AWS-Organisation und Kontostruktur der AWS SRA - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-Organisation und Kontostruktur der AWS SRA

Beeinflussen Sie die future der AWS Security Reference Architecture (AWSSRA), indem Sie an einer kurzen Umfrage teilnehmen.

Das folgende Diagramm zeigt die allgemeine Struktur der AWS-SRA, ohne dass bestimmte Services angezeigt werden. Es spiegelt die Struktur der dedizierten Konten wider, die im vorherigen Abschnitt erörtert wurde, und wir fügen das Diagramm hier bei, um die Diskussion auf die Hauptkomponenten der Architektur zu konzentrieren:

  • Alle Konten, die im Diagramm dargestellt werden, sind Teil einer einzigen AWS-Organisation.

  • In der oberen linken Ecke des Diagramms befindet sich das Org Management-Konto, das zur Erstellung der AWS-Organisation verwendet wird.

  • Unter dem Org Management-Konto befindet sich die Security OU mit zwei spezifischen Konten: eines für Security Tooling und das andere für Log Archive.

  • Auf der rechten Seite befindet sich die Infrastruktur-OU mit dem Netzwerkkonto und dem Shared Services-Konto.

  • Am unteren Rand des Diagramms befindet sich die Organisationseinheit Workloads, die einem Anwendungskonto zugeordnet ist, in dem sich die Unternehmensanwendung befindet.

Für diese Anleitung gelten alle Konten als Produktionskonten (Produktionskonten), die in einer einzigen AWS-Region betrieben werden. Die meisten AWS-Services (mit Ausnahme globaler Services) sind regional ausgerichtet, was bedeutet, dass die Kontroll- und Datenebenen für den Service in jeder AWS-Region unabhängig voneinander existieren. Aus diesem Grund müssen Sie diese Architektur in allen AWS-Regionen replizieren, die Sie verwenden möchten, um sicherzustellen, dass Ihre gesamte AWS-Landschaft abgedeckt ist. Wenn Sie in einer bestimmten AWS-Region keine Workloads haben, sollten Sie die Region mithilfe von SCPs oder mithilfe von Protokollierungs- und Überwachungsmechanismen deaktivieren. Sie können AWS Security Hub verwenden, um Ergebnisse und Sicherheitsbewertungen aus mehreren AWS-Regionen in einer einzigen Aggregationsregion zusammenzufassen, um einen zentralen Überblick zu erhalten.

Wenn Sie eine AWS-Organisation mit einer großen Anzahl von Konten hosten, ist es von Vorteil, über eine Orchestrierungsebene zu verfügen, die die Kontobereitstellung und Kontoverwaltung erleichtert. AWS Control Tower bietet eine einfache Möglichkeit, eine AWS-Umgebung mit mehreren Konten einzurichten und zu verwalten. Die AWS-SRA-Codebeispiele im GitHubRepository zeigen, wie Sie die CfCT-Lösung (Customizations for AWS Control Tower) verwenden können, um die von AWS SRA empfohlenen Strukturen bereitzustellen.

Struktur der AWS SRA auf hoher Ebene (ohne Services)