Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schritt 2. Konfiguriere und starte deine landing zone
Bevor Sie Ihre AWS Control Tower Tower-Landezone starten, bestimmen Sie die am besten geeignete Heimatregion. Weitere Informationen finden Sie unter [Administrative Tipps für die Einrichtung der landing zone](tips-for-admin-setup.md).
**Wichtig**
Wenn Sie Ihre Heimatregion ändern, nachdem Sie Ihre AWS Control Tower Tower-Landezone eingerichtet haben, ist die Außerbetriebnahme sowie die Unterstützung durch den AWS Support erforderlich. Diese Vorgehensweise wird nicht empfohlen.
Erfahre, wie du deine landing zone mit dem AWS CLI In konfigurierst und startest[Erste Schritte mit AWS Control Tower mit APIs](getting-started-apis.md).
Gehen Sie wie folgt vor, um Ihre landing zone in der Konsole zu konfigurieren und zu starten.
**Vorbereiten: Navigieren Sie zur AWS Control Tower Tower-Konsole**
1. Öffnen Sie einen Webbrowser und navigieren Sie zur AWS Control Tower Tower-Konsole unter [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).
1. Stellen Sie in der Konsole sicher, dass Sie in der gewünschten Heimatregion für AWS Control Tower arbeiten. Wählen Sie dann **Ihre landing zone einrichten**.
# Schritt 2a. Überprüfe deine AWS Regionen und wähle sie aus
Vergewissern Sie sich, dass Sie die AWS Region, die Sie für Ihre Heimatregion ausgewählt haben, korrekt angegeben haben. Nachdem Sie AWS Control Tower bereitgestellt haben, können Sie die Heimatregion nicht mehr ändern.
In diesem Abschnitt des Einrichtungsprozesses können Sie weitere AWS Regionen hinzufügen, die Sie benötigen. Sie können bei Bedarf zu einem späteren Zeitpunkt weitere Regionen hinzufügen und Regionen aus der Verwaltung entfernen.
**Um weitere AWS Regionen für die Verwaltung auszuwählen**
1. Das Fenster zeigt Ihnen die aktuelle Regionsauswahl. Öffnen Sie das Drop-down-Menü, um eine Liste zusätzlicher Regionen zu sehen, die für die Verwaltung verfügbar sind.
1. Markieren Sie das Kästchen neben jeder Region, um die Verwaltung durch AWS Control Tower zu übernehmen. Die Auswahl Ihrer Heimatregion kann nicht bearbeitet werden.
**Um den Zugriff auf bestimmte Regionen zu verweigern**
Um den Zugriff auf AWS Ressourcen und Workloads in bestimmten AWS Regionen zu verweigern, wählen Sie im Abschnitt für die Steuerung „Region Deny Control“ die **Option Aktiviert** aus. Standardmäßig ist die Einstellung für dieses Steuerelement **Nicht aktiviert**.
# Schritt 2b. Konfigurieren Sie Ihre Organisationseinheiten (OUs)
Wenn Sie deren Standardnamen akzeptieren OUs, müssen Sie nichts weiter unternehmen, um mit der Einrichtung fortzufahren. Um die Namen von zu ändern OUs, geben Sie die neuen Namen direkt in das Formularfeld ein.
+ **Foundational OU** — AWS Control Tower basiert auf einer **Foundational OU**, die ursprünglich **Security** OU genannt wurde. Sie können den Namen dieser OU bei der Ersteinrichtung und danach auf der Seite mit den OU-Details ändern. Diese **Sicherheits-OU** enthält Ihre beiden gemeinsamen Konten, die standardmäßig als **Protokollarchivkonto** und **Auditkonto** bezeichnet werden.
+ **Zusätzliche Organisationseinheit** — AWS Control Tower kann eine oder mehrere **zusätzliche** Organisationseinheiten OUs für Sie einrichten. Wir empfehlen Ihnen, neben der ****Sicherheits-OU** mindestens eine zusätzliche Organisationseinheit** in Ihrer landing zone bereitzustellen. Wenn diese zusätzliche Organisationseinheit für Entwicklungsprojekte vorgesehen ist, empfehlen wir, sie als **Sandbox-Organisationseinheit zu bezeichnen**, wie in der [Richtlinien für die Einrichtung einer gut strukturierten Umgebung](aws-multi-account-landing-zone.md#guidelines-for-multi-account-setup) angegeben. Wenn Sie bereits über eine bestehende Organisationseinheit verfügen AWS Organizations, wird Ihnen möglicherweise die Option angezeigt, die Einrichtung einer zusätzlichen Organisationseinheit in AWS Control Tower zu überspringen.
# Schritt 2c. Konfigurieren Sie Ihre gemeinsamen Konten, Protokollierung und Verschlüsselung
In diesem Abschnitt des Einrichtungsprozesses zeigt das Panel die Standardauswahl für die Namen Ihrer gemeinsamen AWS Control Tower Tower-Konten. Diese Konten sind ein wesentlicher Bestandteil Ihrer landing zone. **Verschieben oder löschen Sie diese gemeinsamen Konten nicht**. Sie können bei der Einrichtung benutzerdefinierte Namen für die Konten für die **Audit** - und **Protokollarchive** wählen. Alternativ haben Sie die einmalige Möglichkeit, bestehende AWS Konten als Ihre gemeinsamen Konten anzugeben.
Sie müssen eindeutige E-Mail-Adressen für Ihre Protokollarchiv- und Auditkonten angeben, und Sie können die E-Mail-Adresse überprüfen, die Sie zuvor für Ihr Verwaltungskonto angegeben haben. Wählen Sie die Schaltfläche **Bearbeiten**, um die bearbeitbaren Standardwerte zu ändern.
**Über die gemeinsamen Konten**
+ **Das Verwaltungskonto** — Das AWS Control Tower Tower-Verwaltungskonto ist Teil der Root-Ebene. Das Verwaltungskonto ermöglicht die Abrechnung mit AWS Control Tower. Das Konto hat auch Administratorrechte für Ihre landing zone. Sie können keine separaten Konten für die Abrechnung und für Administratorberechtigungen in AWS Control Tower erstellen.
Die für das Verwaltungskonto angezeigte E-Mail-Adresse kann in dieser Phase der Einrichtung nicht bearbeitet werden. Sie wird als Bestätigung angezeigt, sodass Sie überprüfen können, ob Sie das richtige Verwaltungskonto bearbeiten, falls Sie mehrere Konten haben.
+ **Die beiden gemeinsamen Konten** — Sie können benutzerdefinierte Namen für diese beiden Konten wählen oder Ihre eigenen Konten verwenden. Sie müssen für jedes Konto, ob neu oder bereits vorhanden, eine eindeutige E-Mail-Adresse angeben. Wenn Sie sich dafür entscheiden, dass AWS Control Tower neue gemeinsame Konten für Sie erstellt, dürfen den E-Mail-Adressen noch keine AWS Konten zugeordnet sein.
**Um die gemeinsamen Konten zu konfigurieren, geben Sie die angeforderten Informationen ein.**
1. Geben Sie an der Konsole einen Namen für das Konto ein, das ursprünglich als **Protokollarchivkonto** bezeichnet wurde. Viele Kunden entscheiden sich dafür, den Standardnamen für dieses Konto beizubehalten.
1. Geben Sie eine eindeutige E-Mail-Adresse für dieses Konto an.
1. Geben Sie einen Namen für das Konto ein, das ursprünglich als **Auditkonto** bezeichnet wurde. Viele Kunden nennen es **Sicherheitskonto**.
1. Geben Sie eine eindeutige E-Mail-Adresse für dieses Konto an.
# Konfigurieren Sie optional die Aufbewahrung von Protokollen
Während dieser Phase der Einrichtung können Sie die Protokollaufbewahrungsrichtlinie für Amazon S3 S3-Buckets, die Ihre AWS CloudTrail Protokolle im AWS Control Tower speichern, in Schritten von Tagen oder Jahren, bis zu einem Maximum von 15 Jahren, anpassen. Wenn Sie Ihre Protokollspeicherung nicht anpassen möchten, sind die Standardeinstellungen ein Jahr für die Standardkontenprotokollierung und 10 Jahre für die Zugriffsprotokollierung. Diese Funktion ist auch verfügbar, wenn Sie Ihre landing zone aktualisieren oder zurücksetzen.
# Wahlweise können Sie den Zugriff selbst verwalten AWS-Konto
Sie können wählen, ob AWS Control Tower den AWS-Konto Zugriff mit AWS Identity and Access Management (IAM) einrichtet oder ob Sie den AWS-Konto Zugriff selbst verwalten möchten — entweder mit AWS IAM Identity Center-Benutzern, -Rollen und -Berechtigungen, die Sie selbst einrichten und anpassen können, oder mit einer anderen Methode, *z. B. einem externen IdP, entweder für den direkten Kontoverbund oder für den Verbund mit mehreren Konten mithilfe von* IAM Identity Center. Sie können diese Auswahl später ändern.
Standardmäßig richtet AWS Control Tower das AWS IAM Identity Center für Ihre landing zone ein. Dies entspricht den Best-Practices-Richtlinien, die unter [Organisieren Ihrer AWS Umgebung mithilfe mehrerer](https://docs.aws.amazon.com//whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) Konten definiert sind. Die meisten Kunden wählen die Standardeinstellung. Manchmal sind alternative Zugriffsmethoden erforderlich, um die Einhaltung gesetzlicher Vorschriften in bestimmten Branchen oder Ländern zu gewährleisten oder AWS-Regionen wenn AWS IAM Identity Center nicht verfügbar ist.
Die Auswahl von Identitätsanbietern auf Kontoebene wird nicht unterstützt. Diese Option gilt nur für die gesamte landing zone.
Weitere Informationen finden Sie unter [Anleitung zum IAM Identity Center](sso-guidance.md).
# Optional können Sie AWS CloudTrail Wanderwege konfigurieren
Als bewährte Methode empfehlen wir, die Protokollierung einzurichten. Wenn Sie AWS Control Tower erlauben möchten, einen CloudTrail Trail auf Organisationsebene einzurichten und diesen für Sie zu verwalten, wählen Sie **Opt** in. Wenn Sie die Protokollierung mit Ihren eigenen CloudTrail Trails oder einem Protokollierungstool eines Drittanbieters verwalten möchten, wählen Sie „**Abmelden**“. Bestätige deine Auswahl, wenn du in der Konsole dazu aufgefordert wirst. Du kannst deine Auswahl ändern und Trails auf Organisationsebene aktivieren oder deaktivieren, wenn du deine landing zone aktualisierst.
Du kannst jederzeit deine eigenen CloudTrail Trails einrichten und verwalten, einschließlich Trails auf Organisations- und Kontoebene. Wenn du doppelte CloudTrail Trails einrichtest, können dir doppelte Kosten entstehen, wenn Ereignisse protokolliert werden. CloudTrail
# Optional konfigurieren AWS KMS keys
Wenn Sie Ihre Ressourcen mit einem AWS KMS Verschlüsselungsschlüssel ver- und entschlüsseln möchten, aktivieren Sie das Kontrollkästchen. Wenn Sie bereits Schlüssel haben, können Sie diese aus den Kennungen auswählen, die in einem Drop-down-Menü angezeigt werden. Sie können einen neuen Schlüssel generieren, indem Sie Schlüssel **erstellen** wählen. Sie können jederzeit einen KMS-Schlüssel hinzufügen oder ändern, wenn Sie Ihre landing zone aktualisieren.
Wenn Sie **landing zone einrichten** auswählen, führt AWS Control Tower eine Vorabprüfung durch, um Ihren KMS-Schlüssel zu validieren. Der Schlüssel muss die folgenden Anforderungen erfüllen:
+ Aktiviert
+ Symmetrisch
+ Kein Schlüssel für mehrere Regionen
+ Wurden der Richtlinie die richtigen Berechtigungen hinzugefügt
+ Der Schlüssel befindet sich im Verwaltungskonto
Möglicherweise wird ein Fehlerbanner angezeigt, wenn der Schlüssel diese Anforderungen nicht erfüllt. Wählen Sie in diesem Fall einen anderen Schlüssel oder generieren Sie einen Schlüssel. Achten Sie darauf, die Berechtigungsrichtlinie des Schlüssels wie im nächsten Abschnitt beschrieben zu bearbeiten.
## Aktualisieren Sie die KMS-Schlüsselrichtlinie
Bevor Sie eine KMS-Schlüsselrichtlinie aktualisieren können, müssen Sie einen KMS-Schlüssel erstellen. Weitere Informationen finden Sie unter [Erstellen einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Um einen KMS-Schlüssel mit AWS Control Tower zu verwenden, müssen Sie die standardmäßige KMS-Schlüsselrichtlinie aktualisieren, indem Sie die erforderlichen Mindestberechtigungen für AWS Config und hinzufügen AWS CloudTrail. Als bewährte Methode empfehlen wir, dass Sie die erforderlichen Mindestberechtigungen in jede Richtlinie aufnehmen. Wenn Sie eine KMS-Schlüsselrichtlinie aktualisieren, können Sie Berechtigungen als Gruppe in einer einzigen JSON-Anweisung oder zeilenweise hinzufügen.
Das Verfahren beschreibt, wie die standardmäßige KMS-Schlüsselrichtlinie in der AWS KMS Konsole aktualisiert wird, indem Richtlinienanweisungen hinzugefügt werden, die die Verschlüsselung zulassen AWS Config und CloudTrail AWS KMS für diese verwendet werden. Die Richtlinienerklärungen erfordern, dass Sie die folgenden Informationen angeben:
+ **`YOUR-MANAGEMENT-ACCOUNT-ID`**— die ID des Verwaltungskontos, in dem AWS Control Tower eingerichtet wird.
+ **`YOUR-HOME-REGION`**— die Heimatregion, die Sie bei der Einrichtung von AWS Control Tower auswählen werden.
+ **`YOUR-KMS-KEY-ID`**— die KMS-Schlüssel-ID, die mit der Richtlinie verwendet wird.
**Um die KMS-Schlüsselrichtlinie zu aktualisieren**
1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com//kms](https://console.aws.amazon.com//kms)
1. Wählen Sie im Navigationsbereich vom **Kunden verwaltete Schlüssel** aus.
1. Wählen Sie in der Tabelle den Schlüssel aus, den Sie bearbeiten möchten.
1. Stellen Sie auf der Registerkarte **Schlüsselrichtlinie** sicher, dass Sie die Schlüsselrichtlinie einsehen können. Wenn Sie die wichtige Richtlinie nicht anzeigen können, wählen Sie **Zur Richtlinienansicht wechseln**.
1. Wählen Sie **Bearbeiten** und aktualisieren Sie die standardmäßige KMS-Schlüsselrichtlinie, indem Sie die folgenden Richtlinienanweisungen für AWS Config und hinzufügen CloudTrail.
**AWS Config Grundsatzerklärung**
```
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
}
```
**CloudTrail Grundsatzerklärung**
```
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
```
1. Wählen Sie **Änderungen speichern ** aus.
**Beispiel für eine KMS-Schlüsselrichtlinie**
Die folgende Beispielrichtlinie zeigt, wie Ihre KMS-Schlüsselrichtlinie aussehen könnte, nachdem Sie die Richtlinienanweisungen hinzugefügt haben, mit denen CloudTrail die erforderlichen Mindestberechtigungen gewährt AWS Config werden. Die Beispielrichtlinie enthält nicht Ihre standardmäßige KMS-Schlüsselrichtlinie.
```
{
"Version": "2012-10-17",
"Id": "CustomKMSPolicy",
"Statement": [
{
... YOUR-EXISTING-POLICIES ...
},
{
"Sid": "Allow Config to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID"
},
{
"Sid": "Allow CloudTrail to use KMS for encryption",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Decrypt"
],
"Resource": "arn:PARTITION:kms:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:key/YOUR-KMS-KEY-ID",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:PARTITION:cloudtrail:YOUR-HOME-REGION:YOUR-MANAGEMENT-ACCOUNT-ID:trail/aws-controltower-BaselineCloudTrail"
},
"StringLike": {
"kms:EncryptionContext:aws:cloudtrail:arn": "arn:PARTITION:cloudtrail:*:YOUR-MANAGEMENT-ACCOUNT-ID:trail/*"
}
}
}
]
}
```
Weitere Beispielrichtlinien finden Sie auf den folgenden Seiten:
+ [Erteilen von Verschlüsselungsberechtigungen](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-encrypt) im *AWS CloudTrail Benutzerhandbuch*.
+ [Erforderliche Berechtigungen für den KMS-Schlüssel bei Verwendung von dienstverknüpften Rollen (S3 Bucket Delivery)](https://docs.aws.amazon.com//config/latest/developerguide/s3-kms-key-policy.html#required-permissions-s3-kms-key-using-servicelinkedrole) *im Entwicklerhandbuch.AWS Config *
**Schützen Sie sich vor Angreifern**
Indem Sie Ihren Richtlinien bestimmte Bedingungen hinzufügen, können Sie dazu beitragen, eine bestimmte Art von Angriff zu verhindern, den sogenannten *Confused Deputy* Attack, der auftritt, wenn eine Entität eine Entität mit mehr Rechten dazu zwingt, eine Aktion auszuführen, z. B. durch dienstübergreifenden Identitätswechsel. Allgemeine Informationen zu den Richtlinienbedingungen finden Sie auch unter. [Angeben von Bedingungen in einer Richtlinie](access-control-overview.md#specifying-conditions)
Mit AWS Key Management Service (AWS KMS) können Sie KMS-Schlüssel mit mehreren Regionen und asymmetrische Schlüssel erstellen. AWS Control Tower unterstützt jedoch keine Schlüssel mit mehreren Regionen oder asymmetrische Schlüssel. AWS Control Tower führt eine Vorabprüfung Ihrer vorhandenen Schlüssel durch. Möglicherweise wird eine Fehlermeldung angezeigt, wenn Sie einen Schlüssel für mehrere Regionen oder einen asymmetrischen Schlüssel auswählen. Generieren Sie in diesem Fall einen weiteren Schlüssel zur Verwendung mit AWS Control Tower Tower-Ressourcen.
Weitere Informationen AWS KMS dazu finden Sie [im AWS KMS Entwicklerhandbuch.](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)
Beachten Sie, dass Kundendaten in AWS Control Tower standardmäßig im Ruhezustand mit SSE-S3 verschlüsselt werden.
# Konfigurieren Sie optional die automatische Registrierung für Konten
Wenn Sie diese Funktion während der Einrichtung oder später aktivieren, weisen Konten, die zwischen zwei registrierten OUs Konten oder zum ersten Mal in Ihre AWS Control Tower Tower-Umgebung verschoben werden, keine Änderung des Vererbungsstatus mehr auf. Die Konten erben automatisch die Baselines und Kontrollen, die auf der neuen Organisationseinheit aktiviert sind. Steuerelemente und Baselines aus der vorherigen Organisationseinheit werden entfernt.
Um sich jederzeit nach der Einrichtung für die automatische Registrierung zu entscheiden, navigieren Sie zur Seite mit den **Einstellungen** für die landing zone und wählen Sie landing zone **aktualisieren** aus oder rufen Sie die AWS Control Tower API auf. `UpdateLandingZone`
Sie können ein Konto mithilfe der AWS Organizations API oder mithilfe der AWS Control Tower Tower-Konsole zwischen OUs diesen verschieben. Wenn Sie ein Konto außerhalb einer registrierten Organisationseinheit verschieben, entfernt AWS Control Tower automatisch alle bereitgestellten Baselines und Kontrollen. Es wird das Konto im Wesentlichen vom AWS Control Tower abgemeldet.
**Anmerkung**
Wenn Sie sich dafür entscheiden, die automatische Registrierung nach der ersten Einrichtung der landing zone zu aktivieren, behebt AWS Control Tower die Vererbungsabweichung, die durch das Verschieben von Konten zwischen Konten OUs vor der Aktivierung der automatischen Registrierung verursacht wurde, nicht rückwirkend. Die automatische Behebung von Abweichungen tritt für Konten in Kraft, die verschoben werden, nachdem Sie diese Einstellung aktiviert haben.
# Optional können Sie benutzerdefinierte Mitgliedskonten konfigurieren und erstellen
Wenn Sie dem Workflow **Konto erstellen** folgen, um Ihre Mitgliedskonten hinzuzufügen, können Sie optional einen zuvor definierten *Blueprint* angeben, der für die Bereitstellung benutzerdefinierter Mitgliedskonten von der AWS Control Tower Tower-Konsole aus verwendet werden soll. Sie können Konten später anpassen, wenn Ihnen kein Blueprint zur Verfügung steht. Siehe [Passen Sie Konten mit Account Factory Customization (AFC) an](af-customization-page.md).