Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Passen Sie Ihre AWS Control Tower Tower-Landezone an
Bestimmte Aspekte Ihrer AWS Control Tower Tower-Landezone können in der Konsole konfiguriert werden, z. B. die Auswahl von Regionen und optionale Steuerungen. Andere Änderungen können automatisiert außerhalb der Konsole vorgenommen werden.
Mit der Funktion „Anpassungen für AWS Control Tower“ können Sie beispielsweise umfassendere Anpassungen Ihrer landing zone vornehmen. Dabei handelt es sich um ein Framework für Anpassungen GitOps im Stil von AWS, das mit AWS CloudFormation Vorlagen und AWS Control Tower Tower-Lifecycle-Ereignissen arbeitet.
Anpassen über die AWS Control Tower Tower-Konsole
Folgen Sie den in der AWS Control Tower Tower-Konsole angegebenen Schritten, um diese Anpassungen an Ihrer landing zone vorzunehmen.
Wählen Sie bei der Einrichtung benutzerdefinierte Namen aus
-
Sie können während der Einrichtung die Namen Ihrer Organisationseinheiten auf oberster Ebene auswählen. Sie können Ihre Organisationseinheiten jederzeit über die AWS Organizations Konsole umbenennen. Wenn Sie jedoch Änderungen an Ihren Organisationseinheiten vornehmen, AWS Organizations kann dies zu reparierbaren Abweichungen führen.
-
Sie können die Namen Ihrer gemeinsamen Audit - und Log Archive-Konten auswählen, aber Sie können die Namen nach der Einrichtung nicht mehr ändern. (Dies ist eine einmalige Auswahl.)
Tipp
Denken Sie daran, dass durch das Umbenennen einer Organisationseinheit in AWS Organizations das entsprechende bereitgestellte Produkt in Account Factory nicht aktualisiert wird. Um das bereitgestellte Produkt automatisch zu aktualisieren (und Abweichungen zu vermeiden), müssen Sie den OU-Vorgang über AWS Control Tower durchführen, einschließlich der Erstellung, Löschung oder erneuten Registrierung einer OU.
Wählen Sie Regionen aus AWS
-
Sie können Ihre landing zone anpassen, indem Sie bestimmte AWS Regionen für die Verwaltung auswählen. Folgen Sie den Schritten in der AWS Control Tower Tower-Konsole.
-
Sie können AWS Regionen für die Verwaltung auswählen und deren Auswahl aufheben, wenn Sie Ihre landing zone aktualisieren.
-
Sie können die Option „Region verweigern“ auf „Aktiviert“ oder „Nicht aktiviert“ setzen und den Benutzerzugriff auf die meisten AWS Dienste in Regionen ohne Regierung kontrollieren. AWS
Informationen darüber, AWS-Regionen wo cFCT Bereitstellungsbeschränkungen hat, finden Sie unter. Einschränkungen der Kontrolle
Passen Sie es an, indem Sie optionale Steuerelemente hinzufügen
-
Dringend empfohlene und optionale Kontrollen sind optional, was bedeutet, dass Sie den Grad der Durchsetzung für Ihre landing zone anpassen können, indem Sie auswählen, welche aktiviert werden sollen. Optionale Kontrollen sind standardmäßig nicht aktiviert.
-
Mit den optionalen Steuerelementen zur Datenresidenz können Sie die Regionen anpassen, in denen Sie Ihre Daten speichern, und den Zugriff darauf gewähren.
-
Mit den optionalen Kontrollen, die Teil des integrierten Security Hub Hub-Standards sind, können Sie Ihre AWS Control Tower Tower-Umgebung scannen, um nach Sicherheitsrisiken zu suchen.
-
Mit den optionalen proaktiven Kontrollen können Sie Ihre AWS CloudFormation Ressourcen überprüfen, bevor sie bereitgestellt werden, um sicherzustellen, dass die neuen Ressourcen den Kontrollzielen Ihrer Umgebung entsprechen.
Passen Sie Ihre Trails individuell an AWS CloudTrail
-
Wenn Sie Ihre landing zone auf Version 3.0 oder höher aktualisieren, können Sie wählen, ob Sie die von AWS Control Tower verwalteten CloudTrail Trails auf Organisationsebene aktivieren oder deaktivieren möchten. Sie können diese Auswahl jederzeit ändern, wenn Sie Ihre landing zone aktualisieren. AWS Control Tower erstellt einen Trail auf Organisationsebene in Ihrem Verwaltungskonto, und dieser Trail wechselt je nach Ihrer Wahl in den Status Aktiv oder Inaktiv. Landing Zone 3.0 unterstützt keine CloudTrail Trails auf Kontoebene. Wenn Sie diese jedoch benötigen, können Sie Ihre eigenen Trails konfigurieren und verwalten. Für doppelte Trails können zusätzliche Kosten anfallen.
Erstellen Sie benutzerdefinierte Mitgliedskonten in der Konsole
-
Über die AWS Control Tower Tower-Konsole können Sie benutzerdefinierte AWS Control Tower Tower-Mitgliedskonten erstellen und bestehende Mitgliedskonten aktualisieren, um Anpassungen hinzuzufügen. Weitere Informationen finden Sie unter Passen Sie Konten mit Account Factory Customization (AFC) an.
Automatisieren Sie Anpassungen außerhalb der AWS Control Tower Tower-Konsole
Einige Anpassungen sind nicht über die AWS Control Tower Tower-Konsole verfügbar, können aber auf andere Weise implementiert werden. Beispielsweise:
-
Sie können Konten während der Bereitstellung in einem Workflow im GitOps Stil von Account Factory for Terraform (AFT) anpassen.
AFT wird mit einem Terraform-Modul bereitgestellt, das im AFT-Repository verfügbar ist.
-
Mit Customizations for AWS Control Tower (cFCT), einem Funktionspaket, das auf AWS CloudFormation Vorlagen und Service Control Policies (SCPs) aufbaut, können Sie Ihre AWS Control Tower-Landezone individuell anpassen. Sie können die benutzerdefinierten Vorlagen und Richtlinien für einzelne Konten und Organisationseinheiten (OUs) innerhalb Ihrer Organisation bereitstellen.
Der Quellcode für CfCT ist in einem GitHub Repository
verfügbar.
Vorteile von Anpassungen für AWS Control Tower (cFCT)
Das Funktionspaket, das wir als Customizations for AWS Control Tower (cFCT) bezeichnen, hilft Ihnen dabei, umfangreichere Anpassungen für Ihre landing zone vorzunehmen, als Sie es in der AWS Control Tower-Konsole tun können. Es bietet einen automatisierten Prozess GitOps im A-Stil. Sie können Ihre landing zone an Ihre Geschäftsanforderungen anpassen.
Dieser infrastructure-as-codeAnpassungsprozess integriert AWS CloudFormation Vorlagen mit AWS Service Control Policies (SCPs) und AWS Control Tower Tower-Lifecycle-Ereignissen, sodass Ihre Ressourcenbereitstellungen mit Ihrer landing zone synchronisiert bleiben. Wenn Sie beispielsweise ein neues Konto bei Account Factory erstellen, können die mit dem Konto und der Organisationseinheit verknüpften Ressourcen automatisch bereitgestellt werden.
Anmerkung
Im Gegensatz zu Account Factory und AFT ist CfCT nicht speziell für die Erstellung neuer Konten vorgesehen, sondern für die Anpassung von Konten und Organisationseinheiten in Ihrer landing zone, indem von Ihnen angegebene Ressourcen bereitgestellt werden.
Vorteile
-
Erweitern Sie eine maßgeschneiderte und sichere AWS Umgebung — Sie können Ihre AWS Control Tower Tower-Umgebung mit mehreren Konten schneller erweitern und AWS bewährte Methoden in einen wiederholbaren Anpassungsworkflow integrieren.
-
Instanziieren Sie Ihre Anforderungen — Sie können Ihre AWS Control Tower Tower-Landing landing zone an Ihre Geschäftsanforderungen anpassen, indem Sie die AWS CloudFormation Vorlagen und Richtlinien zur Servicekontrolle verwenden, die Ihre politischen Absichten zum Ausdruck bringen.
-
Weitere Automatisierung mit Lebenszyklusereignissen von AWS Control Tower — Lifecycle-Ereignisse ermöglichen es Ihnen, Ressourcen auf der Grundlage des Abschlusses einer früheren Reihe von Ereignissen bereitzustellen. Sie können sich darauf verlassen, dass ein Lebenszyklusereignis Ihnen hilft, Ressourcen automatisch für Konten und Organisationseinheiten bereitzustellen.
-
Erweitern Sie Ihre Netzwerkarchitektur — Sie können maßgeschneiderte Netzwerkarchitekturen bereitstellen, die Ihre Konnektivität verbessern und schützen, z. B. ein Transit-Gateway.
Weitere CfCT-Beispiele
-
Ein Beispiel für einen Netzwerkanwendungsfall mit Anpassungen für AWS Control Tower (cFCT) finden Sie im AWS Architektur-Blogbeitrag Deploy consistent DNS with Service Catalog and AWS Control Tower
Customizations. -
Ein konkretes Beispiel zu CfCT und Amazon GuardDuty
ist GitHub im aws-samples
Repositoryverfügbar. -
Weitere Codebeispiele zu CfCT sind als Teil der AWS Security Reference Architecture im
aws-samples
Repository verfügbar.Viele dieser Beispiele enthalten manifest.yaml
Beispieldateien in einem Verzeichnis mit dem Namencustomizations_for_aws_control_tower
.
Weitere Informationen zur AWS Security Reference Architecture finden Sie auf den Seiten mit den AWS Prescriptive Guidance.