Stimmen Sie sich mit der Anleitung für AWS mehrere Konten ab Richtlinien für die Einrichtung einer gut strukturierten Umgebung Beispiel für AWS Control Tower mit einer vollständigen Organisationseinheitsstruktur mit mehreren Konten Informationen zum Root

AWS Strategie für mehrere Konten für Ihre Landing Zone von AWS Control Tower

AWS-Control-Tower-Kunden suchen häufig nach Anleitungen zur Einrichtung ihrer AWS Umgebung und Konten für beste Ergebnisse.AWS hat einen einheitlichen Satz von Empfehlungen erstellt, die als Strategie für mehrere Konten bezeichnet werden, damit Sie Ihre AWS Ressourcen optimal nutzen können, einschließlich Ihrer Landing Zone von AWS Control Tower.

Im Wesentlichen fungiert AWS Control Tower als Orchestrierungsebene, die mit anderen - AWS Services zusammenarbeitet und Sie bei der Implementierung der Empfehlungen für AWS mehrere Konten für AWS Konten und unterstützt AWS Organizations. Nachdem Ihre Landing Zone eingerichtet wurde, unterstützt AWS Control Tower Sie weiterhin bei der Verwaltung Ihrer Unternehmensrichtlinien und Sicherheitspraktiken über mehrere Konten und Workloads hinweg.

Die meisten Landing Zones entwickeln sich im Laufe der Zeit. Wenn die Anzahl der Organisationseinheiten (OUs) und Konten in Ihrer Landing Zone von AWS Control Tower zunimmt, können Sie Ihre AWS-Control-Tower-Bereitstellung so erweitern, dass Ihre Workloads effektiv organisiert werden können. Dieses Kapitel enthält vorgeschriebene Anleitungen zur Planung und Einrichtung Ihrer Landing Zone von AWS Control Tower im Einklang mit der AWS Strategie für mehrere Konten und zuren Erweiterung im Laufe der Zeit.

Allgemeine Informationen zu bewährten Methoden für Organisationseinheiten finden Sie unter Bewährte Methoden für Organisationseinheiten mit AWS Organizations.

AWS Strategie für mehrere Konten: Anleitung zu bewährten Methoden

AWS Bewährte Methoden für eine gut strukturierte Umgebung empfehlen, Ihre Ressourcen und Workloads in mehrere AWS Konten aufzuteilen. Sie können sich AWS Konten als isolierte Ressourcencontainer vorstellen: Sie bieten eine Kategorisierung der Workload sowie eine Reduzierung des Rotationsradius, wenn etwas schief geht.

Definition eines AWS Kontos: Ein - AWS Konto fungiert als Ressourcencontainer und Ressourcenisolationsgrenze.

Anmerkung

Ein - AWS Konto ist nicht mit einem Benutzerkonto identisch, das über Verbund oder AWS Identity and Access Management (IAM) eingerichtet wird.

Weitere Informationen zu - AWS Konten

Ein - AWS Konto bietet die Möglichkeit, Ressourcen zu isolieren und Sicherheitsbedrohungen für Ihre AWS Workloads einzudämmen. Ein -Konto bietet auch einen Mechanismus für die Abrechnung und Governance einer Workload-Umgebung.

Das AWS Konto ist der primäre Implementierungsmechanismus, um einen Ressourcencontainer für Ihre Workloads bereitzustellen. Wenn Ihre Umgebung gut strukturierte ist, können Sie mehrere AWS Konten effektiv verwalten und somit mehrere Workloads und Umgebungen verwalten.

AWS Control Tower richtet eine gut strukturierte Umgebung ein. Sie basiert auf - AWS Konten zusammen mit , die helfen AWS Organizations, Änderungen an Ihrer Umgebung zu regeln, die sich über mehrere Konten erstrecken können.

Definition einer gut strukturierten Umgebung: AWS definiert eine gut strukturierte Umgebung als Umgebung, die mit einer Landing Zone beginnt.

AWS Control Tower bietet eine Landing Zone, die automatisch eingerichtet wird. Es setzt Kontrollen durch, um die Einhaltung Ihrer Unternehmensrichtlinien über mehrere Konten in Ihrer -Umgebung hinweg sicherzustellen.

Definition einer Landing Zone: Die Landing Zone ist eine Cloud-Umgebung, die einen empfohlenen Ausgangspunkt bietet, einschließlich Standardkonten, Kontostruktur, Netzwerk- und Sicherheitslayouts usw. Von einer Landing Zone aus können Sie Workloads bereitstellen, die Ihre Lösungen und Anwendungen nutzen.

Richtlinien für die Einrichtung einer gut strukturierten Umgebung

Die drei wichtigsten Komponenten einer gut strukturierten Umgebung, die in den folgenden Abschnitten erläutert werden, sind:

Mehrere AWS Konten
Mehrere Organisationseinheiten (OUs)
Eine gut geplante Struktur

Mehrere AWS-Konten verwenden

Ein Konto reicht nicht aus, um eine gut strukturierte Umgebung einzurichten. Durch die Verwendung mehrerer Konten können Sie Ihre Sicherheitsziele und Geschäftsprozesse am besten unterstützen. Hier sind einige Vorteile der Verwendung eines Ansatzes mit mehreren Konten:

Sicherheitskontrollen – Anwendungen haben unterschiedliche Sicherheitsprofile, daher erfordern sie unterschiedliche Kontrollrichtlinien und Mechanismen. Beispielsweise ist es weitaus einfacher, mit einem Prüfer zu sprechen und auf ein einzelnes Konto zu verweisen, das den Workload der Zahlungskartenbranche (PCI) hostet.
Isolation – Ein Konto ist eine Einheit des Sicherheitsschutzes. Mögliche Risiken und Sicherheitsbedrohungen können in einem Konto enthalten sein, ohne andere zu beeinträchtigen. Daher erfordern Sicherheitsanforderungen möglicherweise, dass Sie Konten voneinander isolieren. Sie können beispielsweise Teams mit unterschiedlichen Sicherheitsprofilen haben.
Viele Teams – Teams haben unterschiedliche Verantwortlichkeiten und Ressourcenanforderungen. Durch die Einrichtung mehrerer Konten können sich die Teams nicht gegenseitig stören, wie es bei der Verwendung desselben Kontos der Fall ist.
Datenisolierung – Die Isolierung von Datenspeichern auf ein Konto trägt dazu bei, die Anzahl der Personen zu begrenzen, die Zugriff auf Daten haben und den Datenspeicher verwalten können. Diese Isolation trägt dazu bei, die unbefugte Offenlegung hochprivater Daten zu verhindern. Beispielsweise unterstützt die Datenisolierung die Einhaltung der Datenschutz-Richtlinie (GDPR).
Geschäftsprozess – Geschäftsbereiche oder Produkte haben oft völlig unterschiedliche Zwecke und Prozesse. Einzelne Konten können eingerichtet werden, um geschäftsspezifische Anforderungen zu erfüllen.
Fakturierung – Ein Konto ist die einzige Möglichkeit, Elemente auf Fakturierungsebene zu trennen, einschließlich Übertragungskosten usw. Die Strategie für mehrere Konten hilft dabei, separate abrechenbare Elemente über Geschäftsbereiche, Funktionsteams oder einzelne Benutzer hinweg zu erstellen.
Kontingentzuweisung – AWS Kontingente werden pro Konto eingerichtet. Durch die Trennung von Workloads in verschiedene Konten erhält jedes Konto (z. B. ein Projekt) ein definiertes, individuelles Kontingent.

Mehrere Organisationseinheiten verwenden

AWS Control Tower und andere Frameworks zur Kontoorchestrierung können Änderungen vornehmen, die Kontogrenzen überschreiten. Daher berücksichtigen die AWS bewährten Methoden kontoübergreifende Änderungen, die möglicherweise eine Umgebung beschädigen oder ihre Sicherheit untergraben können. In einigen Fällen können sich Änderungen über Richtlinien hinaus auf die gesamte Umgebung auswirken. Daher empfehlen wir Ihnen, mindestens zwei obligatorische Konten einzurichten: Produktion und Staging.

Darüber hinaus werden AWS Konten häufig aus Gründen der Governance und Kontrolle in Organisationseinheiten (OUs) gruppiert. OUs sind darauf ausgelegt, die Durchsetzung von Richtlinien über mehrere Konten hinweg zu verwalten.

Unsere Empfehlung besteht darin, mindestens eine Vorproduktionsumgebung (oder Staging) zu erstellen, die sich von Ihrer Produktionsumgebung unterscheidet – mit unterschiedlichen Kontrollen und Richtlinien. Die Produktions- und Staging-Umgebungen können als separate OUs erstellt und verwaltet und als separate Konten abgerechnet werden. Darüber hinaus können Sie eine Sandbox-OU für Codetests einrichten.

Verwenden Sie eine gut geplante Struktur für OUs in Ihrer Landing Zone

AWS Control Tower richtet automatisch einige OUs für Sie ein. Wenn sich Ihre Workloads und Anforderungen im Laufe der Zeit erweitern, können Sie die ursprüngliche Konfiguration der Landing Zone an Ihre Anforderungen anpassen.

Anmerkung

Die in den Beispielen angegebenen Namen folgen den vorgeschlagenen AWS Namenskonventionen für die Einrichtung einer AWS Umgebung mit mehreren Konten. Sie können Ihre OUs umbenennen, nachdem Sie Ihre Landing Zone eingerichtet haben, indem Sie auf der Detailseite der Organisationseinheit die Option Bearbeiten auswählen.

Empfehlungen

Nachdem AWS Control Tower die erste erforderliche Organisationseinheit für Sie eingerichtet hat – die Sicherheitsorganisationseinheit – empfehlen wir, einige zusätzliche OUs in Ihrer Landing Zone zu erstellen.

Wir empfehlen, dass Sie AWS Control Tower erlauben, mindestens eine zusätzliche Organisationseinheit zu erstellen, die als Sandbox-Organisationseinheit bezeichnet wird. Diese Organisationseinheit ist für Ihre Softwareentwicklungsumgebungen bestimmt. AWS Control Tower kann die Sandbox-OU während der Erstellung der Landing Zone für Sie einrichten, wenn Sie sie auswählen.

Zwei empfohlene andere OUs, die Sie selbst einrichten können: die Infrastruktur-Organisationseinheit, um Ihre freigegebenen Services und Netzwerkkonten zu enthalten, und eine Organisationseinheit, um Ihre Produktions-Workloads zu enthalten, die als Workloads-Organisationseinheit bezeichnet wird. Sie können zusätzliche OUs in Ihrer Landing Zone über die AWS Control Tower-Konsole auf der Seite Organisationseinheiten hinzufügen.

Empfohlene OUs neben den automatisch eingerichteten Organisationseinheiten

Infrastruktur-OU – Enthält Ihre freigegebenen Services und Netzwerkkonten.

Anmerkung
AWS Control Tower richtet die Infrastruktur-OU nicht für Sie ein.
Sandbox-OU – Eine OU für die Softwareentwicklung. Beispielsweise kann es ein festes Ausgabenlimit haben oder es ist möglicherweise nicht mit dem Produktionsnetzwerk verbunden.

Anmerkung
AWS Control Tower empfiehlt, die Sandbox-OU einzurichten, ist jedoch optional. Es kann im Rahmen der Konfiguration Ihrer Landing Zone automatisch eingerichtet werden.
Workloads OU – Enthält Konten, die Ihre Workloads ausführen.

Anmerkung
AWS Control Tower richtet die Workloads-OU nicht für Sie ein.

Weitere Informationen finden Sie unter Produktionsstarter-Organisation mit AWS Control Tower.

Beispiel für AWS Control Tower mit einer vollständigen Organisationseinheitsstruktur mit mehreren Konten

AWS Control Tower unterstützt eine verschachtelte OU-Hierarchie, was bedeutet, dass Sie eine hierarchische OU-Struktur erstellen können, die den Anforderungen Ihrer Organisation entspricht. Sie können eine AWS-Control-Tower-Umgebung erstellen, die den Richtlinien für Strategien mit AWS mehreren Konten entspricht.

Sie können auch eine einfachere, flache Organisationseinheitsstruktur erstellen, die gut funktioniert und den Richtlinien für AWS mehrere Konten entspricht. Nur weil Sie eine hierarchische Organisationseinheitsstruktur erstellen können, bedeutet dies nicht, dass Sie dies tun müssen.

Ein Diagramm, das einen Beispielsatz von OUs in einer erweiterten, flachen AWS Control Tower-Umgebung mit Anleitungen für AWS mehrere Konten zeigt, finden Sie unter Beispiel: Workloads in einer flachen Organisationseinheitenstruktur.
Weitere Informationen zur Funktionsweise von AWS Control Tower mit verschachtelten OU-Strukturen finden Sie unter Verschachtelte Organisationseinheiten im AWS Control Tower.
Weitere Informationen darüber, wie AWS Control Tower den AWS Anleitungen entspricht, finden Sie im AWS Whitepaper Organisieren Ihrer AWS Umgebung mit mehreren Konten.

Das Diagramm auf der verknüpften Seite zeigt, dass mehr grundlegende OUs und mehr zusätzliche OUs erstellt wurden. Diese OUs erfüllen die zusätzlichen Anforderungen einer größeren Bereitstellung.

In der Spalte Grundlegende OUs wurden der grundlegenden Struktur zwei OUs hinzugefügt:

Security_Prod OU – Bietet einen schreibgeschützten Bereich für Sicherheitsrichtlinien sowie einen Sicherheitsüberwachungsbereich für Break-Glass.
Infrastruktur-OU – Möglicherweise möchten Sie die Infrastruktur-OU, die zuvor empfohlen wurde, in zwei OUs aufteilen: Infrastructure_Test (für die Vorproduktionsinfrastruktur) und Infrastructure_Prod (für die Produktionsinfrastruktur).

Im Bereich Zusätzliche OUs wurden der Grundstruktur weitere OUs hinzugefügt. Im Folgenden finden Sie die nächsten empfohlenen OUs, die Sie erstellen sollten, wenn Ihre Umgebung wächst:

Workloads-OU – Die zuvor empfohlene Workloads-OU wurde in zwei OUs unterteilt: Workloads_Test (für Workloads vor der Produktion) und Workloads_Prod (für Produktions-Workloads).
PolicyStaging Organisationseinheit – Ermöglicht es Systemadministratoren, ihre Änderungen an Kontrollen und Richtlinien zu testen, bevor sie vollständig angewendet werden.
Unterbrochene Organisationseinheit – Bietet einen Speicherort für Konten, die möglicherweise vorübergehend deaktiviert wurden.

Informationen zum Root

Der Root ist keine Organisationseinheit. Es ist ein Container für das Verwaltungskonto und für alle OUs und Konten in Ihrer Organisation. Konzeptionell enthält der Root alle OUs . Es kann nicht gelöscht werden. Sie können registrierte Konten nicht auf Root-Ebene in AWS Control Tower regeln. Stattdessen sollten Sie registrierte Konten innerhalb Ihrer OUsregeln. Ein hilfreiches Diagramm finden Sie in der AWS Organizations Dokumentation zu .

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Planen Ihrer Landing Zone

Administrative Tipps für die Einrichtung der landing zone