AWS Landing Zone

Webinar zu AWS Landing Zone ansehen

AWS Landing Zone befindet sich derzeit im Langzeit-Support und erhält keine zusätzlichen Funktionen. Kunden, die eine neue Landing Zone einrichten möchten, sollten sich AWS Control Tower und Anpassungen für AWS Control Tower ansehen.

AWS Landing Zone unterstützt Kunden bei der schnelleren Einrichtung einer sicheren, multikontofähigen AWS-Umgebung basierend auf bewährten AWS-Methoden. Angesichts der vielfältigen Designentscheidungen kann die Bereitstellung einer multikontofähigen Umgebung viel Zeit beanspruchen, unter anderem weil Konten und Dienste eingerichtet werden müssen. Außerdem sind umfassende Kenntnisse über die AWS-Services erforderlich.

AWS Landing Zone spart wertvolle Zeit, indem die Einrichtung der Umgebung für die Ausführung sicherer und skalierbarer Workloads automatisiert wird. Gleichzeitig wird durch die Erstellung von Hauptkonten und -ressourcen eine Sicherheitsgrundlage geschaffen. Sie stellt ebenfalls eine Basisumgebung für den Einstieg in eine Architektur für mehrere Konten, das Identitäts- und Zugriffsmanagement, die Governance, Datensicherheit, Netzwerkgestaltung und Protokollierung bereit.

Für AWS Landing Zone kommt die aktuelle Node.js-Laufzeitumgebung zum Einsatz. Version 2.3 verwendet die Node.js 8.10-Laufzeit, die das Ende der Lebensdauer am 31. Dezember 2019 erreicht. Aktualisieren Sie für ein Upgrade auf die neuste Version den Stack.  

Übersicht

AWS Landing Zone implementiert ein AWS Account Vending Machine(AVM-)Produkt zur Bereitstellung und automatischen Konfiguration neuer Konten bereit. Die AVM nutzt AWS Single Sign-On (SSO) für die Verwaltung des Benutzerzugriffs. Die Umgebung lässt sich so anpassen, dass Kunden über die Konfigurations- und Update-Pipeline von Landing Zone ihre eigene Kontobasiskonfiguration implementieren können.

  • Multi-Account-Struktur
  • Account Vending Machine
  • Benutzerzugriff
  • Benachrichtigungen
  • Multi-Account-Struktur

  • Die AWS Landing Zone-Lösung umfasst vier Konten und Add-On-Produkte, die mithilfe des AWS Service Catalog bereitgestellt werden können, z. B. die Centralized Logging-Lösung und AWS Managed AD und Directory Connector für AWS SSO.

    AWS Landing Zone | Architekturdiagramm
    AWS Landing Zone | Architekturdiagramm
    Schließen
     Zum Vergrößern anklicken
    AWS Organizations-Konto

    Die AWS Landing Zone wird in einem AWS Organizations-Konto bereitgestellt. Dieses Konto wird zum Verwalten der Konfiguration und des Zugriffs auf verwaltete AWS Landing Zone-Konten verwendet. Das AWS Organizations-Konto bietet die Möglichkeit, Mitgliedskonten zu erstellen und finanziell zu verwalten. Es enthält die AWS Landing Zone-Konfiguration, Amazon Simple Storage Service (Amazon S3)-Bucket und -Pipeline, Kontokonfiguration StackSets, AWS Organizations Service Control Policies (SCPs) und AWS Single Sign-On (SSO) Konfiguration.

    Shared Services-Konto

    Das Shared Services-Konto ist eine Referenz zum Erstellen von gemeinsam genutzten Infrastrukturdiensten, wie z. B. Verzeichnisservices. Standardmäßig hostet dieses Konto AWS Managed Active Directory für die AWS SSO-Integration in einer gemeinsam genutzten Amazon Virtual Private Cloud (Amazon VPC), die automatisch mit neuen AWS-Konten gekoppelt werden kann, die mit der Account Vending Machine (AVM) erstellt wurden.

    Log Archive-Konto

    Das Log Archive-Konto enthält ein zentrales Amazon S3-Bucket zum Speichern der Kopien aller AWS CloudTrail- und AWS Config-Protokolldateien in einem Protokollarchiv-Konto.

    Security-Konto

    Das Security-Konto erstellt kontoübergreifende Rollen für Prüfer (schreibgeschützt) und Administrator (Vollzugriff) von einem Sicherheitskonto zu allen verwalteten Konten der AWS Landing Zone. Diese Rollen sollen vom Sicherheits- und Compliance-Team eines Unternehmens verwendet werden, um Notfallsicherheitsvorgänge im Falle eines Vorfalls zu prüfen oder durchzuführen.

    Dieses Konto ist auch als Amazon GuardDuty-Masterkonto gekennzeichnet. Benutzer aus dem Masterkonto können GuardDuty konfigurieren, sowie GuardDuty-Ergebnisse für ihr eigenes Konto und alle mitgliedskonten ansehen und verwalten.

  • Account Vending Machine

  • Die Account Vending Machine (AVM) ist eine AWS Landing Zone-Schlüsselkomponente. Die AVM wird als AWS Service Catalog-Produkt bereitgestellt, mit dem Kunden neue AWS-Konten in Organisationseinheiten (Organizational Units, OUs) erstellen können, die mit einer Kontosicherheitsbasis und einem vordefinierten Netzwerk vorkonfiguriert sind.

    AWS Landing Zone | Architekturdiagramm
    AWS Landing Zone | Architekturdiagramm
    Schließen
     Zum Vergrößern anklicken

    AWS Landing Zone nutzt AWS Service Catalog, um Administratoren Berechtigungen zum Erstellen und Verwalten von AWS Landing Zone-Produkten und die Berechtigungen von Endbenutzern zum Starten und Verwalten von AVM-Produkten zu erteilen.

    Die AVM verwendet Starteinschränkungen, um Endbenutzern das Erstellen neuer Konten zu ermöglichen, ohne dass Kontoadministratorberechtigungen erforderlich sind.

  • Benutzerzugriff

  • Die Bereitstellung des geringsten Zugriffsberechtigung einzelner Benutzer auf Ihre AWS-Konten ist eine wesentliche grundlegende Komponente für die AWS-Kontoverwaltung. Die AWS Landing Zone-Lösung bietet Kunden zwei Optionen zum Speichern ihrer Benutzer und Gruppen.

    AWS Landing Zone | Architekturdiagramm
    AWS Landing Zone | Architekturdiagramm
    Schließen
     Zum Vergrößern anklicken
    SSO mit AWS SSO-Verzeichnis

    Die Standardkonfiguration stellt AWS Single Sign-On (SSO) mit dem AWS SSO-Verzeichnis bereit, in dem Benutzer und Gruppen in SSO verwaltet werden können.

    Ein Single-Sign-On-Endpunkt wird erstellt, um den Benutzerzugriff auf AWS-Konten zu bündeln.

  • Benachrichtigungen

  • Die AWS Landing Zone-Lösung konfiguriert Amazon CloudWatch-Alarme und -Ereignisse so, dass eine Benachrichtigung über Root-Konto-Anmeldung, Konsolen-Anmeldefehler, API-Authentifizierungsfehler und die folgenden Änderungen innerhalb eines Kontos gesendet wird: Sicherheitsgruppen, Netzwerk-ACLs, Amazon VPC-Gateways, Peering-Verbindungen, ClassicLink, Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Status, großer Amazon EC2-Instance-Status, AWS CloudTrail, AWS Identity and Access Management (IAM)-Richtlinien und der Konformitätsstatus der AWS Config-Regel.

    AWS Landing Zone | Architekturdiagramm
    AWS Landing Zone | Architekturdiagramm
    Schließen
     Zum Vergrößern anklicken

    Die Lösung konfiguriert jedes Konto so, dass Benachrichtigungen an ein lokales Amazon Simple Notification Service (Amazon SNS)-Thema gesendet werden.

    Das Thema Alle Konfigurationsereignisse aggregiert AWS CloudTrail- und AWS Config-Benachrichtigungen aus allen verwalteten Konten.

    Das Thema Aggregierte Sicherheitsbenachrichtigungen aggregiert Sicherheitsbenachrichtigungen aus bestimmten Amazon CloudWatch-Ereignissen, AWS Config-Regeln-Konformitätsstatusänderungsereignisse und AWS GuardDuty-Ergebnisse.

    Eine AWS Lambda-Funktion wird automatisch für das Thema Sicherheitsbenachrichtigungen abonniert, um alle Benachrichtigungen an ein Amazon SNS-Aggregationsthema im AWS Organizations-Konto weiterzuleiten.

    Diese Architektur ist so konzipiert, dass lokale Administratoren bestimmte Kontobenachrichtigungen abonnieren und empfangen können.

Sicherheitsbasislinie

AWS Landing Zone enthält eine anfängliche Sicherheitsbasislinie, die als Ausgangspunkt für die Einrichtung und Implementierung einer benutzerdefinierten Kontosicherheitsbasislinie für Ihre Organisation verwendet werden kann. Standardmäßig enthält die anfängliche Sicherheitsbasislinie die folgenden Einstellungen:

AWS CloudTrail

Ein CloudTrail-Trail wird in jedem Konto erstellt und so konfiguriert, dass Protokolle an einen zentral verwaltetesn Amazon Simple Storage Service (Amazon S3)-Bucket im Protokollarchivkonto und an AWS CloudWatch Logs im lokalen Konto für lokale Vorgänge (mit einer 14-tägigen Protokollgruppen-Bindungsrichtlinie) gesendet werden.

Kontenübergreifender Zugriff

Der kontoübergreifende Zugriff wird verwendet, um den administrativen Prüfungs- und Notfallsicherheitszugriff auf AWS-Landing-Zone-Konten über das Sicherheitskonto zu konfigurieren.

AWS Config

AWS Config ist aktiviert und Protokolldateien der Kontokonfiguration werden in einem zentral verwalteten Amazon-S3-Bucket im Protokollarchivkonto gespeichert.

Amazon Virtual Private Cloud (VPC)

Eine Amazon VPC konfiguriert das ursprüngliche Netzwerk für ein Konto. Dazu gehören das Löschen der Standard-VPC in allen Regionen, die Bereitstellung des von AVM angefragten Netzwerktyps und ggf. Netzwerkpeering mit der Shared-Services-VPC.

AWS-Config-Regeln

AWS-Config-Regeln sind für die Überwachung der Speicherverschlüsselung (Amazon Elastic Block Store, Amazon S3 und Amazon Relational Database Service), der AWS Identity and Access Management (IAM)-Kennwortrichtlinie, der Multi-Faktor-Authentifizierung (MFA) des Root-Kontos, des öffentlichen Lesens und Schreibens von Amazon S3 sowie unsicherer Sicherheitsgruppenregeln aktiviert.

AWS-Landing-Zone-Benachrichtigungen

Amazon-CloudWatch-Alarme und -Ereignisse sind so konfiguriert, dass eine Benachrichtigung über die Root-Kontoanmeldung, die Anmeldungsfehler der Konsole und die Fehler bei der API-Authentifizierung in einem Konto gesendet wird.

AWS Identity and Access Management

AWS Identity and Access Management wird verwendet, um eine IAM-Passwortrichtlinie zu konfigurieren.

Amazon GuardDuty

Amazon GuardDuty ist so konfiguriert, dass GuardDuty-Ergebnisse im Mitgliedskonto angezeigt und verwaltet werden.
Entwicklungssymbol
Bereitstellen einer eigenen Lösung

Durchsuchen Sie unsere Bibliothek der AWS-Lösungsimplementierungen, um Antworten auf häufige Architekturprobleme zu erhalten.

Weitere Informationen 
Einen APN-Partner suchen
Einen APN-Partner suchen

Finden Sie Beratungs- und Technologiepartner mit AWS-Zertifizierung, die Ihnen den Einstieg erleichtern.

Weitere Informationen 
Erkunden (Symbol)
Beratungsangebote für Lösungen erkunden

Durchsuchen Sie unser Portfolio mit Beratungsangeboten, um AWS-geprüfte Hilfe mit Lösungsbereitstellung zu erhalten.

Weitere Informationen