Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Übersicht
Wir haben mit einem multinationalen Pharmaunternehmen zusammengearbeitet, um Aktivitäten proof-of-concept (PoC) durchzuführen und AWS zu untersuchen, wie das Unternehmen seine Anwendungen von lokalen auf die migrieren kann. AWS Cloud Als sie begannen, ihren Migrationsworkflow zu skalieren und zu beschleunigen, um Produktionsworkloads einzubeziehen, wurde klar, dass sie eine regulierte und konforme AWS landing zone benötigten, um ihr Ziel zu erreichen. Früher AWS Control Towerhaben wir eine neue AWS landing zone entworfen und implementiert.
Ein wichtiger Aspekt einer neuen AWS landing zone und ihrer Organisation ist die Struktur ihrer Organisationseinheiten (OUs). Eine Organisationseinheit ist eine logische Gruppierung von, die mithilfe AWS Organizationsvon AWS-Konten erstellt wurde. Sie können sie verwenden OUs , um sich AWS-Konten in einer Hierarchie zu organisieren und Management- und Governance-Kontrollen einheitlich und einfacher anzuwenden.
Sie können richtlinienbasierte Kontrollen an eine Organisationseinheit und an anhängen. AWS-Konten Kinder OUs innerhalb einer Organisationseinheit erben diese Kontrollen automatisch. OUs Spielen Sie daher eine entscheidende Rolle bei der Verwaltung von Sicherheit und Unternehmensführung in AWS Organizations.
Eine Richtlinie ist ein JSON-Dokument, das eine oder mehrere Anweisungen enthält, die die Kontrollen definieren, die Sie auf eine Gruppe anwenden möchten AWS-Konten. AWS Organizations unterstützt derzeit vier Arten von Richtlinien, die auch als Dienststeuerungsrichtlinien (SCPs) bezeichnet werden. Ein SCP definiert die AWS-Services Aktionen, die für die Verwendung in verschiedenen AWS-Konten Bereichen verfügbar sind. Sie können beispielsweise einen SCP verwenden, um zu verlangen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instance-Starts einen bestimmten Instance-Typ verwenden.
Richtlinientypen
Zu den SCP-Richtlinientypen gehören die folgenden:
-
Zulassungslisten und Ablehnungslisten sind ergänzende Strategien, mit denen Sie die für SCPs Konten verfügbaren Berechtigungen filtern können.
-
Tag-Richtlinien helfen Ihnen dabei, einheitliche Stichwörter beizubehalten, einschließlich der bevorzugten Einzelfallbehandlung von Tagschlüsseln und Tagwerten für alle Konten.
-
Backup-Richtlinien konfigurieren Backups für unterstützte Ressourcentypen, wie z. B. das Zeitfenster des Backups und die Zieltresore für Backups auf allen AWS-Regionen Seiten.
-
Opt-Out-Richtlinien für KI-Dienste ermöglichen oder deaktivieren die kontinuierliche Verbesserung von Diensten für AWS künstliche Intelligenz (KI) weltweit.
Verhalten bei der Vererbung von Richtlinien: Wenn Sie eine Richtlinie an eine bestimmte Organisationseinheit anhängen, erben die Konten, die direkt dieser Organisationseinheit oder einer untergeordneten Organisationseinheit unterstehen, die Richtlinie. Wenn Sie eine Richtlinie an ein bestimmtes Konto anhängen, wirkt sich die Richtlinie nur auf dieses Konto aus. Sie können geerbte Richtlinien überschreiben, indem Sie Ausnahmerichtlinien einführen. Die Vererbung ermöglicht ausdrücklich, dass alle Berechtigungen von der Stammorganisation (OU) auf alle AWS-Konto in dieser Organisationseinheit und untergeordneten Organisationseinheit übertragen werden, es sei denn, Sie verweigern ausdrücklich eine Berechtigung. Um eine Berechtigung zu verweigern, erstellen Sie eine zusätzliche Richtlinie und fügen sie der entsprechenden Organisationseinheit hinzu oder AWS-Konto. Weitere Informationen zur Vererbung von Richtlinien und zu Ausnahmen finden Sie in der AWS Organizations Dokumentation.
AWS Control Tower bietet mithilfe der Organisationsstruktur auch eigene Erkennungs- und Präventivkontrollen (auch als Leitplanken bezeichnet). AWS Control Tower präventive Kontrollen verhindern Aktionen mithilfe der SCPs in. AWS Organizations Detective Controls berichten über Konfigurationsabweichungen gegenüber der Steuerung durch Verwendung AWS Config von. Weitere Informationen zu diesen Steuerelementen finden Sie in der AWS Control Tower Dokumentation.
Sie können auch die Automatisierung von Prüfungen bewährter Sicherheitsverfahren aktivieren AWS Security Hub CSPM, Sicherheitswarnungen an einem zentralen Ort und in einem Format zusammenfassen und so einen Überblick über die allgemeine Sicherheitslage in allen Ihren Systemen erhalten AWS-Konten.
