Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Infrastructure OU — Shared Services-Konto
| Nehmen Sie an einer kurzen Umfrage teil |
Das folgende Diagramm zeigt die AWS Sicherheitsdienste, die im Shared Services-Konto konfiguriert sind.
Das Shared Services-Konto ist Teil der Infrastruktur-Organisationseinheit und dient der Unterstützung der Dienste, die mehrere Anwendungen und Teams zur Erzielung ihrer Ergebnisse verwenden. Zu dieser Kategorie gehören beispielsweise Verzeichnisdienste (Active Directory), Messaging-Dienste und Metadatendienste. Darin werden die Shared Services AWS SRA hervorgehoben, die Sicherheitskontrollen unterstützen. Die Netzwerkkonten sind zwar auch Teil der Infrastruktur-OU, sie wurden jedoch aus dem Shared Services-Konto entfernt, um die Aufgabentrennung zu unterstützen. Die Teams, die diese Dienste verwalten, benötigen weder Berechtigungen noch Zugriff auf die Netzwerkkonten.
AWS Systems Manager
AWSSystems Manager
Systems Manager unterstützt Sie bei der Aufrechterhaltung von Sicherheit und Compliance, indem es Ihre verwalteten Instanzen scannt und festgestellte Richtlinienverstöße meldet (oder Korrekturmaßnahmen ergreift). Durch die Kombination von Systems Manager mit der entsprechenden Bereitstellung in einzelnen AWS Mitgliedskonten (z. B. dem Anwendungskonto) können Sie die Erfassung von Instanzinventardaten koordinieren und Automatisierungen wie Patches und Sicherheitsupdates zentralisieren.
AWS Managed Microsoft AD
AWSDer Directory Service
AWSManaged Microsoft AD hilft Ihnen dabei, Ihr vorhandenes Active Directory auf Cloud-Ressourcen zu erweitern AWS und Ihre vorhandenen lokalen Benutzeranmeldeinformationen für den Zugriff auf Cloud-Ressourcen zu verwenden. Sie können auch Ihre lokalen Benutzer, Gruppen, Anwendungen und Systeme verwalten, ohne die Komplexität des Betriebs und der Wartung eines lokalen, hochverfügbaren Active Directorys. Sie können Ihre vorhandenen Computer, Laptops und Drucker mit einer AWS verwalteten Microsoft AD-Domäne verbinden.
AWSManaged Microsoft AD basiert auf Microsoft Active Directory und erfordert nicht, dass Sie Daten aus Ihrem vorhandenen Active Directory in die Cloud synchronisieren oder replizieren. Sie können vertraute Active Directory-Verwaltungstools und -funktionen wie Gruppenrichtlinienobjekte (GPOs), Domänenvertrauensstellungen, detaillierte Kennwortrichtlinien, verwaltete Gruppendienstkonten (gMSAs), Schemaerweiterungen und Kerberos-basiertes Single Sign-On verwenden. Sie können auch Verwaltungsaufgaben delegieren und den Zugriff mithilfe von Active Directory-Sicherheitsgruppen autorisieren.
Mit der regionsübergreifenden Replikation können Sie ein einziges AWS verwaltetes Microsoft AD-Verzeichnis in mehreren AWS Regionen bereitstellen und verwenden. Dies macht es für Sie einfacher und kostengünstiger, Ihre Microsoft Windows- und Linux-Workloads weltweit bereitzustellen und zu verwalten. Wenn Sie die automatische Replikationsfunktion für mehrere Regionen verwenden, erhalten Sie eine höhere Ausfallsicherheit, während Ihre Anwendungen für eine optimale Leistung ein lokales Verzeichnis verwenden.
AWSManaged Microsoft AD unterstützt das Lightweight Directory Access Protocol (LDAP) overSSL/TLS, auch bekannt alsLDAPS, sowohl in Client- als auch in Serverrollen. Wenn AWS Managed Microsoft AD als Server fungiert, unterstützt es LDAPS über die Ports 636 (SSL) und 389 (TLS). Sie ermöglichen serverseitige LDAPS Kommunikation, indem Sie auf Ihren AWS verwalteten Microsoft AD-Domänencontrollern ein Zertifikat von einer AWS Active Directory Certificate Services (AD CS) -Zertifizierungsstelle (CA) installieren. Wenn AWS Managed Microsoft AD als Client fungiert, unterstützt es LDAPS mehr als Ports 636 (SSL). Sie können die clientseitige LDAPS Kommunikation aktivieren, indem Sie CA-Zertifikate von Ihren Serverzertifikatausstellern registrieren und diese dann in AWS Ihrem Verzeichnis aktivierenLDAPS.
In der AWS SRA wird der AWS Directory Service innerhalb des Shared Services-Kontos verwendet, um Domänendienste für Microsoft-fähige Workloads über mehrere AWS Mitgliedskonten hinweg bereitzustellen.
Designüberlegung
-
Sie können Ihren lokalen Active Directory-Benutzern Zugriff auf die Anmeldung an der AWS Management Console und der AWS Befehlszeilenschnittstelle (AWSCLI) mit ihren vorhandenen Active Directory-Anmeldeinformationen gewähren, indem Sie IAM Identity Center verwenden und AWS Managed Microsoft AD als Identitätsquelle auswählen. Auf diese Weise können Ihre Benutzer bei der Anmeldung eine der ihnen zugewiesenen Rollen annehmen und entsprechend den für die Rolle definierten Berechtigungen auf die Ressourcen zugreifen und Maßnahmen ergreifen. Eine alternative Option ist die Verwendung von AWS Managed Microsoft AD, damit Ihre Benutzer eine AWSIdentity and Access Management
(IAM) -Rolle übernehmen können.
IAMIdentity Center
Das AWS SRA verwendet die von IAM Identity Center unterstützte Funktion für delegierte Administratoren, um den Großteil der Verwaltung von IAM Identity Center an das Shared Services-Konto zu delegieren. Dies hilft, die Anzahl der Benutzer einzuschränken, die Zugriff auf das Org Management-Konto benötigen. IAMIdentity Center muss weiterhin im Organisationsverwaltungskonto aktiviert sein, um bestimmte Aufgaben ausführen zu können, einschließlich der Verwaltung von Berechtigungssätzen, die im Organisationsverwaltungskonto bereitgestellt werden.
Der Hauptgrund für die Verwendung des Shared Services-Kontos als delegierter Administrator für IAM Identity Center ist der Active Directory-Standort. Wenn Sie Active Directory als IAM Identity Center-Identitätsquelle verwenden möchten, müssen Sie das Verzeichnis in dem Mitgliedskonto suchen, das Sie als Ihr delegiertes IAM Identity Center-Administratorkonto festgelegt haben. In dem AWS SRA hostet das Shared Services-Konto AWS Managed Microsoft AD, sodass dieses Konto zum delegierten Administrator für IAM Identity Center gemacht wird.
IAMIdentity Center unterstützt die gleichzeitige Registrierung eines einzelnen Mitgliedskontos als delegierter Administrator. Sie können ein Mitgliedskonto nur registrieren, wenn Sie sich mit den Anmeldeinformationen des Verwaltungskontos anmelden. Um die Delegierung zu aktivieren, müssen Sie die in der IAMIdentity Center-Dokumentation aufgeführten Voraussetzungen berücksichtigen. Das delegierte Administratorkonto kann die meisten IAM Identity Center-Verwaltungsaufgaben ausführen, allerdings mit einigen Einschränkungen, die in der IAMIdentity Center-Dokumentation aufgeführt sind. Der Zugriff auf das delegierte IAM Identity Center-Administratorkonto sollte streng kontrolliert werden.
Designüberlegungen
-
Wenn Sie beschließen, die IAM Identity Center-Identitätsquelle von einer anderen Quelle auf Active Directory oder von Active Directory auf eine andere Quelle zu ändern, muss sich das Verzeichnis in dem delegierten IAM Identity Center-Administrator-Mitgliedskonto befinden (diesem gehören), sofern eines existiert; andernfalls muss es sich im Verwaltungskonto befinden.
-
Sie können Ihr AWS verwaltetes Microsoft AD VPC in einem dedizierten Konto hosten und dann AWSResource Access Manager (AWSRAM) verwenden, um Subnetze von diesem anderen Konto für das delegierte Administratorkonto freizugeben. Auf diese Weise wird die AWS verwaltete Microsoft AD-Instanz im delegierten Administratorkonto gesteuert, aber aus Netzwerksicht verhält sie sich so, als ob sie in einem anderen Konto bereitgestellt wäre. VPC Dies ist hilfreich, wenn Sie über mehrere AWS verwaltete Microsoft AD-Instanzen verfügen und diese lokal dort bereitstellen möchten, wo Ihr Workload ausgeführt wird, sie aber zentral über ein Konto verwalten möchten.
-
Wenn Sie über ein eigenes Identitätsteam verfügen, das regelmäßig Aktivitäten zur Identitäts- und Zugriffsverwaltung durchführt, oder wenn Sie strenge Sicherheitsanforderungen haben, um Identitätsverwaltungsfunktionen von anderen Shared Services-Funktionen zu trennen, können Sie ein eigenes AWS Konto für die Identitätsverwaltung einrichten. In diesem Szenario bestimmen Sie dieses Konto als Ihren delegierten Administrator für IAM Identity Center, und es hostet auch Ihr AWS verwaltetes Microsoft AD-Verzeichnis. Sie können dasselbe Maß an logischer Isolierung zwischen Ihren Identitätsverwaltungs-Workloads und anderen Shared Services-Workloads erreichen, indem Sie innerhalb eines einzigen Shared Services-Kontos fein abgestufte IAM Berechtigungen verwenden.
-
IAMIdentity Center bietet derzeit keinen Support für mehrere Regionen. (Um IAM Identity Center in einer anderen Region zu aktivieren, müssen Sie zuerst Ihre aktuelle IAM Identity Center-Konfiguration löschen.) Darüber hinaus unterstützt es nicht die Verwendung verschiedener Identitätsquellen für verschiedene Gruppen von Konten und ermöglicht es Ihnen auch nicht, die Rechteverwaltung an verschiedene Teile Ihres Unternehmens (d. h. an mehrere delegierte Administratoren) oder an verschiedene Administratorgruppen zu delegieren. Wenn Sie eine dieser Funktionen benötigen, können Sie den IAMVerbund verwenden, um Ihre Benutzeridentitäten innerhalb eines Identitätsanbieters (IdP) außerhalb von zu verwalten AWS und diesen externen Benutzeridentitäten die Erlaubnis zu erteilen, AWS Ressourcen in Ihrem Konto zu verwenden. IAMunterstützt IdPs , die mit OpenID Connect (OIDC)
oder SAML 2.0 kompatibel sind. Es hat sich bewährt, den SAML 2.0-Verbund mit Identitätsanbietern von Drittanbietern wie Active Directory Federation Service (AD FS), Okta, Azure Active Directory (Azure AD) oder Ping Identity zu verwenden, um Benutzern die Möglichkeit zu bieten, sich bei der AWS Management Console anzumelden oder Operationen aufzurufen. AWS API Weitere Informationen zu IAM Verbund und Identitätsanbietern finden Sie in der IAM Dokumentation und in den AWSIdentity Federation-Workshops unter Über den SAML 2.0-basierten Verbund.
