Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bereitstellung und Verwaltung von AWS Control Tower Tower-Steuerungen mithilfe von Terraform
Erstellt von Iker Reina Fuente (AWS) und Ivan Girardi (AWS)
Code-Repository: Bereitstellung und Verwaltung von AWS Control Tower Tower-Steuerelementen mithilfe von Terraform | Umgebung: Produktion | Technologien: Sicherheit, Identität, Compliance; Infrastruktur CloudNative; Management und Unternehmensführung |
Arbeitslast: Open Source | AWS-Services: AWS Control Tower; AWS Organizations |
Übersicht
Dieses Muster beschreibt, wie AWS Control Tower Controls, HashiCorp Terraform und Infrastructure as Code (IaC) verwendet werden, um präventive, detektive und proaktive Sicherheitskontrollen zu implementieren und zu verwalten. Eine Kontrolle (auch als Guardrail bezeichnet) ist eine Regel auf hoher Ebene, die eine kontinuierliche Steuerung Ihrer gesamten AWS Control Tower Tower-Umgebung gewährleistet. Sie können beispielsweise Kontrollen verwenden, um die Protokollierung für Ihre AWS-Konten vorzuschreiben und dann automatische Benachrichtigungen zu konfigurieren, wenn bestimmte sicherheitsrelevante Ereignisse eintreten.
AWS Control Tower unterstützt Sie bei der Implementierung präventiver, detektiver und proaktiver Kontrollen, die Ihre AWS-Ressourcen steuern und die Einhaltung der Vorschriften für mehrere AWS-Konten überwachen. Jede Kontrolle erzwingt eine einzelne Regel. In diesem Muster verwenden Sie eine bereitgestellte IaC-Vorlage, um anzugeben, welche Steuerelemente Sie in Ihrer Umgebung bereitstellen möchten.
Die Kontrollen von AWS Control Tower gelten für eine gesamte Organisationseinheit (OU), und die Kontrolle wirkt sich auf jedes AWS-Konto innerhalb der OU aus. Wenn Benutzer eine Aktion in einem Konto in Ihrer landing zone ausführen, unterliegt diese Aktion daher den Kontrollen, die für die Organisationseinheit gelten.
Die Implementierung von AWS Control Tower Controls trägt dazu bei, eine solide Sicherheitsgrundlage für Ihre AWS-Landezone zu schaffen. Indem Sie dieses Muster verwenden, um die Steuerungen als IaC über Terraform bereitzustellen, können Sie die Steuerungen in Ihrer landing zone standardisieren und sie effizienter einsetzen und verwalten.
Um AWS Control Tower Tower-Steuerelemente als IaC bereitzustellen, können Sie anstelle von Terraform auch das AWS Cloud Development Kit (AWS CDK) verwenden. Weitere Informationen finden Sie unter Bereitstellen und Verwalten von AWS Control Tower Tower-Steuerelementen mithilfe von AWS CDK und AWS CloudFormation.
Zielpublikum
Dieses Muster wird Benutzern empfohlen, die Erfahrung mit AWS Control Tower, Terraform und AWS Organizations haben.
Voraussetzungen und Einschränkungen
Voraussetzungen
Aktive AWS-Konten, die als Organisation in AWS Organizations und als AWS Control Tower Tower-Landezone verwaltet werden. Anweisungen finden Sie unter Erstellen einer Kontostruktur
(AWS Well-Architected Labs). AWS-Befehlszeilenschnittstelle (AWS CLI), installiert und konfiguriert.
Eine AWS Identity and Access Management (IAM) -Rolle im Verwaltungskonto, die über Berechtigungen zur Bereitstellung dieses Musters verfügt. Weitere Informationen zu den erforderlichen Berechtigungen und eine Beispielrichtlinie finden Sie unter Berechtigungen mit den geringsten Rechten für die IAM-Rolle im Abschnitt Zusätzliche Informationen dieses Musters.
Berechtigungen zur Übernahme der IAM-Rolle im Verwaltungskonto.
Wenden Sie das auf Service Control Policy (SCP) basierende Steuerelement mit der ID CT.CLOUDFORMATION.PR.1 an. Dieser SCP muss aktiviert sein, um proaktive Kontrollen bereitstellen zu können. Anweisungen finden Sie unter Verwaltung von Ressourcentypen, Modulen und Hooks in der CloudFormation AWS-Registrierung verbieten.
Terraform CLI, installiert
(Terraform-Dokumentation). Terraform AWS-Anbieter, konfiguriert
(Terraform-Dokumentation).
Produktversionen
AWS Control Tower Version 3.0 oder höher
Terraform Version 1.5 oder höher
Terraform AWS Provider Version 4.67 oder höher
Architektur
Zielarchitektur
Dieser Abschnitt bietet einen allgemeinen Überblick über diese Lösung und die durch den Beispielcode geschaffene Architektur. Das folgende Diagramm zeigt die Steuerelemente, die für die verschiedenen Konten in der Organisationseinheit eingesetzt werden.
Die Kontrollen von AWS Control Tower werden nach ihrem Verhalten und ihren Richtlinien kategorisiert.
Es gibt drei Haupttypen von Kontrollverhalten:
Präventive Kontrollen sollen verhindern, dass Maßnahmen ergriffen werden. Diese werden mit Service Control Policies (SCPs) in AWS Organizations implementiert. Der Status einer präventiven Kontrolle ist entweder erzwungen oder nicht aktiviert. Präventive Kontrollen werden in allen AWS-Regionen unterstützt.
Detective Controls sind so konzipiert, dass sie bestimmte Ereignisse erkennen, wenn sie auftreten, und die Aktion protokollieren CloudTrail. Diese werden mit AWS Config-Regeln implementiert. Der Status einer Detective Control ist entweder „Ungültig“, „Verstoß“ oder „Nicht aktiviert“. Detective Controls gelten nur in den AWS-Regionen, die von AWS Control Tower unterstützt werden.
Proaktive Kontrollen scannen Ressourcen, die von AWS bereitgestellt würden, CloudFormation und prüfen, ob sie den Richtlinien und Zielen Ihres Unternehmens entsprechen. Ressourcen, die nicht den Vorschriften entsprechen, werden nicht bereitgestellt. Diese werden mit CloudFormation AWS-Hooks implementiert. Der Status einer proaktiven Kontrolle ist PASS, FAIL oder SKIP.
Es wird empfohlen, die einzelnen Kontrollen auf Ihre Organisationseinheiten anzuwenden. AWS Control Tower bietet drei Kategorien von Anleitungen: verpflichtend, dringend empfohlen und optional. Die Leitlinien einer Kontrolle sind unabhängig von ihrem Verhalten. Weitere Informationen finden Sie unter Verhalten und Steuerung der Steuerung.
Tools
AWS-Services
AWS CloudFormation hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und Regionen hinweg zu verwalten.
AWS Config bietet eine detaillierte Ansicht der Ressourcen in Ihrem AWS-Konto und deren Konfiguration. Es hilft Ihnen zu erkennen, wie Ressourcen miteinander zusammenhängen und wie sich ihre Konfigurationen im Laufe der Zeit geändert haben.
AWS Control Tower unterstützt Sie bei der Einrichtung und Verwaltung einer AWS-Umgebung mit mehreren Konten und folgt dabei den vorgeschriebenen Best Practices.
AWS Organizations ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einer Organisation konsolidieren können, die Sie erstellen und zentral verwalten.
Andere Tools
HashiCorp Terraform
ist ein Open-Source-Tool für Infrastruktur als Code (IaC), mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können.
Code-Repository
Der Code für dieses Muster ist im Repository GitHub Bereitstellen und Verwalten von AWS Control Tower Tower-Steuerelementen mithilfe des Terraform-Repositorys
Bewährte Methoden
Die für die Bereitstellung dieser Lösung verwendete IAM-Rolle sollte dem Prinzip der geringsten Rechte entsprechen (IAM-Dokumentation).
Folgen Sie den Best Practices für AWS Control Tower Tower-Administratoren (AWS Control Tower Tower-Dokumentation).
Epen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Klonen Sie das Repository | Geben Sie in einer Bash-Shell den folgenden Befehl ein. Dadurch werden die AWS Control Tower Tower-Steuerelemente mithilfe des Terraform-Repositorys von bereitgestellt und verwaltet
| DevOps Ingenieur |
Bearbeiten Sie die Terraform-Backend-Konfigurationsdatei. |
| DevOps Ingenieur, Terraform |
Bearbeiten Sie die Konfigurationsdatei des Terraform-Anbieters. |
| DevOps Ingenieur, Terraform |
Bearbeiten Sie die Konfigurationsdatei. |
| DevOps Ingenieur, General AWS, Terraform |
Nehmen Sie die IAM-Rolle im Verwaltungskonto an. | Nehmen Sie im Verwaltungskonto die IAM-Rolle an, die über die Berechtigungen zur Bereitstellung der Terraform-Konfigurationsdatei verfügt. Weitere Informationen zu den erforderlichen Berechtigungen und eine Beispielrichtlinie finden Sie unter Berechtigungen mit den geringsten Rechten für die IAM-Rolle im Abschnitt Zusätzliche Informationen. Weitere Informationen zur Übernahme einer IAM-Rolle in der AWS-CLI finden Sie unter Verwenden einer IAM-Rolle in der AWS-CLI. | DevOps Ingenieur, General AWS |
Stellen Sie die Konfigurationsdatei bereit. |
| DevOps Ingenieur, General AWS, Terraform |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Führen Sie den Befehl destroy aus. | Geben Sie den folgenden Befehl ein, um die nach diesem Muster bereitgestellten Ressourcen zu entfernen.
| DevOps Ingenieur, General AWS, Terraform |
Fehlerbehebung
Problem | Lösung |
---|---|
| Das Steuerelement, das Sie aktivieren möchten, ist in der Ziel-OU bereits aktiviert. Dieser Fehler kann auftreten, wenn ein Benutzer die Steuerung manuell über die AWS-Managementkonsole, über AWS Control Tower oder über AWS Organizations aktiviert hat. Um die Terraform-Konfigurationsdatei bereitzustellen, können Sie eine der folgenden Optionen verwenden. Option 1: Aktualisieren Sie die aktuelle Terraform-Statusdatei Sie können die Ressource in die aktuelle Terraform-Statusdatei importieren. Wenn Sie den
Option 2: Deaktivieren Sie die Steuerung Wenn Sie nicht in einer Produktionsumgebung arbeiten, können Sie die Steuerung in der Konsole deaktivieren. Aktivieren Sie es erneut, indem Sie die Schritte unter Konfiguration bereitstellen im Abschnitt Epics wiederholen. Dieser Ansatz wird für Produktionsumgebungen nicht empfohlen, da die Steuerung für einen bestimmten Zeitraum deaktiviert wird. Wenn Sie diese Option in einer Produktionsumgebung verwenden möchten, können Sie temporäre Kontrollen implementieren, z. B. die vorübergehende Anwendung eines SCP in AWS Organizations. |
Zugehörige Ressourcen
AWS-Dokumentation
Über Kontrollen (AWS Control Tower Tower-Dokumentation)
Bibliothek für Steuerungen (AWS Control Tower Tower-Dokumentation)
Bereitstellung und Verwaltung von AWS Control Tower Tower-Steuerungen mithilfe von AWS CDK und AWS CloudFormation (AWS Prescriptive Guidance)
Sonstige Ressourcen
Zusätzliche Informationen
Beispiel für eine Datei variables.tfvars
Im Folgenden finden Sie ein Beispiel für eine aktualisierte Variables.tfvars-Datei.
controls = [ { control_names = [ "AWS-GR_ENCRYPTED_VOLUMES", ... ], organizational_unit_ids = ["ou-1111-11111111", "ou-2222-22222222"...], }, { control_names = [ "AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED", ... ], organizational_unit_ids = ["ou-1111-11111111"...], }, ]
Berechtigungen mit den geringsten Rechten für die IAM-Rolle
Dieses APG-Muster erfordert, dass Sie eine IAM-Rolle im Verwaltungskonto annehmen. Es hat sich bewährt, eine Rolle mit temporären Berechtigungen anzunehmen und die Berechtigungen nach dem Prinzip der geringsten Rechte einzuschränken. Die folgende Beispielrichtlinie ermöglicht die Mindestaktionen, die zur Aktivierung oder Deaktivierung von AWS Control Tower Controls erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "controltower:EnableControl", "controltower:DisableControl", "controltower:GetControlOperation", "controltower:ListEnabledControls", "organizations:AttachPolicy", "organizations:CreatePolicy", "organizations:DeletePolicy", "organizations:DescribeOrganization", "organizations:DetachPolicy", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListPoliciesForTarget", "organizations:ListRoots", "organizations:UpdatePolicy" ], "Resource": "*" } ] }