Anleitung zur Erstellung und Änderung von AWS Control Tower Tower-Ressourcen - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anleitung zur Erstellung und Änderung von AWS Control Tower Tower-Ressourcen

Wir empfehlen die folgenden bewährten Methoden, wenn Sie Ressourcen in AWS Control Tower erstellen und ändern. Diese Anleitungen wird gegebenenfalls geändert, um Aktualisierungen am Service widerzuspiegeln. Denken Sie daran, dass das Modell der gemeinsamen Verantwortung für Ihre AWS Control Tower Tower-Umgebung gilt.

Allgemeine Anleitung

  • Ändern oder löschen Sie keine Ressourcen, die von AWS Control Tower erstellt wurden, einschließlich Ressourcen im Verwaltungskonto, in den gemeinsamen Konten und in Mitgliedskonten. Wenn Sie diese Ressourcen ändern, müssen Sie möglicherweise Ihre landing zone aktualisieren oder eine Organisationseinheit erneut registrieren, und eine Änderung kann zu ungenauen Compliance-Berichten führen.

    Insbesondere:

    • Behalten Sie einen aktiven AWS Config Rekorder bei. Wenn Sie Ihren Config-Recorder löschen, kann Detective Controls Abweichungen nicht erkennen und melden. Ressourcen, die nicht den Vorschriften entsprechen, können aufgrund unzureichender Informationen als konform gemeldet werden.

    • Ändern oder löschen Sie nicht die Rollen AWS Identity and Access Management (IAM), die innerhalb der gemeinsamen Konten in der Sicherheits-Organisationseinheit (OU) erstellt wurden. Eine Änderung dieser Rollen kann ein Update der Landing Zone erforderlich machen.

    • Löschen Sie die AWSControlTowerExecution Rolle nicht aus Ihren Mitgliedskonten, auch nicht aus Konten, die nicht registriert sind. Wenn Sie dies tun, können Sie diese Konten nicht bei AWS Control Tower registrieren oder ihre unmittelbaren Eltern OUs registrieren.

  • Verbieten Sie nicht die Verwendung von Daten über einen der beiden AWS-Regionen Kanäle SCPs oder AWS Security Token Service ()AWS STS. Dies führt dazu, dass der AWS Control Tower in einen undefinierten Zustand übergeht. Wenn Sie Regionen mit nicht zulassen AWS STS, schlägt Ihre Funktionalität in diesen Regionen fehl, da die Authentifizierung in diesen Regionen nicht verfügbar wäre. Verlassen Sie sich stattdessen auf die Funktion AWS Control Tower Region Deny, wie sie in der Steuerung „Zugriff verweigern auf AWS Basis der Anfrage“ gezeigt wird AWS-Region, die auf Landing-Zone-Ebene funktioniert, oder die Steuerung „Region verweigern“, die auf die OU angewendet wird und auf OU-Ebene arbeitet, um den Zugriff auf Regionen einzuschränken.

  • Die AWS Organizations FullAWSAccess SCP müssen angewendet werden und dürfen nicht mit anderen zusammengeführt werdenSCPs. Änderungen daran SCP werden nicht als Drift gemeldet. Einige Änderungen können jedoch die Funktionalität des AWS Control Tower auf unvorhersehbare Weise beeinträchtigen, wenn der Zugriff auf bestimmte Ressourcen verweigert wird. Wenn der beispielsweise getrennt oder geändert SCP wird, kann ein Konto den Zugriff auf einen AWS Config Rekorder verlieren oder es entsteht eine Lücke in der CloudTrail Protokollierung.

  • Verwenden Sie den nicht AWS Organizations DisableAWSServiceAccessAPI, um den Zugriff des AWS Control Tower Tower-Dienstes auf die Organisation zu deaktivieren, in der Sie Ihre landing zone eingerichtet haben. Wenn Sie dies tun, funktionieren bestimmte Funktionen zur Drifterkennung im AWS Control Tower möglicherweise nicht richtig, wenn Sie keine Messaging-Unterstützung von erhalten AWS Organizations. Diese Funktionen zur Erkennung von Abweichungen tragen dazu bei, dass AWS Control Tower den Compliance-Status der Organisationseinheiten, Konten und Kontrollen in Ihrem Unternehmen genau melden kann. Weitere Informationen finden Sie unter API_DisableAWSServiceAccess in der AWS Organizations API Referenz.

  • Im Allgemeinen führt der AWS Control Tower jeweils eine einzelne Aktion aus, die abgeschlossen sein muss, bevor eine weitere Aktion beginnen kann. Wenn Sie beispielsweise versuchen, ein Konto bereitzustellen, während der Vorgang zur Aktivierung einer Steuerung bereits läuft, schlägt die Kontobereitstellung fehl.

    Ausnahme:

    • AWSControl Tower ermöglicht gleichzeitige Aktionen zur Bereitstellung optionaler Steuerungen. Weitere Informationen finden Sie unter Gleichzeitige Bereitstellung für optionale Steuerungen.

    • AWSControl Tower ermöglicht mit Account Factory bis zu zehn gleichzeitige Aktionen zum Erstellen, Aktualisieren oder Registrieren von Konten.

Anmerkung

Weitere Informationen zu den von AWS Control Tower erstellten Ressourcen finden Sie unterWas sind die gemeinsamen Konten?.

Tipps zu Konten und OUs

  • Wir empfehlen, für jede registrierte Organisationseinheit maximal 1000 Konten zu verwenden, sodass Sie diese Konten mit der Funktion „Organisationseinheit erneut registrieren“ aktualisieren können, wann immer Kontoaktualisierungen erforderlich sind, z. B. wenn Sie neue Regionen für die Verwaltung konfigurieren.

  • Um den Zeitaufwand für die Registrierung einer Organisationseinheit zu reduzieren, empfehlen wir, die Anzahl der Konten pro OU auf etwa 680 zu belassen, obwohl die Obergrenze bei 1000 Konten pro OU liegt. In der Regel steigt der Zeitaufwand für die Registrierung einer Organisationseinheit mit der Anzahl der Regionen, in denen Ihre Organisationseinheit betrieben wird, multipliziert mit der Anzahl der Konten in der Organisationseinheit.

  • Schätzungen zufolge kann eine Organisationseinheit mit 680 Konten bis zu 2 Stunden benötigen, um sich zu registrieren und die Kontrollen zu aktivieren, und bis zu 1 Stunde, um sich erneut zu registrieren. Außerdem dauert die Registrierung einer Organisationseinheit mit vielen Kontrollen länger als die Registrierung einer Organisationseinheit mit wenigen Kontrollen.

  • Ein Problem bei der Festlegung eines längeren Zeitrahmens für die Registrierung einer Organisationseinheit besteht darin, dass dieser Prozess andere Aktionen blockiert. Einigen Kunden gefällt es, längere Zeiträume für die Registrierung oder erneute Registrierung einer Organisationseinheit einzuplanen, da sie es vorziehen, mehr Konten in jeder Organisationseinheit zuzulassen.