Aufbau einer landing zone

Sie haben mehrere Optionen, um Ihre landing zone zu erstellen AWS. Sie können einen verwalteten Service wählen, um Ihre Umgebung zu orchestrieren, oder mit einem Partner zusammenarbeiten, um Ihre eigene zu erstellen. AWS bietet AWS Control Tower, einen verwalteten Service. Wir empfehlen allen Benutzern, mit zu beginnen AWS Control Tower. Es ist jedoch wichtig, die Unterschiede und Fähigkeiten der einzelnen Ansätze zu verstehen, damit Sie die beste Entscheidung für Ihr Unternehmen treffen können.

Optionen für Landezonen auf AWS:

• AWS Control Tower

• Maßgeschneiderte landing zone

Liefermechanismus:

Vorteile und Kompromisse für jeden Ansatz:

Lösung	Vorteile	Nachteile
AWS Control Tower	Vollständig verwalteter Service. AWS-Die bereitgestellten Kontrollen und Compliance-Richtlinien werden standardmäßig angewendet. Bietet ein zentrales Dashboard für die Überwachung und den Compliance-Status. Stellt Account Factory für die Bereitstellung neuer Konten bereit. Einige Anpassungen (wie die Regionsauswahl und optionale Steuerelemente) sind in der Konsole verfügbar.	Zusätzliche Erweiterbarkeit und Anpassung bieten die Anpassungen für AWS Control Tower (cFCT) und Account Factory for Terraform (). AFT AWS Control Tower wird in den AWS Regionen unterstützt, die in der Liste der regionalen Dienste aufgeführt sind.AWS
AWS Organizationsmit einer vom Kunden oder einem Partner entwickelten maßgeschneiderten Lösung	Maßgeschneiderte Lösung.	Der Kunde oder Partner ist für die gesamte Entwicklung und Codierung verantwortlich. Der Kunde oder Partner ist für die Integration und Implementierung verantwortlich.

Alle Angebote für Umgebungen mit mehreren Konten werden unterstützt von AWS Organizations. AWS Organizations stellt die zugrunde liegende Infrastruktur und die Funktionen bereit, mit denen Sie Ihre AWS Umgebung aufbauen und verwalten können. Mit AWS Organizations können Sie die von Ihnen bereitgestellten Strategieempfehlungen für mehrere Konten nutzen AWS und Ihre Umgebung selbst an Ihre Geschäftsanforderungen anpassen. Wenn Sie bereits Kunde sind und mit Ihrer aktuellen AWS Organizations Implementierung zufrieden sind, sollten Sie Ihre aktuelle AWS Umgebung weiterhin betreiben.

AWS Control Tower

AWS Control Tower wird als AWS verwalteter Dienst ausgeführt. Wenn Sie nach einer sofort einsatzbereiten, vorkonfigurierten Umgebungslösung suchen, können Sie sich auf eine präskriptive Beratung und eine vollständig verwaltete Umgebung verlassen. AWS Control Tower Der Service richtet auf der Grundlage von Best Practices für mehrere Konten eine landing zone ein, zentralisiert das Identitäts- und Zugriffsmanagement und legt vorkonfigurierte Governance-Regeln für Sicherheit und Compliance fest.

AWS Control Tower automatisiert die Einrichtung einer neuen landing zone mithilfe von Best Practices, Blueprints für Identität, Verbundzugriff und Kontostruktur. Zu den am implementierten Blueprints gehören: AWS Control Tower

• Eine Umgebung mit mehreren Konten mit AWS Organizations

• Kontoübergreifende Sicherheitsaudits mit AWS Identity and Access Management () IAM und AWS IAM Identity Center

• Identitätsverwaltung mithilfe des Identity Center-Standardverzeichnisses

• Zentralisierte Protokollierung von AWS CloudTrail und AWS Config Speicherung in Amazon Simple Storage Service (Amazon S3)

Bei Kontrollen handelt es sich um allgemeine Regeln, die eine kontinuierliche Steuerung Ihrer gesamten AWS Umgebung gewährleisten. Kontrollen können präventiv oder detektiv sein. Präventive Kontrollen werden mithilfe von Dienstkontrollrichtlinien (SCPs) implementiert, die Teil von sind AWS Organizations. Detektivkontrollen werden mithilfe von implementiert AWS Config. Beispiele für AWS Control Tower Kontrollen sind:

• Die Erstellung von Zugriffsschlüsseln für den Root-Benutzer verbieten

• Internetverbindung verbieten über RDP

• Verbieten Sie öffentlichen Schreibzugriff auf S3-Buckets

• Amazon Elastic Block Store (AmazonEBS) -Volumes verbieten, die nicht mit einer Amazon Elastic Compute Cloud (AmazonEC2) -Instance verknüpft sind

Anmerkung

AWS Control Tower ist ein Ausgangspunkt für eine landing zone. Sie müssen Ihre Strategie für Netzwerke, Zugriffsmanagement und Sicherheit auf der Grundlage Ihrer individuellen Anforderungen festlegen, während Sie Ihre landing zone ausbauen.

Maßgeschneiderte landing zone

Sie können wählen, ob Sie Ihre eigene maßgeschneiderte Landezonenlösung erstellen möchten. In diesem Fall implementieren Sie die Basisumgebung, um mit Identitäts- und Zugriffsmanagement, Governance, Datensicherheit, Netzwerkdesign und Protokollierung zu beginnen. Wir empfehlen diesen Ansatz, wenn Sie alle Komponenten Ihrer Umgebung von Grund auf neu erstellen möchten oder wenn Sie Anforderungen haben, die nur eine benutzerdefinierte Lösung erfüllen kann. Sie müssen über ausreichende Fachkenntnisse verfügen, AWS um die Lösung nach der Implementierung zu verwalten, zu aktualisieren, zu warten und zu betreiben.

Empfohlener Ansatz

Wir empfehlen Ihnen, mit dem Aufbau Ihrer landing zone AWS Control Tower zu beginnen. AWS Control Tower hilft Ihnen dabei, eine erste präskriptive Landingzone-Konfiguration zu erstellen, out-of-the-box Steuerelemente und Blueprints zu verwenden und mithilfe AWS Control Tower von Account Factory neue Konten zu erstellen.

Während der Einrichtung können Sie Ihre landing zone von der AWS Control Tower Konsole aus anpassen. Einzelheiten finden Sie in der AWS Control Tower Dokumentation. Nachdem Sie Ihre grundlegende landing zone eingerichtet haben, verwenden Sie eine der folgenden Optionen, um sie weiter zu verbessern und anzupassen:

• Verwenden Sie Anpassungen für AWS Control Tower (cFcT), das umfangreiche Anpassungsoptionen mithilfe von AWS CloudFormation Vorlagen und Richtlinien zur Servicesteuerung bietet (). SCPs Weitere Informationen finden Sie in der AWS Control Tower -Dokumentation.

• Verwenden Sie den Landing Zone Accelerator (LZA), um Ihre landing zone so zu verbessern, dass sie den Compliance-Rahmenbedingungen entspricht. Weitere Informationen finden Sie im LZAImplementierungsleitfaden.