Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für eine Umgebung mit mehreren Konten
Folgen Sie diesen Empfehlungen, die Ihnen bei der Einrichtung und Verwaltung einer Umgebung mit mehreren Konten helfen AWS Organizations.
Themen
Konto und Anmeldeinformationen
Verwenden eines sicheren Passworts für den Root-Benutzer
Es empfiehlt sich, ein sicheres und eindeutiges Passwort zu verwenden. Zahlreiche Passwort-Manager sowie Algorithmen und Tools zur Erstellung sicherer Passwörter können Ihnen dabei helfen. Weitere Informationen finden Sie unter Ändern des Passworts für Root-Benutzer des AWS-Kontos. Verwenden Sie die Informationssicherheitsrichtlinie Ihres Unternehmens, um die langfristige Speicherung und den Zugriff auf das Root-Benutzerpasswort zu verwalten. Es empfiehlt sich, das Passwort in einem Passwort-Manager-System oder einem gleichwertigen System zu speichern, das den Sicherheitsanforderungen Ihrer Organisation genügt. Um eine zirkuläre Abhängigkeit zu vermeiden, sollten Sie das Root-Benutzerkennwort nicht zusammen mit Tools speichern, die von AWS Dienste, bei denen Sie sich mit dem geschützten Konto anmelden. Unabhängig von der gewählten Methode sollten Sie der Ausfallsicherheit Priorität einräumen und eventuell in Erwägung ziehen, den Zugriff auf diesen Tresor für einen stärkeren Schutz zwingend von mehreren Akteuren autorisieren zu lassen. Zugriffe auf das Passwort oder dessen Speicherort sollten protokolliert und überwacht werden. Weitere Empfehlungen für Root-Benutzerpasswörter finden Sie unter Bewährte Methoden für Root-Benutzer für AWS-Konto.
Dokumentieren der Prozesse für die Verwendung der Root-Benutzer-Anmeldeinformationen
Dokumentieren Sie die Umsetzung wichtiger Prozesse während der Ausführung, damit Sie ein Protokoll der an den einzelnen Schritten beteiligten Personen haben. Zur Verwaltung des Passworts empfiehlt sich die Verwendung eines sicheren verschlüsselten Passwort-Managers. Außerdem ist es wichtig, etwaige Ausnahmen und unvorhergesehene Ereignisse zu dokumentieren. Weitere Informationen finden Sie unter Problembehandlung AWS Management Console melden Sie sich an im AWS Benutzerleitfaden zur Anmeldung und Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind, finden Sie im IAMBenutzerhandbuch.
Testen und überprüfen Sie mindestens vierteljährlich, ob Sie weiterhin Zugriff auf den Root-Benutzer haben und ob die Kontakt-Telefonnummer funktioniert. Damit können Sie dem Unternehmen versichern, dass der Prozess funktioniert und dass Sie den Zugriff auf den Root-Benutzer aufrechterhalten können. Außerdem wird damit gezeigt, dass die für den Root-Zugriff verantwortlichen Personen die Schritte verstehen, die sie ausführen müssen, damit der Prozess erfolgreich ist. Um die Reaktionszeit zu verkürzen und erfolgreicher zu sein, müssen Sie sicherstellen, dass alle an einem Prozess beteiligten Personen genau wissen, was sie zu tun haben, falls Zugriff erforderlich ist.
Aktivieren Sie diese MFA Option für Ihre Root-Benutzeranmeldedaten
Wir empfehlen, dass Sie mehrere Geräte mit Multi-Faktor-Authentifizierung (MFA) für das aktivieren AWS-Konto Root-Benutzer und IAM Benutzer in Ihrem AWS-Konten. Auf diese Weise können Sie die Sicherheitslatte in Ihrem höher legen AWS-Konten und vereinfachen Sie die Verwaltung des Zugriffs für Benutzer mit hohen Rechten, wie z. B. AWS-Konto Root-Benutzer. Um unterschiedlichen Kundenbedürfnissen gerecht zu werden, AWS unterstützt drei MFA GerätetypenIAM, darunter FIDO Sicherheitsschlüssel, virtuelle Authentifikatoranwendungen und Hardware-Token mit zeitbasiertem Einmalkennwort (TOTP).
Jeder Authenticator-Typ hat etwas unterschiedliche physische und sicherheitstechnische Eigenschaften, die für verschiedene Anwendungsfälle unterschiedlich gut geeignet sind. FIDO2Sicherheitsschlüssel bieten ein Höchstmaß an Sicherheit und sind resistent gegen Phishing. Jede Form von MFA bietet eine robustere Sicherheitslage als die reine Passwortauthentifizierung, und wir empfehlen dringend, dass Sie Ihrem Konto irgendeine Form von MFA hinzufügen. Wählen Sie den Gerätetyp aus, der Ihren Sicherheits- und Betriebsanforderungen am besten entgegenkommt.
Wenn Sie sich für ein batteriebetriebenes Gerät als primären Authentifikator entscheiden, z. B. ein TOTP Hardware-Token, sollten Sie in Erwägung ziehen, auch einen Authentifikator zu registrieren, der nicht auf die Batterie als Backup-Mechanismus angewiesen ist. Die regelmäßige Überprüfung der Funktionsfähigkeit des Geräts und sein Austausch vor dem Ablaufdatum sind ebenfalls unerlässlich, um einen ununterbrochenen Zugriff zu gewährleisten. Unabhängig davon, für welchen Gerätetyp Sie sich entscheiden, empfehlen wir, mindestens zwei Geräte zu registrieren (IAMunterstützt bis zu acht MFA Geräte pro Benutzer), um Ihre Widerstandsfähigkeit gegen Geräteverlust oder -ausfall zu erhöhen.
Halten Sie sich bei der Aufbewahrung des MFA Geräts an die Informationssicherheitsrichtlinien Ihres Unternehmens. Wir empfehlen, das MFA Gerät getrennt vom zugehörigen Passwort zu speichern. Dadurch wird sichergestellt, dass für den Zugriff auf das Passwort und MFA das Gerät unterschiedliche Ressourcen (Personen, Daten und Tools) erforderlich sind. Diese Trennung sorgt für ein zusätzliches Maß an Schutz vor unbefugtem Zugriff. Wir empfehlen außerdem, jeden Zugriff auf das MFA Gerät oder seinen Speicherort zu protokollieren und zu überwachen. Dies hilft, unbefugte Zugriffe zu erkennen und darauf zu reagieren.
Weitere Informationen finden Sie im Benutzerhandbuch unter Sichern Sie Ihre Root-Benutzeranmeldung mit Multi-Faktor-Authentifizierung (MFA). IAM Anweisungen zur Aktivierung MFA finden Sie unter Verwenden der Multi-Faktor-Authentifizierung () in MFA AWSund Aktivieren von MFA Geräten für Benutzer in AWS.
Anwenden von Steuerelementen zur Überwachung des Zugriffs auf die Anmeldeinformationen
Der Zugriff auf die Anmeldeinformationen des Stammbenutzers sollte ein seltenes Ereignis sein. Erstellen Sie Benachrichtigungen mithilfe von Tools wie Amazon EventBridge , um die Anmeldung und Verwendung der Root-Benutzeranmeldeinformationen des Verwaltungskontos anzukündigen. Diese Warnung sollte u. a. die E-Mail-Adresse umfassen, die für den Root-Benutzer selbst verwendet wird. Sie sollte eindringlich und nicht zu übersehen sein. Ein Beispiel finden Sie unter Überwachen und benachrichtigen am AWS-Konto Root-Benutzeraktivität
Kontakt-Telefonnummer auf dem neuesten Stand halten
Um den Zugriff auf Ihre wiederherzustellen AWS-Konto, es ist wichtig, eine gültige und aktive Kontakttelefonnummer zu haben, über die Sie Textnachrichten oder Anrufe empfangen können. Wir empfehlen, eine eigene Telefonnummer zu verwenden, um sicherzustellen, dass AWS kann Sie zur Unterstützung Ihres Kontos und zur Wiederherstellung Ihres Kontos kontaktieren. Sie können die Telefonnummern Ihres Kontos ganz einfach über die AWS Management Console oder KontoverwaltungAPIs.
Es gibt verschiedene Möglichkeiten, eine spezielle Telefonnummer zu erhalten, die Folgendes sicherstellt AWS kann Sie kontaktieren. Wir empfehlen Ihnen dringend, eine spezielle SIM Karte und ein physisches Telefon zu erwerben. Bewahren Sie das Telefon sicher und SIM langfristig auf, um sicherzustellen, dass die Telefonnummer für die Kontowiederherstellung verfügbar bleibt. Erklären Sie außerdem dem für die Handyrechnung zuständigen Team, wie wichtig diese Telefonnummer ist, selbst wenn sie für längere Zeit inaktiv bleibt. Um zusätzlichen Schutz zu gewährleisten, sollte diese Telefonnummer in Ihrer Organisation unbedingt vertraulich behandelt werden.
Dokumentieren Sie die Telefonnummer im AWS Wenden Sie sich an die Konsolenseite mit Kontaktinformationen und geben Sie die entsprechenden Informationen an die jeweiligen Teams in Ihrer Organisation weiter, die darüber Bescheid wissen müssen. Dieser Ansatz trägt dazu bei, das Risiko zu minimieren, das mit der Übertragung der Telefonnummer an eine andere Person verbunden istSIM. Lagern Sie das Telefon gemäß Ihrer bestehenden Informationssicherheitsrichtlinie. Lagern Sie das Telefon jedoch nicht am selben Ort wie die anderen zugehörigen Anmeldeinformationen. Zugriffe auf das Telefon oder dessen Aufbewahrungsort sollten protokolliert und überwacht werden. Für den Fall, dass sich die mit einem Konto verknüpfte Telefonnummer ändert, sollten Sie Prozesse zu ihrer Aktualisierung in der vorhandenen Dokumentation implementieren.
Verwenden einer Gruppen-E-Mail-Adresse für Root-Konten
Verwenden Sie eine E-Mail-Adresse, die von Ihrem Unternehmen verwaltet wird. Nutzen Sie eine E-Mail-Adresse, über die empfangene Nachrichten direkt an eine Gruppe von Benutzern weitergeleitet werden. Für den Fall, dass AWS muss sich beispielsweise an den Eigentümer des Kontos wenden, um den Zugriff zu bestätigen. Die E-Mail-Nachricht wird an mehrere Parteien verteilt. Dieser Ansatz hilft, das Risiko von Verzögerungen bei der Reaktion zu reduzieren, auch wenn Personen im Urlaub sind, krank sind oder das Geschäft verlassen.
Organisationsstruktur und Arbeitsbelastung
Verwalten von Konten in einer einzigen Organisation
Wir empfehlen, eine einzige Organisation zu erstellen und alle Konten in dieser Organisation zu verwalten. Eine Organisation stellt eine Art Sicherheitsgrenze dar, mit der Sie in allen Konten in Ihrer Umgebung für Einheitlichkeit sorgen können. Sie können zum Beispiel Richtlinien oder Service-Level-Konfigurationen zentral für alle Konten in einer Organisation anwenden. Wenn Sie einheitliche Richtlinien, zentrale Sichtbarkeit und programmgesteuerte Kontrollen in Ihrer Umgebung mit mehreren Konten aktivieren möchten, lässt sich dies am besten in einer einzigen Organisation erreichen.
Gruppieren der Workloads nach Geschäftszweck statt nach Firmenhierarchie
Wir empfehlen, dass Sie die Workload-Umgebungen und -Daten für die Produktion unter den Workloads auf oberster Ebene isolieren, die auf Workloads ausgerichtet sind. OUs Sie OUs sollten auf einem gemeinsamen Satz von Kontrollen basieren, anstatt die Berichtsstruktur Ihres Unternehmens widerzuspiegeln. Wir empfehlen IhnenOUs, neben der Produktion auch eine oder mehrere Nicht-Produktionsumgebungen zu definierenOUs, die Konten und Workload-Umgebungen enthalten, die zum Entwickeln und Testen von Workloads verwendet werden. Weitere Hinweise finden Sie unter Workload-orientiertes Organisieren. OUs
Organisieren von Workloads mithilfe mehrerer Konten
Importieren in &S3; AWS-Konto bietet natürliche Sicherheits-, Zugriffs- und Abrechnungsgrenzen für Ihre AWS Ressourcen schätzen. Die Verwendung mehrerer Konten bietet Vorteile, da Sie damit Kontingente und Limits für API Anforderungsraten auf Kontoebene verteilen können. Außerdem sind hier weitere Vorteile aufgeführt. Es empfiehlt sich, eine Reihe von organisationsweiten Basiskonten zu verwenden, z. B. Konten für Sicherheit, Protokollierung und Infrastruktur. Bei Workload-Konten sollten Sie Produktions-Workloads von Test-/Entwicklungs-Workloads in separaten Konten trennen.
Service- und Kostenmanagement
Aktivieren AWS Dienste auf Organisationsebene unter Verwendung der Servicekonsole oderAPI/CLIOperations
Als bewährte Methode empfehlen wir, alle Dienste, die Sie in Across integrieren möchten, zu aktivieren oder zu deaktivieren AWS Organizations Verwenden Sie die Konsole dieses Dienstes oder entsprechende API Operations/BefehlsdateienCLI. Mit dieser Methode AWS Der Dienst kann alle erforderlichen Initialisierungsschritte für Ihre Organisation ausführen, z. B. das Erstellen aller erforderlichen Ressourcen und das Bereinigen von Ressourcen, wenn der Dienst deaktiviert wird. AWS Account Management ist der einzige Dienst, der die Verwendung von erfordert AWS Organizations Konsole oder APIs zum Aktivieren. Um die Liste der Dienste zu überprüfen, die integriert sind AWS Organizations, finden Sie unter AWS-Services die du verwenden kannst mit AWS Organizations.
Verwenden von Abrechnungstools zur Verfolgung der Kosten und Optimierung der Ressourcennutzung
Wenn Sie eine Organisation verwalten, erhalten Sie eine konsolidierte Rechnung mit allen Kosten für die Konten in Ihrer Organisation. Für geschäftliche Benutzer, die Kostentransparenz benötigen, können Sie im Verwaltungskonto eine Rolle mit eingeschränkten Leseberechtigungen zur Überprüfung von Abrechnungen und für Kostentools einrichten. Sie können beispielsweise einen Berechtigungssatz erstellen, der den Zugriff auf Abrechnungsberichte ermöglicht, oder den AWS Cost Explorer Service (ein Tool zur Anzeige von Kostentrends im Zeitverlauf) und kosteneffiziente Services wie Amazon S3 Storage Lens
Planen der Tagging-Strategie und Durchsetzen von Tags für alle Organisationsressourcen
Wenn Ihre Konten und Workloads größer werden, können Tags ein nützliches Feature für die Kostenverfolgung, die Zugriffssteuerung und die Ressourcenorganisation sein. Bezüglich Benennungsstrategien für Tags folgen Sie den Anweisungen unter Taggen Ihrer AWS Ressourcen. Zusätzlich zu Ressourcen können Sie Tags für das Stammverzeichnis, die Konten und die Richtlinien der Organisation erstellen. OUs Weitere Informationen finden Sie unter Entwickeln einer eigenen Tagging-Strategie.
