AWS Landing Zone befindet sich derzeit im Langzeit-Support und erhält keine zusätzlichen Funktionen. Kunden, die eine neue Landing Zone einrichten möchten, sollten sich AWS Control Tower und Anpassungen für AWS Control Tower ansehen

Wozu dient diese AWS-Lösungsimplementierung?

AWS Landing Zone unterstützt Kunden bei der schnellen Einrichtung einer sicheren, multikontofähigen AWS-Umgebung basierend auf bewährten AWS-Methoden. Angesichts der vielfältigen Designentscheidungen kann die Bereitstellung einer multikontofähigen Umgebung viel Zeit beanspruchen, unter anderem weil Konten und Dienste eingerichtet werden müssen. Außerdem sind umfassende Kenntnisse über die AWS-Services erforderlich.

Diese Lösung spart wertvolle Zeit, indem die Einrichtung der Umgebung für die Ausführung sicherer und skalierbarer Workloads automatisiert wird. Gleichzeitig wird durch die Erstellung von Hauptkonten und -ressourcen eine Sicherheitsgrundlage geschaffen. Sie stellt ebenfalls eine Basisumgebung für den Einstieg in eine Architektur für mehrere Konten, das Identitäts- und Zugriffsmanagement, die Governance, Datensicherheit, Netzwerkgestaltung und Protokollierung bereit.

Für die Lösung kommt die neuste Node.js-Laufzeitumgebung zum Einsatz. In Version 2.3 wird Version 8.10 der Node.js-Laufzeitumgebung verwendet, die zum 31. Dezember 2019 das Ende ihrer Lebenszeit erreicht hat. Aktualisieren Sie für ein Upgrade auf die neuste Version den Stack.  

AWS Landing Zone

Version 2.4.4
Veröffentlichungsdatum: 09/2021
Autor: AWS

Diese Lösung wird von AWS Solutions Architects oder Professional Services-Beratern entwickelt, um eine angepasste Basislinie von AWS-Konten, -Netzwerken und Sicherheitsrichtlinien zu erstellen.

Verwenden Sie die Schaltfläche unten, um Lösungsaktualisierungen zu abonnieren.

Hinweis: Um RSS-Aktualisierungen zu abonnieren, muss für den von Ihnen verwendeten Browser ein RSS-Plug-in aktiviert sein.  

Hat Ihnen diese Lösungsimplementierung geholfen?
Feedback geben 

Übersicht über die AWS-Lösungsimplementierung

Die AWS Landing Zone-Lösung stellt ein AWS Account Vending Machine (AVM)-Produkt zur Bereitstellung und automatischen Konfiguration neuer Konten bereit. Die AVM nutzt AWS Single Sign-On (SSO) für die Verwaltung des Benutzerzugriffs. Die Umgebung lässt sich so anpassen, dass Kunden über die Konfigurations- und Update-Pipeline von Landing Zone ihre eigene Kontobasiskonfiguration implementieren können.

  • Multi-Account-Struktur
  • Account Vending Machine
  • Benutzerzugriff
  • Benachrichtigungen
  • Multi-Account-Struktur
  • Die AWS Landing Zone-Lösung umfasst vier Konten und Add-On-Produkte, die mithilfe des AWS Service Catalog bereitgestellt werden können, z. B. die Centralized Logging-Lösung und AWS Managed AD und Directory Connector für AWS SSO.

    AWS Landing Zone | Architekturdiagramm
     Zum Vergrößern klicken
    AWS Organizations-Konto

    Die AWS Landing Zone wird in einem AWS Organizations-Konto bereitgestellt. Dieses Konto wird zum Verwalten der Konfiguration und des Zugriffs auf verwaltete AWS Landing Zone-Konten verwendet. Das AWS Organizations-Konto bietet die Möglichkeit, Mitgliedskonten zu erstellen und finanziell zu verwalten. Es enthält die AWS Landing Zone-Konfiguration, Amazon Simple Storage Service (Amazon S3)-Bucket und -Pipeline, Kontokonfiguration StackSets, AWS Organizations Service Control Policies (SCPs) und AWS Single Sign-On (SSO) Konfiguration.

    Shared Services-Konto

    Das Shared Services-Konto ist eine Referenz zum Erstellen von gemeinsam genutzten Infrastrukturdiensten, wie z. B. Verzeichnisservices. Standardmäßig hostet dieses Konto AWS Managed Active Directory für die AWS SSO-Integration in einer gemeinsam genutzten Amazon Virtual Private Cloud (Amazon VPC), die automatisch mit neuen AWS-Konten gekoppelt werden kann, die mit der Account Vending Machine (AVM) erstellt wurden.

    Log Archive-Konto

    Das Log Archive-Konto enthält ein zentrales Amazon S3-Bucket zum Speichern der Kopien aller AWS CloudTrail- und AWS Config-Protokolldateien in einem Protokollarchiv-Konto.

    Security-Konto

    Das Security-Konto erstellt kontoübergreifende Rollen für Prüfer (schreibgeschützt) und Administrator (Vollzugriff) von einem Sicherheitskonto zu allen verwalteten Konten der AWS Landing Zone. Diese Rollen sollen vom Sicherheits- und Compliance-Team eines Unternehmens verwendet werden, um Notfallsicherheitsvorgänge im Falle eines Vorfalls zu prüfen oder durchzuführen.

    Dieses Konto ist auch als Amazon GuardDuty-Masterkonto gekennzeichnet. Benutzer aus dem Masterkonto können GuardDuty konfigurieren, sowie GuardDuty-Ergebnisse für ihr eigenes Konto und alle mitgliedskonten ansehen und verwalten.

  • Account Vending Machine
  • Die Account Vending Machine (AVM) ist eine AWS Landing Zone-Schlüsselkomponente. Die AVM wird als AWS Service Catalog-Produkt bereitgestellt, mit dem Kunden neue AWS-Konten in Organisationseinheiten (Organizational Units, OUs) erstellen können, die mit einer Kontosicherheitsbasis und einem vordefinierten Netzwerk vorkonfiguriert sind.

    AWS Landing Zone | Architekturdiagramm
     Zum Vergrößern klicken

    AWS Landing Zone nutzt AWS Service Catalog, um Administratoren Berechtigungen zum Erstellen und Verwalten von AWS Landing Zone-Produkten und die Berechtigungen von Endbenutzern zum Starten und Verwalten von AVM-Produkten zu erteilen.

    Die AVM verwendet Starteinschränkungen, um Endbenutzern das Erstellen neuer Konten zu ermöglichen, ohne dass Kontoadministratorberechtigungen erforderlich sind.

  • Benutzerzugriff
  • Die Bereitstellung des geringsten Zugriffsberechtigung einzelner Benutzer auf Ihre AWS-Konten ist eine wesentliche grundlegende Komponente für die AWS-Kontoverwaltung. Die AWS Landing Zone-Lösung bietet Kunden zwei Optionen zum Speichern ihrer Benutzer und Gruppen.

    AWS Landing Zone | Architekturdiagramm
     Zum Vergrößern klicken
    SSO mit AWS SSO-Verzeichnis

    Die Standardkonfiguration stellt AWS Single Sign-On (SSO) mit dem AWS SSO-Verzeichnis bereit, in dem Benutzer und Gruppen in SSO verwaltet werden können.

    Ein Single-Sign-On-Endpunkt wird erstellt, um den Benutzerzugriff auf AWS-Konten zu bündeln.

  • Benachrichtigungen
  • Die AWS Landing Zone-Lösung konfiguriert Amazon CloudWatch-Alarme und -Ereignisse so, dass eine Benachrichtigung über Root-Konto-Anmeldung, Konsolen-Anmeldefehler, API-Authentifizierungsfehler und die folgenden Änderungen innerhalb eines Kontos gesendet wird: Sicherheitsgruppen, Netzwerk-ACLs, Amazon VPC-Gateways, Peering-Verbindungen, ClassicLink, Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Status, großer Amazon EC2-Instance-Status, AWS CloudTrail, AWS Identity and Access Management (IAM)-Richtlinien und der Konformitätsstatus der AWS Config-Regel.

    AWS Landing Zone | Architekturdiagramm
     Zum Vergrößern klicken

    Die Lösung konfiguriert jedes Konto so, dass Benachrichtigungen an ein lokales Amazon Simple Notification Service (Amazon SNS)-Thema gesendet werden.

    Das Thema Alle Konfigurationsereignisse aggregiert AWS CloudTrail- und AWS Config-Benachrichtigungen aus allen verwalteten Konten.

    Das Thema Aggregierte Sicherheitsbenachrichtigungen aggregiert Sicherheitsbenachrichtigungen aus bestimmten Amazon CloudWatch-Ereignissen, AWS Config-Regeln-Konformitätsstatusänderungsereignisse und AWS GuardDuty-Ergebnisse.

    Eine AWS Lambda-Funktion wird automatisch für das Thema Sicherheitsbenachrichtigungen abonniert, um alle Benachrichtigungen an ein Amazon SNS-Aggregationsthema im AWS Organizations-Konto weiterzuleiten.

    Diese Architektur ist so konzipiert, dass lokale Administratoren bestimmte Kontobenachrichtigungen abonnieren und empfangen können.

Sicherheitsbasislinie

Die AWS Landing Zone-Lösung enthält eine anfängliche Sicherheitsbasislinie, die als Ausgangspunkt für die Einrichtung und Implementierung einer benutzerdefinierten Kontosicherheitsbasislinie für Ihre Organisation verwendet werden kann. Standardmäßig enthält die anfängliche Sicherheitsbasislinie die folgenden Einstellungen:

AWS CloudTrail

Ein CloudTrail-Nachlauf wird in jedem Konto erstellt und so konfiguriert, dass Protokolle an ein zentral verwaltetes Amazon Simple Storage Service (Amazon S3)-Bucket im Protokollarchivkonto und an AWS CloudWatch Logs im lokalen Konto für lokale Vorgänge (mit einer 14-tägigen Protokollgruppenbindungsrichtlinie) gesendet werden.

AWS Config

AWS Config ist aktiviert und Protokolldateien der Kontokonfiguration werden in einem zentral verwalteten Amazon S3-Bucket im Protokollarchivkonto gespeichert.

AWS Config-Regeln

AWS Config-Regeln sind für die Überwachung der Speicherverschlüsselung (Amazon Elastic Block Store, Amazon S3 und Amazon Relational Database Service), der AWS Identity and Access Management (IAM)-Kennwortrichtlinie, der Root-Konto-Multi-Factor-Authentifizierung (MFA), des öffentlichen Lesens und Schreibens von Amazon S3 sowie unsicherer Sicherheitsgruppenregeln aktiviert.

AWS Identity and Access Management

AWS Identity and Access Management wird verwendet, um eine IAM-Kennwortrichtlinie zu konfigurieren.

Kontenübergreifender Zugriff

Der kontoübergreifende Zugriff wird verwendet, um den administrativen Prüfungs- und Notfallsicherheitszugriff auf AWS Landing Zone-Konten über das Sicherheitskonto zu konfigurieren.

Amazon Virtual Private Cloud (VPC)

Eine Amazon VPC konfiguriert das ursprüngliche Netzwerk für ein Konto. Dazu gehören das Löschen der Standard-VPC in allen Regionen, die Bereitstellung des von AVM angefragten Netzwerktyps und ggf. Netzwerkpeering mit der Shared Services-VPC.

AWS Landing Zone-Benachrichtigungen

Amazon CloudWatch-Alarme und -Ereignisse sind so konfiguriert, dass eine Benachrichtigung über die Root-Kontoanmeldung, die Anmeldungsfehler der Konsole und die Fehler bei der API-Authentifizierung in einem Konto gesendet wird.

Amazon GuardDuty

Amazon GuardDuty ist so konfiguriert, dass GuardDuty-Ergebnisse im Mitgliedskonto angezeigt und verwaltet werden.
Entwickeln (Symbol)
Selbst eine Lösung bereitstellen

Durchsuchen Sie unsere Bibliothek der AWS-Lösungsimplementierungen, um Antworten auf häufige Architekturprobleme zu erhalten.

Weitere Informationen 
Einen APN-Partner suchen
Einen APN-Partner suchen

Finden Sie Beratungs- und Technologiepartner mit AWS-Zertifizierung, die Ihnen den Einstieg erleichtern.

Weitere Informationen 
Erkunden (Symbol)
Beratungsangebote für Lösungen erkunden

Durchsuchen Sie unser Portfolio mit Beratungsangeboten, um AWS-geprüfte Hilfe mit Lösungsbereitstellung zu erhalten.

Weitere Informationen