AWS-Kontoverwaltung und -trennung

Wir empfehlen, Workloads in separaten Konten zu organisieren und Konten basierend auf Funktionen, Compliance-Anforderungen oder einer gemeinsamen Gruppe von Kontrollen zu gruppieren, anstatt die Berichtsstruktur Ihres Unternehmens zu spiegeln. In AWS sind Konten eine harte Grenze. Beispielsweise wird eine Trennung auf Kontoebene dringend empfohlen, um Produktions-Workloads von Entwicklungs- und Test-Workloads zu isolieren.

Zentrale Verwaltung von Konten: AWS Organizations automatisiert die Erstellung und Verwaltung von AWS-Kontenund die Kontrolle dieser Konten nach ihrer Erstellung. Wenn Sie ein Konto über AWS Organizations erstellen, ist es wichtig, die E-Mail-Adresse zu berücksichtigen, die Sie verwenden, da dies der Stammbenutzer ist, der das Zurücksetzen des Passworts ermöglicht. Mit Organizations können Sie Konten in Organisationseinheiten (OEs) gruppieren, die je nach Anforderungen und Zweck des Workloads unterschiedliche Umgebungen darstellen können.

Zentrale Einrichtung von Kontrollen: Kontrollieren Sie, was Ihre AWS-Konten tun können, indem Sie nur bestimmte Services, Regionen und Serviceaktionen auf der entsprechenden Ebene zulassen. Mit AWS Organizations können Sie Service-Kontrollrichtlinien (SCPs) verwenden, um Integritätsschutzfunktionen mit Berechtigungen auf der Ebene der Organisation, der Organisationseinheit oder des Kontos anzuwenden, die für alle AWS Identity and Access Management (IAM)-Benutzer und -Rollen gelten. Sie können beispielsweise eine SCP anwenden, die Benutzer daran hindert, Ressourcen in Regionen zu starten, die Sie nicht explizit zugelassen haben. AWS Control Tower bietet eine vereinfachte Möglichkeit, mehrere Konten einzurichten und zu verwalten. Es automatisiert die Einrichtung von Konten in Ihrer AWS-Organisation, automatisiert die Bereitstellung, wendet Leitlinien an (einschließlich Verhinderung und Erkennung) und stellt Ihnen ein Dashboard für Sichtbarkeit zur Verfügung.

Zentrale Konfiguration von Services und Ressourcen: Mit AWS Organizations können Sie AWS-Services, konfigurieren, die für alle Ihre Konten gelten. Sie können beispielsweise die zentrale Protokollierung aller in Ihrem Unternehmen durchgeführten Aktionen mithilfe von AWS CloudTrailkonfigurieren und verhindern, dass Mitgliedskonten die Protokollierung deaktivieren. Sie können auch Daten für Regeln, die Sie mit AWS Configdefiniert haben, zentral aggregieren, sodass Sie Ihre Workloads auf Compliance prüfen und schnell auf Änderungen reagieren können. AWS CloudFormation Mit StackSets können Sie AWS CloudFormation-Stacks in Ihrem Unternehmen über Konten und Organisationseinheiten hinweg zentral verwalten. Auf diese Weise können Sie automatisch ein neues Konto bereitstellen, um Ihre Sicherheitsanforderungen zu erfüllen.

Verwenden Sie die Funktion „Delegierte Verwaltung“ der Sicherheitsservices, um die für die Verwaltung verwendeten Konten vom organisatorischen Abrechnungskonto (Verwaltung) zu trennen. Mehrere AWS-Services, wie GuardDuty, Security Hub und AWS-Config, unterstützen die Integration mit AWS-Organisationen, einschließlich der Zuweisung eines bestimmten Kontos für Verwaltungsfunktionen.

Bewährte Methoden

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Governance

SEC01-BP01 Trennen von Workloads mithilfe von Konten