Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Dedizierte Kontostruktur
| Beeinflussen Sie die future der AWS Security Reference Architecture (AWS SRA), indem Sie an einer kurzen Umfrage teilnehmen |
An AWS-Konto bietet Sicherheit, Zugriffs- und Abrechnungsgrenzen für Ihre AWS Ressourcen und ermöglicht es Ihnen, Ressourcenunabhängigkeit und Isolierung zu erreichen. Standardmäßig ist kein Zugriff zwischen Konten zulässig.
Denken Sie bei der Gestaltung Ihrer Organisationseinheit und Kontostruktur zunächst an Sicherheit und Infrastruktur. Wir empfehlen, eine Reihe von Grundlagen OUs für diese spezifischen Funktionen zu erstellen, die in Infrastruktur und Sicherheit OUs unterteilt sind. Diese OU- und Kontoempfehlungen decken einen Teil unserer umfassenderen, umfassenderen Richtlinien für AWS Organizations die Gestaltung der Struktur mehrerer Konten ab. Vollständige Empfehlungen finden Sie unter Organisieren Ihrer AWS Umgebung mithilfe mehrerer Konten in der AWS
Dokumentation und im Blogbeitrag Bewährte Methoden für Organisationseinheiten
Die AWS SRA verwendet die folgenden Konten, um effektive Sicherheitsoperationen für durchzuführen. AWS Diese speziellen Konten tragen dazu bei, die Aufgabentrennung sicherzustellen, unterschiedliche Verwaltungs- und Zugriffsrichtlinien für verschiedene sensible Anwendungen und Daten zu unterstützen und die Auswirkungen eines Sicherheitsvorfalls zu mildern. In den folgenden Diskussionen konzentrieren wir uns auf Produktions- (Produktions-) Konten und die damit verbundenen Workloads. SDLC-Konten (Software Development Lifecycle) (oft als Entwickler - und Testkonten bezeichnet) sind für die Bereitstellung von Ergebnissen vorgesehen und können unter anderen Sicherheitsrichtlinien betrieben werden als für Produktionskonten.
Account |
Organisationseinheit |
Rolle im Bereich Sicherheit |
|---|---|---|
Verwaltung
|
— |
Zentrale Steuerung und Verwaltung aller AWS-Regionen Konten. AWS-Konto Derjenige, der die Wurzel der AWS Organisation beherbergt. |
Tools für die Sicherheit |
Sicherheit |
AWS-Konten Spezialisiert auf den Betrieb breit anwendbarer Sicherheitsdienste (wie GuardDuty Security Hub CSPM, Audit Manager, Detective, Amazon Inspector und AWS Config), die Überwachung AWS-Konten und Automatisierung von Sicherheitswarnungen und -reaktionen. (In AWS Control Tower lautet der Standardname für das Konto unter der Security OU Audit account.) |
Log-Archiv |
Sicherheit |
Speziell AWS-Konten für die Aufnahme und Archivierung aller Protokolle und Backups für alle AWS-Regionen und AWS-Konten. Dieser sollte als unveränderlicher Speicher konzipiert sein. |
Netzwerk |
Infrastruktur |
Das Gateway zwischen Ihrer Anwendung und dem breiteren Internet. Das Netzwerkkonto isoliert die umfassenderen Netzwerkdienste, die Konfiguration und den Betrieb von den Workloads, der Sicherheit und anderen Infrastrukturen der einzelnen Anwendungen. |
Gemeinsam genutzte Services |
Infrastruktur |
Dieses Konto unterstützt die Dienste, die mehrere Anwendungen und Teams verwenden, um ihre Ergebnisse zu erzielen. Beispiele hierfür sind Identity Center-Verzeichnisdienste (Active Directory), Messaging-Dienste und Metadatendienste. |
Anwendung |
Workloads |
AWS-Konten die die Anwendungen des AWS Unternehmens hosten und die Workloads ausführen. (Diese werden manchmal als Workload-Konten bezeichnet.) Anwendungskonten sollten erstellt werden, um Softwaredienste zu isolieren, anstatt sie Ihren Teams zuzuordnen. Dadurch ist die bereitgestellte Anwendung widerstandsfähiger gegenüber organisatorischen Veränderungen. |
