Struktur dedizierter Konten

Beeinflussen Sie die future der AWS Security Reference Architecture (AWSSRA), indem Sie an einer kurzen Umfrage teilnehmen.

Ein AWS-Konto bietet Sicherheit, Zugriff und Abrechnungsgrenzen für Ihre AWS-Ressourcen und ermöglicht es Ihnen, Ressourcenunabhängigkeit und -isolierung zu erreichen. Standardmäßig ist kein Zugriff zwischen Konten zulässig. 

Denken Sie bei der Gestaltung Ihrer Organisationseinheit und Kontostruktur zunächst an Sicherheit und Infrastruktur. Wir empfehlen, für diese spezifischen Funktionen eine Reihe grundlegender Organisationseinheiten zu erstellen, die in Infrastruktur- und Sicherheits-Organisationseinheiten aufgeteilt sind. Diese OU- und Kontoempfehlungen stellen einen Teil unserer umfassenderen, umfassenderen Richtlinien für AWS Organizations und die Gestaltung der Struktur mehrerer Konten dar. Vollständige Empfehlungen finden Sie unter Organizing Your AWS-Umgebung mithilfe mehrerer Konten in der AWS-Dokumentation und im Blogbeitrag Best Practices for Organizational Units with AWS Organizations. 

Die AWS SRA verwendet die folgenden Konten, um effektive Sicherheitsoperationen auf AWS zu gewährleisten. Diese speziellen Konten tragen dazu bei, die Aufgabentrennung sicherzustellen, unterschiedliche Verwaltungs- und Zugriffsrichtlinien für verschiedene sensible Anwendungen und Daten zu unterstützen und die Auswirkungen eines Sicherheitsereignisses zu mildern. In den folgenden Diskussionen konzentrieren wir uns auf Produktions- (Produktions-) Konten und die damit verbundenen Workloads. SDLC-Konten (Software Development Lifecycle) (oft als Entwickler - und Testkonten bezeichnet) sind für die Bereitstellung von Ergebnissen vorgesehen und können unter anderen Sicherheitsrichtlinien betrieben werden als für Produktionskonten.

 

Account	Organisationseinheit	Rolle im Bereich Sicherheit
Verwaltung	—	Zentrale Steuerung und Verwaltung aller AWS-Regionen und Konten. Das AWS-Konto, das das Stammverzeichnis der AWS-Organisation hostet.
Tools für die Sicherheit	Sicherheit	Dedizierte AWS-Konten für den Betrieb allgemein gültiger Sicherheitsdienste (wie Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector und AWS Config), die Überwachung von AWS-Konten und die Automatisierung von Sicherheitswarnungen und Reaktionen. (In AWS Control Tower lautet der Standardname für das Konto unter der Sicherheits-OU Audit-Konto.)
Log-Archiv	Sicherheit	Dedizierte AWS-Konten für die Erfassung und Archivierung aller Logs und Backups für alle AWS-Regionen und AWS-Konten. Dies sollte als unveränderlicher Speicher konzipiert sein.
Network (Netzwerk)	Infrastruktur	Das Gateway zwischen Ihrer Anwendung und dem breiteren Internet. Das Netzwerkkonto isoliert die umfassenderen Netzwerkdienste, die Konfiguration und den Betrieb von den Workloads, der Sicherheit und anderen Infrastrukturen der einzelnen Anwendungen.
Gemeinsam genutzte Services	Infrastruktur	Dieses Konto unterstützt die Dienste, die mehrere Anwendungen und Teams nutzen, um ihre Ergebnisse zu erzielen. Beispiele hierfür sind Identity Center-Verzeichnisdienste (Active Directory), Messaging-Dienste und Metadatendienste.
Anwendung	Workloads	AWS-Konten, die die Anwendungen der AWS-Organisation hosten und die Workloads ausführen. (Diese werden manchmal als Workload-Konten bezeichnet.) Anwendungskonten sollten erstellt werden, um Softwaredienste zu isolieren, anstatt sie Ihren Teams zuzuordnen. Dadurch ist die bereitgestellte Anwendung widerstandsfähiger gegenüber organisatorischen Veränderungen.