Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Was ist AWS Control Tower?
AWS Control Tower bietet eine einfache Möglichkeit, eine Umgebung mit AWS mehreren Konten einzurichten und zu verwalten, wobei die vorgeschriebenen Best Practices befolgt werden. AWS Control Tower *orchestriert* die Funktionen mehrerer anderer [AWS Services](https://docs.aws.amazon.com//controltower/latest/userguide/integrated-services.html), darunter AWS Organizations, und AWS Service Catalog AWS IAM Identity Center, um in weniger als einer Stunde eine landing zone aufzubauen. Ressourcen werden in Ihrem Namen eingerichtet und verwaltet.
Die AWS Control Tower Tower-Orchestrierung erweitert die Funktionen von AWS Organizations. Um Ihre Organisationen und Konten vor Abweichungen zu schützen, *die* von den bewährten Methoden abweichen, wendet AWS Control Tower Kontrollen an (manchmal auch als *Leitplanken* bezeichnet). Mithilfe von Kontrollen können Sie beispielsweise sicherstellen, dass Sicherheitsprotokolle und die erforderlichen kontoübergreifenden Zugriffsberechtigungen erstellt und nicht verändert werden.
Wenn Sie mehr als eine Handvoll Konten hosten, ist es von Vorteil, über eine Orchestrierungsebene zu verfügen, die die Kontobereitstellung und Kontoverwaltung erleichtert. Sie können AWS Control Tower als Ihre primäre Methode zur Bereitstellung von Konten und Infrastruktur verwenden. Mit AWS Control Tower können Sie leichter Unternehmensstandards einhalten, gesetzliche Anforderungen erfüllen und bewährte Methoden befolgen.
Mit AWS Control Tower können Endbenutzer in Ihren verteilten Teams mithilfe konfigurierbarer Kontovorlagen in Account Factory schnell neue AWS Konten einrichten. In der Zwischenzeit können Ihre zentralen Cloud-Administratoren überwachen, ob alle Konten den festgelegten, unternehmensweiten Compliance-Richtlinien entsprechen.
Kurz gesagt, AWS Control Tower bietet die einfachste Möglichkeit, eine sichere, konforme AWS Umgebung mit mehreren Konten einzurichten und zu verwalten, die auf bewährten Methoden basiert, die in der Zusammenarbeit mit Tausenden von Unternehmen entwickelt wurden. Weitere Informationen zur Zusammenarbeit mit AWS Control Tower und zu den in der AWS Multi-Account-Strategie beschriebenen bewährten Methoden finden Sie unter[AWS Strategie für mehrere Konten: Leitfaden für bewährte Verfahren](aws-multi-account-landing-zone.md#multi-account-guidance).
## Features
AWS Control Tower bietet die folgenden Funktionen:
+ **landing zone** — Eine Landezone ist eine gut strukturierte [Umgebung mit mehreren Konten](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html#example-workloads-flat-structure), die auf bewährten Methoden für Sicherheit und Compliance basiert. Es ist der unternehmensweite Container, der all Ihre Organisationseinheiten (OUs), Konten, Benutzer und andere Ressourcen enthält, für die Sie Compliance-Vorschriften gelten möchten. Landing Zones sind skalierbar, sodass sie den Anforderungen von Unternehmen aller Größen gerecht werden können.
+ **Kontrollen** — Eine Kontrolle (manchmal auch als *Leitplanke* bezeichnet) ist eine Regel auf hoher Ebene, die eine kontinuierliche Steuerung Ihrer gesamten Umgebung gewährleistet. AWS Sie sind in Klartext. *Es gibt drei Arten von Kontrollen: *präventive*, *detektive* und proaktive.* Für Kontrollen gibt es drei Kategorien von Leitlinien: *verpflichtende*, *dringend empfohlene* und *fakultative Leitlinien*. Weitere Informationen zu Kontrollen finden Sie unter[Wie funktionieren Kontrollen](how-controls-work.md).
+ **Account Factory** — Eine Account Factory ist eine konfigurierbare Kontovorlage, mit deren Hilfe die Bereitstellung neuer Konten mit vorab genehmigten Kontokonfigurationen standardisiert werden kann. AWS Control Tower bietet eine integrierte Account Factory, mit der Sie den Workflow zur Kontobereitstellung in Ihrem Unternehmen automatisieren können. Weitere Informationen finden Sie unter [Konten mit Account Factory bereitstellen und verwalten](account-factory.md).
+ **Dashboard** — Das Dashboard bietet Ihrem Team von zentralen Cloud-Administratoren einen kontinuierlichen Überblick über Ihre landing zone. Verwenden Sie das Dashboard, um die bereitgestellten Konten in Ihrem Unternehmen, die für die Durchsetzung von Richtlinien aktivierten Kontrollen, die für die kontinuierliche Erkennung von Richtlinienverstößen aktiviert sind, und die nicht konformen Ressourcen, die nach Konten und Konten geordnet sind, zu sehen. OUs
## Wie AWS Control Tower mit anderen AWS Services interagiert
AWS Control Tower basiert auf vertrauenswürdigen und zuverlässigen AWS Services wie AWS Service Catalog AWS IAM Identity Center, und AWS Organizations. Weitere Informationen finden Sie unter [Integrierte Services](integrated-services.md).
Sie können AWS Control Tower mit anderen AWS Services in eine Lösung integrieren, mit der Sie Ihre vorhandenen Workloads migrieren können. AWS Weitere Informationen finden Sie unter [So nutzen Sie die Vorteile von AWS Control Tower und CloudEndure migrieren Workloads zu AWS](https://aws.amazon.com//blogs/mt/how-to-take-advantage-of-aws-control-tower-and-cloudendure-to-migrate-workloads-to-aws/).
**Konfiguration, Verwaltung und Erweiterbarkeit**
+ *Automatisierte Kontokonfiguration:* AWS Control Tower automatisiert die Kontobereitstellung und -registrierung mithilfe einer Account Factory (oder eines „Verkaufsautomaten“), die als Abstraktion auf den bereitgestellten Produkten aufgebaut ist. AWS Service Catalog Die Account Factory kann AWS Konten erstellen und registrieren und automatisiert den Prozess der Anwendung von Kontrollen und Richtlinien auf diese Konten. Weitere Informationen zum Erstellen und Bereitstellen von Konten finden Sie unter [Methoden](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html) der Bereitstellung.
+ *Zentralisierte Verwaltung:* Durch die Nutzung der Funktionen von richtet AWS Control Tower ein Framework ein AWS Organizations, das konsistente Compliance und Governance in Ihrer Umgebung mit mehreren Konten gewährleistet. Der AWS Organizations Service bietet grundlegende Funktionen für die Verwaltung einer Umgebung mit mehreren Konten, einschließlich zentraler Verwaltung und Verwaltung von Konten, Kontoerstellung von AWS Organizations APIs, Richtlinien zur Servicesteuerung (SCPs) und Richtlinien zur Ressourcenkontrolle (). RCPs
+ *Erweiterbarkeit:* Sie können Ihre eigene AWS Control Tower Tower-Umgebung erstellen oder erweitern AWS Organizations, indem Sie sowohl direkt in als auch in der AWS Control Tower Tower-Konsole arbeiten. Sie können Ihre Änderungen in AWS Control Tower sehen, nachdem Sie Ihre bestehenden Organisationen registriert und Ihre bestehenden Konten bei AWS Control Tower registriert haben. Sie können Ihre AWS Control Tower Tower-Landezone aktualisieren, um Ihre Änderungen widerzuspiegeln. Wenn Ihre Workloads weitere erweiterte Funktionen erfordern, können Sie neben AWS Control Tower auch andere AWS Partnerlösungen nutzen.
## Verwenden Sie AWS Control Tower zum ersten Mal?
Wenn Sie diesen Service zum ersten Mal verwenden, empfehlen wir Ihnen, Folgendes zu lesen:
1. Weitere Informationen zur Planung und Organisation Ihrer landing zone finden Sie unter [Planen Sie Ihre AWS Control Tower Tower-Landezone](planning-your-deployment.md) und[AWS Strategie für mehrere Konten für Ihre AWS Control Tower Tower-Landezone](aws-multi-account-landing-zone.md).
1. Wenn Sie zur Erstellung einer ersten Landing Zone bereit sind, finden Sie weitere Informationen unter [Erste Schritte mit AWS Control Tower](getting-started-with-control-tower.md).
1. Informationen zur Erkennung und Vorbeugung von Abweichungen finden Sie unter [Abweichungen im AWS Control Tower erkennen und beheben](drift.md).
1. Sicherheitsdetails finden Sie unter [Sicherheit im AWS Control Tower](security.md).
1. Informationen zur Aktualisierung Ihrer landing zone und Ihrer Mitgliedskonten finden Sie unter[Verwaltung von Konfigurationsupdates in AWS Control Tower](configuration-updates.md).
# So funktioniert AWS Control Tower
In diesem Abschnitt wird ausführlich beschrieben, wie AWS Control Tower funktioniert. Ihre landing zone ist eine gut strukturierte Umgebung mit mehreren Konten für all Ihre Ressourcen. AWS Sie können diese Umgebung verwenden, um Compliance-Vorschriften für alle Ihre Konten durchzusetzen. AWS
## Struktur einer AWS Control Tower Tower-Landezone
Die Struktur einer landing zone in AWS Control Tower sieht wie folgt aus:
+ **Root** — Das übergeordnete Element, das alle anderen OUs Elemente in Ihrer landing zone enthält.
+ **Sicherheits-OU** — Diese Organisationseinheit enthält die Konten Log Archive und Audit. Diese Konten werden häufig als *gemeinsam genutzte Konten* bezeichnet. Wenn Sie Ihre landing zone starten, können Sie benutzerdefinierte Namen für diese gemeinsamen Konten wählen, und Sie haben die Möglichkeit, bestehende AWS Konten aus Sicherheits- und Protokollierungsgründen in AWS Control Tower zu integrieren. Diese können jedoch später nicht umbenannt werden, und bestehende Konten können aus Sicherheits- und Protokollierungsgründen nach dem ersten Start nicht hinzugefügt werden.
+ **Sandbox-OU** — Die Sandbox-OU wird erstellt, wenn Sie Ihre landing zone starten, sofern Sie sie aktivieren. Dieses und andere registrierte Konten OUs enthalten die registrierten Konten, mit denen Ihre Benutzer ihre Workloads ausführen. AWS
+ **IAM Identity Center-Verzeichnis** — Dieses Verzeichnis enthält standardmäßig Ihre IAM Identity Center-Benutzer. Es definiert den Umfang der Berechtigungen für jeden IAM Identity Center-Benutzer. Optional können Sie sich dafür entscheiden, Ihre Identität und Zugriffskontrolle selbst zu verwalten. Weitere Informationen finden Sie unter [Arbeiten mit AWS IAM Identity Center und AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/sso.html).
+ **IAM Identity Center-Benutzer** — Dies sind die Identitäten, von denen Ihre Benutzer annehmen können, um ihre AWS Workloads in Ihrer landing zone auszuführen.
## Was passiert, wenn Sie eine landing zone einrichten
Wenn Sie eine landing zone einrichten, führt AWS Control Tower in Ihrem Namen die folgenden Aktionen in Ihrem Verwaltungskonto durch:
+ Erstellt zwei AWS Organizations Organisationseinheiten (OUs): Sicherheit und Sandbox (optional), die in der Stammstruktur der Organisation enthalten sind.
+ Erstellt zwei gemeinsame Konten in der Sicherheits-OU oder fügt sie hinzu: das Log Archive-Konto und das Audit-Konto.
+ Erstellt ein cloudnatives Verzeichnis in IAM Identity Center mit vorkonfigurierten Gruppen und Single Sign-On-Zugriff, wenn Sie die Standardkonfiguration von AWS Control Tower wählen, oder es ermöglicht Ihnen, Ihren Identitätsanbieter selbst zu verwalten.
+ Wendet alle obligatorischen, präventiven Kontrollen an, um Richtlinien durchzusetzen.
+ Wendet alle obligatorischen, detektiven Kontrollen an, um Verstöße gegen die Konfiguration zu erkennen.
+ *Präventive Kontrollen werden nicht auf das Verwaltungskonto angewendet.*
+ Mit Ausnahme des Verwaltungskontos gelten die Kontrollen für die gesamte Organisation.
**Sichere Verwaltung von Ressourcen innerhalb Ihrer AWS Control Tower Landing Zone und Konten**
+ Wenn Sie Ihre landing zone erstellen, werden eine Reihe von AWS Ressourcen erstellt. Um AWS Control Tower verwenden zu können, dürfen Sie diese von AWS Control Tower verwalteten Ressourcen nicht außerhalb der in diesem Handbuch beschriebenen unterstützten Methoden ändern oder löschen. Wenn Sie diese Ressourcen löschen oder ändern, wird Ihre landing zone in einen unbekannten Zustand versetzt. Details hierzu finden Sie unter [Anleitung zur Erstellung und Änderung von AWS Control Tower Tower-Ressourcen](getting-started-guidance.md)
+ Wenn Sie optionale Kontrollen aktivieren (solche mit *dringend empfohlenen oder optionalen Anleitungen*), erstellt AWS Control Tower AWS Ressourcen, die in Ihren Konten verwaltet werden. Ändern oder löschen Sie keine Ressourcen, die von AWS Control Tower erstellt wurden. Dies kann dazu führen, dass die Kontrollen in einen unbekannten Zustand übergehen.
# Was sind die gemeinsamen Konten?
In AWS Control Tower werden die gemeinsamen Konten in Ihrer landing zone während der Einrichtung bereitgestellt: das Verwaltungskonto, das Protokollarchiv-Konto und das Audit-Konto.
## Was ist das Verwaltungskonto?
Dies ist das Konto, das Sie speziell für Ihre landing zone erstellt haben. Dieses Konto wird für die Abrechnung von allem in Ihrer landing zone verwendet. Es wird auch für die Account Factory Factory-Bereitstellung von Konten sowie für die Verwaltung OUs und Kontrolle verwendet.
**Anmerkung**
Es wird nicht empfohlen, Produktionsworkloads jeglicher Art von einem AWS Control Tower Tower-Managementkonto aus auszuführen. Erstellen Sie ein separates AWS Control Tower Tower-Konto, um Ihre Workloads auszuführen.
Weitere Informationen finden Sie unter [Verwaltungskonto](special-accounts.md#mgmt-account).
## Was ist das Protokollarchiv-Konto?
Dieses Konto dient als Repository für Protokolle von API-Aktivitäten und Ressourcenkonfigurationen von allen Konten in der landing zone.
Weitere Informationen finden Sie unter [Konto protokollieren](special-accounts.md#log-archive-account).
## Was ist das Auditkonto?
Das Auditkonto ist ein eingeschränktes Konto, das Ihren Sicherheits- und Compliance-Teams Lese- und Schreibzugriff auf alle Konten in Ihrer landing zone. Über das Prüfungskonto haben Sie programmgesteuerten Zugriff auf Prüfkonten, indem Sie eine Rolle verwenden, die nur Lambda-Funktionen gewährt wird. Das Prüfungskonto erlaubt Ihnen nicht, sich manuell bei anderen Konten anzumelden. Weitere Informationen zu Lambda-Funktionen und -Rollen finden [Sie unter Eine Lambda-Funktion so konfigurieren, dass sie eine Rolle von einer anderen übernimmt](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role). AWS-Konto
Weitere Informationen finden Sie unter [Prüfungskonto](special-accounts.md#audit-account).
# Wie funktionieren Kontrollen
Eine Kontrolle ist eine Regel auf hoher Ebene, die eine kontinuierliche Steuerung Ihrer gesamten AWS Umgebung gewährleistet. Jede Kontrolle erzwingt eine einzige Regel, die in einfacher Sprache ausgedrückt wird. Sie können die ausgewählten oder dringend empfohlenen Kontrollen, die in Kraft sind, jederzeit über die AWS Control Tower-Konsole oder den AWS Control Tower APIs ändern. Obligatorische Kontrollen werden immer angewendet und können nicht geändert werden.
Präventive Kontrollen verhindern, dass Maßnahmen ergriffen werden. Beispielsweise verhindert das optionale Steuerelement **Disallow Changes to Bucket Policy for Amazon S3 Buckets** (früher **Disallow Policy Changes to Log Archive) jegliche Änderungen der IAM-Richtlinie innerhalb des gemeinsam genutzten Logarchiv-Kontos**. Jeder Versuch, eine verhinderte Aktion durchzuführen, wird verweigert und in CloudTrail protokolliert. Die Ressource ist auch angemeldet. AWS Config
Detective Controls erkennen bestimmte Ereignisse, wenn sie auftreten, und protokollieren die AktionCloudTrail. Das dringend empfohlene Steuerelement mit dem Namen „**Erkennen, ob die Verschlüsselung für Amazon EBS-Volumes aktiviert ist, die an Amazon EC2 EC2-Instances angehängt** sind“ erkennt beispielsweise, ob ein unverschlüsseltes Amazon EBS-Volume an eine EC2-Instance in Ihrer landing zone angehängt ist.
Proaktive Kontrollen überprüfen, ob die Ressourcen Ihren Unternehmensrichtlinien und -zielen entsprechen, bevor die Ressourcen Ihren Konten zugewiesen werden. Wenn die Ressourcen nicht den Vorschriften entsprechen, werden sie nicht bereitgestellt. Proaktive Kontrollen überwachen mithilfe von CloudFormation Vorlagen Ressourcen, die in Ihren Konten eingesetzt würden.
*Für diejenigen, die sich damit auskennen AWS:* In AWS Control Tower werden präventive Kontrollen mit Richtlinien zur Servicekontrolle (SCPs) und Ressourcenkontrollrichtlinien (RCPs) implementiert. Detektivkontrollen werden mit AWS Config Regeln implementiert. Proaktive Kontrollen werden mit CloudFormation Hooks implementiert.
## Verwandte Themen
+ [Abweichungen im AWS Control Tower erkennen und beheben](drift.md)
## So funktioniert AWS Control Tower mit StackSets
AWS Control Tower verwendet standardmäßig CloudFormation StackSets die Einrichtung von Ressourcen in Ihren Konten. Jedes Stack-Set hat StackInstances die, die Konten entsprechen, und zwei AWS-Regionen pro Konto. AWS Control Tower stellt eine Stack-Set-Instance pro Konto und Region bereit.
AWS Control Tower wendet Updates auf bestimmte Konten an, und zwar AWS-Regionen selektiv, basierend auf CloudFormation Parametern. Wenn Aktualisierungen auf einige Stack-Instances angewendet werden, behalten andere Stack-Instances möglicherweise den Status **Outdated (Veraltet)** bei. Dieses Verhalten wird erwartet und ist normal.
Wenn eine Stack-Instance in den Status **Outdated (Veraltet)** wechselt, bedeutet dies normalerweise, dass der Stack, der dieser Stack-Instance entspricht, nicht mit der neuesten Vorlage im Stack-Set übereinstimmt. Der Stack verbleibt in der älteren Vorlage, daher enthält er möglicherweise nicht die neuesten Ressourcen oder Parameter. Der Stack ist immer noch vollständig nutzbar.
Im Folgenden finden Sie eine kurze Zusammenfassung des zu erwartenden Verhaltens auf der Grundlage der CloudFormation Parameter, die während eines Updates angegeben werden:
Wenn das Stack-Set-Update Änderungen an der Vorlage beinhaltet (d. h., wenn die `TemplateURL` Eigenschaften `TemplateBody` oder angegeben sind) oder wenn die `Parameters` Eigenschaft angegeben ist, CloudFormation markiert es alle Stack-Instances mit dem Status **Veraltet**, bevor die Stack-Instances in den angegebenen Konten aktualisiert werden und AWS-Regionen. Wenn das Stack-Set-Update keine Änderungen an der Vorlage oder den Parametern beinhaltet, werden die Stack-Instances in den angegebenen Konten und Regionen CloudFormation aktualisiert, während alle anderen Stack-Instances ihren bestehenden Stack-Instance-Status behalten. Damit alle Stack-Instances aktualisiert werden, die einem Stack-Set zugeordnet sind, geben Sie die Eigenschaft `Accounts` oder `Regions` nicht an.
Weitere Informationen finden Sie unter [Aktualisieren Sie Ihr Stack-Set](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-update.html) im CloudFormation Benutzerhandbuch.