Einrichten einer AWS-Umgebung mit bewährten Methoden

AWS ermöglicht es Ihnen, zu experimentieren, zu innovieren und schneller zu skalieren, und bietet gleichzeitig die flexibelste und sicherste Cloud-Umgebung. Ein wichtiges Mittel, mit dem AWS die Sicherheit Ihrer Anwendungen gewährleistet, ist das AWS-Konto. Ein AWS-Konto bietet natürliche Sicherheits-, Zugriffs- und Abrechnungsgrenzen für Ihre AWS-Ressourcen und ermöglicht es Ihnen, Ressourcenunabhängigkeit und -isolierung zu erreichen. So haben beispielsweise Benutzer außerhalb Ihres Kontos standardmäßig keinen Zugriff auf Ihre Ressourcen. Ebenso werden die Kosten für die von Ihnen verbrauchten AWS-Ressourcen Ihrem Konto zugerechnet. Auch wenn Sie Ihre AWS-Reise mit einem einzigen Konto beginnen, empfiehlt AWS, dass Sie mehrere Konten einrichten, wenn Ihre Workloads an Größe und Komplexität zunehmen. Die Verwendung einer Umgebung mit mehreren Konten ist eine bewährte AWS-Methode, die mehrere Vorteile bietet:

• Schnelle Innovation mit unterschiedlichen Anforderungen – Sie können AWS-Konten verschiedenen Teams, Projekten oder Produkten in Ihrem Unternehmen zuweisen und so sicherstellen, dass jedes Team schnell innovieren kann und gleichzeitig die eigenen Sicherheitsanforderungen berücksichtigt.
• Vereinfachte Abrechnung – Die Verwendung mehrerer AWS-Konten vereinfacht die Zuweisung Ihrer AWS-Kosten, da Sie leichter feststellen können, welche Produkt- oder Servicelinie für eine AWS-Gebühr verantwortlich ist.
• Flexible Sicherheitskontrollen – Sie können mehrere AWS-Konten verwenden, um Workloads oder Anwendungen zu isolieren, für die spezifische Sicherheitsanforderungen gelten oder die strenge Richtlinien zur Compliance wie HIPAA oder PCI erfüllen müssen.
• Einfache Anpassung an Geschäftsprozesse – Sie können mehrere AWS-Konten problemlos so organisieren, dass sie die verschiedenen Anforderungen der Geschäftsprozesse Ihres Unternehmens mit unterschiedlichen betrieblichen, gesetzlichen und budgetären Anforderungen am besten widerspiegeln.

Letztendlich ermöglicht Ihnen eine AWS-Umgebung mit mehreren Konten, die Cloud zu nutzen, um schneller voranzukommen und differenzierte Produkte und Services zu entwickeln, während Sie gleichzeitig sicherstellen, dass Sie dies auf sichere, skalierbare und stabile Weise tun. Aber wie sollten Sie Ihre AWS-Umgebung mit mehreren Konten aufbauen? Vielleicht haben Sie Fragen wie die, welche Kontenstruktur Sie verwenden sollten, welche Richtlinien und welcher Integritätsschutz implementiert werden sollten oder wie Sie Ihre Umgebung für Prüfungen einrichten.

Der Rest dieses Leitfadens führt Sie durch die Elemente des Aufbaus einer sicheren und produktiven AWS-Umgebung mit mehreren Konten, die oft als „Landing Zone“ bezeichnet wird, wie von AWS empfohlen. Dies sind die bewährten Methoden, die für den Aufbau eines anfänglichen Frameworks verwendet werden können und gleichzeitig Flexibilität bieten, wenn Ihre AWS-Workloads mit der Zeit zunehmen.

Die Grundlage einer gut konzipierten AWS-Umgebung mit mehreren Konten ist AWS Organizations, ein AWS-Service, mit dem Sie mehrere Konten zentral verwalten und steuern können. Bevor wir beginnen, sollten wir uns mit ein paar Begriffen vertraut machen. Eine Organisationseinheit (OU, organizational unit) ist eine logische Gruppierung von Konten in Ihrer AWS-Organisation. OUs ermöglichen es Ihnen, Ihre Konten in einer Hierarchie zu organisieren, und erleichtern Ihnen die Anwendung von Verwaltungskontrollen. AWS-Organizations-Richtlinien werden zur Anwendung solcher Kontrollen verwendet. Eine Service Control Policy (SCP) ist eine Richtlinie, die die AWS-Service-Aktionen, z. B. Amazon EC2 Run Instance, festlegt, die Konten in Ihrem Unternehmen durchführen können.

Überlegen Sie zunächst, welche Kontogruppierungen oder OUs Sie erstellen sollten. Ihre OUs sollten auf einer Funktion oder einem gemeinsamen Satz von Kontrollen basieren und nicht die Berichtsstruktur Ihres Unternehmens widerspiegeln. AWS empfiehlt, dass Sie mit Sicherheit und Infrastruktur beginnen. Die meisten Unternehmen verfügen über zentralisierte Teams, die die gesamte Organisation für diese Anforderungen betreuen. Wir empfehlen daher, eine Reihe von grundlegenden OUs für diese spezifischen Funktionen zu erstellen:

• Infrastruktur: Wird für gemeinsam genutzte Infrastruktur-Services wie Netzwerke und IT-Services verwendet. Erstellen Sie Konten für jede Art von Infrastruktur-Service, die Sie benötigen.
• Sicherheit: Für Sicherheitsservices verwendet. Erstellen Sie Konten für Protokollarchive, schreibgeschützten Sicherheitszugriff, Sicherheits-Tools und Break-Glass.

Da die meisten Unternehmen unterschiedliche Richtlinienanforderungen für Produktions-Workloads haben, können Infrastruktur und Sicherheit verschachtelte OUs für Nicht-Produktion (SDLC) und Produktion (Prod) haben. Konten in der OU SDLC hosten nicht-produktive Workloads und sollten daher keine Produktionsabhängigkeiten von anderen Konten haben. Wenn es Unterschiede in den OU-Richtlinien zwischen den Lebenszyklusphasen gibt, kann SDLC in mehrere OUs aufgeteilt werden (z. B. Entwicklung und Vorproduktion). Konten in der OU Prod hosten die Produktions-Workloads.

Wenden Sie Richtlinien auf OU-Ebene an, um die Produktions- und SDLC-Umgebung gemäß Ihren Anforderungen zu steuern. Im Allgemeinen ist die Anwendung von Richtlinien auf OU-Ebene besser als auf der Ebene der einzelnen Konten, da dies die Richtlinienverwaltung und eine mögliche Fehlerbehebung vereinfacht.

Sobald die zentralen Services eingerichtet sind, empfehlen wir, OUs zu erstellen, die sich direkt auf die Entwicklung oder den Betrieb Ihrer Produkte oder Services beziehen. Viele AWS-Kunden bauen diese OUs auf, nachdem sie die Grundlage geschaffen haben.

• Sandbox: Enthält AWS-Konten, die einzelne Entwickler zum Experimentieren mit AWS-Services verwenden können. Stellen Sie sicher, dass diese Konten von internen Netzwerken getrennt werden können, und richten Sie ein Verfahren zur Begrenzung der Ausgaben ein, um eine übermäßige Nutzung zu verhindern.
• Workloads: Enthält AWS-Konten, die Ihre nach außen gerichteten Anwendungsservices hosten. Sie sollten OUs unter SDLC- und Prod-Umgebungen strukturieren (ähnlich wie die grundlegenden OUs), um Produktions-Workloads zu isolieren und streng zu kontrollieren.
  

Nachdem nun sowohl die grundlegenden als auch die produktionsorientierten OUs eingerichtet sind, empfehlen wir, weitere OUs für die Wartung und den weiteren Ausbau je nach Ihren spezifischen Anforderungen hinzuzufügen. Dies sind einige allgemeine Themen, die auf bewährten Methoden von bestehenden AWS-Kunden basieren:

• Richtlinien-Staging: Enthält AWS-Konten, auf denen Sie die vorgeschlagenen Richtlinienänderungen testen können, bevor Sie sie auf die gesamte Organisation anwenden. Beginnen Sie mit der Implementierung von Änderungen auf Kontoebene in der gewünschten OU und arbeiten Sie sich langsam zu anderen Konten, OUs und dem Rest des Unternehmens vor.
• Ausgesetzt: Enthält AWS-Konten, die geschlossen wurden und darauf warten, aus der Organisation gelöscht zu werden. Fügen Sie dieser OU eine SCP zu, die alle Aktionen verweigert. Stellen Sie sicher, dass die Konten mit Tags mit Details zur Rückverfolgbarkeit versehen sind, falls sie wiederhergestellt werden müssen.
• Einzelne Geschäftsbenutzer: Eine OU mit eingeschränktem Zugriff, die AWS-Konten für Geschäftsbenutzer (keine Entwickler) enthält, die möglicherweise produktivitätsbezogene Anwendungen erstellen müssen, z. B. einen S3-Bucket einrichten, um Berichte oder Dateien mit einem Partner zu teilen.
• Ausnahmen: Enthält AWS-Konten, die für geschäftliche Anwendungsfälle verwendet werden, die stark angepasste Sicherheits- oder Prüfungsanforderungen haben, die sich von den in der OU Workloads definierten Anforderungen unterscheiden. Zum Beispiel die Einrichtung eines AWS-Kontos speziell für eine vertrauliche neue Anwendung oder Funktion. Verwenden Sie SCPs auf Kontoebene, um individuelle Anforderungen zu erfüllen. Erwägen Sie die Einrichtung eines Systems zum Erkennen und Reagieren mit CloudWatch Events und AWS Config Rules.
• Bereitstellungen: Enthält AWS-Konten, die für CI/CD-Bereitstellungen vorgesehen sind. Sie können diese OU erstellen, wenn Sie ein anderes Governance- und Betriebsmodell für CI/CD-Bereitstellungen haben als die Konten in den Workloads-OUs (Prod und SDLC). Die Verteilung von CI/CD trägt dazu bei, die organisatorische Abhängigkeit von einer gemeinsamen CI/CD-Umgebung zu verringern, die von einem zentralen Team betrieben wird. Erstellen Sie für jeden Satz von SDLC/Prod AWS-Konten für eine Anwendung in der OU Workloads ein Konto für CI/CD in der OU Bereitstellungen.
  
• Übergang: Dieser Bereich dient als temporärer Aufbewahrungsort für bestehende Konten und Workloads, bevor diese in Standardbereiche Ihres Unternehmens verlagert werden. Dies kann daran liegen, dass Konten Teil einer Übernahme sind, zuvor von einer dritten Partei verwaltet wurden oder aus einer alten Organisationsstruktur stammen. 
  

Eine Well-Architected-Strategie mit mehreren Konten hilft Ihnen, Innovationen in AWS schneller umzusetzen und gleichzeitig sicherzustellen, dass Sie Ihre Anforderungen an Sicherheit und Skalierbarkeit erfüllen. Das auf dieser Seite beschriebene Framework stellt bewährte AWS-Methoden dar, die Sie als Ausgangspunkt für Ihren weiteren Einsatz von AWS verwenden sollten.

Lesen Sie für den Einstieg den Leitfaden Erste Schritte zu AWS Organizations, um Ihre eigene AWS-Umgebung mit mehreren Konten aufzubauen. Alternativ können Sie auch AWS Control Tower verwenden, um mit wenigen Klicks eine sichere erste AWS-Umgebung einzurichten.

• Whitepaper: Organisieren Ihrer AWS-Umgebung
• Blog-Artikel: „Bewährte Methoden für Organisationseinheiten mit AWS Organizations“
• Blog-Artikel: „Governance, Risk, and Compliance When Establishing Your Cloud Presence“
• AWS re:Invent 2019: Architecting security & governance across your landing zone (SEC325) YouTube oder Präsentationsfolien
• Häufig gestellte Fragen zu AWS Organizations, Dokumentation und API-Referenz
• Häufig gestellte Fragen zu AWS Control Tower und Dokumentation