Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Implementieren und verwalten Sie AWS Control Tower Kontrollen mithilfe von AWS CDK und CloudFormation *Iker Reina Fuente und Ivan Girardi, Amazon Web Services* ## Zusammenfassung Dieses Muster beschreibt, wie präventive, detektive AWS CloudFormation und AWS Cloud Development Kit (AWS CDK) proaktive AWS Control Tower Kontrollen als Infrastructure-as-Code (IaC) verwendet, implementiert und verwaltet werden. Eine [Kontrolle](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html) (auch als *Leitplanke* bezeichnet) ist eine Regel auf hoher Ebene, die eine kontinuierliche Steuerung Ihrer gesamten Umgebung gewährleistet. AWS Control Tower Beispielsweise können Sie mithilfe von Kontrollen eine Protokollierung für Ihr System vorschreiben AWS-Konten und dann automatische Benachrichtigungen konfigurieren, wenn bestimmte sicherheitsrelevante Ereignisse eintreten. AWS Control Tower unterstützt Sie bei der Implementierung präventiver, detektiver und proaktiver Kontrollen, mit denen Sie Ihre AWS Ressourcen steuern und die Einhaltung der Vorschriften in mehreren Bereichen überwachen können. AWS-Konten Jede Kontrolle erzwingt eine einzige Regel. In diesem Muster verwenden Sie eine bereitgestellte IaC-Vorlage, um anzugeben, welche Steuerelemente Sie in Ihrer Umgebung bereitstellen möchten. AWS Control Tower Kontrollen gelten für eine gesamte [Organisationseinheit (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit), und die Steuerung wirkt sich auf alle AWS-Konto innerhalb der Organisationseinheit aus. Wenn Benutzer eine Aktion in einem Konto in Ihrer landing zone ausführen, unterliegt diese Aktion daher den Kontrollen, die für die Organisationseinheit gelten. Die Implementierung von AWS Control Tower Kontrollen trägt dazu bei, eine solide Sicherheitsgrundlage für Ihre AWS landing zone zu schaffen. Indem Sie dieses Muster verwenden, um die Steuerungen als IaC über CloudFormation und bereitzustellen AWS CDK, können Sie die Steuerungen in Ihrer landing zone standardisieren und sie effizienter einsetzen und verwalten. Diese Lösung verwendet [cdk\_nag, um die Anwendung während der Bereitstellung zu scannen](https://github.com/cdklabs/cdk-nag#readme). AWS CDK Dieses Tool überprüft, ob die Anwendung den bewährten Methoden entspricht. AWS Um AWS Control Tower Steuerelemente als IaC bereitzustellen, können Sie stattdessen auch HashiCorp Terraform verwenden. AWS CDK Weitere Informationen finden Sie unter [Bereitstellen und Verwalten von AWS Control Tower Steuerelementen mithilfe von Terraform](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-terraform.html). **Beabsichtigte Zielgruppe** Dieses Muster wird Benutzern empfohlen, die Erfahrung mit AWS Control Tower, CloudFormation AWS CDK, und haben AWS Organizations. ## Voraussetzungen und Einschränkungen **Voraussetzungen** + Aktiv AWS-Konten geführt als Organisation in AWS Organizations und als AWS Control Tower landing zone. Anweisungen finden Sie in der AWS Control Tower Dokumentation unter [Erste Schritte](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html). + AWS Command Line Interface (AWS CLI), [installiert](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [konfiguriert](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html). + Node Package Manager (npm), [installiert und konfiguriert](https://docs.npmjs.com/downloading-and-installing-node-js-and-npm) für. AWS CDK + [Voraussetzungen](https://docs.aws.amazon.com/cdk/v2/guide/work-with.html#work-with-prerequisites) für AWS CDK. + Berechtigungen zur Übernahme einer vorhandenen AWS Identity and Access Management (IAM-) Rolle in einem Bereitstellungskonto. + Berechtigungen zur Übernahme einer IAM-Rolle im Verwaltungskonto der Organisation, die für das Bootstrap verwendet werden kann. AWS CDK Die Rolle muss über Berechtigungen zum Ändern und Bereitstellen CloudFormation von Ressourcen verfügen. Weitere Informationen finden Sie in der [Dokumentation unter Bootstrapping](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping-howto). AWS CDK + Berechtigungen zum Erstellen von IAM-Rollen und -Richtlinien im Verwaltungskonto der Organisation. Weitere Informationen finden Sie in der IAM-Dokumentation unter [Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions-required.html). **Einschränkungen** + Dieses Muster enthält Anweisungen für die Bereitstellung dieser Lösung in AWS-Konten einem Bereitstellungskonto bis hin zum Verwaltungskonto der Organisation. Zu Testzwecken können Sie diese Lösung direkt im Verwaltungskonto bereitstellen, Anweisungen für diese Konfiguration werden jedoch nicht explizit bereitgestellt. + Für AWS Control Tower Steuerelemente erfordert dieses Muster die Verwendung [globaler Bezeichner](https://docs.aws.amazon.com/controltower/latest/controlreference/all-global-identifiers.html) im folgenden Format: ``` arn::controlcatalog:::control/ ``` In früheren Versionen dieses Musters wurden [regionale Identifikatoren](https://docs.aws.amazon.com/controltower/latest/controlreference/control-metadata-tables.html) verwendet, die nicht mehr unterstützt werden. Wir empfehlen, dass Sie von regionalen Kennungen zu globalen Kennungen migrieren. Globale Kennungen helfen Ihnen dabei, Kontrollen zu verwalten und die Anzahl der Kontrollen, die Sie verwenden können, zu erweitern. **Anmerkung** In den meisten Fällen `` ist `aws` der Wert für. **Versionen der Produkte** + AWS Control Tower Version 3.2 oder höher + Python-Version 3.9 oder höher + npm Version 8.9.0 oder höher ## Architektur Dieser Abschnitt bietet einen allgemeinen Überblick über diese Lösung und die Architektur, die durch den Beispielcode festgelegt wurde. Das folgende Diagramm zeigt die Steuerelemente, die für die verschiedenen Konten in der Organisationseinheit eingesetzt werden. ![Architekturdiagramm der Kontrollen, die für alle AWS-Konten in der Organisationseinheit eingesetzt werden.](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/7d0d5e37-58ac-4621-b6b0-cb8c1c767ab0/images/47264166-3294-4a53-b0a4-5911086d636f.png) AWS Control Tower Die Kontrollen werden nach ihrem *Verhalten* und ihren *Leitlinien* kategorisiert. Es gibt drei Haupttypen von Kontrollverhalten: 1. *Präventive Kontrollen* sollen verhindern, dass Maßnahmen ergriffen werden. Diese werden mithilfe von [Dienststeuerungsrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) oder [Ressourcenkontrollrichtlinien (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) implementiert AWS Organizations. Der Status einer präventiven Kontrolle ist entweder **erzwungen** oder **nicht aktiviert**. Präventive Kontrollen werden in allen AWS-Regionen Bereichen unterstützt. 1. *Detective Controls* sind so konzipiert, dass sie bestimmte Ereignisse erkennen, wenn sie auftreten, und die Aktion protokollieren AWS CloudTrail. Diese werden mit [AWS Config Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) implementiert. Der Status einer detektiven Kontrolle ist entweder „Ungültig**“**, „**Verstoß**“ oder „**Nicht aktiviert“**. Detective Controls gelten nur für diejenigen, die von AWS-Regionen unterstützt werden AWS Control Tower. 1. *Proaktive Kontrollen* scannen Ressourcen, die von bereitgestellt werden würden, AWS CloudFormation und prüfen, ob sie den Richtlinien und Zielen Ihres Unternehmens entsprechen. Ressourcen, die nicht den Vorschriften entsprechen, werden nicht bereitgestellt. Diese werden mit [AWS CloudFormation Hooks](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/hooks.html) implementiert. Der Status einer proaktiven Kontrolle ist **PASS**, **FAIL** oder **SKIP**. Die *Anleitung zur* Kontrolle bezieht sich auf die empfohlene Vorgehensweise zur Anwendung der einzelnen Kontrollen auf Sie OUs. AWS Control Tower bietet drei Kategorien von Leitlinien: *verpflichtend*, *dringend empfohlen* und *optional.* Die Leitlinien einer Kontrolle sind unabhängig von ihrem Verhalten. Weitere Informationen finden Sie unter [Verhalten und Steuerung der Steuerung](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html#control-behavior). ## Tools **AWS-Services** + [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html)ist ein Softwareentwicklungs-Framework, das Sie dabei unterstützt, AWS Cloud Infrastruktur im Code zu definieren und bereitzustellen. Das [AWS CDK Toolkit](https://docs.aws.amazon.com/cdk/v2/guide/cli.html) ist das wichtigste Tool für die Interaktion mit Ihrer AWS CDK App. + [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und AWS-Regionen zu verwalten. + [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)bietet einen detaillierten Überblick über die Ressourcen in Ihrem System AWS-Konto und darüber, wie sie konfiguriert sind. Es hilft Ihnen zu erkennen, wie Ressourcen miteinander zusammenhängen und wie sich ihre Konfigurationen im Laufe der Zeit geändert haben. + [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)hilft Ihnen bei der Einrichtung und Verwaltung einer Umgebung AWS mit mehreren Konten und folgt dabei den vorgeschriebenen Best Practices. + [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten. **Andere Tools** + [cdk\_nag](https://github.com/cdklabs/cdk-nag#readme) ist ein Open-Source-Tool, das eine Kombination von Regelpaketen verwendet, um AWS CDK Anwendungen auf Einhaltung von Best Practices zu überprüfen. + [npm](https://docs.npmjs.com/about-npm/) ist eine Softwareregistrierung, die in einer Node.js -Umgebung ausgeführt wird und verwendet wird, um Pakete gemeinsam zu nutzen oder auszuleihen und die Bereitstellung von privaten Paketen zu verwalten. + [Python](https://www.python.org/) ist eine Allzweck-Computerprogrammiersprache. **Code-Repository** Der Code für dieses Muster ist im AWS CDK Repository GitHub [Deploy AWS Control Tower controls using](https://github.com/aws-samples/aws-control-tower-controls-cdk) verfügbar. Sie verwenden die Datei **cdk.json**, um mit der AWS CDK App zu interagieren, und Sie verwenden die Datei **package.json**, um die npm-Pakete zu installieren. ## Best Practices + Folgen Sie dem [Prinzip der geringsten Rechte (IAM-Dokumentation).](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) Die Beispiel-IAM-Richtlinie und die Vertrauensrichtlinie in diesem Muster enthalten die erforderlichen Mindestberechtigungen, und die im Verwaltungskonto erstellten AWS CDK Stacks sind durch diese Berechtigungen eingeschränkt. + Folgen Sie den [Best Practices für AWS Control Tower Administratoren](https://docs.aws.amazon.com/controltower/latest/userguide/best-practices.html) (AWS Control Tower Dokumentation). + Folgen Sie den [Best Practices für die Entwicklung und Bereitstellung der Cloud-Infrastruktur mit der AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/best-practices.html) (AWS CDK Dokumentation). + Passen Sie beim Bootstrapping die Bootstrap-Vorlage an AWS CDK, um Richtlinien und vertrauenswürdige Konten zu definieren, die Lese- und Schreibzugriff auf alle Ressourcen im Verwaltungskonto haben sollen. [Weitere Informationen finden Sie unter Bootstrapping anpassen.](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html#bootstrapping-customizing) + Verwenden Sie Tools zur Codeanalyse wie [cfn\_nag](https://github.com/stelligent/cfn_nag), um die generierten Vorlagen zu scannen. CloudFormation Das Tool cfn-nag sucht in CloudFormation Vorlagen nach Mustern, die darauf hinweisen könnten, dass die Infrastruktur nicht sicher ist. [Sie können auch cdk-nag verwenden, um Ihre CloudFormation Vorlagen mithilfe des Cloudformation-include-Moduls zu überprüfen.](https://docs.aws.amazon.com/cdk/v2/guide/use_cfn_template.html) ## Epen ### Bereite dich darauf vor, die Steuerungen zu aktivieren | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Erstellen Sie die IAM-Rolle im Verwaltungskonto. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html) | DevOps Ingenieur, General AWS | | Bootstrap. AWS CDK | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html) | DevOps Ingenieur, General AWS, Python | | Klonen Sie das Repository | Geben Sie in einer Bash-Shell den folgenden Befehl ein. Dadurch werden die [AWS Control Tower Deploy-Steuerelemente mithilfe des AWS CDK Repositorys von](https://github.com/aws-samples/aws-control-tower-controls-cdk) geklont. GitHub
git clone https://github.com/aws-samples/aws-control-tower-controls-cdk.git
| DevOps Ingenieur, General AWS | | Bearbeiten Sie die AWS CDK Konfigurationsdatei. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html) | DevOps Ingenieur, General AWS | ### Aktivieren Sie die Kontrollen im Verwaltungskonto | Aufgabe | Description | Erforderliche Fähigkeiten | | --- | --- | --- | | Nehmen Sie die IAM-Rolle im Bereitstellungskonto an. | Nehmen Sie im Bereitstellungskonto die IAM-Rolle an, die über die Berechtigungen zum Bereitstellen der AWS CDK Stacks im Verwaltungskonto verfügt. Weitere Informationen zur Übernahme einer IAM-Rolle in der AWS CLI finden Sie unter [Verwenden einer IAM-Rolle](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html) in der. AWS CLI | DevOps Ingenieur, General AWS | | Aktivieren Sie die Umgebung. | Wenn Sie Linux oder macOS verwenden:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html)
Wenn Sie Windows verwenden:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-aws-cdk-and-aws-cloudformation.html) | DevOps Ingenieur, General AWS | | Installieren Sie die Abhängigkeiten. | Geben Sie nach der Aktivierung der virtuellen Umgebung den folgenden Befehl ein, um das Skript **install\_deps.sh** auszuführen. Dieses Skript installiert die erforderlichen Abhängigkeiten.
$ ./scripts/install_deps.sh
| DevOps Ingenieur, General AWS, Python | | Stellen Sie den Stack bereit. | Geben Sie die folgenden Befehle ein, um den CloudFormation Stack zu synthetisieren und bereitzustellen.
$ npx cdk synth
$ npx cdk deploy
| DevOps Ingenieur, General AWS, Python | ## Zugehörige Ressourcen **AWS Dokumentation** + [Über Kontrollen](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html) (AWS Control Tower Dokumentation) + [Bibliothek für Steuerungen](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html) (AWS Control Tower Dokumentation) + [AWS CDK Toolkit-Befehle](https://docs.aws.amazon.com/cdk/v2/guide/cli.html#cli-commands) (AWS CDK Dokumentation) + [Implementieren und verwalten Sie AWS Control Tower Kontrollen mithilfe von Terraform (Prescriptive Guidance](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-and-manage-aws-control-tower-controls-by-using-terraform.html))AWS **Sonstige Ressourcen** + [Python](https://www.python.org/) ## Zusätzliche Informationen **Beispiel für eine Datei constants.py** Im Folgenden finden Sie ein Beispiel für eine aktualisierte Datei **constants.py**. **Dieses Beispiel aktiviert das **AWS-GR\_DISALLOW\_CROSS\_REGION\_NETWORKING-Steuerelement (globale ID:) und das AWS-GR\_SUBNET\_AUTO\_ASSIGN\_PUBLIC\_IP\_DISABLED-Steuerelement** (globale ID:`dvuaav61i5cnfazfelmvn9m6k`).** `50z1ot237wl8u1lv5ufau6qqo` Eine Liste der globalen Bezeichner finden IDs Sie in [AWS Control Tower der Dokumentation unter Alle globalen](https://docs.aws.amazon.com/controltower/latest/controlreference/all-global-identifiers.html) Bezeichner. ``` ACCOUNT_ID = 111122223333 AWS_CONTROL_TOWER_REGION = us-east-2 ROLE_ARN = "arn:aws:iam::111122223333:role/CT-Controls-Role" GUARDRAILS_CONFIGURATION = [ { "Enable-Control": { "dvuaav61i5cnfazfelmvn9m6k": { # AWS-GR_DISALLOW_CROSS_REGION_NETWORKING "Parameters": { "ExemptedPrincipalArns": ["arn:aws:iam::111122223333:role/RoleName"] }, "Tags": [{"key": "Environment", "value": "Production"}] }, ... }, "OrganizationalUnitIds": ["ou-1111-11111111", "ou-2222-22222222"...], }, { "Enable-Control": { "50z1ot237wl8u1lv5ufau6qqo", # AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED ... }, "OrganizationalUnitIds": ["ou-2222-22222222"...], }, ] ``` **IAM-Richtlinie** Die folgende Beispielrichtlinie ermöglicht die Mindestaktionen, die erforderlich sind, um AWS Control Tower Kontrollen zu aktivieren oder zu deaktivieren, wenn AWS CDK Stacks von einem Bereitstellungskonto auf das Verwaltungskonto verteilt werden. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "controltower:EnableControl", "controltower:DisableControl", "controltower:GetControlOperation", "controltower:ListEnabledControls", "organizations:AttachPolicy", "organizations:CreatePolicy", "organizations:DeletePolicy", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DetachPolicy", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListPoliciesForTarget", "organizations:ListRoots", "organizations:UpdatePolicy", "ssm:GetParameters" ], "Resource": "*" } ] } ``` **Vertrauensrichtlinie** Mit der folgenden benutzerdefinierten Vertrauensrichtlinie kann eine bestimmte IAM-Rolle im Bereitstellungskonto die IAM-Rolle im Verwaltungskonto übernehmen. Ersetzen Sie Folgendes: + ``ist die ID des Bereitstellungskontos + ``ist der Name der Rolle im Bereitstellungskonto, die die Rolle im Verwaltungskonto übernehmen darf ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam:::role/" }, "Action": "sts:AssumeRole", "Condition": {} } ] } ```