🏠Startseite 📚Zertifizierungen 📱Mobile Apps

🎓Prüfungsinfo

✍️Blog 📊Fortschritt 📅Kalender 💬Support

Datenschutzrichtlinie Nutzungsbedingungen Kontakt Cookie-Richtlinie Haftungsausschluss Barrierefreiheit DMCA / Urheberrecht

Zum Inhalt springen

SOA-C03Handbuch

Handbuch

AWS Certified CloudOps Engineer Associate

Zuletzt überprüft: Mai 2026

Eine übersichtliche Referenz der Architekturmuster, die in der SOA-C03-Prüfung getestet werden. Von oben nach unten lesen oder zu einem Abschnitt springen.

Abschnitte

Überwachung, Protokollierung, Analyse, Behebung und Leistungsoptimierung22 Einträge
Zuverlässigkeit und Geschäftskontinuität20 Einträge
Bereitstellung, Provisionierung und Automatisierung21 Einträge
Sicherheit und Compliance15 Einträge
Netzwerk und Content-Bereitstellung17 Einträge

Überwachung, Protokollierung, Analyse, Behebung und Leistungsoptimierung

Sammeln Sie Speicher-, Festplatten- und Prozessmetriken von der EC2-Flotte. Standardmäßige CloudWatch-Metriken enthalten diese nicht.

Installieren Sie den CloudWatch-Agenten über SSM Distributor oder den `AmazonCloudWatch-ManageAgent` Run Command. Übertragen Sie die Agent-Konfiguration aus dem Parameter Store.

Warum: Speicher und Festplatte sind Gast-Betriebssystem-Metriken – der Hypervisor kann sie nicht sehen. Standardmäßige CW-Metriken sind nur CPU-/Netzwerk-/Festplatten-E/A auf der EBS-Ebene.

Die Anwendung muss einen Geschäfts-KPI (z. B. Bestellungen/Min.) an CloudWatch veröffentlichen.

`PutMetricData` API mit benutzerdefiniertem Namespace + Dimensionen. Für hohe Volumina das Embedded Metric Format (EMF) verwenden – strukturiertes JSON in Logs schreiben, und CW extrahiert Metriken automatisch.

Kosten für benutzerdefinierte Metriken mit hoher Kardinalität senken.

Embedded Metric Format (EMF). Ein strukturiertes Ereignis einmal protokollieren; CW extrahiert daraus Metriken. Ein Log + eine Metrik = günstiger als separate `PutMetricData`-Aufrufe pro Dimensionskombination.

Statische Schwellenwertalarme erzeugen Fehlalarme, da der Datenverkehr eine tägliche/wöchentliche Saisonalität aufweist.

CloudWatch-Anomalieerkennungsalarm. Bänder passen sich an gelernte Saisonalität an; Alarm wird ausgelöst, wenn die Metrik das Band verlässt.

Warum: Saisonale Workloads haben einen variablen Normalbereich – feste Schwellenwerte sind die Hälfte der Zeit falsch.

Bereitschaftsdienst nur benachrichtigen, wenn SOWOHL eine hohe Fehlerrate ALS AUCH geringer Datenverkehr vorliegen – nicht, wenn nur einer davon ausgelöst wird.

Zusammengesetzter Alarm mit Regelausdruck `ALARM(errors) AND ALARM(low_traffic)`. Zugrunde liegende Alarme werden weiterhin einzeln ausgelöst, aber nur der zusammengesetzte Alarm benachrichtigt SNS.

Log-Zeilen wie `ERROR uid=123` in eine CloudWatch-Metrik für Alarme umwandeln.

CloudWatch Logs-Metrikfilter – Muster `ERROR` erhöht eine Metrik. Anschließend einen Alarm auf die Metrik erstellen.

Warum: Filter werden bei der Log-Erfassung ausgewertet; keine separate Parsing-Pipeline erforderlich.

Finden Sie die Top 10 IPs, die in der letzten Stunde über viele Log-Streams hinweg 5xx-Fehler verursachen.

CloudWatch Logs Insights-Abfrage: `fields @timestamp, @message | filter @message like /5\d\d/ | stats count() by clientIp | sort count desc | limit 10`.

Die Aufbewahrung von Log-Gruppen ist standardmäßig auf „Nie ablaufen“ eingestellt – die Rechnung wächst.

Legen Sie die Aufbewahrung pro Log-Gruppe fest (1 Tag–10 Jahre). Anwendung über `aws logs put-retention-policy` oder eine AWS Config-Regel, die neue Gruppen automatisch korrigiert.

Logs von 50 Konten in einem Sicherheitskonto zentralisieren.

Abonnementfilter für jede Quell-Log-Gruppe → Kinesis Data Streams oder Firehose im zentralen Konto. CloudWatch Cross-Account-Observability für Metriken + Traces.

Langzeit-Log-Archivierung zu geringen Kosten.

Log-Gruppe an Kinesis Firehose → S3 mit Glacier-Übergangs-Lifecycle abonnieren. Oder geplante `CreateExportTask` direkt nach S3.

Warum: Firehose ist kontinuierlich; ExportTask ist ein On-Demand-Massenexport. S3 + Glacier ist 100x günstiger als CW Logs-Speicher.

Ein Ops-Dashboard mit einem Nicht-AWS-Auftragnehmer ohne IAM-Zugriff teilen.

CloudWatch Dashboard Sharing – öffentlicher Freigabelink (mit Authentifizierung über Cognito) oder anonym (auf spezifisches Dashboard beschränkt).

Lambda auslösen, wenn eine EC2-Instanz den Status `stopped` erreicht.

EventBridge-Regel mit Ereignismuster `{"source":["aws.ec2"],"detail-type":["EC2 Instance State-change Notification"],"detail":{"state":["stopped"]}}` → Lambda-Ziel.

Automatisches Erstellen eines Tickets, wenn AWS eine geplante Wartung für eine Ihrer RDS-Instanzen ankündigt.

AWS Health → EventBridge Standardbus → Lambda oder SNS → Ticketsystem. Filter nach `source: aws.health` und betroffener Ressource.

Erkennen, wenn die öffentliche Website 404-Fehler zurückgibt, bevor Kunden sich beschweren.

CloudWatch Synthetics Canary – geskripteter Browser-Zugriff jede Minute, Screenshot bei Fehler, Alarm bei fehlgeschlagenen Läufen.

Browserseitige Seitenladezeiten und JavaScript-Fehler von echten Benutzern messen.

CloudWatch RUM. Code-Snippet auf der Seite sendet Performance- + Fehlerdaten. Mit X-Ray für Backend-Korrelation koppeln.

EC2-Flotte richtig dimensionieren, ohne CloudWatch manuell auf jeder Instanz zu überprüfen.

AWS Compute Optimizer – analysiert CW-Metriken + Speicherdaten (mit Agent) und empfiehlt Änderungen des Instanztyps. Umfasst EC2, ASG, EBS, Lambda, ECS Fargate.

Prüfen Sie, ob „Verschlüsselung im Ruhezustand auf jedem EBS-Volume aktiviert ist“ über 200 Konten hinweg.

AWS Config Aggregator mit Multi-Account-Multi-Region-Autorisierung. Aggregator-Dashboards + erweiterte Abfragen (SQL).

Nicht-konforme Ressourcen automatisch korrigieren (z. B. unverschlüsseltes EBS-Volume → Snapshot + verschlüsselt neu erstellen).

AWS Config-Regel + automatische Korrekturaktion über SSM Automation Runbook. Wiederholungsanzahl + Parameter angeben.

Kosteneinsparungspotenziale und Sicherheitsrisiken ohne benutzerdefinierte Skripte aufzeigen.

AWS Trusted Advisor. Prüfungen für Kosten / Leistung / Sicherheit / Fehlertoleranz / Dienstlimits. Der vollständige Prüfsatz erfordert Business- oder Enterprise-Support.

Muss das EC2 vCPU-Kontingent in einer Region für einen bevorstehenden Start erhöhen.

Service Quotas-Konsole – Kontingenterhöhung anfordern. Oder Service Quotas API für Skriptnutzung verwenden. Einige Kontingente werden automatisch genehmigt; andere durchlaufen den Support.

Unerwartete Kostensteigerungen abfangen, bevor die Monatsrechnung eintrifft.

AWS Cost Anomaly Detection – ML-basiert; Monitore pro Dienst / verknüpftem Konto / Kostenkategorie konfigurieren. Warnungen über SNS oder E-Mail.

Nicht-Produktions-EC2s automatisch stoppen, wenn das Monatsbudget den Schwellenwert überschreitet.

AWS Budgets-Aktion – bei Überschreitung des Schwellenwerts eine SSM Automation ausführen, die getaggte Instanzen stoppt oder eine Deny-All-SCP über IAM anwendet.

Zuverlässigkeit und Geschäftskontinuität

Verbindungen abbauen + Logs leeren, bevor ASG eine Instanz beendet.

Lifecycle-Hook bei `EC2_INSTANCE_TERMINATING`. Instanz wechselt in `Terminating:Wait`; SSM-Dokument führt Drain-Skript aus; `CONTINUE`-Aktion auslösen, wenn abgeschlossen.

Automatische Skalierung, um die durchschnittliche CPU-Auslastung bei etwa 60 % zu halten.

Target-Tracking-Skalierungsrichtlinie mit `ASGAverageCPUUtilization` = 60. ASG erstellt automatisch Step-Alarme.

Warum: Einfacher als Step-Skalierung. Am besten für symmetrische Metriken. Step-Skalierung ist für fein granulierte Regeln zum Hoch- und Herunterskalieren.

Der Datenverkehr steigt täglich um 9 Uhr morgens stark an; reaktive Skalierung hinkt hinterher.

Prädiktive Skalierung. ASG prognostiziert die Last 48 Stunden im Voraus aus der CW-Historie; skaliert vor dem Anstieg vorab.

Das Bootstrapping der Instanz dauert 8 Minuten; das Scale-out ist zu langsam.

ASG Warm Pool – vorinitialisierte, gestoppte/hibernierte Instanzen. Beim Scale-out Übergang von Stopped → InService anstatt Kaltstart.

Eine ASG hauptsächlich auf Spot-Instanzen betreiben, um Kosten zu sparen, aber mit einer Basis von On-Demand-Instanzen für Stabilität.

Mixed Instances Policy – Launch-Vorlage + Basiskapazität (On-Demand) + Prozentsatz über der Basis auf Spot. Mehrere Instanztypen für Spot-Diversifikation verwenden.

Migration von Launch Configurations.

Verwenden Sie Launch Templates. AWS hat Launch Configurations für neue ASGs eingestellt; nur LTs unterstützen neuere Funktionen (Warm Pool, gemischte Instanzen, IMDSv2-Erzwingung, EBS gp3, etc.).

Eine RDS-Datenbank muss einen AZ-Ausfall mit minimaler Ausfallzeit überstehen.

Multi-AZ-Bereitstellung. Synchroner Standby in einer anderen AZ; Failover ausgelöst durch Host-/Speicherausfall oder AZ-Ausfall. Endpunkt bleibt gleich.

Warum: Multi-AZ ist für Hochverfügbarkeit, nicht für Read-Scale-Out. Für Read-Scale-Out eine Read Replica hinzufügen.

Regionsübergreifende Katastrophe: Eine Read Replica zum primären machen.

`PromoteReadReplica` API oder Konsolenaktion. Die neue Replika wird zu einer eigenständigen, beschreibbaren Instanz; App-Endpunkte aktualisieren.

EFS-, RDS-, EBS-, DynamoDB-, FSx-Backups unter einem Zeitplan + Aufbewahrungsrichtlinie zentralisieren.

AWS Backup – Backup-Plan mit Regeln (Häufigkeit, Aufbewahrung, Lifecycle zu Cold Storage), Backup-Auswahlen (Ressourcen-ARN oder Tag-Filter).

Compliance mit regulatorischen Anforderungen für unveränderliche Backups (WORM).

AWS Backup Vault Lock mit Compliance-Modus. Einmal erzwungen, können Backups nicht vor Ablauf der Aufbewahrungsfrist gelöscht werden – nicht einmal vom Root-Benutzer.

Tägliche Snapshots jedes getaggten EBS-Volumes mit 30-tägiger Aufbewahrung.

Amazon Data Lifecycle Manager (DLM)-Richtlinie – Zeitplan + Tag-Filter + Aufbewahrung. Kein Code, keine geplanten Lambdas.

Aktiv-Passiv-DR: Route53 muss den Datenverkehr bei Ausfall des Primärsystems an die Standby-Region senden.

Route 53 Failover-Routing-Richtlinie mit Health Checks für den primären Endpunkt. Bei Fehlfunktion des Health Checks löst DNS den Standby auf.

Endpunktfehler schneller als die standardmäßigen 30 Sekunden erkennen.

Route 53 Health Check mit schnellem Intervall (10s) und 3 Fehlerschwellenwert. Mehrere Health Checks über berechnete Checks kombinieren.

Langzeitverbindungen werden unterbrochen, wenn ALB während der Bereitstellung ein Ziel entfernt.

Target Group Deregistrierungsverzögerung (Standard 300s, nach Bedarf erhöhen). Neue Anfragen werden sofort gestoppt; laufende Verbindungen werden abgebaut, bis die Verzögerung abläuft.

Konfigurieren Sie, wie lange ALB auf laufende Anfragen während der Ziel-Deregistrierung wartet.

Gleich wie Deregistrierungsverzögerung. Pro Zielgruppe einstellen. NLB hat einen separaten, aber parallelen Mechanismus.

EFS ist langsam unter Burst-Last.

Wechseln Sie in den Elastic Throughput-Modus (automatisch skalierend). Oder Provisioned Throughput für vorhersehbare Workloads. Der standardmäßige Bursting-Modus ist kreditbasiert und erschöpft sich unter anhaltender Last.

Wählen Sie eine DR-Strategie basierend auf dem RPO/RTO-Budget.

Backup & Restore (RTO Stunden, RPO Stunden, am günstigsten). Pilot Light (RTO Minuten, RPO Minuten). Warm Standby (RTO Minuten, RPO Sekunden, heruntergefahrener Standby läuft). Multi-Site Active-Active (RTO ~0, RPO ~0, am teuersten).

S3-Objekte in eine zweite Region replizieren für Compliance + DR.

S3 Cross-Region Replication (CRR). Quell- + Ziel-Buckets, IAM-Rolle, Replikationsregel. Verwenden Sie Replication Time Control (RTC) für eine 15-Minuten-SLA.

Objekte vor versehentlichem oder böswilligem Löschen schützen.

Versioning + MFA Delete für den Bucket aktivieren. MFA Delete erfordert Root-Anmeldeinformationen + MFA-Code, um Versionen dauerhaft zu löschen oder Versioning zu deaktivieren.

TCP/UDP-Anwendung benötigt statische IPs und schnelles Failover über Regionen hinweg.

AWS Global Accelerator – 2 Anycast-IPs, die den Datenverkehr über das AWS-Backbone zum nächstgelegenen gesunden regionalen Endpunkt leiten. Failover unter 30 Sekunden.

Warum: Besser als Route 53 Failover für Nicht-HTTP-Verkehr; Clients behalten dieselbe IP.

Bereitstellung, Provisionierung und Automatisierung

Jemand hat Ressourcen in der Konsole geändert; prüfen Sie, was vom CloudFormation-Template abgewichen ist.

CloudFormation Drift-Erkennung für den Stack. Berichtet den Drift-Status pro Ressource mit Differenzen auf Eigenschaftsebene.

Sehen Sie genau, was CloudFormation ändern wird, bevor Sie eine Template-Änderung anwenden.

Zuerst einen Change Set erstellen; vorgeschlagene Änderungen überprüfen; nur ausführen, wenn sicher. Change Sets unterstützen verschachtelte Stacks und Cross-Stack-Referenzen.

Versehentliche Aktualisierungen einer kritischen Ressource (z. B. Produktions-RDS) innerhalb eines Stacks verhindern.

CloudFormation Stack Policy – IAM-ähnliches Dokument, das `Update:*` auf bestimmte logische Ressourcen-IDs zulässt oder verweigert. Auf den Stack angewendet, getrennt von IAM.

Die gleiche Basislinie (z. B. CloudTrail, Config, GuardDuty) auf alle Konten in der Organisation bereitstellen.

CloudFormation StackSets mit serviceverwalteten Berechtigungen + automatischer Bereitstellung für neue Konten in Ziel-OUs.

Konfiguration ausführen + Abschlussmeldung an CloudFormation von EC2-Benutzerdaten senden.

cfn-init (Konfiguration), cfn-signal (Signal CreationPolicy), cfn-hup (Metadatenänderungen anwenden). CreationPolicy lässt den Stack auf das Signal warten, bevor er CREATE_COMPLETE markiert.

Stack automatisch zurücksetzen, wenn CloudWatch-Alarme nach der Bereitstellung ausgelöst werden.

CloudFormation Rollback-Konfiguration – Liste der CW-Alarme + Überwachungszeit. Wenn ein Alarm während des Zeitfensters ausgelöst wird, wird der Stack automatisch zurückgesetzt.

Ein einmaliges Shell-Kommando per Tag an 500 EC2-Instanzen senden.

SSM Run Command mit `AWS-RunShellScript`-Dokument, Ziel per Tag. Kein SSH. Logs nach S3 / CloudWatch Logs.

Eine Konfiguration (z. B. installierter CloudWatch-Agent) kontinuierlich auf allen Instanzen erzwingen.

SSM State Manager-Assoziation – Zeitplan + Dokument + Ziele. SSM wendet den gewünschten Zustand gemäß Zeitplan an und meldet die Compliance.

OS-Patches auf eine Flotte nach Zeitplan mit Rollback-Sicherheit anwenden.

SSM Patch Manager – Patch-Baseline (Regeln: Schweregrad, Klassifizierung, Genehmigungsverzögerung) + Patch-Gruppe (Tag) + Wartungsfenster für den Lauf.

SSH-Zugriff auf Instanz im privaten Subnetz ohne Bastion-Host oder offene eingehende Ports.

SSM Session Manager – Agent + IAM-Rolle öffnen die Sitzung über die SSM Messages API. Keine öffentliche IP, kein SSH-Schlüssel, vollständige Sitzungsprotokollierung.

DB-Verbindungszeichenfolge für die Anwendung zur Laufzeit speichern – keine eingecheckten Geheimnisse.

SSM Parameter Store SecureString (KMS-verschlüsselt) oder Secrets Manager (Rotation). Die Anwendung ruft `GetParameter` mit IAM-Rolle auf.

Warum: Parameter Store ist im Standard-Tier kostenlos; Secrets Manager hat eine integrierte Rotation für RDS/DocumentDB/Redshift.

Compliance-Ergebnisse automatisch beheben (z. B. weltweit offene Sicherheitsgruppe → einschränken).

SSM Automation Runbook (benutzerdefiniertes YAML oder AWS-eigene). Ausgelöst durch EventBridge / Config / manuell. Schritte: Branch, Parallel, Retry, Abort.

Patching nur sonntags von 02:00–04:00 Uhr ausführen.

SSM Maintenance Window – Zeitplan (cron), Ziele, Aufgaben. Umfasst Run Command / Automation / Lambda / Step Functions-Aufrufe.

Gehärtete Linux/Windows AMIs mit vorinstallierten Agenten nach Zeitplan erstellen.

EC2 Image Builder – Pipeline (Image-Rezept + Komponenten + Infra-Konfiguration + Distribution). AMIs in mehrere Regionen/Konten ausgeben.

Neue App-Version auf eine kleine Gruppe von EC2/ECS/Lambda bereitstellen, bevor sie vollständig ausgerollt wird.

CodeDeploy mit Canary- oder Linear-Deployment-Konfiguration. Lambda Canary `Lambda10Percent5Minutes` verschiebt den Datenverkehr über Alias-Gewichte.

Blue/Green-Bereitstellung auf ASG hinter ALB.

CodeDeploy Blue/Green-Deployment-Gruppe – provisioniert neue ASG, registriert sich bei ALB-Zielgruppe, wartet auf Health, tauscht Datenverkehr, beendet alte.

Pipeline im Tooling-Konto stellt in Dev-/Stage-/Prod-Konten bereit.

Cross-Account CodePipeline – Deployment-Phase verwendet Cross-Account-Rolle vom Zielkonto. KMS-Schlüssel im Tooling-Konto wird mit Ziel geteilt.

Entwicklungsteams die Selbstbedienung genehmigter Infrastruktur (z. B. VPC, S3-Bucket) ermöglichen, ohne vollständigen IAM-Zugriff zu gewähren.

AWS Service Catalog – Admin veröffentlicht Produkte (CFN-Templates), Benutzer starten über IAM-Berechtigung die Produktrolle, nicht die zugrunde liegenden Ressourcen.

Org-weit durchsetzen, dass alle Ressourcen `Environment`- und `CostCenter`-Tags haben.

AWS Organizations Tag-Richtlinien. Erlaubte Tag-Schlüssel + Werte definieren; nicht-konforme Tagging wird im Resource Groups Tag Editor + Config angezeigt.

Migration von OpsWorks Stacks (EOL Mai 2024).

OpsWorks Stacks ist End-of-Life. Migrieren Sie zu AWS Systems Manager + nativem Chef/Puppet auf EC2, oder konvertieren Sie zu ECS/EKS, oder erstellen Sie neu über SSM Automation + CFN.

Wählen Sie zwischen verschachtelten Stacks und Cross-Stack-Referenzen.

Verschachtelte Stacks: stark gekoppelt, Lebenszyklus zusammen verwaltet (einzelnes Update). Cross-Stack `Export`/`ImportValue`: lose gekoppelt, unabhängige Lebenszyklen, Exporte unveränderlich während des Imports.

Sicherheit und Compliance

IAM-Benutzer mit Zugriffsschlüsseln, die älter als 90 Tage sind, identifizieren.

Credential Report generieren (`generate-credential-report` + `get-credential-report`). CSV mit letzter Verwendung + Schlüsselalter pro Benutzer. Mit Access Analyzer für Least-Privilege-Überprüfung kombinieren.

IAM-Rollen, S3-Buckets, KMS-Schlüssel finden, die von außerhalb des Kontos / der Organisation zugänglich sind.

IAM Access Analyzer – Zone-of-Trust-Scan meldet Ergebnisse externer Zugriffe. External-Access-Analyzer ist kostenlos; Unused-Access-Analyzer ist kostenpflichtig.

Überberechtigte IAM-Richtlinien kürzen – Dienste entfernen, die der Principal nie verwendet hat.

IAM Last Accessed Information pro Rolle/Benutzer. Listet letzte Nutzung auf Dienstebene + (für einige Dienste) auf Aktionsebene. Ungenutzte Berechtigungen entfernen.

Alle API-Aufrufe über jedes Konto in der Organisation mit zentraler Speicherung auditieren.

Organisations-Trail im Management- oder delegierten Administratorkonto. Ein einziger S3-Bucket; umfasst alle aktuellen + zukünftigen Mitgliedskonten; kann von Mitgliedern nicht deaktiviert werden.

Jede S3-Objektlesung in einem sensiblen Bucket aufzeichnen.

CloudTrail-Datenereignisse für S3 aktivieren (pro Bucket oder alle). Standard-Trails erfassen nur Management-Ereignisse; Datenereignisse werden separat abgerechnet.

Kompromittierte Anmeldeinformationen, Port-Scans, Krypto-Mining, anomale API-Aktivität erkennen.

GuardDuty in jeder Region aktivieren. Delegierter Admin im Sicherheitskonto aggregiert Findings org-weit. EventBridge-Regel → SNS für hohe Schweregrade.

Kontinuierliches CVE-Scanning von EC2 AMIs und ECR Images.

Amazon Inspector v2. Automatische Erkennung von EC2 + ECR + Lambda; Ergebnisse im Security Hub. Nach Schweregrad bewertete CVEs.

Ein einziges Dashboard für Findings von GuardDuty, Inspector, Macie, IAM Access Analyzer, Drittanbieter-Tools.

AWS Security Hub. Standards (CIS AWS Foundations, AWS Foundational Security Best Practices, PCI DSS). Regionsübergreifende Aggregation + delegierter Admin.

PII / Kreditkartendaten in S3 entdecken und klassifizieren.

Amazon Macie. Auto-Discovery-Jobs für Buckets; verwaltete Daten-Identifikatoren + benutzerdefinierte Regex. Findings an Security Hub / EventBridge.

KMS-Verschlüsselungsschlüssel rotieren, ohne Daten neu zu verschlüsseln.

Automatische Schlüsselrotation für kundenverwaltete CMKs aktivieren (jährlich). KMS behält altes Schlüsselmaterial, um bestehende Ciphertexte zu entschlüsseln; neue Verschlüsselungen verwenden das neueste Material.

RDS-Masterpasswort alle 30 Tage automatisch rotieren.

Secrets Manager Rotation mit von AWS bereitgestellter Lambda für RDS-Engine. Single-User- oder Alternating-User-Rotationsstrategie.

CIS Benchmarks über die gesamte Organisation anwenden.

AWS Config Conformance Pack – Bündel von Config-Regeln + Korrekturaktionen. Bereitstellung über Config an alle Konten über Aggregator; org-weit über das Management-Konto.

SSRF-Angriffe blockieren, die EC2-Instanzmetadaten lesen.

IMDSv2 (`HttpTokens=required`) auf jeder Instanz vorschreiben. Token-basiert; blockiert unauthentifizierte SSRF-Lesevorgänge von Instanzrollen-Anmeldeinformationen.

Konto-weite Garantie, dass kein S3-Bucket jemals öffentlich lesbar ist.

S3 Block Public Access auf Kontoebene. Überschreibt Bucket-spezifische Richtlinien. Kombinieren mit `aws:SecureTransport` SCP für HTTPS-only.

Automatisierung der Nachweissammlung für SOC 2 / HIPAA / PCI Audits.

AWS Audit Manager – Frameworks bilden Kontrollen auf Nachweisquellen (Config, CloudTrail, Security Hub) ab. Sammelt und erstellt automatisch prüfbereite Berichte.

Netzwerk und Content-Bereitstellung

Verdächtigen Lateral-Movement-Datenverkehr zwischen Subnetzen untersuchen.

VPC Flow Logs an CloudWatch Logs / S3 / Firehose. Benutzerdefiniertes Format mit `pkt-srcaddr` + `pkt-dstaddr` zeigt die tatsächliche Paket-Quell-/Zieladresse (vs. ENI-Quell-/Zieladresse).

Terabytes von VPC Flow Logs kostengünstig abfragen.

Flow Logs im Parquet-Format an S3 streamen; mit Athena abfragen, partitioniert nach Jahr/Monat/Tag. Günstiger als CW Logs Insights für Archivanalysen.

Ermitteln Sie, warum eine ECS-Aufgabe RDS nicht erreichen kann – SG, NACL, Routing-Tabelle oder NAT?

VPC Reachability Analyzer – Quell-ENI → Ziel-ENI; meldet erreichbar/blockiert + welche Komponente blockiert (z. B. eingehende SG-Regel).

Alle Pfade vom Internet zu einem Datenbank-Subnetz org-weit finden.

Network Access Analyzer mit Network Access Scope (z. B. `Source: internet, Destination: db-subnet-tag`). Gibt passende Netzwerkpfade zur Überprüfung zurück.

EC2 im privaten Subnetz muss S3 / DynamoDB ohne NAT-Egress-Kosten erreichen.

Gateway VPC Endpoint für S3 / DynamoDB. Kostenlos; Routentabellen-Präfixliste. Vermeidet NAT-Bytes.

Private Konnektivität von VPC zu den meisten anderen AWS-Diensten (KMS, SSM, ECR, etc.).

Interface VPC Endpoint (PowerLink). ENI in Ihrem Subnetz, Abrechnung pro AZ + pro GB. Endpunktrichtlinien verwenden, um den Zugriff auf bestimmte Ressourcen zu beschränken.

NAT Gateway Datenverarbeitungsgebühren dominieren die Rechnung.

S3/DynamoDB-Datenverkehr zu Gateway-Endpunkten (kostenlos) verschieben. Anderen AWS-Dienstverkehr zu Interface-Endpunkten verschieben. Für Inter-VPC Transit Gateway / VPC Peering anstelle von Routing durch NAT verwenden.

40 VPCs benötigen Any-to-Any-Konnektivität ohne N×N-Peering.

Transit Gateway als Hub. VPCs werden an TGW angehängt; Routing-Tabellen steuern, welche VPCs kommunizieren können. Ein einziger verwalteter Hub vs. O(N²) Peering-Verbindungen.

On-Prem-DNS muss `internal.company.com` zu privaten VPC-Ressourcen auflösen und umgekehrt.

Route 53 Resolver Inbound- + Outbound-Endpunkte + Weiterleitungsregeln. Inbound = On-Prem fragt AWS ab; Outbound = AWS fragt On-Prem ab.

Überprüfen, welche DNS-Namen von einer VPC aufgelöst werden.

Route 53 Resolver Query Logging an CloudWatch Logs / S3 / Firehose. Pro-VPC-Protokollierungskonfiguration.

CloudFront-Origin gibt 5xx zurück; benötige automatisches Failover zu sekundärem Origin.

Origin-Gruppe mit primärem + sekundärem Origin und Failover-Kriterien (Statuscodes 500/502/503/504/404). Cache-Verhalten verweist auf die Gruppe.

Cache-Hit-Rate für größtenteils statischen Inhalt maximieren.

`Cache-Control: max-age=...` in Origin-Antworten setzen; CloudFront so konfigurieren, dass nur erforderliche Cache-Schlüssel weitergeleitet werden (Vermeidung der Weiterleitung aller Header/Cookies/Query Strings, was die Cache-Effektivität zerstört).

CloudFront vor S3 – direkten S3-Zugriff blockieren.

Origin Access Control (OAC). Ersetzt das ältere Origin Access Identity (OAI) – unterstützt SigV4, KMS-verschlüsselte Buckets, alle Regionen. Bucket-Richtlinie verweigert nicht-OAC-Principals.

SQL-Injection blockieren + aggressive Clients auf ALB ratenbegrenzen.

AWS WAFv2 Web ACL: AWS Managed Rule Group `AWSManagedRulesSQLiRuleSet` + ratenbasierte Regel (z. B. 2000 Anfragen / 5 Min. pro IP). Mit ALB / API Gateway / CloudFront / AppSync assoziieren.

Anhaltende Layer-7-DDoS-Angriffe mit Kostenschutzgarantie mindern.

AWS Shield Advanced – proaktives Engagement, DDoS-Erkennung auf Anwendungsebene, 24×7 SRT-Zugriff, Kostenerstattung für Skalierungsspitzen während eines Angriffs. Auf Route 53 / CloudFront / ALB / EIP / Global Accelerator aktivieren.

Zentrale Verwaltung von WAF / Shield / SG / Network Firewall-Richtlinien über alle Org-Konten hinweg.

AWS Firewall Manager (delegierter Admin). Richtlinien werden automatisch auf die im Geltungsbereich liegenden Konten/Ressourcen angewendet; meldet Non-Compliance.

Direct Connect-Ausfall legt hybride Konnektivität lahm.

Site-to-Site VPN als Backup über das Internet. BGP wählt DX als bevorzugt (niedrigerer MED / kürzerer AS-PATH); wechselt automatisch zum VPN.