Organisationsverwaltungskonto - AWSPräskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Organisationsverwaltungskonto

Das folgende Diagramm zeigt die AWS-Sicherheitsdienste, die im Org Management-Konto konfiguriert sind.


      Sicherheitsdienste für das Org-Management-Konto

Die SektionenVerwendung von AWS Organizations für die SicherheitundDas Verwaltungskonto, vertrauenswürdiger Zugriff und delegierte Administratorenweiter oben in diesem Handbuch wurden der Zweck und die Sicherheitsziele des Org Management-Kontos eingehend erörtert. FollowBewährte Methoden in Bezug auf die -Sicherheitfür Ihr Org-Management-Konto. Dazu gehören die Verwendung einer E-Mail-Adresse, die von Ihrem Unternehmen verwaltet wird, die Pflege der korrekten Verwaltungs- und Sicherheitskontaktinformationen (z. B. das Anhängen einer Telefonnummer an das Konto, falls AWS den Inhaber des Kontos kontaktieren muss) und die Aktivierung der Multi-Faktor-Authentifizierung (MFA) für alle Benutzer. und regelmäßig überprüfen, wer Zugriff auf das Org-Management-Konto hat. Dienste, die im Org-Management-Konto bereitgestellt werden, sollten mit entsprechenden Rollen, Vertrauensrichtlinien und anderen Berechtigungen konfiguriert werden, damit die Administratoren dieser Dienste (die im Org-Management-Konto auf sie zugreifen müssen) nicht unangemessen auf andere Dienste zugreifen können.

Service-Kontrollrichtlinien

mitAWS Organizationskönnen Sie Policys über mehrere AWS-Konten hinweg zentral verwalten. Beispielsweise können Sie sich bewerbenService-Kontrollrichtlinien(SCPs) über mehrere AWS-Konten hinweg, die Mitglieder einer Organisation sind. Mit SCPs können Sie definieren, von welchen AWS-Service-APIs ausgeführt werden können und welche nichtAWS Identity and Access Management(IAM) Principals (wie IAM-Benutzer und -Rollen) in den AWS-Mitgliedskonten Ihrer Organisation. SCPs werden über das Org-Management-Konto erstellt und angewendet, bei dem es sich um das AWS-Konto handelt, das Sie bei der Erstellung Ihrer Organisation verwendet haben. Lesen Sie mehr über SCPs inVerwendung von AWS Organizations für die SicherheitAbschnitt weiter oben in dieser Referenz. 

Wenn Sie den AWS Control Tower zur Verwaltung Ihrer AWS-Organisation verwenden, wird dieser bereitgestellteine Reihe von SCPs als präventive Leitplanken(als obligatorisch, dringend empfohlen oder wahlweise eingestuft). Diese Leitplanken helfen Ihnen bei der Verwaltung Ihrer Ressourcen, indem sie unternehmensweite Sicherheitskontrollen durchsetzen. Diese SCPs verwenden automatisch ein aws-control-tower -Tag mit einem Wert von managed-by-control-tower. 

Überlegungen zum Entwurf
  • SCP wirken sich nur aufMitgliedKonten in der AWS-Organisation. Obwohl sie über das Organisationsverwaltungskonto angewendet werden, haben sie keine Auswirkungen auf Benutzer oder Rollen in diesem Konto. Weitere Informationen zur Funktionsweise der SCP-Bewertungslogik und Beispiele für empfohlene Strukturen finden Sie im AWS-BlogbeitragSo verwenden Sie Service Control-Richtlinien in AWS Organizations.

AWS CloudTrail

AWS CloudTrail ist ein -Service, der Governance, Compliance, Betriebsprüfung und Risikoprüfung Ihres AWS-Kontos unterstützt. mit CloudTrailkönnen Sie Kontoaktivitäten im Zusammenhang mit Aktionen in Ihrer gesamten AWS-Infrastruktur protokollieren, kontinuierlich überwachen und beibehalten. CloudTrail ist in AWS Organizations integriert, und diese Integration kann verwendet werden, um einen einzigen Trail zu erstellen, der alle Ereignisse für alle Konten in der AWS-Organisation protokolliert. Ein solcher Trail wird als Organisations-Trail bezeichnet. Wenn Sie einen Organisations-Trail erstellen, wird in jedem AWS-Konto, das zu Ihrer AWS-Organisation gehört, ein Trail mit dem von Ihnen gewählten Namen erstellt. Der Trail protokolliert Aktivitäten für alle Konten in der AWS-Organisation und speichert die Protokolle in einem einzigen S3-Bucket. Alle Konten in der AWS-Organisation können den Organisations-Trail in der Liste der Trails sehen. Mitgliedskonten in AWS haben jedoch begrenzten Zugriff auf diesen Trail. Darüber hinaus hat standardmäßig nur das Organisationsverwaltungskonto Zugriff auf den S3-Bucket. Weitere Informationen zu diesen Schutzmaßnahmen finden Sie inAmazon S3 als zentraler ProtokollspeicherAbschnitts erstellt. Weitere bewährte Methoden für die Sicherheit finden Sie in derAWS CloudTrail Dokumentation.

In der AWS SRA CloudTrail wird im Org-Management-Konto angezeigt, da Sie einen Organisationspfad nur innerhalb des Verwaltungskontos und mit den entsprechenden IAM-Berechtigungen erstellen können. Der entsprechende Organisationspfad-S3-Bucket zum Speichern aller Protokolle wird im Log Archiv-Konto erstellt. 

Überlegungen zum Entwurf
  • Wenn Mitgliedskonten CloudTrail Informationen auf eine Weise, die vom Organisationspfad nicht zulässig ist, können die Manager jedes AWS-Kontos einen lokalen Pfad mit den entsprechenden Kontrollen erstellen.

IAM Identity Center

AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) ist ein Identitätsverbund-Service, mit dem Sie den SSO-Zugriff auf alle Ihre AWS-Konten, Principals und Cloud-Workloads zentral verwalten können. IAM Identity Center hilft Ihnen auch bei der Zugriffs- und Berechtigungsverwaltung für häufig verwendete Software-as-a-Service (SaaS) -Anwendungen von Drittanbietern. Identitätsanbieter werden mithilfe von SAML 2.0 in IAM Identity Center integriert. Massen-und just-in-timeDie Bereitstellung kann mithilfe des Systems for Cross-Domain Identity Management (SCIM) erfolgen. IAM Identity Center enthält ein Benutzerportal, in dem Ihre Endbenutzer ihre AWS-Konten, Rollen, Cloud-Anwendungen und benutzerdefinierten Anwendungen, die ihnen zugewiesen sind, an einem zentralen Ort finden und aufrufen können.

IAM Identity Center lässt sich nativ in AWS Organizations integrieren und wird standardmäßig im Org Management-Konto ausgeführt. Um jedoch die geringsten Berechtigungen auszuüben und den Zugriff auf das Verwaltungskonto streng zu kontrollieren, kann das IAM Identity Center-Management an ein bestimmtes Mitgliedskonto delegiert werden. In der AWS SRA ist das Shared Services-Konto das delegierte Administratorkonto für IAM Identity Center. Bevor Sie die delegierte Administration für IAM Identity Center aktivieren, lesen SieÜberlegungen zu. Weitere Informationen zum Thema Delegation finden Sie in derKonto bei gemeinsam genutzten ServicesAbschnitts erstellt. Auch nachdem Sie die Delegierung aktiviert haben, muss IAM Identity Center weiterhin im Org-Management-Konto ausgeführt werden, um bestimmte Aufgaben zu erfüllenAufgaben im Zusammenhang mit IAM Identity Center, die die Verwaltung von Berechtigungssätzen beinhalten, die im Org-Management-Konto bereitgestellt werden. 

In der IAM Identity Center-Konsole werden Konten anhand ihrer kapselnden Organisationseinheit angezeigt. So können Sie schnell Ihre AWS-Konten ermitteln, häufig genutzte Berechtigungssätze anwenden und den Zugriff von einem zentralen Ort aus verwalten. 

IAM Identity Center umfasst einen Identitätsspeicher, in dem bestimmte Benutzerinformationen gespeichert werden müssen. IAM Identity Center muss jedoch nicht die maßgebliche Quelle für Mitarbeiterinformationen sein, obwohl dies möglich ist. In Fällen, in denen Ihr Unternehmen bereits über eine maßgebliche Quelle verfügt, unterstützt IAM Identity Center die folgenden Arten von Identitätsanbietern (IdPs) enthalten.

  • IAM Identity Center Identitätsspeicher —Wählen Sie diese Option, wenn die folgenden beiden Optionen nicht verfügbar sind. Benutzer werden erstellt, Gruppenzuweisungen vorgenommen und Berechtigungen werden im Identitätsspeicher zugewiesen. Auch wenn sich Ihre autorisierende Quelle außerhalb von IAM Identity Center befindet, wird eine Kopie der Hauptattribute im Identitätsspeicher gespeichert.

  • Microsoft Active Directory (AD) —Wählen Sie diese Option, wenn Sie Benutzer entweder in Ihrem eigenen lokalen oder cloudbasierten Active Directory verwalten möchten, oder wenn Sie migrieren oder verwenden möchtenIn AWS Managed Microsoft ADim AWS Directory Service.

  • Externer IdP —Wählen Sie diese Option, wenn Sie es vorziehen, Benutzer in einem externen Drittanbieter-IdP zu verwalten.

Sie können sich auf einen bestehenden IdP verlassen, der bereits in Ihrem Unternehmen vorhanden ist. Dies erleichtert die Verwaltung des Zugriffs über mehrere Anwendungen und Dienste hinweg, da Sie den Zugriff von einem einzigen Standort aus erstellen, verwalten und widerrufen. Wenn beispielsweise jemand Ihr Team verlässt, können Sie ihm den Zugriff auf alle Anwendungen und Dienste (einschließlich AWS-Konten) von einem Standort aus entziehen. Dies reduziert den Bedarf an mehreren Anmeldeinformationen und bietet Ihnen die Möglichkeit, sich in Ihre Personalprozesse (HR) zu integrieren.

Überlegungen zum Entwurf
  • Verwenden Sie einen externen IdP, wenn diese Option für Ihr Unternehmen verfügbar ist. Nutzen Sie die SCIM-Funktion in IAM Identity Center, um die Benutzer-, Gruppen- und Berechtigungsbereitstellung (Synchronisation) zu automatisieren. Auf diese Weise kann der AWS-Zugriff mit Ihrem Unternehmensworkflow für Neueinstellungen, Mitarbeiter, die in ein anderes Team wechseln, und Mitarbeiter, die das Unternehmen verlassen, synchron bleiben.

IAM Access Advisor

IAM Access Advisor bietet Daten zur Rückverfolgbarkeit in Form von Informationen, auf die zuletzt zugegriffen wurde, für Ihre AWS-Konten und OUs. Nutzen Sie diese detektivische Kontrolle, um zu einemStrategie der geringsten Rechte. Für IAM-Prinzipale können Sie zwei Arten von Informationen über den letzten Zugriff anzeigen: Informationen über erlaubte AWS Services und Informationen über erlaubte Aktionen. Die Informationen enthalten das Datum und die Uhrzeit des Zugriffsversuchs. 

Mit IAM-Zugriff innerhalb des Org-Management-Kontos können Sie die zuletzt aufgerufenen Service-Daten für das Org-Management-Konto, die OU, das Mitgliedskonto oder die IAM-Richtlinie in Ihrer AWS-Organisation anzeigen. Diese Informationen sind in der IAM-Konsole innerhalb des Verwaltungskontos verfügbar und können auch programmgesteuert mithilfe von IAM-Zugriffsberater-APIs in AWS Command Line Interface (AWS CLI) oder einem programmatischen Client abgerufen werden. Die Informationen geben an, welche Auftraggeber in einer Organisation oder einem Konto zuletzt versucht haben, auf den Service zuzugreifen, und wann dies geschah. Informationen, auf die zuletzt zugegriffen wurde, bieten Einblicke in die tatsächliche ServicenutzungBeispielszenarien), sodass Sie die IAM-Berechtigungen nur auf die Dienste reduzieren können, die tatsächlich verwendet werden.

AWS Systems Manager

Quick Setup und Explorer, die Funktionen von AWS Systems Manager sind, unterstützen beide AWS Organizations und arbeiten über das Org Management-Konto. 

Schnelleinrichtungist eine Automatisierungsfunktion von Systems Manager. Es ermöglicht dem Org Management-Konto, auf einfache Weise Konfigurationen zu definieren, die Systems Manager in Ihrem Namen über mehrere Konten in Ihrer AWS-Organisation hinweg nutzen kann. Sie können die Schnelleinrichtung in Ihrer gesamten AWS-Organisation aktivieren oder bestimmte OUs auswählen. Quick Setup kann AWS Systems Manager Agent (SSM Agent) so planen, dass alle zwei Wochen Updates für Ihre EC2-Instances ausgeführt werden, und kann einen täglichen Scan dieser Instances einrichten, um fehlende Patches zu identifizieren. 

Explorerist ein anpassbares Betriebs-Dashboard, das Informationen zu Ihren AWS-Ressourcen meldet. Explorer zeigt eine aggregierte Ansicht der Betriebsdaten für Ihre AWS-Konten und AWS-Regionen hinweg an. Dazu gehören Daten über Ihre EC2-Instances und Details zur Patch-Konformität. Nachdem Sie das integrierte Setup abgeschlossen haben (das auch Systems Manager beinhaltet) OpsCenter) innerhalb von AWS Organizations können Sie Daten im Explorer nach Organisationseinheit oder für eine gesamte AWS-Organisation aggregieren. Systems Manager aggregiert die Daten in das AWS Org Management-Konto vor der Anzeige in Explorer.

DieOrganisationseinheit Workloadsweiter unten in diesem Handbuch wird die Verwendung des Systems Manager Agent (SSM Agent) auf den EC2-Instances im Anwendungskonto beschrieben.

AWS Control Tower

AWS Control Tower bietet eine einfache Möglichkeit zum Einrichten und Verwalten einer sicheren AWS-Umgebung für mehrere Konten, die alslanding zone. Der AWS Control Tower erstellt Ihre landing zone mithilfe von AWS Organizations und bietet fortlaufendes Account-Management und -Governance sowie Best Practices für die Implementierung. Sie können den AWS Control Tower verwenden, um in wenigen Schritten neue Konten bereitzustellen und gleichzeitig sicherzustellen, dass die Konten Ihren Unternehmensrichtlinien entsprechen. Sie können sogar bestehende Konten zu einer neuen AWS Control Tower Tower-Umgebung hinzufügen. 

Der AWS Control Tower verfügt über einen breiten und flexiblen Funktionsumfang. Ein wesentliches Merkmal ist seine Fähigkeitorchestrierendie Fähigkeiten mehrerer andererAWS-Services, einschließlich AWS Organizations, AWS Service Catalog und IAM Identity Center, zum Aufbau einer landing zone. Zum Beispiel verwendet AWS Control Tower standardmäßig AWS CloudFormation zur Festlegung einer Basislinie, Service Control Policies (SCPs) von AWS Organizations zur Verhinderung von Konfigurationsänderungen und AWS Config-Regeln zur kontinuierlichen Erkennung von Nichtkonformität. AWS Control Tower verwendet Blaupausen, die Ihnen helfen, Ihre AWS-Umgebung mit mehreren Konten schnell aufEntwurfsprinzipien der AWS Well Architected Security Foundation. Unter den Governance-Funktionen bietet der AWS Control Tower Leitplanken, die die Bereitstellung von Ressourcen verhindern, die den ausgewählten Richtlinien nicht entsprechen. 

Sie können mit der Implementierung der AWS SRA-Anleitung mit dem AWS Control Tower beginnen. Der AWS Control Tower richtet beispielsweise eine AWS-Organisation mit der empfohlenen Architektur für mehrere Konten ein. Es bietet Blaupausen für das Identitätsmanagement, den Verbundzugriff auf Konten, die Zentralisierung der Protokollierung, die Einrichtung kontoübergreifender Sicherheitsüberprüfungen, die Definition eines Workflows für die Bereitstellung neuer Konten und die Implementierung von Kontenbaselines mit Netzwerkkonfigurationen. 

In der AWS SRA befindet sich der AWS Control Tower innerhalb des Org Management-Kontos, da der AWS Control Tower dieses Konto verwendet, um automatisch eine AWS-Organisation einzurichten, und dieses Konto als Verwaltungskonto ausweist. Dieses Konto wird für die Abrechnung in Ihrer gesamten AWS-Organisation verwendet. Es wird auch für die Account Factory Factory-Bereitstellung von Konten, für die Verwaltung von Organisationseinheiten und für die Verwaltung von Leitlinien verwendet. Wenn Sie den AWS Control Tower in einer vorhandenen AWS-Organisation starten, können Sie das vorhandene Verwaltungskonto verwenden. Der AWS Control Tower verwendet dieses Konto als designiertes Verwaltungskonto.

Überlegungen zum Entwurf
  • Wenn Sie zusätzliche Baselines für Steuerelemente und Konfigurationen in Ihren Konten vornehmen möchten, können SieAnpassungen für AWS Control Tower(FCCt). Mit CfCT können Sie Ihre AWS Control Tower landing zone mithilfe einer AWS anpassen CloudFormation Vorlagen- und Service-Kontrollrichtlinien (SCPs). Sie können die benutzerdefinierte Vorlage und Richtlinien für einzelne Konten und Organisationseinheiten in Ihrer Organisation bereitstellen. CFCT ist in AWS Control Tower Tower-Lebenszyklusereignisse integriert, um sicherzustellen, dass Ressourcenbereitstellungen mit Ihrer landing zone synchronisiert bleiben. 

AWS Artifact

AWS Artifact bietet On-Demand-Zugriff auf AWS-Sicherheits- und Compliance-Berichte und ausgewählte Online-Vereinbarungen Zu den in AWS Artifact verfügbaren Berichten gehören SOC-Berichte (System and Organization Controls), Payment Card Industry (PCI) -Berichte und Zertifizierungen von Akkreditierungsstellen aus verschiedenen Regionen und Compliance-Branchen, die die Implementierung und betriebliche Wirksamkeit von AWS-Sicherheitskontrollen überprüfen. AWS Artifact unterstützt Sie bei der Durchführung Ihrer Due Diligence von AWS mit verbesserter Transparenz in unserer Sicherheitskontrollumgebung. Sie können damit auch die Sicherheit und Konformität von AWS kontinuierlich überwachen und sofort auf neue Berichte zugreifen. 

AWS Artifact Agreements ermöglichen Ihnen die Überprüfung, Annahme und Nachverfolgung des Status von AWS-Vereinbarungen wie unserem Business Associate Addendum (BAA) für ein einzelnes Konto und für Konten, die zu Ihrer Organisation gehören, in AWS Organizations. 

Sie können die AWS-Audit-Artefakte Ihren Prüfern oder Aufsichtsbehörden als Nachweis für die AWS-Sicherheitskontrollen zur Verfügung Sie können auch die Verantwortungsrichtlinien einiger AWS-Audit-Artefakte verwenden, um Ihre Cloud-Architektur zu entwerfen. Diese Anleitung hilft dabei, die zusätzlichen Sicherheitskontrollen zu ermitteln, die Sie zur Unterstützung der spezifischen Anwendungsfälle Ihres Systems einrichten können. 

AWS Artifacts wird im Org Management-Konto gehostet, um einen zentralen Ort zu bieten, an dem Sie Vereinbarungen mit AWS überprüfen, akzeptieren und verwalten können. Dies liegt daran, dass Vereinbarungen, die auf dem Verwaltungskonto akzeptiert werden, auf die Mitgliedskonten übertragen werden. 

Überlegungen zum Entwurf
  • Benutzer innerhalb des Org Management-Kontos sollten darauf beschränkt sein, nur die Vereinbarungsfunktion von AWS Artifact und sonst nichts zu verwenden. Um eine Aufgabentrennung zu implementieren, wird AWS Artifact auch im Security Tooling-Konto gehostet, wo Sie Berechtigungen an Ihre Compliance-Stakeholder und externen Prüfer delegieren können, um auf Prüfartefakte zuzugreifen. Sie können diese Trennung implementieren, indem Sie feinkörnige IAM-Berechtigungsrichtlinien definieren. Beispiele finden Sie unterIAM-Beispielrichtlinienin der AWS-Dokumentation.

Leitplanken für verteilte und zentrale Sicherheitsdienste

In der AWS SRA, AWS Security Hub, Amazon GuardDuty, AWS Config, IAM Access Analyzer, AWS CloudTrail Organisations-Trails, und häufig werden Amazon Macie mit einer entsprechenden delegierten Verwaltung oder Aggregation für das Security Tooling-Konto bereitgestellt. Dies ermöglicht einen konsistenten Satz von Leitplanken für alle Konten und bietet außerdem eine zentrale Überwachung, Verwaltung und Governance in Ihrer gesamten AWS-Organisation. Sie finden diese Gruppe von Diensten in allen Kontotypen, die in der AWS SRA vertreten sind. Diese sollten Teil der AWS-Services sein, die im Rahmen des Onboarding- und Baselining-Prozesses Ihres Kontos bereitgestellt werden müssen. DieGitHubCode-Repositorybietet eine Beispielimplementierung von AWS-Sicherheitsdiensten für Ihre gesamten Konten, einschließlich des AWS Org Management-Kontos. 

Zusätzlich zu diesen Services umfasst AWS SRA zwei sicherheitsorientierte Services, AWS Detective und AWS Audit Manager, die die Integration und delegierte Administratorfunktionen in AWS Organizations unterstützen. Diese sind jedoch nicht in den empfohlenen Diensten für die Account-Baselining enthalten. Wir haben festgestellt, dass diese Services in den folgenden Szenarien am besten verwendet werden:

  • Sie verfügen über ein dediziertes Team oder eine Gruppe von Ressourcen, die diese digitalen Forensik- und IT-Auditfunktionen ausführen. AWS Detective wird am besten von Sicherheitsanalystenteams eingesetzt, und AWS Audit Manager ist Ihren internen Audit- oder Compliance-Teams hilfreich.

  • Sie möchten sich auf ein Kernset von Tools konzentrieren wie GuardDuty und Security Hub zu Beginn Ihres Projekts und bauen Sie dann darauf auf, indem Sie Dienste nutzen, die zusätzliche Funktionen bieten.