So verwenden Sie die Hierarchiestruktur in AWS richtig

Hierarchiestruktur erklärt

Innerhalb von AWS gibt es vier Maßstäbe für die Hierarchiestruktur, und zwar die folgenden:

• Organisation
• Organisationseinheit (OU)
• Konto
• Ressource

Diese Hierarchie ist in jeder Cloud gleich. Azure hat fünf Hierarchieebenen und Google Cloud hat vier. Eine Ressourcenhierarchie hilft Benutzern herauszufinden, wie die Komponenten innerhalb ihres AWS-Kontos organisiert sind. Einige Fragen, die man sich stellen sollte, sind zum Beispiel:

• Ist die Struktur flach oder gibt es mehrere AWS-Konten, die verwaltet werden müssen?
• Erstellen Sie Richtlinien für jedes AWS-Konto?
• Kommunizieren die AWS-Konten miteinander und senden sie Daten?

Hinsichtlich technischer Vorgaben und der Sicherheit müssen Administratoren entscheiden, wie die AWS-Konten aussehen sollen, welche Richtlinien vorhanden sein sollen und welche Ressourcen sie nutzen werden.

Nehmen wir an, Sie haben zwei AWS-Konten, eines für die Entwicklung und eines für die Produktion, und diese kommunizieren miteinander. Dieses Szenario eignet sich zwar hervorragend für das Bereitstellen und Testen von Software, kann aber mehrere Sicherheitslücken bedingen, wenn es keine Zugriffskontrolle gibt. So passiert es beispielsweise schnell, dass Sie Testcode in einer Produktionsumgebung bereitstellen, obwohl er eigentlich für die Entwicklungsumgebung bestimmt war.

Organisation

Stellen Sie sich eine Organisation wie einen Hausbau vor. Sie ist gut gebaut, ermöglicht den Schutz der darin befindlichen Ressourcen und gewährleistet, dass alles sicher ist. Eine Organisation in AWS ist die Art und Weise, wie Sie Ihre AWS-Umgebung zentral verwalten. Damit können Sie Folgendes tun:

• Sie schaffen die Sicherheit Ihrer Konten, während Ihre Umgebung wächst;
• Sie stellen Konten zentral bereit;
• Sie prüfen Umgebungen für Compliance-Zwecke;
• Sie nutzen Ressourcen gemeinsam und
• Sie optimieren die Abrechnung.

Es ist der primäre Zugangspunkt für alle Aufgaben, die Sie innerhalb von AWS durchführen. Ohne eine Organisation gibt es keine Struktur. Sie fungiert als übergeordnetes Element für jedes Mitgliedskonto, das Sie verwalten. Sie enthält alle Ressourcen, Konten, Sicherheitskontrollrichtlinien (Security Control Policies, SCPs), Abrechnungs- und Prüfungsrichtlinien, die innerhalb von AWS verfügbar sind.

Organisatorische Einheit

Eine OU ist ein Weg, die SCPs einer Organisation in anderen Mitgliedskonten nahezu zu replizieren. Sie ermöglicht es Administratoren, Mitgliedskonten innerhalb eines Stammes zu verwalten und zu gruppieren. Eine OU kann auch andere OUs enthalten und SCPs an sie senden. Sie ist dazu gedacht, Mitgliedskonten zu gruppieren, die den gleichen Typ von SCPs oder betriebliche Anforderungen haben. Wenn Sie zum Beispiel ein Entwicklungskonto und ein Produktionskonto haben, die dieselbe Art von Compliance-Anforderungen für Audits haben, werden Administratoren sie in derselben OU gruppieren.

Organisationseinheiten haben genau eine übergeordnete Einheit und jedes Mitgliedskonto gehört nur zu einer Organisationseinheit.

Es gibt ein paar empfohlene OUs. Dazu gehören:

• Sicherheits-OE
• Infrastruktur OU
• Sandbox OU
• Workload OU

Mitgliedskonto

Innerhalb einer Organisation können Administratoren mehrere Ressourcen und Dienste erstellen. Diese Dienste befinden sich in einer containerähnlichen Struktur, die Mitgliedskonto genannt wird. Dazu gehören unter anderem die folgenden:

• EC2-Instanzen
• S3-Buckets
• VPCs (Virtual Private Cloud)

Verwechseln Sie ein Mitgliedskonto nicht mit einem Verwaltungskonto. Mit dem Verwaltungskonto erstellen Sie die Organisation. Es ist das erste Konto, das Zugriff auf die Ressourcen, OUs und SCPs der Organisation hat. Dieses Konto nennt man auch Root-Konto.

Ressource

Ressourcen umfassen AWS-Ressourcen und -Services. Dies sind die Komponenten, mit denen wir jeden Tag arbeiten, einschließlich EC2-Instanzen, Lambda-Funktionen und S3-Buckets. Diese Ressourcen verwalten sich jedoch nicht selbst. Sie werden von Organisationen, OUs und Mitgliedskonten verwaltet. Wenn Sie mit Ressourcen interagieren, interagieren Sie mit dem Rest der AWS-Hierarchiestruktur.

Richtlinien zur Dienststeuerung

Alle SCPs, die Berechtigungen verwalten – nicht gewähren – sind Teil der Organisation. Sie stellen sicher, dass die Mitgliedskonten im Rahmen der Zugriffskontrollrichtlinien der Organisation arbeiten.

Mit SCPs für eine Produktionsumgebung verwalten Sie alle Konten innerhalb Ihrer Umgebung zentral. Obwohl diese Funktionen aus der Sicherheitsperspektive großartig sind, sollten sie nicht Ihre einzige Sicherheitsmaßnahme sein. Sie setzen nur Grenzen. Sie benötigen immernoch Identity Access Management (IAM), um den Zugriff auf Ressourcen über Rollen und Benutzer innerhalb Ihrer AWS-Produktionskonten zu steuern.

Im Folgenden finden Sie einige wichtige Informationen über SCPs:

• SCPs betreffen nur IAM-Benutzer und -Rollen, die von Konten innerhalb der Organisation verwaltet werden.
• SCPs wirken sich nur auf Mitgliedskonten in der Organisation aus.
• SCPs wirken sich auf alle Benutzer und Rollen aus.
• Auch wenn ein SCP aktiv ist, müssen Sie IAM-Benutzern und -Rollen weiterhin Berechtigungen erteilen.