So funktioniert AWS Control Tower - AWS Control Tower
Struktur einer AWS-Kontrollturm-LandezoneWas passiert, wenn Sie eine landing zone einrichtenWas sind die gemeinsamen Konten?Wie funktionieren SteuerungenSo funktioniert AWS Control Tower mit StackSets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert AWS Control Tower

In diesem Abschnitt wird ausführlich beschrieben, wie AWS Control Tower funktioniert. Ihre landing zone ist eine gut strukturierte Umgebung mit mehreren Konten für all Ihre Ressourcen. AWS Sie können diese Umgebung verwenden, um Compliance-Vorschriften für alle Ihre Konten durchzusetzen. AWS

Struktur einer AWS-Kontrollturm-Landezone

Die Struktur einer landing zone in AWS Control Tower sieht wie folgt aus:

  • Root — Das übergeordnete Element, das alle anderen OUs in Ihrer landing zone enthält.

  • Sicherheits-OU — Diese Organisationseinheit enthält die Konten Log Archive und Audit. Diese Konten werden häufig als gemeinsam genutzte Konten bezeichnet. Wenn Sie Ihre landing zone starten, können Sie benutzerdefinierte Namen für diese gemeinsamen Konten wählen, und Sie haben die Möglichkeit, bestehende AWS Konten aus Sicherheits- und Protokollierungsgründen in AWS Control Tower zu integrieren. Diese können jedoch später nicht umbenannt werden, und bestehende Konten können aus Sicherheits- und Protokollierungsgründen nach dem ersten Start nicht hinzugefügt werden.

  • Sandbox-OU — Die Sandbox-OU wird erstellt, wenn Sie Ihre landing zone starten, sofern Sie sie aktivieren. Diese und andere registrierte Organisationseinheiten enthalten die registrierten Konten, mit denen Ihre Benutzer ihre AWS-Workloads ausführen.

  • IAM Identity Center-Verzeichnis — In diesem Verzeichnis sind Ihre IAM Identity Center-Benutzer gespeichert. Es definiert den Umfang der Berechtigungen für jeden IAM Identity Center-Benutzer.

  • IAM Identity Center-Benutzer — Dies sind die Identitäten, von denen Ihre Benutzer annehmen können, um ihre AWS Workloads in Ihrer landing zone auszuführen.

Was passiert, wenn Sie eine landing zone einrichten

Wenn Sie eine landing zone einrichten, führt AWS Control Tower in Ihrem Namen die folgenden Aktionen in Ihrem Verwaltungskonto durch:

  • Erstellt zwei AWS Organizations Organisationseinheiten (OUs): Sicherheit und Sandbox (optional), die innerhalb der organisatorischen Stammstruktur enthalten sind.

  • Erstellt zwei gemeinsame Konten in der Sicherheits-OU oder fügt sie hinzu: das Log Archive-Konto und das Audit-Konto.

  • Erstellt ein cloudnatives Verzeichnis in IAM Identity Center mit vorkonfigurierten Gruppen und Single Sign-On-Zugriff, wenn Sie die Standardkonfiguration von AWS Control Tower wählen, oder es ermöglicht Ihnen, Ihren Identitätsanbieter selbst zu verwalten.

  • Wendet alle obligatorischen, präventiven Kontrollen an, um Richtlinien durchzusetzen.

  • Wendet alle obligatorischen, detektiven Kontrollen an, um Verstöße gegen die Konfiguration zu erkennen.

  • Präventive Kontrollen werden nicht auf das Verwaltungskonto angewendet.

  • Mit Ausnahme des Verwaltungskontos gelten die Kontrollen für die gesamte Organisation.

Sichere Verwaltung von Ressourcen innerhalb Ihrer AWS Control Tower Landing Zone und Konten

  • Wenn Sie Ihre landing zone erstellen, werden eine Reihe von AWS Ressourcen erstellt. Um AWS Control Tower verwenden zu können, dürfen Sie diese von AWS Control Tower verwalteten Ressourcen nicht außerhalb der in diesem Handbuch beschriebenen unterstützten Methoden ändern oder löschen. Wenn Sie diese Ressourcen löschen oder ändern, wird Ihre landing zone in einen unbekannten Zustand versetzt. Details hierzu finden Sie unter Anleitung zur Erstellung und Änderung von AWS Control Tower Tower-Ressourcen

  • Wenn Sie optionale Kontrollen aktivieren (solche mit dringend empfohlenen oder optionalen Anleitungen), erstellt AWS Control Tower AWS Ressourcen, die in Ihren Konten verwaltet werden. Ändern oder löschen Sie keine Ressourcen, die von AWS Control Tower erstellt wurden. Dies kann dazu führen, dass die Kontrollen in einen unbekannten Zustand übergehen.

Was sind die gemeinsamen Konten?

In AWS Control Tower werden die gemeinsamen Konten in Ihrer landing zone während der Einrichtung bereitgestellt: das Verwaltungskonto, das Protokollarchiv-Konto und das Audit-Konto.

Was ist das Verwaltungskonto?

Dies ist das Konto, das Sie speziell für Ihre landing zone erstellt haben. Dieses Konto wird für die Abrechnung von allem in Ihrer landing zone verwendet. Es wird auch für die Account Factory Factory-Bereitstellung von Konten sowie für die Verwaltung von Organisationseinheiten und Kontrollen verwendet.

Anmerkung

Es wird nicht empfohlen, Produktionsworkloads jeglicher Art von einem AWS Control Tower Tower-Managementkonto aus auszuführen. Erstellen Sie ein separates AWS Control Tower Tower-Konto, um Ihre Workloads auszuführen.

Weitere Informationen finden Sie unter Verwaltungskonto.

Was ist das Protokollarchiv-Konto?

Dieses Konto dient als Repository für Protokolle von API-Aktivitäten und Ressourcenkonfigurationen von allen Konten in der landing zone.

Weitere Informationen finden Sie unter Protokollarchivkonto.

Was ist das Auditkonto?

Das Auditkonto ist ein eingeschränktes Konto, das Ihren Sicherheits- und Compliance-Teams Lese- und Schreibzugriff auf alle Konten in Ihrer landing zone. Über das Prüfungskonto haben Sie programmgesteuerten Zugriff auf Prüfkonten, indem Sie eine Rolle verwenden, die nur Lambda-Funktionen gewährt wird. Das Prüfungskonto erlaubt Ihnen nicht, sich manuell bei anderen Konten anzumelden. Weitere Informationen zu Lambda-Funktionen und -Rollen finden Sie unter Eine Lambda-Funktion so konfigurieren, dass sie eine Rolle von einer anderen übernimmt. AWS-Konto

Weitere Informationen finden Sie unter Prüfungskonto.

Wie funktionieren Steuerungen

Eine Kontrolle ist eine Regel auf hoher Ebene, die eine kontinuierliche Steuerung Ihrer gesamten AWS Umgebung gewährleistet. Jede Kontrolle erzwingt eine einzige Regel, die in einfacher Sprache ausgedrückt wird. Sie können die ausgewählten oder dringend empfohlenen Kontrollen, die in Kraft sind, jederzeit über die AWS Control Tower Tower-Konsole oder die AWS Control Tower Tower-APIs ändern. Obligatorische Kontrollen werden immer angewendet und können nicht geändert werden.

Präventive Kontrollen verhindern, dass Maßnahmen ergriffen werden. Beispielsweise verhindert das optionale Steuerelement Disallow Changes to Bucket Policy for Amazon S3 Buckets (früher Disallow Policy Changes to Log Archive) jegliche Änderungen der IAM-Richtlinie innerhalb des gemeinsamen Logarchiv-Kontos. Jeder Versuch, eine verhinderte Aktion durchzuführen, wird verweigert und angemeldet. CloudTrail Die Ressource ist auch angemeldet AWS Config.

Detective Controls erkennen bestimmte Ereignisse, wenn sie auftreten, und protokollieren die AktionCloudTrail. Das dringend empfohlene Steuerelement mit dem Namen „Erkennen, ob die Verschlüsselung für Amazon EBS-Volumes aktiviert ist, die an Amazon EC2 EC2-Instances angehängt sind“ erkennt beispielsweise, ob ein unverschlüsseltes Amazon EBS-Volume an eine EC2-Instance in Ihrer landing zone angehängt ist.

Proaktive Kontrollen überprüfen, ob die Ressourcen Ihren Unternehmensrichtlinien und -zielen entsprechen, bevor die Ressourcen Ihren Konten zugewiesen werden. Wenn die Ressourcen nicht den Vorschriften entsprechen, werden sie nicht bereitgestellt. Proaktive Kontrollen überwachen mithilfe von AWS CloudFormation Vorlagen Ressourcen, die in Ihren Konten eingesetzt würden.

Für diejenigen, die es wissen AWS: In AWS Control Tower werden präventive Kontrollen mit Service Control Policies (SCPs) implementiert. Detektivkontrollen werden mit AWS Config Regeln implementiert. Proaktive Kontrollen werden mit AWS CloudFormation Hooks implementiert.

So funktioniert AWS Control Tower mit StackSets

AWS Control Tower verwendet AWS CloudFormation StackSets , um Ressourcen in Ihren Konten einzurichten. Jedes Stack-Set hat StackInstances die, die Konten entsprechen, und zwei AWS-Regionen pro Konto. AWS Control Tower stellt eine Stack-Set-Instance pro Konto und Region bereit.

AWS Control Tower wendet Updates auf bestimmte Konten an, und zwar AWS-Regionen selektiv, basierend auf AWS CloudFormation Parametern. Wenn Aktualisierungen auf einige Stack-Instances angewendet werden, behalten andere Stack-Instances möglicherweise den Status Outdated (Veraltet) bei. Dieses Verhalten wird erwartet und ist normal.

Wenn eine Stack-Instance in den Status Outdated (Veraltet) wechselt, bedeutet dies normalerweise, dass der Stack, der dieser Stack-Instance entspricht, nicht mit der neuesten Vorlage im Stack-Set übereinstimmt. Der Stack verbleibt in der älteren Vorlage, daher enthält er möglicherweise nicht die neuesten Ressourcen oder Parameter. Der Stack ist immer noch vollständig nutzbar.

Im Folgenden finden Sie eine kurze Zusammenfassung des zu erwartenden Verhaltens auf der Grundlage der AWS CloudFormation Parameter, die während eines Updates angegeben werden:

Wenn das Stack-Set-Update Änderungen an der Vorlage beinhaltet (d. h., wenn die TemplateURL Eigenschaften TemplateBody oder angegeben sind) oder wenn die Parameters Eigenschaft angegeben ist, AWS CloudFormation markiert es alle Stack-Instances mit dem Status Veraltet, bevor die Stack-Instances in den angegebenen Konten aktualisiert werden und AWS-Regionen. Wenn das Stack-Set-Update keine Änderungen an der Vorlage oder den Parametern beinhaltet, werden die Stack-Instances in den angegebenen Konten und Regionen AWS CloudFormation aktualisiert, während alle anderen Stack-Instances ihren bestehenden Stack-Instance-Status behalten. Damit alle Stack-Instances aktualisiert werden, die einem Stack-Set zugeordnet sind, geben Sie die Eigenschaft Accounts oder Regions nicht an.

Weitere Informationen finden Sie unter Aktualisieren Sie Ihr Stack-Set im AWS CloudFormation Benutzerhandbuch.