AWS-Kontoverwaltung und -trennung

Wir empfehlen, Workloads in separaten Konten zu organisieren und Konten basierend auf Funktionen, Compliance-Anforderungen oder einer gemeinsamen Gruppe von Kontrollen zu gruppieren, anstatt die Berichtsstruktur Ihres Unternehmens zu spiegeln. In AWS sind Konten eine harte Grenze. Beispielsweise wird eine Trennung auf Kontoebene dringend empfohlen, um Produktions-Workloads von Entwicklungs- und Test-Workloads zu isolieren.

Zentrale Verwaltung von Konten: AWS Organizations automatisiert die Erstellung und Verwaltung von AWS-Konten und die Kontrolle dieser Konten nach ihrer Erstellung. Wenn Sie ein Konto über AWS Organizations erstellen, ist es wichtig, die E-Mail-Adresse zu berücksichtigen, die Sie verwenden, da dies der Root-Benutzer ist, der das Zurücksetzen des Passworts ermöglicht. Mit Organizations können Sie Konten in Organisationseinheiten (OUs) gruppieren, die je nach Anforderungen und Zweck der Workload unterschiedliche Umgebungen darstellen können.

Zentrale Einrichtung von Kontrollen: Kontrollieren Sie, was Ihre AWS-Konten tun können, indem Sie nur bestimmte Services, Regionen und Serviceaktionen auf der entsprechenden Ebene zulassen. Mit AWS Organizations können Sie Service-Kontrollrichtlinien (SCPs) verwenden, um Integritätsschutzfunktionen mit Berechtigungen auf der Ebene der Organisation, der Organisationseinheit oder des Kontos anzuwenden, die für alle AWS Identity and Access Management (IAM)-Benutzer und -Rollen gelten. Sie können beispielsweise eine SCP anwenden, die Benutzer daran hindert, Ressourcen in Regionen zu starten, die Sie nicht explizit zugelassen haben. AWS Control Tower bietet eine vereinfachte Möglichkeit, mehrere Konten einzurichten und zu verwalten. Es automatisiert die Einrichtung von Konten in Ihrer AWS-Organisation, automatisiert die Bereitstellung, wendet Integritätsschutz an (einschließlich Verhinderung und Erkennung) und stellt Ihnen ein Dashboard für Sichtbarkeit zur Verfügung.

Zentrale Konfiguration von Services und Ressourcen: Mit AWS Organizations können Sie AWS-Services, konfigurieren, die für alle Ihre Konten gelten. Sie können beispielsweise die zentrale Protokollierung aller in Ihrer Organisation durchgeführten Aktionen mithilfe von AWS CloudTrail konfigurieren und verhindern, dass Mitgliedskonten die Protokollierung deaktivieren. Sie können auch Daten für Regeln, die Sie mit AWS Config definiert haben, zentral aggregieren, sodass Sie Ihre Workloads auf Compliance prüfen und schnell auf Änderungen reagieren können. Mit AWS CloudFormation StackSets können Sie AWS CloudFormation-Stacks in Ihrer Organisation über Konten und OEs hinweg zentral verwalten. Auf diese Weise können Sie automatisch ein neues Konto bereitstellen, um Ihre Sicherheitsanforderungen zu erfüllen.

Verwenden Sie das Feature „Delegierte Verwaltung“ der Sicherheitsservices, um die für die Verwaltung verwendeten Konten vom organisatorischen Abrechnungskonto (Verwaltung) zu trennen. Mehrere AWS-Services, wie GuardDuty, Security Hub und AWS-Config, unterstützen die Integration mit AWS-Organisationen, einschließlich der Zuweisung eines bestimmten Kontos für Verwaltungsfunktionen.

Bewährte Methoden

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Governance

SEC01-BP01 Trennen von Workloads mithilfe von Konten