Über AWS-Konten in AWS Control Tower - AWS Control Tower
Überlegungen zur Mitnahme vorhandener Sicherheits- oder ProtokollkontenÜber die gemeinsamen Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Über AWS-Konten in AWS Control Tower

An AWS-Konto ist der Container für all Ihre eigenen Ressourcen. Zu diesen Ressourcen gehören die vom Konto akzeptierten AWS Identity and Access Management (IAM) Identitäten, die bestimmen, wer Zugriff auf dieses Konto hat. IAMIdentitäten können Benutzer, Gruppen, Rollen und mehr umfassen. Weitere Informationen zur Arbeit mit BenutzernIAM, Rollen und Richtlinien in AWS Control Tower finden Sie unter Identitäts- und Zugriffsmanagement in AWS Control Tower.

Ressourcen und Zeitpunkt der Kontoerstellung

Wenn AWS Control Tower ein Konto erstellt oder registriert, stellt es die mindestens erforderliche Ressourcenkonfiguration für das Konto bereit, einschließlich Ressourcen in Form von Account Factory Factory-Vorlagen und anderen Ressourcen in Ihrer landing zone. Zu diesen Ressourcen können IAM Rollen, AWS CloudTrail Trails, von Service Catalog bereitgestellte Produkte und IAM Identity Center-Benutzer gehören. AWSControl Tower stellt außerdem Ressourcen gemäß den Anforderungen der Kontrollkonfiguration für die Organisationseinheit (OU) bereit, in der das neue Konto ein Mitgliedskonto werden soll.

AWSControl Tower orchestriert den Einsatz dieser Ressourcen in Ihrem Namen. Es kann mehrere Minuten pro Ressource dauern, bis die Bereitstellung abgeschlossen ist. Berücksichtigen Sie daher die Gesamtzeit, bevor Sie ein Konto erstellen oder registrieren. Weitere Informationen zur Verwaltung von Ressourcen in Ihren Konten finden Sie unterAnleitung zur Erstellung und Änderung von AWS Control Tower Tower-Ressourcen.

Überlegungen zur Mitnahme vorhandener Sicherheits- oder Protokollkonten

Bevor ein Konto AWS-Konto als Sicherheits- oder Protokollierungskonto akzeptiert wird, überprüft AWS Control Tower das Konto auf Ressourcen, die mit den AWS Control Tower Tower-Anforderungen in Konflikt stehen. Beispielsweise haben Sie möglicherweise einen Logging-Bucket mit demselben Namen, den AWS Control Tower benötigt. Außerdem überprüft AWS Control Tower, ob das Konto Ressourcen bereitstellen kann, indem beispielsweise sichergestellt wird, dass AWS Security Token Service (AWS STS) aktiviert ist, dass das Konto nicht gesperrt ist und dass AWS Control Tower berechtigt ist, Ressourcen innerhalb des Kontos bereitzustellen.

AWSControl Tower entfernt keine vorhandenen Ressourcen in den von Ihnen bereitgestellten Protokollierungs- und Sicherheitskonten. Wenn Sie sich jedoch dafür entscheiden, die AWS-Region Ablehnungsfunktion zu aktivieren, verhindert die Steuerung „Region Deny“ den Zugriff auf Ressourcen in abgelehnten Regionen.

Über die gemeinsamen Konten

Mit AWS Control Tower AWS-Konten sind drei spezielle Konten verknüpft: das Verwaltungskonto, das Auditkonto und das Protokollarchivkonto. Diese Konten werden in der Regel als gemeinsame Konten oder manchmal auch als Kernkonten bezeichnet.

  • Sie können benutzerdefinierte Namen für die Audit- und Protokollarchivkonten auswählen, wenn Sie Ihre landing zone einrichten. Informationen zum Ändern eines Kontonamens finden Sie unter Externes Ändern von AWS Control Tower Tower-Ressourcennamen.

  • Sie können bei der ersten Einrichtung der landing zone AWS-Konto auch ein vorhandenes Sicherheits- oder Logging-Konto als AWS Control Tower angeben. Diese Option macht es überflüssig, dass AWS Control Tower neue, gemeinsame Konten erstellt. (Dies ist eine einmalige Auswahl.)

Weitere Informationen zu den gemeinsam genutzten Konten und den zugehörigen Ressourcen finden Sie unterIn den gemeinsamen Konten erstellte Ressourcen.

Verwaltungskonto

Dadurch AWS-Konto wird AWS Control Tower gestartet. Standardmäßig haben der Root-Benutzer für dieses Konto und der IAM Benutzer oder IAM Administratorbenutzer für dieses Konto vollen Zugriff auf alle Ressourcen in Ihrer landing zone.

Anmerkung

Als bewährte Methode empfehlen wir, sich als IAM Identity Center-Benutzer mit Administratorrechten anzumelden, wenn Sie administrative Funktionen in der AWS Control Tower Tower-Konsole ausführen, anstatt sich als Root- oder IAM Administratorbenutzer für dieses Konto anzumelden.

Weitere Informationen zu den Rollen und Ressourcen, die im Verwaltungskonto verfügbar sind, finden Sie unterIn den gemeinsamen Konten erstellte Ressourcen.

Protokollarchivkonto

Das gemeinsame Log-Archive-Konto wird automatisch eingerichtet, wenn Sie Ihre landing zone erstellen.

Dieses Konto enthält einen zentralen Amazon S3 S3-Bucket zum Speichern einer Kopie aller Konten AWS CloudTrail und AWS Config Protokolldateien für alle anderen Konten in Ihrer landing zone. Als bewährte Methode empfehlen wir, den Zugriff auf das Protokollarchiv-Konto auf Teams zu beschränken, die für die Einhaltung von Vorschriften und Untersuchungen sowie die entsprechenden Sicherheits- oder Audit-Tools verantwortlich sind. Dieses Konto kann für automatisierte Sicherheitsaudits oder zum Hosten benutzerdefinierter AWS-Config-Regeln Funktionen wie Lambda-Funktionen zur Durchführung von Korrekturmaßnahmen verwendet werden.

Amazon S3 S3-Bucket-Richtlinie

Für AWS Control Tower landing zone Version 3.3 und höher müssen Konten eine aws:SourceOrgID Bedingung für Schreibberechtigungen für Ihren Audit-Bucket erfüllen. Diese Bedingung stellt sicher, dass CloudTrail nur Logs im Namen von Konten innerhalb Ihrer Organisation in Ihren S3-Bucket geschrieben werden können. Dadurch wird verhindert, dass CloudTrail Logs außerhalb Ihrer Organisation in Ihren AWS Control Tower S3-Bucket schreiben. Weitere Informationen finden Sie unter AWSlanding zone des Control Tower Version 3.3.

Weitere Informationen zu den Rollen und Ressourcen, die im Protokollarchiv-Konto verfügbar sind, finden Sie unter Kontoressourcen protokollieren und archivieren

Anmerkung

Diese Protokolle können nicht geändert werden. Alle Protokolle werden für Prüfungs- und Compliance-Untersuchungen im Zusammenhang mit Kontoaktivitäten gespeichert.

Prüfungskonto

Dieses gemeinsame Konto wird automatisch eingerichtet, wenn Sie Ihre landing zone erstellen.

Das Auditkonto sollte auf Sicherheits- und Compliance-Teams mit kontenübergreifenden Rollen als Auditor (schreibgeschützt) und Administrator (voller Zugriff) für alle Konten in der landing zone beschränkt sein. Diese Rollen sollen von Sicherheits- und Compliance-Teams für folgende Zwecke genutzt werden:

  • Führen Sie Audits mithilfe von AWS Mechanismen durch, z. B. durch das Hosten von Lambda-Funktionen für benutzerdefinierte AWS Config Regeln.

  • Führen Sie automatisierte Sicherheitsoperationen durch, z. B. Abhilfemaßnahmen.

Das Prüfkonto erhält auch Benachrichtigungen über den Service Amazon Simple Notification Service (AmazonSNS). Es können drei Kategorien von Benachrichtigungen empfangen werden:

  • Alle Konfigurationsereignisse — In diesem Thema werden alle CloudTrail AWS Config Benachrichtigungen von allen Konten in Ihrer landing zone zusammengefasst.

  • Aggregierte Sicherheitsbenachrichtigungen — In diesem Thema werden alle Sicherheitsbenachrichtigungen zu bestimmten CloudWatch Ereignissen, Ereignissen zur Änderung des AWS-Config-Regeln Compliance-Status und GuardDuty zu Ergebnissen zusammengefasst.

  • Drift-Benachrichtigungen — In diesem Thema werden alle Drift-Warnungen zusammengefasst, die für alle KontenOUs, Benutzer und SCPs in Ihrer landing zone entdeckt wurden. Weitere Informationen zu Drift finden Sie unterAbweichungen im AWS Control Tower erkennen und beheben.

Audit-Benachrichtigungen, die innerhalb eines Mitgliedskontos ausgelöst werden, können auch Benachrichtigungen an ein lokales SNS Amazon-Thema senden. Diese Funktion ermöglicht es Kontoadministratoren, Audit-Benachrichtigungen zu abonnieren, die für ein einzelnes Mitgliedskonto spezifisch sind. Auf diese Weise können Administratoren Probleme lösen, die ein einzelnes Konto betreffen, und gleichzeitig alle Kontobenachrichtigungen in Ihrem zentralen Auditkonto zusammenfassen. Weitere Informationen finden Sie im Amazon Simple Notification Service-Entwicklerhandbuch.

Weitere Informationen zu den Rollen und Ressourcen, die im Auditkonto verfügbar sind, finden Sie unterKontoressourcen prüfen.

Weitere Informationen zur programmatischen Prüfung finden Sie unter Programmatische Rollen und Vertrauensbeziehungen für das AWS Control Tower Tower-Auditkonto.

Wichtig

Die E-Mail-Adresse, die Sie für das Audit-Konto angeben, erhält E-Mails mit AWS Benachrichtigungen und Abonnementbestätigungen von allen, die von AWS Control Tower AWS-Region unterstützt werden. Um Compliance-E-Mails in Ihrem Audit-Konto zu erhalten, müssen Sie in jeder E-Mail, die von AWS Control Tower AWS-Region unterstützt wird, den Link Abonnement bestätigen auswählen.