Anleitung zur Erstellung und Änderung von AWS Control Tower Tower-Ressourcen - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anleitung zur Erstellung und Änderung von AWS Control Tower Tower-Ressourcen

Wir empfehlen die folgenden bewährten Methoden, wenn Sie Ressourcen in AWS Control Tower erstellen und ändern. Diese Anleitungen wird gegebenenfalls geändert, um Aktualisierungen am Service widerzuspiegeln. Denken Sie daran, dass das Modell der gemeinsamen Verantwortung für Ihre AWS Control Tower Tower-Umgebung gilt.

Allgemeine Anleitung

  • Ändern oder löschen Sie keine Ressourcen, die von AWS Control Tower erstellt wurden, einschließlich Ressourcen im Verwaltungskonto, in den gemeinsamen Konten und in Mitgliedskonten. Wenn Sie diese Ressourcen ändern, müssen Sie möglicherweise Ihre landing zone aktualisieren oder eine Organisationseinheit erneut registrieren, was zu ungenauen Compliance-Berichten führen kann.

    Insbesondere:

    • Behalten Sie einen aktiven AWS Config Rekorder bei. Wenn Sie Ihren Config-Recorder löschen, kann Detective Controls Abweichungen nicht erkennen und melden. Ressourcen, die nicht konform sind, können aufgrund unzureichender Informationen als konform gemeldet werden.

    • Ändern oder löschen Sie nicht die AWS Identity and Access Management (IAM-) Rollen, die innerhalb der gemeinsamen Konten in der Sicherheits-Organisationseinheit (OU) erstellt wurden. Eine Änderung dieser Rollen kann ein Update der Landing Zone erforderlich machen.

    • Löschen Sie die AWSControlTowerExecution Rolle nicht aus Ihren Mitgliedskonten, auch nicht aus Konten, die nicht registriert sind. Wenn Sie dies tun, können Sie diese Konten nicht bei AWS Control Tower registrieren oder ihre unmittelbaren Eltern OUs registrieren.

  • Verbieten Sie nicht die Verwendung von Daten über einen der beiden AWS-Regionen Kanäle SCPs oder AWS Security Token Service ()AWS STS. Dies führt dazu, dass AWS Control Tower in einen undefinierten Zustand übergeht. Wenn Sie Regionen mit nicht zulassen AWS STS, schlägt Ihre Funktionalität in diesen Regionen fehl, da die Authentifizierung in diesen Regionen nicht verfügbar wäre. Verlassen Sie sich stattdessen auf die Funktion „Region verweigern“ von AWS Control Tower, wie in der Steuerung „Zugriff verweigern auf AWS Basis der Anfrage“ gezeigt AWS-Region, die auf der Ebene der landing zone funktioniert, oder die Kontrolle „Region verweigern“, die auf die Organisationseinheit angewendet wird und auf OU-Ebene arbeitet, um den Zugriff auf Regionen zu beschränken.

  • Das AWS Organizations FullAWSAccess SCP muss angewendet werden und darf nicht mit anderen SCPs zusammengeführt werden. Änderungen an diesem SCP werden nicht als Abweichung gemeldet. Einige Änderungen können jedoch die Funktionalität von AWS Control Tower auf unvorhersehbare Weise beeinträchtigen, wenn der Zugriff auf bestimmte Ressourcen verweigert wird. Wenn der SCP beispielsweise getrennt oder geändert wird, kann ein Konto den Zugriff auf einen AWS Config Rekorder verlieren oder eine Lücke in CloudTrail der Protokollierung entstehen.

  • Verwenden Sie die AWS Organizations DisableAWSServiceAccess API nicht, um den AWS Control Tower Tower-Servicezugriff auf die Organisation zu deaktivieren, in der Sie Ihre landing zone eingerichtet haben. Wenn Sie dies tun, funktionieren bestimmte Funktionen zur Erkennung von Drift in AWS Control Tower möglicherweise nicht richtig, wenn Sie keine Messaging-Unterstützung von erhalten AWS Organizations. Diese Funktionen zur Erkennung von Abweichungen tragen dazu bei, dass AWS Control Tower den Compliance-Status der Organisationseinheiten, Konten und Kontrollen in Ihrem Unternehmen genau melden kann. Weitere Informationen finden Sie unter API_DisableAWSServiceAccess in der AWS Organizations API-Referenz.

  • Im Allgemeinen führt AWS Control Tower jeweils eine einzelne Aktion aus, die abgeschlossen sein muss, bevor eine weitere Aktion beginnen kann. Wenn Sie beispielsweise versuchen, ein Konto bereitzustellen, während der Prozess zur Aktivierung einer Steuerung bereits läuft, schlägt die Kontobereitstellung fehl.

    Ausnahme:

    • AWS Control Tower ermöglicht gleichzeitige Aktionen zur Bereitstellung optionaler Kontrollen. Weitere Informationen finden Sie unter Gleichzeitige Bereitstellung für optionale Kontrollen.

    • AWS Control Tower ermöglicht mit Account Factory bis zu zehn gleichzeitige Erstellungs-, Aktualisierungs- oder Registrierungsaktionen für Konten.

Anmerkung

Weitere Informationen zu den von AWS Control Tower erstellten Ressourcen finden Sie unterWas sind die gemeinsamen Konten?.

Tipps zu Konten und OUs

  • Wir empfehlen, für jede registrierte Organisationseinheit maximal 1000 Konten zu verwenden, sodass Sie diese Konten mit der Funktion „Organisationseinheit erneut registrieren“ aktualisieren können, wann immer Kontoaktualisierungen erforderlich sind, z. B. wenn Sie neue Regionen für die Verwaltung konfigurieren.

  • Um den Zeitaufwand für die Registrierung einer Organisationseinheit zu reduzieren, empfehlen wir, die Anzahl der Konten pro OU auf etwa 680 zu belassen, obwohl die Obergrenze bei 1000 Konten pro OU liegt. In der Regel steigt der Zeitaufwand für die Registrierung einer Organisationseinheit mit der Anzahl der Regionen, in denen Ihre Organisationseinheit betrieben wird, multipliziert mit der Anzahl der Konten in der Organisationseinheit.

  • Schätzungen zufolge kann eine Organisationseinheit mit 680 Konten bis zu 2 Stunden benötigen, um sich zu registrieren und die Kontrollen zu aktivieren, und bis zu 1 Stunde, um sich erneut zu registrieren. Außerdem dauert die Registrierung einer Organisationseinheit mit vielen Kontrollen länger als die Registrierung einer Organisationseinheit mit wenigen Kontrollen.

  • Ein Problem bei der Festlegung eines längeren Zeitrahmens für die Registrierung einer Organisationseinheit besteht darin, dass dieser Prozess andere Aktionen blockiert. Einigen Kunden gefällt es, längere Zeiträume für die Registrierung oder erneute Registrierung einer Organisationseinheit einzuplanen, da sie es vorziehen, mehr Konten in jeder Organisationseinheit zuzulassen.