Infrastruktur OU — Shared Services-Konto - AWSPräskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktur OU — Shared Services-Konto

Das folgende Diagramm zeigt die AWS-Sicherheitsdienste, die im Shared Services-Konto konfiguriert sind.


      Sicherheitsdienste für Shared Services-Konto

Das Shared Services-Konto ist Teil der Infrastructure OU und dient dazu, die Dienste zu unterstützen, die mehrere Anwendungen und Teams verwenden, um ihre Ergebnisse zu liefern. Beispielsweise gehören Verzeichnisdienste (Active Directory), Messaging-Dienste und Metadatendienste zu dieser Kategorie. Die AWS SRA hebt die Shared Services hervor, die Sicherheitskontrollen unterstützen. Obwohl die Netzwerkkonten auch Teil der Infrastructure OU sind, werden sie aus dem Shared Services-Konto entfernt, um die Aufgabentrennung zu unterstützen. Die Teams, die diese Dienste verwalten, benötigen weder Berechtigungen noch Zugriff auf die Netzwerkkonten.

AWS Systems Manager

AWS Systems Manager (der auch im Org Management-Konto und im Anwendungskonto enthalten ist) bietet eine Reihe von Funktionen, die die Sichtbarkeit und Kontrolle Ihrer AWS-Ressourcen ermöglichen. Eine dieser Funktionen, Systems Manager Explorer, ist ein anpassbares Betriebs-Dashboard, das Informationen zu Ihren AWS-Ressourcen bereitstellt. Mithilfe von AWS Organizations und Systems Manager Explorer können Sie Betriebsdaten für alle -Konten in allen -Konten in allen -Konten in Ihrer AWS-Organisation Systems Manager wird im Shared Services-Konto über die delegierte Administratorfunktion in AWS Organizations bereitgestellt.

Systems Manager unterstützt Sie bei der Aufrechterhaltung von Sicherheit und Compliance, indem er Ihre verwalteten Instances scannt und über festgestellte Richtlinienverstöße (oder Abhilfemaßnahmen ergreifen) berichtet. Durch die Kombination von Systems Manager mit der entsprechenden Bereitstellung in einzelnen AWS-Mitgliedskonten (z. B. dem Anwendungskonto) können Sie die Erfassung von Instanzinventardaten koordinieren und die Automatisierung wie Patches und Sicherheitsupdates zentralisieren.

AWS Managed Microsoft AD

AWS Directory Service für Microsoft Active Directory, auch als AWS Managed Microsoft AD Sie können AWS Managed Microsoft ADAmazon EC2 für Windows Server,Amazon EC2 für Linux, undAmazon RDS for SQL Server-Instances auf Ihre Domain übertragen und verwendenAWS-Endbenutzer-Datenverarbeitung(EUC) -Dienste wieAmazon WorkSpacesmit Active Directory-Benutzern und -Gruppen. 

Mit AWS Managed Microsoft AD können Sie Ihr bestehendes Active Directory auf AWS erweitern und Ihre vorhandenen lokalen Benutzeranmeldeinformationen für den Zugriff auf Cloud-Ressourcen verwenden. Sie können auch Ihre lokalen Benutzer, Gruppen, Anwendungen und Systeme verwalten, ohne ein lokales, hochverfügbares Active Directory ausführen und warten zu müssen. Sie können Ihre vorhandenen Computer, Laptops und Drucker einer von AWS verwalteten Microsoft AD-Domain hinzufügen. 

AWS Managed Microsoft AD basiert auf Microsoft Active Directory und erfordert nicht, dass Sie Daten aus Ihrem vorhandenen Active Directory in die Cloud synchronisieren oder replizieren. Sie können vertraute Active Directory-Verwaltungstools und -funktionen wie Gruppenrichtlinienobjekte (GPOs), Domänenvertrauensstellungen, fein abgestimmte Kennwortrichtlinien, Group Managed Service Accounts (GMSAs), Schemaerweiterungen und Kerberos-basiertes Single Sign-On verwenden. Sie können auch administrative Aufgaben delegieren und den Zugriff mithilfe von Active Directory-Sicherheitsgruppen autorisieren. 

Die multiregionale Replikation ermöglicht es Ihnen, ein einzelnes von AWS verwaltetes Microsoft AD-Verzeichnis über mehrere AWS-Regionen hinweg bereitzustellen und zu verwenden. Dies macht es einfacher und kostengünstiger für Sie, Ihre Microsoft Windows- und Linux-Workloads weltweit bereitzustellen und zu verwalten. Wenn Sie die automatische Multi-Region-Replikationsfunktion verwenden, erhalten Sie eine höhere Ausfallsicherheit, während Ihre Anwendungen ein lokales Verzeichnis für optimale Leistung verwenden. 

AWS Managed Microsoft AD unterstützt Lightweight Directory Access Protocol (LDAP) über SSL/TLS, auch bekannt als LDAPS, sowohl in Client- als auch in Serverrollen. Als Server unterstützt AWS Managed Microsoft AD LDAPS über die Ports 636 (SSL) und 389 (TLS). Sie ermöglichen die serverseitige LDAPS-Kommunikation, indem Sie ein Zertifikat auf Ihren AWS Managed Microsoft AD-Domänencontrollern von einer AWS-basierten Zertifizierungsstelle (CA) für Active Directory-Zertifikatsdienste (AD CS) installieren. Als Kunde unterstützt AWS Managed Microsoft AD LDAPS über Port 636 (SSL). Sie können clientseitiges LDAPS Kommunikation aktivieren, indem Sie CA-Zertifikate von Ihren Serverzertifikatsausstellern in AWS registrieren und dann LDAPS in Ihrem Verzeichnis aktivieren.  

In der AWS SRA wird der AWS Directory Service innerhalb des Shared Services-Kontos verwendet, um Domain-Services für Microsoft-fähige Workloads über mehrere AWS-Mitgliedskonten hinweg bereitzustellen. 

Überlegungen zum Entwurf
  • Sie können Ihren lokalen Active Directory-Benutzern Zugriff auf die Anmeldung bei der AWS Management Console und der AWS Command Line Interface (AWS CLI) mit ihren vorhandenen Active Directory-Anmeldeinformationen gewähren, indem Sie IAM Identity Center verwenden und AWS Managed Microsoft AD als Identitätsquelle auswählen. Auf diese Weise können Ihre Benutzer bei der Anmeldung eine der ihnen zugewiesenen Rollen übernehmen und entsprechend den für die Rolle definierten Berechtigungen auf die Ressourcen zugreifen und Maßnahmen ergreifen. Eine alternative Option ist die Verwendung von AWS Managed Microsoft AD, damit Ihre Benutzer davon ausgehen können, dassAWS Identity and Access Management(IAM) -Rolle.

IAM Identity Center

Die AWS SRA verwendet die von IAM Identity Center unterstützte delegierte Administratorfunktion, um den größten Teil der Verwaltung von IAM Identity Center an das Shared Services-Konto zu delegieren. Dies hilft dabei, die Anzahl der Benutzer einzuschränken, die Zugriff auf das Org-Management-Konto benötigen. IAM Identity Center muss weiterhin im Org-Management-Konto aktiviert werden, um bestimmte Aufgaben ausführen zu können, einschließlich der Verwaltung von Berechtigungssätzen, die im Org-Management-Konto bereitgestellt werden.

Der Hauptgrund für die Verwendung des Shared Services-Kontos als delegierter Administrator für IAM Identity Center ist der Active Directory-Standort. Wenn Sie vorhaben, Active Directory als Ihre IAM Identity Center-Identitätsquelle zu verwenden, müssen Sie das Verzeichnis in dem Mitgliedskonto suchen, in dem Sie die delegierte Administratorfunktion von IAM Identity Center aktiviert haben. In der AWS SRA hostet das Shared Services-Konto AWS Managed Microsoft AD, sodass das Konto zum delegierten Administrator für IAM Identity Center wird. 

IAM Identity Center unterstützt die gleichzeitige Registrierung eines einzelnen Mitgliedskontos als delegierter Administrator. Sie können ein Mitgliedskonto nur registrieren, wenn Sie sich mit den Anmeldeinformationen des Verwaltungskontos anmelden. Um die Delegierung zu ermöglichen, müssen Sie die Voraussetzungen berücksichtigen, die in derIAM Identity Center-Dokumentation. Das delegierte Administratorkonto kann die meisten IAM Identity Center-Managementaufgaben ausführen, allerdings mit einigen Einschränkungen, die imIAM Identity Center-Dokumentation. Der Zugriff auf das delegierte IAM Identity Center-Administratorkonto sollte streng kontrolliert werden. 

Überlegungen zum Entwurf
  • Wenn Sie sich entscheiden, die IAM Identity Center-Identitätsquelle von einer anderen Quelle in Active Directory oder von Active Directory in eine andere Quelle zu ändern, muss sich das Verzeichnis in dem delegierten IAM Identity Center-Administrator-Mitgliedskonto befinden (im Besitz dieses sein), falls eines vorhanden ist. Andernfalls muss es sich im Verwaltungskonto.