View a markdown version of this page

Gelernte Erkenntnisse und bewährte Verfahren - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gelernte Erkenntnisse und bewährte Verfahren

  • Der Entwurf der OU-Struktur ist kein einmaliger Aufwand. Wenn ein Unternehmen die Cloud-Nutzung verstärkt und zusätzliche Workloads in die AWS landing zone migriert, wird sich auch sein OU-Design (und damit implizit auch sein Richtlinienkonzept) auf natürliche Weise weiterentwickeln.

  • Verwechseln Sie das nicht mit Ordnern, sondern betrachten Sie sie als Ziel OUs für Richtlinien. Sie OUs und ihre Hierarchie stellen das strukturierende Element für Richtlinien AWS-Konten dar und sollten immer als Container für Richtlinien behandelt werden. Wir empfehlen, dass Sie alle AWS-Konten , für die dieselben Richtlinien erforderlich sind, in derselben Organisationseinheit unterbringen. Diese Richtlinie gilt auch für verschachtelte Elemente OUs (OUs innerhalb OUs).

    AWS Umgebungen, die zentral gemeinsam genutzte Funktionen und Funktionen für die gemeinsame Nutzung von Daten über mehrere Arbeitslasten hinweg erfordern (was bei Datenplattformen in Unternehmen häufig der Fall ist), lassen sich leichter in einer OU-Struktur unterbringen, die nicht auf der Funktionsklassifizierung nach Geschäftsbereichen (LOB) basiert. Beispielsweise unterscheidet sich eine Produktionsumgebung für eine Fertigungsanwendung nicht von einer Produktionsumgebung für eine Analyseanwendung für klinische Studien, was die Richtlinien angeht. AWS Organizations

  • Respektiere und nutze das Erbe. Wenn Sie eine Richtlinie an eine bestimmte Organisationseinheit anhängen, erben AWS-Konten diejenigen, die direkt dieser Organisationseinheit oder einer untergeordneten Organisationseinheit untergeordnet sind, die Richtlinie. Wenn Sie einer bestimmten Richtlinie eine Richtlinie zuordnen AWS-Konto, wirkt sich die Richtlinie nur auf diese AWS-Konto aus.

    Der Migrationsaufwand von einer OU-Struktur zu einer anderen hängt davon ab, wie umfangreich die vorhandenen Richtlinien auf der Organisationseinheit oder AWS-Konto Ebene konfiguriert wurden. Ein weiterer wichtiger Faktor ist, wie viel Richtlinienvererbung in der bestehenden Organisationseinheitenhierarchie verwendet wurde oder ob die Vererbung unterbrochen wurde. Die Komplexität der Migration nimmt mit der Implementierung unregelmäßiger oder abweichender Vererbungspfade zu. Wenn Sie beispielsweise Richtlinien auf individueller AWS-Konto Ebene anwenden oder häufig Ausnahmen machen (wodurch die Vererbung aufgehoben wird), ist die Migration dieser Richtlinien in eine neue Struktur mit deutlich größerem Aufwand verbunden. In solchen Fällen mit hoher Komplexität empfehlen wir Ihnen, bei der Migrationsplanung die Zeit zu investieren, um die Richtlinienvererbung zu überprüfen und neu zu gestalten.

  • Kümmern Sie sich sowohl um AWS Organizations Richtlinien als auch um AWS Control Tower Kontrollen. Die OU-Struktur wird von AWS Control Tower und gemeinsam genutzt AWS Organizations. AWS Control Tower bietet eigene Detektiv- und Präventivkontrollen. Diese Kontrollen gelten auf AWS-Konto OU-Ebene. AWS Organizations orchestriert Richtlinien auf OU-Ebene. Bei einer OU-Migration empfehlen wir, zuerst die AWS Organizations Richtlinien zu migrieren, da diese im Hinblick auf die Einhaltung von Richtlinien mehr Gewicht haben. Wir empfehlen, dass Sie im zweiten Migrationsschritt AWS Control Tower Kontrollen auf die neue OU-Struktur anwenden.

  • Die Aktualisierung dauert einige Zeit AWS-Konten. Sie müssen bestehende Einheiten AWS-Konten einzeln erneut in die neue OU-Struktur eintragen, indem Sie AWS Control Tower Das braucht Zeit. Wenn Sie über eine große Anzahl von Konten verfügen, empfehlen wir Ihnen, diese Arbeit durch Automatisierung zu vereinfachen, um die Platzierung von AWS-Konten Organisationseinheiten zu kontrollieren und zu automatisieren. Hier sind zwei Beispielszenarien:

    • Manuelle Änderung für eine kleine Migration: Der Migrationsleiter weist jede einzelne Organisationseinheit AWS-Konto von ihrer alten Organisationseinheit der neuen Organisationseinheit im neu zu. AWS-Managementkonsole Wenn die Neuzuweisung für alle abgeschlossen ist AWS-Konten, wird der Migrations-Lead AWS Control Tower entweder für jede AWS-Konto einzeln oder für alle geöffnet. OUs Die erneute Registrierung dauert AWS-Konten jeweils AWS Control Tower 10 bis 15 Minuten, AWS-Konto abhängig von der Anzahl der im Konto AWS-Regionen verwendeten. AWS Control Tower ermöglicht die parallel Ausführung von bis zu fünf gleichzeitigen Operationen dieser Art.

    • Automatisierung kundenspezifischer Änderungen: Die Automatisierung vereinfacht und spart Aufwand. Sie können beispielsweise die Verwaltung eines AWS-Konto Lebenszyklus von seiner Erstellung bis zur Migration und Beendigung automatisieren. Sie können AWS Control Tower Account Factory verwenden, um die OU-Zuweisung für eine zu ändern AWS-Konto und den Vorgang zur erneuten Registrierung auszuführen. Diese Automatisierung unterstützt die groß angelegte Migration von Hunderten von. AWS-Konten