AWS Landing Zone befindet sich derzeit im Langzeit-Support und erhält keine zusätzlichen Funktionen. Kunden, die eine neue Landing Zone einrichten möchten, sollten sich AWS Control Tower und Anpassungen für AWS Control Tower ansehen.
AWS Landing Zone unterstützt Kunden bei der schnelleren Einrichtung einer sicheren, multikontofähigen AWS-Umgebung basierend auf bewährten AWS-Methoden. Angesichts der vielfältigen Designentscheidungen kann die Bereitstellung einer multikontofähigen Umgebung viel Zeit beanspruchen, unter anderem weil Konten und Dienste eingerichtet werden müssen. Außerdem sind umfassende Kenntnisse über die AWS-Services erforderlich.
AWS Landing Zone spart wertvolle Zeit, indem die Einrichtung der Umgebung für die Ausführung sicherer und skalierbarer Workloads automatisiert wird. Gleichzeitig wird durch die Erstellung von Hauptkonten und -ressourcen eine Sicherheitsgrundlage geschaffen. Sie stellt ebenfalls eine Basisumgebung für den Einstieg in eine Architektur für mehrere Konten, das Identitäts- und Zugriffsmanagement, die Governance, Datensicherheit, Netzwerkgestaltung und Protokollierung bereit.
Für AWS Landing Zone kommt die aktuelle Node.js-Laufzeitumgebung zum Einsatz. Version 2.3 verwendet die Node.js 8.10-Laufzeit, die das Ende der Lebensdauer am 31. Dezember 2019 erreicht. Aktualisieren Sie für ein Upgrade auf die neuste Version den Stack.
Übersicht
AWS Landing Zone implementiert ein AWS Account Vending Machine(AVM-)Produkt zur Bereitstellung und automatischen Konfiguration neuer Konten bereit. Die AVM nutzt AWS Single Sign-On (SSO) für die Verwaltung des Benutzerzugriffs. Die Umgebung lässt sich so anpassen, dass Kunden über die Konfigurations- und Update-Pipeline von Landing Zone ihre eigene Kontobasiskonfiguration implementieren können.
-
Multi-Account-Struktur
-
Account Vending Machine
-
Benutzerzugriff
-
Benachrichtigungen
-
Multi-Account-Struktur
-
Die AWS Landing Zone-Lösung umfasst vier Konten und Add-On-Produkte, die mithilfe des AWS Service Catalog bereitgestellt werden können, z. B. die Centralized Logging-Lösung und AWS Managed AD und Directory Connector für AWS SSO.
AWS Organizations-Konto
Die AWS Landing Zone wird in einem AWS Organizations-Konto bereitgestellt. Dieses Konto wird zum Verwalten der Konfiguration und des Zugriffs auf verwaltete AWS Landing Zone-Konten verwendet. Das AWS Organizations-Konto bietet die Möglichkeit, Mitgliedskonten zu erstellen und finanziell zu verwalten. Es enthält die AWS Landing Zone-Konfiguration, Amazon Simple Storage Service (Amazon S3)-Bucket und -Pipeline, Kontokonfiguration StackSets, AWS Organizations Service Control Policies (SCPs) und AWS Single Sign-On (SSO) Konfiguration.
Shared Services-Konto
Das Shared Services-Konto ist eine Referenz zum Erstellen von gemeinsam genutzten Infrastrukturdiensten, wie z. B. Verzeichnisservices. Standardmäßig hostet dieses Konto AWS Managed Active Directory für die AWS SSO-Integration in einer gemeinsam genutzten Amazon Virtual Private Cloud (Amazon VPC), die automatisch mit neuen AWS-Konten gekoppelt werden kann, die mit der Account Vending Machine (AVM) erstellt wurden.
Log Archive-Konto
Das Log Archive-Konto enthält ein zentrales Amazon S3-Bucket zum Speichern der Kopien aller AWS CloudTrail- und AWS Config-Protokolldateien in einem Protokollarchiv-Konto.
Security-Konto
Das Security-Konto erstellt kontoübergreifende Rollen für Prüfer (schreibgeschützt) und Administrator (Vollzugriff) von einem Sicherheitskonto zu allen verwalteten Konten der AWS Landing Zone. Diese Rollen sollen vom Sicherheits- und Compliance-Team eines Unternehmens verwendet werden, um Notfallsicherheitsvorgänge im Falle eines Vorfalls zu prüfen oder durchzuführen.
Dieses Konto ist auch als Amazon GuardDuty-Masterkonto gekennzeichnet. Benutzer aus dem Masterkonto können GuardDuty konfigurieren, sowie GuardDuty-Ergebnisse für ihr eigenes Konto und alle mitgliedskonten ansehen und verwalten.
-
Account Vending Machine
-
Die Account Vending Machine (AVM) ist eine AWS Landing Zone-Schlüsselkomponente. Die AVM wird als AWS Service Catalog-Produkt bereitgestellt, mit dem Kunden neue AWS-Konten in Organisationseinheiten (Organizational Units, OUs) erstellen können, die mit einer Kontosicherheitsbasis und einem vordefinierten Netzwerk vorkonfiguriert sind.
AWS Landing Zone nutzt AWS Service Catalog, um Administratoren Berechtigungen zum Erstellen und Verwalten von AWS Landing Zone-Produkten und die Berechtigungen von Endbenutzern zum Starten und Verwalten von AVM-Produkten zu erteilen.
Die AVM verwendet Starteinschränkungen, um Endbenutzern das Erstellen neuer Konten zu ermöglichen, ohne dass Kontoadministratorberechtigungen erforderlich sind.
-
Benutzerzugriff
-
Die Bereitstellung des geringsten Zugriffsberechtigung einzelner Benutzer auf Ihre AWS-Konten ist eine wesentliche grundlegende Komponente für die AWS-Kontoverwaltung. Die AWS Landing Zone-Lösung bietet Kunden zwei Optionen zum Speichern ihrer Benutzer und Gruppen.
SSO mit AWS SSO-Verzeichnis
Die Standardkonfiguration stellt AWS Single Sign-On (SSO) mit dem AWS SSO-Verzeichnis bereit, in dem Benutzer und Gruppen in SSO verwaltet werden können.
Ein Single-Sign-On-Endpunkt wird erstellt, um den Benutzerzugriff auf AWS-Konten zu bündeln.
-
Benachrichtigungen
-
Die AWS Landing Zone-Lösung konfiguriert Amazon CloudWatch-Alarme und -Ereignisse so, dass eine Benachrichtigung über Root-Konto-Anmeldung, Konsolen-Anmeldefehler, API-Authentifizierungsfehler und die folgenden Änderungen innerhalb eines Kontos gesendet wird: Sicherheitsgruppen, Netzwerk-ACLs, Amazon VPC-Gateways, Peering-Verbindungen, ClassicLink, Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Status, großer Amazon EC2-Instance-Status, AWS CloudTrail, AWS Identity and Access Management (IAM)-Richtlinien und der Konformitätsstatus der AWS Config-Regel.
Die Lösung konfiguriert jedes Konto so, dass Benachrichtigungen an ein lokales Amazon Simple Notification Service (Amazon SNS)-Thema gesendet werden.
Das Thema Alle Konfigurationsereignisse aggregiert AWS CloudTrail- und AWS Config-Benachrichtigungen aus allen verwalteten Konten.
Das Thema Aggregierte Sicherheitsbenachrichtigungen aggregiert Sicherheitsbenachrichtigungen aus bestimmten Amazon CloudWatch-Ereignissen, AWS Config-Regeln-Konformitätsstatusänderungsereignisse und AWS GuardDuty-Ergebnisse.
Eine AWS Lambda-Funktion wird automatisch für das Thema Sicherheitsbenachrichtigungen abonniert, um alle Benachrichtigungen an ein Amazon SNS-Aggregationsthema im AWS Organizations-Konto weiterzuleiten.
Diese Architektur ist so konzipiert, dass lokale Administratoren bestimmte Kontobenachrichtigungen abonnieren und empfangen können.
Sicherheitsbasislinie
AWS Landing Zone enthält eine anfängliche Sicherheitsbasislinie, die als Ausgangspunkt für die Einrichtung und Implementierung einer benutzerdefinierten Kontosicherheitsbasislinie für Ihre Organisation verwendet werden kann. Standardmäßig enthält die anfängliche Sicherheitsbasislinie die folgenden Einstellungen:
AWS CloudTrail
Kontenübergreifender Zugriff
AWS Config
Amazon Virtual Private Cloud (VPC)
AWS-Config-Regeln
AWS-Landing-Zone-Benachrichtigungen
AWS Identity and Access Management
Amazon GuardDuty

Durchsuchen Sie unsere Bibliothek der AWS-Lösungsimplementierungen, um Antworten auf häufige Architekturprobleme zu erhalten.

Finden Sie Beratungs- und Technologiepartner mit AWS-Zertifizierung, die Ihnen den Einstieg erleichtern.

Durchsuchen Sie unser Portfolio mit Beratungsangeboten, um AWS-geprüfte Hilfe mit Lösungsbereitstellung zu erhalten.