Verwendung von AWS Organizations aus Sicherheitsgründen - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von AWS Organizations aus Sicherheitsgründen

Beeinflussen Sie die future der AWS Security Reference Architecture (AWSSRA), indem Sie an einer kurzen Umfrage teilnehmen.

AWS Organizations hilft Ihnen dabei, Ihre Umgebung zentral zu verwalten und zu steuern, während Sie Ihre AWS-Ressourcen erweitern und skalieren. Mithilfe von AWS Organizations können Sie programmgesteuert neue AWS-Konten erstellen, Ressourcen zuweisen, Konten gruppieren, um Ihre Workloads zu organisieren, und Richtlinien auf Konten oder Kontogruppen zur Verwaltung anwenden. Eine AWS-Organisation konsolidiert Ihre AWS-Konten, sodass Sie sie als eine Einheit verwalten können. Sie hat ein Verwaltungskonto sowie null oder mehr Mitgliedskonten. Die meisten Ihrer Workloads befinden sich in Mitgliedskonten, mit Ausnahme einiger zentral verwalteter Prozesse, die entweder im Verwaltungskonto oder in Konten gespeichert sein müssen, die als delegierte Administratoren für bestimmte AWS-Services zugewiesen wurden. Sie können Ihrem Sicherheitsteam Tools und Zugriff von einem zentralen Ort aus bereitstellen, um die Sicherheitsanforderungen im Namen einer AWS-Organisation zu verwalten. Sie können die Verdoppelung von Ressourcen reduzieren, indem Sie wichtige Ressourcen innerhalb Ihrer AWS-Organisation gemeinsam nutzen. Sie können Konten in AWS-Organisationseinheiten (OUs) gruppieren, die je nach den Anforderungen und dem Zweck des Workloads unterschiedliche Umgebungen repräsentieren können.

Mit AWS Organizations können Sie Service Control Policies (SCPs) verwenden, um Genehmigungsrichtlinien auf AWS-Organisations-, OU- oder Kontoebene festzulegen. Diese Richtlinien gelten für Principals innerhalb des Kontos einer Organisation, mit Ausnahme des Verwaltungskontos (was ein Grund dafür ist, Workloads nicht in diesem Konto auszuführen). Wenn Sie ein SCP an eine Organisationseinheit anhängen, wird es von den untergeordneten Organisationseinheiten und den Konten unter der Organisationseinheit übernommen. SCPs gewähren keine Berechtigungen. Stattdessen geben SCPs die maximalen Berechtigungen für eine AWS-Organisation, Organisationseinheit oder ein AWS-Konto an. Sie müssen den Prinzipalen oder Ressourcen in Ihren AWS-Konten weiterhin identitäts- oder ressourcenbasierte Richtlinien zuordnen, um ihnen tatsächlich Berechtigungen zu erteilen. Wenn ein SCP beispielsweise den Zugriff auf Amazon S3 verweigert, hat ein vom SCP betroffener Principal keinen Zugriff auf Amazon S3, selbst wenn ihm der Zugriff durch eine IAM-Richtlinie ausdrücklich gewährt wird. Detaillierte Informationen darüber, wie IAM-Richtlinien bewertet werden, welche Rolle SCPs spielen und wie der Zugriff letztlich gewährt oder verweigert wird, finden Sie in der IAM-Dokumentation unter Bewertungslogik für Richtlinien

AWS Control Tower bietet eine vereinfachte Möglichkeit, mehrere Konten einzurichten und zu verwalten. Es automatisiert die Einrichtung von Konten in Ihrer AWS-Organisation, automatisiert die Bereitstellung, wendet Leitplanken an (einschließlich präventiver und detektiver Kontrollen) und bietet Ihnen ein Dashboard für Transparenz. Eine zusätzliche IAM-Verwaltungsrichtlinie, eine Berechtigungsgrenze, ist bestimmten IAM-Entitäten (Benutzern oder Rollen) zugeordnet und legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität gewähren kann.

AWS Organizations hilft Ihnen bei der Konfiguration von AWS-Services, die für alle Ihre Konten gelten. Sie können beispielsweise die zentrale Protokollierung aller Aktionen konfigurieren, die in Ihrer AWS-Organisation mithilfe von AWS ausgeführt werden CloudTrail, und verhindern, dass Mitgliedskonten die Protokollierung deaktivieren. Sie können auch Daten für Regeln, die Sie mithilfe von AWS Config definiert haben, zentral aggregieren, sodass Sie Ihre Workloads auf Einhaltung überprüfen und schnell auf Änderungen reagieren können. Sie können AWS verwenden CloudFormation StackSets, um CloudFormation AWS-Stacks für Konten und Organisationseinheiten in Ihrer AWS-Organisation zentral zu verwalten, sodass Sie automatisch ein neues Konto einrichten können, um Ihre Sicherheitsanforderungen zu erfüllen. 

Die Standardkonfiguration von AWS Organizations unterstützt die Verwendung von SCPs als Ablehnungslisten. Mithilfe einer Strategie für Ablehnungslisten können Administratoren von Mitgliedskonten alle Services und Aktionen delegieren, bis Sie einen SCP erstellen und anhängen, der einen bestimmten Service oder eine Reihe von Aktionen ablehnt. Deny-Statements erfordern weniger Wartung als eine Zulassungsliste, da Sie sie nicht aktualisieren müssen, wenn AWS neue Services hinzufügt. Deny-Statements haben in der Regel eine kürzere Zeichenlänge, sodass es einfacher ist, die maximale Größe für SCPs einzuhalten. Bei einer Anweisung, in der das Element Effect den Wert Deny hat, können Sie außerdem den Zugriff auf bestimmte Ressourcen beschränken oder Bedingungen dafür festlegen, wann die SCPs wirksam sind. Im Gegensatz dazu gilt eine Allow-Anweisung in einem SCP für alle Ressourcen ("*") und kann nicht durch Bedingungen eingeschränkt werden. Weitere Informationen und Beispiele finden Sie unter Strategien für die Verwendung von SCPs in der Dokumentation zu AWS Organizations.

Überlegungen zum Design

  • Um SCPs als Zulassungsliste zu verwenden, müssen Sie alternativ das von AWS verwaltete FullAWSAccess SCP durch ein SCP ersetzen, das ausdrücklich nur die Services und Aktionen zulässt, die Sie zulassen möchten. Damit eine Berechtigung für ein bestimmtes Konto aktiviert werden kann, muss jeder SCP (vom Stamm über jede Organisationseinheit im direkten Pfad zum Konto bis hin zum Konto selbst) diese Genehmigung erteilen. Dieses Modell ist restriktiver und eignet sich möglicherweise für stark regulierte und sensible Workloads. Bei diesem Ansatz müssen Sie jeden IAM-Service oder jede IAM-Aktion auf dem Pfad vom AWS-Konto zur Organisationseinheit explizit zulassen.

  • Idealerweise würden Sie eine Kombination aus Strategien für Ablehnungslisten und Zulassungslisten verwenden. Verwenden Sie die Zulassungsliste, um die Liste der erlaubten AWS-Services zu definieren, die für die Nutzung innerhalb einer AWS-Organisation zugelassen sind, und fügen Sie diesen SCP dem Stammverzeichnis Ihrer AWS-Organisation hinzu. Wenn für Ihre Entwicklungsumgebung eine andere Gruppe von Services zulässig ist, würden Sie die entsprechenden SCPs an jede Organisationseinheit anhängen. Anschließend können Sie die Ablehnungsliste verwenden, um Unternehmensleitplanken zu definieren, indem Sie bestimmte IAM-Aktionen explizit ablehnen.