Mit diesen vier Best-Practices halten Sie Ordnung in AWS

Verwenden Sie OUs zum Verwalten von Mitgliedskonten

Wenn Sie AWS Organizations über ein AWS-Konto aktivieren, wird dieses Konto zum Verwaltungskonto für Ihre Organisation. Eine Organisation ist im Wesentlichen die Einheit, in der Sie AWS-Konten konsolidieren.

Alle Konten, die Sie der Organisation nach Erstellen des Verwaltungskontos hinzufügen, werden zu Mitgliedskonten. Über das Verwaltungskonto teilen Sie verschiedene Konten in separate Organisationseinheiten (OUs) ein. Eine OU ist eine Sammlung von Konten, die Sie gemeinsam verwalten. Administratoren stellen eine verschachtelte Hierarchie von Konten ein, auf die sie Verwaltungsrichtlinien und Einstellungen anwenden können.

Stellen Sie sich zum Beispiel vor, Sie verwalten ein AWS-Konto für eine Anwendung, die nur EC2 und S3 nutzt. Sie führen separate Mitgliedskonten für jede Umgebung wie Entwicklung, Produktion und Tests. Sie müssen sicherstellen, dass andere Services in diesem Mitgliedskonto nicht verfügbar sind. Ordnen Sie die Mitgliedskonten jeweils verschiedenen Organisationseinheiten für die Umgebungen zu, für die Sie Servicekontrollrichtlinien festlegen, um alle anderen AWS-Services zu blockieren.

Stellen Sie sich nun vor, dass Sie eine Tagging-Richtlinie zu den Mitgliedskonten hinzufügen müssen, die diese Anwendung enthalten. Richtlinien gelten für alle Konten in dieser OU, das heißt, alle Konten in der OU erben die Richtlinie. Wenn Sie die Richtlinien für jedes Konto einzeln verwalten würden, müssten Sie die Richtlinie für jedes Mitgliedskonto einzeln hinzufügen.

Trennen Sie das Verwaltungskonto und die Mitgliedskonten

Mit einem Verwaltungskonto erstellen Sie OUs und verwalten Mitgliedskonten. Es kann außerdem Richtlinien, wie zum Beispiel Dienstkontrollrichtlinien (Service Control Policies, SCPs), verwalten.

Mit SCPs können Sie jedoch nicht das Verwaltungskonto steuern und auch keine Benutzer oder Rollen innerhalb des Verwaltungskontos einschränken. Diese Benutzer und Rollen werden komplett ohne Richtlinien angewendet. Das macht Ihr Verwaltungskonto zum Sicherheitsrisiko. Wenn beispielsweise die Anmeldeinformationen des Verwaltungskontos in falsche Hände geraten, dann gefährdet das alle anderen Konten.

Wenn Sie Ressourcen im Verwaltungskonto haben, verschieben Sie diese in Mitgliedskonten. Fügen Sie diese Konten dann der AWS-Organisation, die dem Managementkonto gehört, als Mitgliedskonten hinzu. AWS empfiehlt, dass die einzigen Ressourcen, die Sie in Ihrem Management-Konto haben, CloudWatch und CloudTrail sind. So können Administratoren die Benutzer überwachen, die sich im Verwaltungskonto anmelden.

Wichtige Terminologie

Zum besseren Verständnis von AWS Organizations finden Sie hier einige hilfreiche Begriffe und Konzepte aus der AWS-Dokumentation.

Konto. Ein standardmäßiges AWS-Konto, das AWS-Ressourcen und die Identitäten, die auf sie zugreifen, kapselt. In AWS Organizations gibt es zwei Arten von Konten: Management und Mitglied.

Organisation. Dies ist eine Einheit, die Konten zusammenfasst. Benutzer können Konten innerhalb einer Organisation gemeinsam verwalten.

Organisatorische Einheiten. Ein Knoten innerhalb des Stammes, der AWS-Konten und Organisationseinheiten enthält, wodurch eine verschachtelte Hierarchie entsteht. Einer OU können Richtlinien zugewiesen werden, die für alle darin verschachtelten Konten gelten.

Stamm-OE. Ein übergeordneter Knoten für Konten in einer Organisation. Jede Richtlinie, die auf den Stamm angewendet wird, gilt für alle Organisationseinheiten und Konten in der Organisation.

Richtlinie zur Dienststeuerung. Ein Richtlinientyp, der die Verwaltung von Zugriffskontrolle und Berechtigungen unterstützt.

Tag-Richtlinie. Ein Richtlinientyp, der Tagging-Regeln für Ressourcen festlegt. Er standardisiert auch Tags für Ressourcen in Konten.

Konten bei Bedarf zwischen OUs verschieben

Wenn Mitgliedskonten einmal in einer OU sind, müssen sie dort nicht bleiben. Sie können Mitgliedskonten frei zwischen verschiedenen OUs verschieben und unterliegen dabei nur den Richtlinien der OU, in der sie sich befinden.

Eine Anwendung könnte beispielsweise eine eigene OU haben, die separate OUs für Produktions- und Nicht-Produktionskonten enthält. Sobald Entwickler ein Mitgliedskonto in einer Umgebung unter der Nicht-Produktions-OU eingerichtet haben, kann dieses Konto in die Produktions-OU wechseln, die restriktivere SCPs hat. Zu jeder Zeit gelten die Richtlinien der OU des Top-Level-Kontos. Dies gewährleistet eine granulare Kontrolle über das Mitgliedskonto.

Einschränkung des Stammbenutzers in Mitgliedskonten

In AWS Organizations ist die Stamm-OU der übergeordnete Knoten für alle Konten in einer Organisation. Wenn Administratoren eine Richtlinie auf das Stammkonto anwenden, gilt diese Richtlinie für alle Konten und OUs innerhalb der Organisation.

Die meisten Aufgaben, für die normalerweise der Stammbenutzer erforderlich ist, können Sie im Verwaltungskonto erledigen. Warum also nicht den Stammbenutzer in Ihren Mitgliedskonten ganz deaktivieren?

Die Deaktivierung des Stammbenutzers hat keine Auswirkungen auf das Verwaltungskonto. Außerdem sind Sie dann gezwungen, für jedes Mitgliedskonto Benutzer und Rollen mit eingeschränkten Rechten zu erstellen. Auf diese Weise kommen Sie dem Prinzip der minimalen Rechtevergabe (POLP) bei der Verwaltung von AWS-Services einen Schritt näher.

Da der Stammbenutzer standardmäßig Zugriff auf alle AWS-Services hat und einige Aufgaben nur mit dem Stammbenutzer verfügbar sind, kann er Ihrem Konto großen Schaden zufügen, wenn er kompromittiert wird. Fügen Sie der Stamm-OU in Ihrer Organisation einen SCP hinzu, um alle API-Aufrufe (Anwendungsprogrammierschnittstelle) des Stammbenutzers zu verweigern.