Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für die Verwaltung mehrerer Konten
Befolgen Sie die folgenden Empfehlungen, die Ihnen die Einrichtung und Verwaltung einer Umgebung mit mehreren Konten in AWS Organizations erleichtern.
Themen
- Verwalten von Konten in einer einzigen Organisation
- Verwenden eines sicheren Passworts für den Root-Benutzer
- Dokumentieren der Prozesse für die Verwendung der Root-Benutzer-Anmeldeinformationen
- Aktivieren von MFA für die Anmeldedaten für Ihren Root-Benutzer
- Anwenden von Steuerelementen zur Überwachung des Zugriffs auf die Anmeldeinformationen
- Kontakt-Telefonnummer auf dem neuesten Stand halten
- Verwenden einer Gruppen-E-Mail-Adresse für Root-Konten
- Gruppieren der Workloads nach Geschäftszweck statt nach Firmenhierarchie
- Organisieren von Workloads mithilfe mehrerer Konten
- Aktivieren von AWS-Services auf Organisationsebene über die Servicekonsole oder über API/CLI-Vorgänge
- Verwenden von Abrechnungstools zur Verfolgung der Kosten und Optimierung der Ressourcennutzung
- Planen der Tagging-Strategie und Durchsetzen von Tags für alle Organisationsressourcen
- Bewährte Methoden für das Verwaltungskonto
- Bewährte Methoden für Mitgliedskonten
Verwalten von Konten in einer einzigen Organisation
Wir empfehlen, eine einzige Organisation zu erstellen und alle Konten in dieser Organisation zu verwalten. Eine Organisation stellt eine Art Sicherheitsgrenze dar, mit der Sie in allen Konten in Ihrer Umgebung für Einheitlichkeit sorgen können. Sie können zum Beispiel Richtlinien oder Service-Level-Konfigurationen zentral für alle Konten in einer Organisation anwenden. Wenn Sie einheitliche Richtlinien, zentrale Sichtbarkeit und programmgesteuerte Kontrollen in Ihrer Umgebung mit mehreren Konten aktivieren möchten, lässt sich dies am besten in einer einzigen Organisation erreichen.
Verwenden eines sicheren Passworts für den Root-Benutzer
Es empfiehlt sich, ein sicheres und eindeutiges Passwort zu verwenden. Zahlreiche Passwort-Manager sowie Algorithmen und Tools zur Erstellung sicherer Passwörter können Ihnen dabei helfen. Weitere Informationen finden Sie unter Ändern des Passworts für den Root-Benutzer des AWS-Kontos. Nutzen Sie die Informationssicherheitsrichtlinie Ihres Unternehmens, um die Langzeitspeicherung und den Zugriff auf das Passwort des Root-Benutzers zu verwalten. Es empfiehlt sich, das Passwort in einem Passwort-Manager-System oder einem gleichwertigen System zu speichern, das den Sicherheitsanforderungen Ihrer Organisation genügt. Um eine zirkuläre Abhängigkeit zu vermeiden, speichern Sie das Stammbenutzerpasswort nicht mit Tools, die von AWS-Services abhängen, bei denen Sie sich mit dem geschützten Konto anmelden. Unabhängig von der gewählten Methode sollten Sie der Ausfallsicherheit Priorität einräumen und eventuell in Erwägung ziehen, den Zugriff auf diesen Tresor für einen stärkeren Schutz zwingend von mehreren Akteuren autorisieren zu lassen. Zugriffe auf das Passwort oder dessen Speicherort sollten protokolliert und überwacht werden. Weitere Empfehlungen für Root-Benutzerpasswörter finden Sie unter Bewährte Methoden für Root-Benutzer für Ihren AWS-Konto.
Dokumentieren der Prozesse für die Verwendung der Root-Benutzer-Anmeldeinformationen
Dokumentieren Sie die Umsetzung wichtiger Prozesse während der Ausführung, damit Sie ein Protokoll der an den einzelnen Schritten beteiligten Personen haben. Zur Verwaltung des Passworts empfiehlt sich die Verwendung eines sicheren verschlüsselten Passwort-Managers. Außerdem ist es wichtig, etwaige Ausnahmen und unvorhergesehene Ereignisse zu dokumentieren. Weitere Informationen finden Sie unter Problembehandlung bei der AWS Management Console-Anmeldung im AWSAnmelde-Benutzerhandbuch und Aufgaben, für dieRoot-Benutzeranmeldedaten erforderlich sind im IAM-Benutzerhandbuch.
Testen und überprüfen Sie mindestens vierteljährlich, ob Sie weiterhin Zugriff auf den Root-Benutzer haben und ob die Kontakt-Telefonnummer funktioniert. Damit können Sie dem Unternehmen versichern, dass der Prozess funktioniert und dass Sie den Zugriff auf den Root-Benutzer aufrechterhalten können. Außerdem wird damit gezeigt, dass die für den Root-Zugriff verantwortlichen Personen die Schritte verstehen, die sie ausführen müssen, damit der Prozess erfolgreich ist. Um die Reaktionszeit zu verkürzen und erfolgreicher zu sein, müssen Sie sicherstellen, dass alle an einem Prozess beteiligten Personen genau wissen, was sie zu tun haben, falls Zugriff erforderlich ist.
Aktivieren von MFA für die Anmeldedaten für Ihren Root-Benutzer
Es empfiehlt sich, mehrere MFA-Geräte (Multi-Faktor-Authentifizierung) für den Root-Benutzer des AWS-Konto und die IAM-Benutzer in Ihren AWS-Konten zu aktivieren. Damit können Sie die Sicherheitsstandards in Ihren AWS-Konten erhöhen und die Verwaltung des Zugriffs auf hochprivilegierte Benutzer wie den Root-Benutzer des AWS-Konto vereinfachen. Um den unterschiedlichen Kundenanforderungen gerecht zu werden, werden drei Arten von MFA-Geräten für IAM von AWS unterstützt, darunter FIDO-Sicherheitsschlüssel, virtuelle Authenticator (Anwendungen) und TOTP-Hardwaretoken (Time-based One-Time Password, zeitgesteuertes Einmalpasswort).
Jeder Authenticator-Typ hat etwas unterschiedliche physische und sicherheitstechnische Eigenschaften, die für verschiedene Anwendungsfälle unterschiedlich gut geeignet sind. FIDO2-Sicherheitsschlüssel bieten ein Höchstmaß an Sicherheit und sind resistent gegenüber Phishing-Angriffen. Jede Form von MFA bietet wesentlich mehr Sicherheit als die reine Passwortauthentifizierung. Daher empfiehlt es sich dringend, Ihrem Konto eine Form von MFA hinzuzufügen. Wählen Sie den Gerätetyp aus, der Ihren Sicherheits- und Betriebsanforderungen am besten entgegenkommt.
Wenn Sie ein batteriebetriebenes Gerät als primären Authenticator wählen, z. B. ein TOTP-Hardwaretoken, sollten Sie in Erwägung ziehen, als Backup-Mechanismus außerdem einen Authenticator zu registrieren, der nicht mit einer Batterie betrieben wird. Die regelmäßige Überprüfung der Funktionsfähigkeit des Geräts und sein Austausch vor dem Ablaufdatum sind ebenfalls unerlässlich, um einen ununterbrochenen Zugriff zu gewährleisten. Unabhängig davon, für welchen Gerätetyp Sie sich entscheiden, sollten Sie mindestens zwei Geräte registrieren (IAM unterstützt bis zu acht MFA-Geräte pro Benutzer), um die Ausfallsicherheit bei Geräteverlust oder -ausfall zu erhöhen.
Befolgen Sie zur Aufbewahrung des MFA-Geräts die Informationssicherheitsrichtlinie Ihrer Organisation. Es empfiehlt sich, das MFA-Gerät getrennt vom zugehörigen Passwort aufzubewahren. Dadurch wird sichergestellt, dass für den Zugriff auf das Passwort und das MFA-Gerät unterschiedliche Ressourcen (Personen, Daten und Tools) erforderlich sind. Diese Trennung sorgt für ein zusätzliches Maß an Schutz vor unbefugtem Zugriff. Außerdem empfiehlt es sich, Zugriffe auf das MFA-Gerät oder seinen Aufbewahrungsort zu protokollieren und zu überwachen. Dies hilft, unbefugte Zugriffe zu erkennen und darauf zu reagieren.
Weitere Informationen finden Sie unter Absichern Ihrer Root-Benutzer-Anmeldedaten mit der Multi-Faktor-Authentifizierung (MFA) im IAM-Benutzerhandbuch. Anleitungen zur Aktivierung von MFA finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) in AWS und Aktivieren von MFA-Geräten für Benutzer in AWS.
Anwenden von Steuerelementen zur Überwachung des Zugriffs auf die Anmeldeinformationen
Der Zugriff auf die Anmeldeinformationen des Stammbenutzers sollte ein seltenes Ereignis sein. Erstellen Sie Warnungen mit Tools wie Amazon EventBridge, um die Anmeldung und Verwendung der Anmeldeinformationen des Root-Benutzers für das Verwaltungskonto anzukündigen. Diese Warnung sollte u. a. die E-Mail-Adresse umfassen, die für den Root-Benutzer selbst verwendet wird. Sie sollte eindringlich und nicht zu übersehen sein. Ein Beispiel finden Sie unter Überwachen und Benachrichtigen von AWS-Konto-Stammbenutzeraktivitäten
Kontakt-Telefonnummer auf dem neuesten Stand halten
Für die Wiederherstellung des Zugriffs auf Ihr AWS-Konto müssen Sie über eine gültige und aktive Kontakt-Telefonnummer verfügen, über die Sie Textnachrichten oder Anrufe empfangen können. Es empfiehlt sich die Nutzung einer speziellen Telefonnummer, damit AWS Sie für Kontosupport und Wiederherstellungszwecke auf jeden Fall erreichen kann. Die Telefonnummern Ihres Kontos können Sie über die AWS Management Console oder über Kontoverwaltungs-APIs problemlos einsehen und verwalten.
Es gibt verschiedene Möglichkeiten, eine spezielle Telefonnummer zu erlangen, über die AWS Sie kontaktieren kann. Wir empfehlen Ihnen dringend, sich eine spezielle SIM-Karte und ein spezielles Mobiltelefon zu besorgen. Bewahren Sie das Telefon und die SIM-Karte sicher und dauerhaft auf, damit die Telefonnummer für die Kontowiederherstellung verfügbar bleibt. Erklären Sie außerdem dem für die Handyrechnung zuständigen Team, wie wichtig diese Telefonnummer ist, selbst wenn sie für längere Zeit inaktiv bleibt. Um zusätzlichen Schutz zu gewährleisten, sollte diese Telefonnummer in Ihrer Organisation unbedingt vertraulich behandelt werden.
Halten Sie die Telefonnummer auf der Seite „Kontaktinformationen“ der AWS-Konsole fest und geben Sie die Details an die jeweiligen Teams in Ihrer Organisation weiter, die davon Kenntnis haben müssen. Auf diese Weise lässt sich das Risiko minimieren, das mit der Übertragung der Telefonnummer auf eine andere SIM-Karte verbunden ist. Lagern Sie das Telefon gemäß Ihrer bestehenden Informationssicherheitsrichtlinie. Lagern Sie das Telefon jedoch nicht am selben Ort wie die anderen zugehörigen Anmeldeinformationen. Zugriffe auf das Telefon oder dessen Aufbewahrungsort sollten protokolliert und überwacht werden. Für den Fall, dass sich die mit einem Konto verknüpfte Telefonnummer ändert, sollten Sie Prozesse zu ihrer Aktualisierung in der vorhandenen Dokumentation implementieren.
Verwenden einer Gruppen-E-Mail-Adresse für Root-Konten
Verwenden Sie eine E-Mail-Adresse, die von Ihrem Unternehmen verwaltet wird. Nutzen Sie eine E-Mail-Adresse, über die empfangene Nachrichten direkt an eine Gruppe von Benutzern weitergeleitet werden. Für den Fall, dass AWS den Besitzer des Kontos kontaktieren muss, um beispielsweise den Zugriff zu bestätigen, wird die E-Mail-Nachricht an mehrere Parteien gesendet. Dieser Ansatz hilft, das Risiko von Verzögerungen bei der Reaktion zu reduzieren, auch wenn Personen im Urlaub sind, krank sind oder das Geschäft verlassen.
Gruppieren der Workloads nach Geschäftszweck statt nach Firmenhierarchie
Es empfiehlt sich, die Umgebungen und Daten von Produktions-Workloads unter Ihren Workload-orientierten Organisationseinheiten der obersten Ebene zu isolieren. Die Organisationseinheiten sollten auf gemeinsamen Kontrollen basieren, anstatt nur die Hierarchie Ihres Unternehmens widerzuspiegeln. Neben den Organisationseinheiten für die Produktion sollten Sie mindestens eine Organisationseinheit definieren, die nicht für die Produktion bestimmt ist und Konten und Workload-Umgebungen enthält, mit deren Hilfe Workloads entwickelt und getestet werden. Weitere Hilfestellung finden Sie unter Organisieren von Workload-orientierten Organisationseinheiten.
Organisieren von Workloads mithilfe mehrerer Konten
Ein AWS-Konto bietet natürliche Grenzen, was die Sicherheit, den Zugriff und die Abrechnungen für Ihre AWS-Ressourcen betrifft. Die Verwendung mehrerer Konten bietet Vorteile, da Kontokontingente und Limits für API-Anforderungsraten verteilt werden können. Weitere Vorteile sind hier aufgeführt. Es empfiehlt sich, eine Reihe von organisationsweiten Basiskonten zu verwenden, z. B. Konten für Sicherheit, Protokollierung und Infrastruktur. Bei Workload-Konten sollten Sie Produktions-Workloads von Test-/Entwicklungs-Workloads in separaten Konten trennen.
Aktivieren von AWS-Services auf Organisationsebene über die Servicekonsole oder über API/CLI-Vorgänge
Als bewährte Methode sollten Sie Services, die Sie in AWS Organizations integrieren möchten, über die Konsole des jeweiligen Service oder über entsprechende API-Vorgänge bzw. CLI-Befehle aktivieren oder deaktivieren. So kann der AWS-Service alle erforderlichen Initialisierungsschritte für Ihre Organisation ausführen, z. B. die Erstellung von erforderlichen Ressourcen und die Bereinigung von Ressourcen bei Deaktivierung des Service. AWS Account Management ist der einzige Service, für dessen Aktivierung die Konsole von AWS Organizations oder APIs erforderlich sind. Eine Liste der Services, die in AWS Organizations integriert sind, finden Sie unter AWS Dienste, die Sie mit verwenden können AWS Organizations.
Verwenden von Abrechnungstools zur Verfolgung der Kosten und Optimierung der Ressourcennutzung
Wenn Sie eine Organisation verwalten, erhalten Sie eine konsolidierte Rechnung mit allen Kosten für die Konten in Ihrer Organisation. Für geschäftliche Benutzer, die Kostentransparenz benötigen, können Sie im Verwaltungskonto eine Rolle mit eingeschränkten Leseberechtigungen zur Überprüfung von Abrechnungen und für Kostentools einrichten. Sie können beispielsweise einen Berechtigungssatz erstellen, der Zugriff auf Abrechnungsberichte bzw. auf den AWS Cost Explorer Service (ein Tool zur Anzeige langfristiger Kostentrends) und auf Kosteneffizienz-Services wie Amazon S3 Storage Lens
Planen der Tagging-Strategie und Durchsetzen von Tags für alle Organisationsressourcen
Wenn Ihre Konten und Workloads größer werden, können Tags ein nützliches Feature für die Kostenverfolgung, die Zugriffssteuerung und die Ressourcenorganisation sein. Hilfestellung zu Benennungsstrategien für das Tagging finden Sie unter Taggen Ihrer AWS-Ressourcen. Tags können Sie nicht nur für Ressourcen erstellen, sondern auch für den Organisations-Root, für Konten, Organisationseinheiten und Richtlinien. Weitere Informationen finden Sie unter Entwickeln einer eigenen Tagging-Strategie.
