unterstützen auch Konnektivität über AWS Direct Connect und VPN.

Gateway-Endpunkte sind nur für AWS-Services wie Amazon S3 und Amazon DynamoDB verfügbar und aktivieren PrivateLink nicht. Diese Endpunkte fügen der von Ihnen ausgewählten Routing-Tabelle einen Eintrag hinzu und leiten den Datenverkehr über das private Netzwerk von Amazon an die unterstützten Services weiter.

Gateway-Load-Balancer-Endpunkte bieten private Konnektivität zu Appliances, denen ein Gateway Load Balancer gegenübersteht.

Ressourcenendpunkte bieten private Konnektivität zu VPC-Ressourcen wie Datenbanken, Clustern, Domainnamenzielen und IP-Adressen, für die kein Load Balancing erforderlich ist. Sie unterstützen Konnektivität über AWS Direct Connect und VPN.

Servicenetzwerk-Endpunkte ermöglichen es Ihnen, eine private Verbindung zu Services und Ressourcen herzustellen, die sich in einem Amazon-VPC-Lattice-Servicenetzwerk befinden. Sie ermöglichen Ihnen den Zugriff auf mehrere Dienste und Ressourcen über einen einzigen VPC-Endpunkt. Sie unterstützen auch Konnektivität über AWS Direct Connect und VPN. Informationen zu den Preisen für VPC-Endpunkte finden Sie unter AWS-PrivateLink-Preisgestaltung.

VPC-Endpunkte bieten sicheren Zugriff auf einen bestimmten Service und bieten dem Endbenutzer mehrere Vorteile:

• VPC-Endpunkte ermöglichen den Zugriff auf einen bestimmten Service oder eine bestimmte Ressource, ohne dass andere Gateways verwendet werden müssen. Sie müssen kein Internet-Gateway, kein NAT-Gateway, keine VPN-Verbindung und keine VPC-Peering-Verbindung verwenden. Dadurch wird das Risiko verringert, dass Ihre Ressourcen dem Internet oder anderen externen Netzwerken ausgesetzt werden.
• Ihr Datenverkehr bleibt innerhalb des privaten Netzwerks von Amazon. Dadurch wird das Risiko verringert, dass Ihr Datenverkehr im Internet offengelegt wird.
• Wenn Sie über VPC-Endpunkte auf Amazon-Services zugreifen, können Sie den Zugriff über einen VPC-Endpunkt auf bestimmte Benutzer, Aktionen und/oder Ressourcen beschränken.
• Sie können den Zugriff auf Ressourcen, die von einem Amazon-Service bereitgestellt werden, auf Datenverkehr beschränken, der von einer bestimmten VPC oder über einen bestimmten VPC-Endpunkt stammt.

Ja. Die Anwendung in Ihren Räumlichkeiten kann über AWS Direct Connect eine Verbindung zu den VPC-Endpunkten in Amazon VPC herstellen. Die VPC-Endpunkte leiten den Datenverkehr automatisch an durch AWS PrivateLink bereitgestellte Services.

Sie können mithilfe der VPC-Konsole oder des AWS CLI/SDK nach verfügbaren Services und Ressourcen suchen. Dann können Sie über VPC-Endpunkte auf einen Dienst, eine Ressource oder ein Servicenetzwerk zugreifen.

Sie können eine Ressource erstellen, indem Sie eine Ressourcenkonfiguration in Amazon VPC Lattice definieren. Als Ressourcenbesitzer können Sie Ihre Ressource in PrivateLink einbinden, indem Sie eine Ressourcenkonfiguration mit einer Liste von Ressourcen erstellen. Ihre Kunden können in ihrer VPC Endpunkte einrichten, um eine Verbindung zu Ihren Ressourcen herzustellen, nachdem Sie diese Ressourcenkonfiguration mithilfe von AWS Resource Access Manager (RAM) für ihre Konten freigegeben haben.

Ressourcenendpunkte bieten private Konnektivität zu VPC-Ressourcen wie Datenbanken, Clustern, Domainnamenzielen und IP-Adressen, für die kein Load Balancing erforderlich ist. Sie unterstützen Konnektivität über AWS Direct Connect und VPN.

Dienstnetzwerk-Endpunkte ermöglichen es Ihnen, eine private Verbindung zu Diensten und Ressourcen herzustellen, die sich in einem VPC-Lattice-Servicenetzwerk befinden. Sie ermöglichen Ihnen den Zugriff auf mehrere Dienste und Ressourcen über einen einzigen VPC-Endpunkt. Sie unterstützen auch Konnektivität über AWS Direct Connect und VPN. Die Preise für VPC-Endpoints finden Sie unter VPC-Preise.

Der Preisplan für PrivateLink enthält Informationen zu Gebühren und Abrechnung. Wenn Sie einen Schnittstellen-VPC-Endpunkt oder einen Gateway-Load-Balancer-VPC-Endpunkt in Ihrer VPC erstellen, wird jede Stunde berechnet, die der VPC-Endpunkt in jeder Availability Zone bereitgestellt wird. Wenn Sie sich dafür entscheiden, einen Ressourcen-VPC-Endpunkt in Ihrer VPC zu erstellen, wird Ihnen jede Stunde in Rechnung gestellt, unabhängig von der Anzahl der Availability Zones, in denen Ihr VPC-Endpunkt bereitgestellt wird. Für jedes Gigabyte an Daten, die durch den VPC-Endpunkt verarbeitet werden, fallen Datenverarbeitungsgebühren an, unabhängig von Quelle oder Ziel der Datenübertragung. Angebrochene VPC-Endpunkt-Stunden werden als volle Stunden abgerechnet. Löschen Sie Ihre VPC-Endpunkte über AWS Management Console, die Befehlszeilenschnittstelle (CLI) oder die API, wenn Sie einen VPC-Endpunkt nicht länger verwenden möchten. Dann fallen auch keine Kosten mehr für diesen VPC-Endpunkt an.

Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, darunter MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer.

Weitere Informationen

Während VPC-Peering auf 125 VPC-Verbindungen beschränkt ist, ist AWS PrivateLink praktisch unbegrenzt skalierbar. Jeder VPC-Endpunkt verbindet Amazon Elastic Compute Cloud (Amazon EC2)-Instances in einer VPC mit einem bestimmten Service, einer bestimmten Ressource oder einem bestimmten Servicenetzwerk. Sie können je nach Anzahl der VPCs, Ressourcen und Services, zu denen Sie eine Verbindung herstellen müssen, so viele Endpunkte hinzufügen, wie Sie benötigen.

A: Sie können bis zu 100 VPC-Endpunkte pro VPC erstellen. Sollten Sie mehr benötigen, kontaktieren Sie uns und wir erarbeiten gemeinsam mit Ihnen eine Lösung.

Sie können einen VPC-Endpunkt in Ihrer VPC erstellen und den Dienst, die Ressource oder das Dienstnetzwerk angeben, das Sie verwenden möchten. Der VPC-Endpunkt verfügt über einen DNS-Namen, der in lokale IP-Adressen in Ihrer VPC aufgelöst wird. Wenn Sie Datenverkehr an diese DNS-Namen weiterleiten, wird der Datenverkehr über den VPC-Endpunkt an einen Dienst oder eine Ressource weitergeleitet, die kontenübergreifend sein kann.

Jeder VPC-Endpunkt kann standardmäßig eine kontinuierliche Bandbreite von 10 Gbit/s pro Availability Zone unterstützen. Danach wird automatisch zusätzliche Kapazität bis zu 100 Gbit/s hinzugefügt. Die Endpunkt-Skalierung wird vollständig verwaltet, um sicherzustellen, dass der Datenverkehr zu Ihrem Endpunkt nicht beeinträchtigt wird.

Gateway-, Interface-, Gateway-Load-Balancer und Ressourcen-VPC-Endpunkte stellen eine Verbindung zu einem einzelnen Endpunktdienst oder einer einzelnen Endpunktressource her. VPC-Servicenetzwerk-Endpunkte stellen eine Verbindung zu einem Servicenetzwerk her, das mehreren Ressourcen und VPC-Lattice-Services zugeordnet werden kann.

Wenn Sie die neueste Version von AWS CLI/SDK verwenden, müssen Sie Ihren Code nicht aktualisieren. Das CLI/SDK erkennt Ihre VPC-Endpunkte automatisch und verwendet sie standardmäßig. Wenn Sie CLI/SDKs der alten Version verwenden, müssen Sie den DNS-Namen als Endpunkt-Parameter im CLI/SDK angeben. Wenn Sie den Endpunkt angeben müssen, können Sie den DNS-Namen ermitteln, indem Sie den EC2-Metadaten-Service abfragen.

Nein, wir unterstützen dies möglicherweise in zukünftigen Aktualisierungen, unterstützen jedoch derzeit nur private Endpunktnamen.

Ja, Sie können über Direct Connect auf VPC-Endpunkte zugreifen. Die DNS-Einträge eines VPC-Endpunkts sind öffentlich auflösbar, geben jedoch die private IP-Adresse innerhalb der zugehörigen VPC zurück.

Die Sicherheit von AWS PrivateLink hängt von drei Faktoren ab: dem Pfad, den Richtlinien und der Art der Kommunikation.

Der Pfad zwischen einem VPC-Endpunkt und einem Service bleibt innerhalb von AWS und durchquert nicht das Internet. Es bleibt daher außerhalb der Reichweite von Internetverstößen.

Wenn Sie VPC-Endpunkte mit AWS-Services verwenden, können Sie auch Endpunktrichtlinien erstellen, die den Zugriff auf Anfragen einschränken, die vom VPC-Endpunkt kommen.

PrivateLink bietet standardmäßig keine Verschlüsselung für Daten während der Übertragung. Der Verbraucher des Service initiiert den Service immer (es handelt sich um einen Einweg-Service) und der Service-Anbieter stellt den Service nur für Kunden auf der Whitelist bereit.

Ja. Sie können Sicherheitsgruppen VPC-Endpunkten zuordnen.

Ja. Mit der AWS-Managementkonsole können Sie Amazon-VPC-Elemente wie VPC-Endpunkte und AWS-PrivateLink-Verbindungen verwalten.

Ja. Klicken Sie hier, um weitere Informationen zum AWS-Support zu erhalten.

Amazon-CloudWatch-Metriken sind für VPC-Endpunkte vom Typ „Interface“ und „Gateway Load Balancer“ verfügbar.