Konto „Org Management“

Beeinflussen Sie die future der AWS Security Reference Architecture (AWSSRA), indem Sie an einer kurzen Umfrage teilnehmen.

Das folgende Diagramm zeigt die AWS-Sicherheitsservices, die im Org Management-Konto konfiguriert sind.

In den Abschnitten Verwenden von AWS Organizations aus Sicherheitsgründen und Das Verwaltungskonto, vertrauenswürdiger Zugriff und delegierte Administratoren weiter oben in diesem Handbuch wurden der Zweck und die Sicherheitsziele des Org Management-Kontos ausführlich erörtert. Folgen Sie den bewährten Sicherheitsmethoden für Ihr Org Management-Konto. Dazu gehören die Verwendung einer E-Mail-Adresse, die von Ihrem Unternehmen verwaltet wird, die Pflege der korrekten administrativen und sicherheitstechnischen Kontaktinformationen (z. B. das Anhängen einer Telefonnummer an das Konto für den Fall, dass AWS den Kontoinhaber kontaktieren muss), die Aktivierung der Multi-Faktor-Authentifizierung (MFA) für alle Benutzer und die regelmäßige Überprüfung, wer Zugriff auf das Org Management-Konto hat. Dienste, die im Organisationsverwaltungskonto bereitgestellt werden, sollten mit geeigneten Rollen, Vertrauensrichtlinien und anderen Berechtigungen konfiguriert werden, sodass die Administratoren dieser Dienste (die im Organisationsverwaltungskonto darauf zugreifen müssen) nicht auch unangemessen auf andere Dienste zugreifen können.

Service-Kontrollrichtlinien

Mit AWS Organizations können Sie Richtlinien für mehrere AWS-Konten zentral verwalten. Sie können beispielsweise Service Control Policies (SCPs) auf mehrere AWS-Konten anwenden, die Mitglieder einer Organisation sind. Mit SCPs können Sie definieren, welche AWS-Service-APIs von AWS Identity and Access Management (IAM) -Entitäten (wie IAM-Benutzern und -Rollen) in den AWS-Mitgliedskonten Ihrer Organisation ausgeführt werden können und welche nicht. SCPs werden über das Organisationsverwaltungskonto erstellt und angewendet. Dabei handelt es sich um das AWS-Konto, das Sie bei der Erstellung Ihrer Organisation verwendet haben. Weitere Informationen zu SCPs finden Sie im Abschnitt Verwenden von AWS Organizations aus Sicherheitsgründen weiter oben in dieser Referenz. 

Wenn Sie AWS Control Tower zur Verwaltung Ihrer AWS-Organisation verwenden, setzt es eine Reihe von SCPs als präventive Schutzmaßnahmen ein (kategorisiert als verpflichtend, dringend empfohlen oder optional). Diese Leitplanken helfen Ihnen bei der Verwaltung Ihrer Ressourcen, indem sie unternehmensweite Sicherheitskontrollen durchsetzen. Diese SCPs verwenden automatisch ein aws-control-tower Tag mit dem Wert. managed-by-control-tower 

Überlegungen zum Design

• SCPs betreffen nur Mitgliedskonten in der AWS-Organisation. Sie werden zwar vom Org Management-Konto aus angewendet, haben aber keine Auswirkungen auf Benutzer oder Rollen in diesem Konto. Weitere Informationen zur Funktionsweise der SCP-Bewertungslogik und Beispiele für empfohlene Strukturen finden Sie im AWS-Blogbeitrag How to Use Service Control Policies in AWS Organizations.

IAM Identity Center

AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) ist ein Identity Federation Service, mit dem Sie den SSO-Zugriff auf all Ihre AWS-Konten, Prinzipale und Cloud-Workloads zentral verwalten können. IAM Identity Center unterstützt Sie auch bei der Verwaltung des Zugriffs und der Berechtigungen für häufig verwendete SaaS-Anwendungen (Software as a Service) von Drittanbietern. Identitätsanbieter können mithilfe von SAML 2.0 in IAM Identity Center integriert werden. Die just-in-time Massenverwaltung und Bereitstellung können mithilfe des Systems for Cross-Domain Identity Management (SCIM) erfolgen. IAM Identity Center kann mithilfe von AWS Directory Service auch als Identitätsanbieter in lokale oder von AWS verwaltete Microsoft Active Directory (AD) -Domänen integriert werden. IAM Identity Center umfasst ein Benutzerportal, in dem Ihre Endbenutzer ihre zugewiesenen AWS-Konten, Rollen, Cloud-Anwendungen und benutzerdefinierten Anwendungen an einem Ort finden und darauf zugreifen können.

IAM Identity Center ist nativ in AWS Organizations integriert und wird standardmäßig im Org Management-Konto ausgeführt. Um jedoch die geringsten Rechte auszuüben und den Zugriff auf das Verwaltungskonto streng zu kontrollieren, kann die Verwaltung von IAM Identity Center an ein bestimmtes Mitgliedskonto delegiert werden. In der AWS SRA ist das Shared Services-Konto das delegierte Administratorkonto für IAM Identity Center. Bevor Sie die delegierte Administration für IAM Identity Center aktivieren, sollten Sie sich diese Überlegungen ansehen. Weitere Informationen zur Delegierung finden Sie im Abschnitt Shared Services-Konto. Auch nachdem Sie die Delegierung aktiviert haben, muss IAM Identity Center weiterhin im Org Management-Konto ausgeführt werden, um bestimmte Aufgaben im Zusammenhang mit IAM Identity Center auszuführen. Dazu gehört auch die Verwaltung von Berechtigungssätzen, die im Org Management-Konto bereitgestellt werden. 

In der IAM Identity Center-Konsole werden Konten nach ihrer kapselnden Organisationseinheit angezeigt. Auf diese Weise können Sie Ihre AWS-Konten schnell ermitteln, allgemeine Berechtigungen anwenden und den Zugriff von einem zentralen Standort aus verwalten. 

Das IAM Identity Center umfasst einen Identitätsspeicher, in dem bestimmte Benutzerinformationen gespeichert werden müssen. IAM Identity Center muss jedoch nicht die maßgebliche Quelle für Personalinformationen sein. In Fällen, in denen Ihr Unternehmen bereits über eine zuverlässige Quelle verfügt, unterstützt IAM Identity Center die folgenden Arten von Identitätsanbietern (). IdPs

• IAM Identity Center Identity Store — Wählen Sie diese Option, wenn die folgenden beiden Optionen nicht verfügbar sind. Im Identitätsspeicher werden Benutzer erstellt, Gruppenzuweisungen vorgenommen und Berechtigungen zugewiesen. Auch wenn sich Ihre autoritative Quelle außerhalb von IAM Identity Center befindet, wird eine Kopie der Hauptattribute im Identitätsspeicher gespeichert.

• Microsoft Active Directory (AD) — Wählen Sie diese Option, wenn Sie weiterhin Benutzer entweder in Ihrem Verzeichnis in AWS Directory Service for Microsoft Active Directory oder in Ihrem selbstverwalteten Verzeichnis in Active Directory verwalten möchten.

• Externer Identitätsanbieter — Wählen Sie diese Option, wenn Sie Benutzer lieber in einem externen, SAML-basierten Drittanbieter-IdP verwalten möchten.

Sie können sich auf einen bestehenden IdP verlassen, der bereits in Ihrem Unternehmen vorhanden ist. Dies erleichtert die Verwaltung des Zugriffs über mehrere Anwendungen und Dienste hinweg, da Sie den Zugriff von einem einzigen Standort aus erstellen, verwalten und widerrufen. Wenn beispielsweise jemand Ihr Team verlässt, können Sie ihm den Zugriff auf alle Anwendungen und Services (einschließlich AWS-Konten) von einem Standort aus entziehen. Dies reduziert den Bedarf an mehreren Anmeldeinformationen und bietet Ihnen die Möglichkeit, sich in Ihre Personalprozesse (HR) zu integrieren.

Überlegungen zum Design

• Verwenden Sie einen externen IdP, wenn diese Option für Ihr Unternehmen verfügbar ist. Wenn Ihr IdP System for Cross-Domain Identity Management (SCIM) unterstützt, nutzen Sie die SCIM-Funktion in IAM Identity Center, um die Bereitstellung von Benutzern, Gruppen und Berechtigungen (Synchronisation) zu automatisieren. Auf diese Weise kann AWS Access bei Neueinstellungen, Mitarbeitern, die in ein anderes Team wechseln, und Mitarbeitern, die das Unternehmen verlassen, mit Ihrem Unternehmensablauf synchron bleiben. Sie können zu jedem Zeitpunkt nur ein Verzeichnis oder einen SAML 2.0-Identitätsanbieter mit IAM Identity Center verbinden. Sie können jedoch zu einem anderen Identitätsanbieter wechseln.

IAM-Zugriffsberater

Der IAM Access Advisor stellt Rückverfolgbarkeitsdaten in Form von Informationen zum zuletzt aufgerufenen Service für Ihre AWS-Konten und Organisationseinheiten bereit. Verwenden Sie diese Detektivkontrolle, um zu einer Strategie mit den geringsten Rechten beizutragen. Für IAM-Entitäten können Sie zwei Arten von Informationen anzeigen, auf die zuletzt zugegriffen wurde: zulässige AWS-Serviceinformationen und Informationen zu zulässigen Aktionen. Die Informationen enthalten das Datum und die Uhrzeit des Zugriffsversuchs. 

Mit dem IAM-Zugriff innerhalb des Org Management-Kontos können Sie die Daten zum letzten Zugriff auf den Service für das Org Management-Konto, die Organisationseinheit, das Mitgliedskonto oder die IAM-Richtlinie in Ihrer AWS-Organisation einsehen. Diese Informationen sind in der IAM-Konsole innerhalb des Verwaltungskontos verfügbar und können auch programmgesteuert mithilfe von IAM Access Advisor-APIs in der AWS-Befehlszeilenschnittstelle (AWS CLI) oder einem programmatischen Client abgerufen werden. Die Informationen geben an, welche Auftraggeber in einer Organisation oder einem Konto zuletzt versucht haben, auf den Service zuzugreifen, und wann dies geschah. Die zuletzt abgerufenen Informationen geben Aufschluss über die tatsächliche Nutzung der Services (siehe Beispielszenarien), sodass Sie IAM-Berechtigungen nur auf die Services beschränken können, die tatsächlich genutzt werden.

AWS Systems Manager

Quick Setup und Explorer, Funktionen von AWS Systems Manager, unterstützen beide AWS Organizations und werden vom Org Management-Konto aus betrieben. 

Quick Setup ist eine Automatisierungsfunktion von Systems Manager. Damit kann das Org Management-Konto auf einfache Weise Konfigurationen definieren, damit Systems Manager in Ihrem Namen kontenübergreifend in Ihrer AWS-Organisation tätig werden kann. Sie können Quick Setup für Ihre gesamte AWS-Organisation aktivieren oder bestimmte Organisationseinheiten auswählen. Quick Setup kann AWS Systems Manager Agent (SSM Agent) so planen, dass er zweiwöchentliche Updates für Ihre EC2-Instances ausführt, und kann einen täglichen Scan dieser Instances einrichten, um fehlende Patches zu identifizieren. 

Explorer ist ein anpassbares Operations-Dashboard, das Informationen über Ihre AWS-Ressourcen meldet. Explorer zeigt eine aggregierte Ansicht der Betriebsdaten für Ihre AWS-Konten und für alle AWS-Regionen an. Dazu gehören Daten über Ihre EC2-Instances und Details zur Patch-Compliance. Nachdem Sie das integrierte Setup (das auch Systems Manager umfasst OpsCenter) innerhalb von AWS Organizations abgeschlossen haben, können Sie Daten im Explorer nach OU oder für eine gesamte AWS-Organisation zusammenfassen. Systems Manager aggregiert die Daten im AWS Org Management-Konto, bevor sie im Explorer angezeigt werden.

Im Abschnitt Workloads OU weiter unten in diesem Handbuch wird die Verwendung des Systems Manager Agent (SSM Agent) auf den EC2-Instances im Anwendungskonto beschrieben.

AWS Control Tower

AWS Control Tower bietet eine einfache Möglichkeit, eine sichere AWS-Umgebung mit mehreren Konten einzurichten und zu verwalten, die als landing zone bezeichnet wird. AWS Control Tower erstellt mithilfe von AWS Organizations Ihre landing zone und bietet fortlaufende Kontoverwaltung und -steuerung sowie bewährte Implementierungsmethoden. Sie können AWS Control Tower verwenden, um in wenigen Schritten neue Konten bereitzustellen und gleichzeitig sicherzustellen, dass die Konten Ihren Unternehmensrichtlinien entsprechen. Sie können sogar bestehende Konten zu einer neuen AWS Control Tower Tower-Umgebung hinzufügen. 

AWS Control Tower verfügt über eine breite und flexible Palette von Funktionen. Ein wichtiges Merkmal ist die Fähigkeit, die Funktionen mehrerer anderer AWS-Services, darunter AWS Organizations, AWS Service Catalog und IAM Identity Center, zu orchestrieren, um eine landing zone aufzubauen. Beispielsweise verwendet AWS Control Tower standardmäßig AWS, CloudFormation um eine Basislinie festzulegen, AWS Organizations Service Control Policies (SCPs), um Konfigurationsänderungen zu verhindern, und AWS Config-Regeln, um kontinuierlich Abweichungen zu erkennen. AWS Control Tower verwendet Blueprints, die Ihnen helfen, Ihre AWS-Umgebung mit mehreren Konten schnell an den Entwurfsprinzipien der AWS Well Architected Security Foundation auszurichten. Neben den Governance-Funktionen bietet AWS Control Tower Schutzmaßnahmen, die verhindern, dass Ressourcen eingesetzt werden, die nicht den ausgewählten Richtlinien entsprechen. 

Sie können mit der Implementierung der AWS-SRA-Leitlinien mit AWS Control Tower beginnen. AWS Control Tower richtet beispielsweise eine AWS-Organisation mit der empfohlenen Multi-Account-Architektur ein. Es bietet Blueprints für Identitätsmanagement, Verbundzugriff auf Konten, Zentralisierung der Protokollierung, Einrichtung kontenübergreifender Sicherheitsaudits, Definition eines Workflows für die Bereitstellung neuer Konten und Implementierung von Kontenbasislinien mit Netzwerkkonfigurationen. 

In der AWS-SRA befindet sich AWS Control Tower innerhalb des Org Management-Kontos, da AWS Control Tower dieses Konto verwendet, um automatisch eine AWS-Organisation einzurichten, und dieses Konto als Verwaltungskonto festlegt. Dieses Konto wird für die Abrechnung in Ihrer gesamten AWS-Organisation verwendet. Es wird auch für die Account Factory Factory-Bereitstellung von Konten, zur Verwaltung von OUs und zur Verwaltung von Guardrails verwendet. Wenn Sie AWS Control Tower in einer bestehenden AWS-Organisation starten, können Sie das bestehende Verwaltungskonto verwenden. AWS Control Tower verwendet dieses Konto als designiertes Verwaltungskonto.

Überlegungen zum Design

• Wenn Sie zusätzliche Grundeinstellungen für Kontrollen und Konfigurationen für Ihre Konten vornehmen möchten, können Sie Customizations for AWS Control Tower (cFCT) verwenden. Mit CfCT können Sie Ihre AWS Control Tower Tower-Landezone mithilfe einer CloudFormation AWS-Vorlage und Service Control Policies (SCPs) individuell anpassen. Sie können die benutzerdefinierte Vorlage und die Richtlinien für einzelne Konten und Organisationseinheiten innerhalb Ihrer Organisation bereitstellen. CfCT lässt sich in die Lebenszyklusereignisse von AWS Control Tower integrieren, um sicherzustellen, dass die Ressourcenbereitstellung mit Ihrer landing zone synchron bleibt. 

AWS Artifact

AWS Artifact bietet On-Demand-Zugriff auf AWS-Sicherheits- und Compliance-Berichte und ausgewählte Online-Vereinbarungen. Zu den in AWS Artifact verfügbaren Berichten gehören SOC-Berichte (System and Organization Controls), PCI-Berichte (Payment Card Industry) und Zertifizierungen von Akkreditierungsstellen in verschiedenen Regionen und Compliance-Branchen, die die Implementierung und Betriebseffizienz von AWS-Sicherheitskontrollen belegen. AWS Artifact unterstützt Sie bei der Durchführung Ihrer Sorgfaltspflicht gegenüber AWS und bietet mehr Transparenz in unserer Sicherheitskontrollumgebung. Außerdem können Sie damit die Sicherheit und Konformität von AWS kontinuierlich überwachen und sofort auf neue Berichte zugreifen. 

Mit AWS Artifact Agreements können Sie den Status von AWS-Vereinbarungen wie dem Business Associate Addendum (BAA) für ein einzelnes Konto und für die Konten, die Teil Ihrer Organisation in AWS Organizations sind, überprüfen, akzeptieren und verfolgen. 

Sie können die AWS-Prüfartefakte Ihren Prüfern oder Aufsichtsbehörden als Nachweis für die AWS-Sicherheitskontrollen zur Verfügung stellen. Sie können auch die Verantwortlichkeitsrichtlinien einiger AWS-Audit-Artefakte verwenden, um Ihre Cloud-Architektur zu entwerfen. Anhand dieser Leitlinien können Sie festlegen, welche zusätzlichen Sicherheitskontrollen Sie zur Unterstützung der spezifischen Anwendungsfälle Ihres Systems einrichten können. 

AWS Artifacts wird im Org Management-Konto gehostet und bietet so einen zentralen Ort, an dem Sie Vereinbarungen mit AWS überprüfen, akzeptieren und verwalten können. Dies liegt daran, dass Vereinbarungen, die auf dem Verwaltungskonto akzeptiert werden, auf die Mitgliedskonten übertragen werden. 

Überlegungen zum Design

• Benutzer innerhalb des Org Management-Kontos sollten darauf beschränkt sein, nur die Vertragsfunktion von AWS Artifact und nichts anderes zu verwenden. Um die Aufgabentrennung zu implementieren, wird AWS Artifact auch im Security Tooling-Konto gehostet, wo Sie Berechtigungen für den Zugriff auf Prüfartefakte an Ihre Compliance-Stakeholder und externe Prüfer delegieren können. Sie können diese Trennung implementieren, indem Sie detaillierte IAM-Berechtigungsrichtlinien definieren. Beispiele finden Sie in der AWS-Dokumentation unter Beispiele für IAM-Richtlinien.

Leitplanken für verteilte und zentralisierte Sicherheitsdienste

In der AWS SRA werden AWS Security Hub, Amazon, AWS Config GuardDuty, IAM Access Analyzer, CloudTrail AWS-Organisationstrails und häufig Amazon Macie mit entsprechender delegierter Administration oder Aggregation für das Security Tooling-Konto bereitgestellt. Dies ermöglicht konsistente Leitplanken für alle Konten und bietet außerdem eine zentrale Überwachung, Verwaltung und Steuerung in Ihrer gesamten AWS-Organisation. Sie finden diese Gruppe von Services in allen Kontotypen, die in der AWS SRA vertreten sind. Diese sollten Teil der AWS-Services sein, die im Rahmen des Onboarding- und Baselining-Prozesses Ihres Kontos bereitgestellt werden müssen. Das GitHubCode-Repository bietet eine Beispielimplementierung sicherheitsorientierter AWS-Services für Ihre Konten, einschließlich des AWS Org Management-Kontos. 

Zusätzlich zu diesen Services umfasst AWS SRA zwei sicherheitsorientierte Services, Amazon Detective und AWS Audit Manager, die die Integration und delegierte Administratorfunktionen in AWS Organizations unterstützen. Diese sind jedoch nicht Teil der empfohlenen Services für das Account-Baselining. Wir haben festgestellt, dass diese Dienste in den folgenden Szenarien am besten verwendet werden:

• Sie verfügen über ein engagiertes Team oder eine Gruppe von Ressourcen, die diese Funktionen der digitalen Forensik und IT-Audits ausführen. Amazon Detective wird am besten von Sicherheitsanalystenteams genutzt, und AWS Audit Manager ist hilfreich für Ihre internen Audit- oder Compliance-Teams.

• Sie möchten sich zu Beginn Ihres Projekts auf ein Kernpaket von Tools wie GuardDuty Security Hub konzentrieren und dann darauf aufbauen, indem Sie Dienste nutzen, die zusätzliche Funktionen bieten.