Über uns AWS-Konten in AWS Control Tower - AWS Control Tower
Was passiert, wenn AWS Control Tower ein Konto erstellt?Überlegungen zur Verwendung vorhandener Sicherheits- oder Protokollierungskonten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Über uns AWS-Konten in AWS Control Tower

An AWS-Konto ist der Container für all Ihre eigenen Ressourcen. Zu diesen Ressourcen gehören die vom Konto akzeptierten AWS Identity and Access Management (IAM-) Identitäten, die bestimmen, wer Zugriff auf dieses Konto hat. IAM-Identitäten können Benutzer, Gruppen, Rollen und mehr umfassen. Weitere Informationen zur Arbeit mit IAM, Benutzern, Rollen und Richtlinien in AWS Control Tower finden Sie unter Identitäts- und Zugriffsmanagement in AWS Control Tower.

Ressourcen und Zeit für die Kontoerstellung

Wenn AWS Control Tower ein Konto erstellt oder registriert, stellt es die mindestens erforderliche Ressourcenkonfiguration für das Konto bereit. Es kann beispielsweise Ressourcen in Form von Account Factory Factory-Vorlagen und andere Ressourcen in Ihrer landing zone enthalten, wie IAM-Rollen, AWS CloudTrail Trails, von Service Catalog bereitgestellte Produkte und IAM Identity Center-Benutzer. AWS Control Tower stellt gemäß der Kontrollkonfiguration auch Ressourcen für die Organisationseinheit (OU) bereit, in der das neue Konto ein Mitgliedskonto werden soll.

AWS Control Tower orchestriert die Bereitstellung dieser Ressourcen in Ihrem Namen. Es kann mehrere Minuten pro Ressource dauern, bis die Bereitstellung abgeschlossen ist. Berücksichtigen Sie daher die Gesamtzeit, bevor Sie ein Konto erstellen oder registrieren. Weitere Informationen zur Verwaltung von Ressourcen in Ihren Konten finden Sie unterAnleitung zur Erstellung und Änderung von AWS Control Tower Tower-Ressourcen.

Was passiert, wenn AWS Control Tower ein Konto erstellt?

Neue Konten in AWS Control Tower werden durch eine Interaktion zwischen AWS Control Tower AWS Organizations, und erstellt und AWS Service Catalog dann bereitgestellt. Sie können über die AWS Control Tower Tower-Konsole Konten erstellen und bestehende Konten registrieren. Ausführliche Schritte zur Registrierung eines vorhandenen AWS-Konto über die AWS Control Tower Tower-Konsole finden Sie unterRegistrieren Sie ein vorhandenes Konto über die AWS Control Tower Tower-Konsole.

Hinter den Kulissen der Kontoerstellung

  1. Sie initiieren die Anfrage beispielsweise von der AWS Control Tower Account Factory Factory-Seite oder direkt von der AWS Service Catalog Konsole aus oder indem Sie die Service ProvisionProduct Catalog-API aufrufen.

  2. AWS Service Catalog ruft AWS Control Tower auf.

  3. AWS Control Tower startet einen Workflow, der in einem ersten Schritt die AWS Organizations CreateAccount API aufruft.

  4. Nach der AWS Organizations Erstellung des Kontos schließt AWS Control Tower den Bereitstellungsprozess ab, indem er Blueprints und Kontrollen anwendet.

  5. Service Catalog fragt weiterhin AWS Control Tower ab, um zu überprüfen, ob der Bereitstellungsprozess abgeschlossen ist.

  6. Wenn der Workflow in AWS Control Tower abgeschlossen ist, stellt Service Catalog den Status des Kontos fest und informiert Sie (den Anforderer) über das Ergebnis.

Überlegungen zur Verwendung vorhandener Sicherheits- oder Protokollierungskonten

Bevor ein Konto AWS-Konto als Sicherheit (Standardname: Audit) oder Protokollierung (Standardname: Protokollarchiv) akzeptiert wird, überprüft AWS Control Tower das Konto auf Ressourcen, die mit den AWS Control Tower Tower-Anforderungen in Konflikt stehen. Beispielsweise haben Sie möglicherweise einen Logging-Bucket mit demselben Namen, den AWS Control Tower benötigt. Außerdem überprüft AWS Control Tower, ob das Konto Ressourcen bereitstellen kann, indem beispielsweise sichergestellt wird, dass AWS -Security-Token-Service (AWS STS) aktiviert ist, dass das Konto nicht gesperrt ist und dass AWS Control Tower berechtigt ist, Ressourcen innerhalb des Kontos bereitzustellen.

AWS Control Tower entfernt keine vorhandenen Ressourcen in den von Ihnen bereitgestellten Protokollierungs- und Sicherheitskonten. Wenn Sie es jedoch aktivieren, verhindert die Deny Control Control Control in der AWS-Control-Tower-Region den Zugriff auf Ressourcen in abgelehnten Regionen.

Sicherheit für Ihre Konten

In der AWS Organizations Dokumentation finden Sie Hinweise zu bewährten Methoden zum Schutz der Sicherheit Ihres AWS Control Tower Tower-Verwaltungskontos und Ihrer Mitgliedskonten.