# OPS01-BP03 Bewertung der Governance-Anforderungen
<a name="ops_priorities_governance_reqs"></a>

 Governance bezeichnet die Richtlinien, Regeln oder Rahmen, die ein Unternehmen nutzt, um die geschäftlichen Ziele zu erreichen. Die Governance-Anforderungen werden innerhalb Ihrer Organisation erstellt. Sie können sich darauf auswirken, welche Arten von Technologien Sie nutzen oder wie Sie Ihre Workload ausführen. Integrieren Sie die Governance-Anforderungen Ihrer Organisation in Ihren Workload. Konformität ist die Fähigkeit, nachzuweisen, dass Sie die Governance-Anforderungen implementiert haben. 

 **Gewünschtes Ergebnis:** 
+  Die Governance-Anforderungen werden in das Architekturdesign und den Betrieb Ihres Workloads integriert. 
+  Sie können nachweisen, dass Sie den Governance-Anforderungen nachkommen. 
+  Die Governance-Anforderungen werden regelmäßig überprüft und aktualisiert. 

 **Typische Anti-Muster:** 
+ Ihre Organisation verlangt Multi-Faktor-Authentifizierung für das Stammkonto. Sie haben diese Anforderung nicht implementiert und das Stammkonto wurde kompromittiert.
+ Während des Entwurfs Ihres Workloads wählen Sie einen Instance-Typ, der nicht von der IT-Abteilung genehmigt wurde. Sie können Ihren Workload nicht starten und müssen ihn überarbeiten.
+ Sie sind verpflichtet, über einen Plan für die Notfallwiederherstellung zu verfügen. Sie haben keinen solchen Plan erstellt und Ihr Workload ist von einem längeren Ausfall betroffen.
+  Ihr Team möchte neue Instances verwenden, Ihre Governance-Anforderungen wurden jedoch nicht aktualisiert, sodass die Instances nicht zulässig sind. 

 **Vorteile der Nutzung dieser bewährten Methode:** 
+  Durch das Erfüllen der Governance-Anforderungen wird Ihr Workload auf die größeren Organisationsrichtlinien abgestimmt. 
+  Die Governance-Anforderungen spiegeln Branchenstandards und bewährte Methoden für Ihre Organisation wider. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

Ermitteln Sie Governance-Anforderungen, indem Sie mit Stakeholdern und Governance-Organisationen zusammenarbeiten. Integrieren Sie die Governance-Anforderungen in Ihren Workload. Seien Sie in der Lage, nachzuweisen, dass Sie den Governance-Anforderungen nachkommen.

 **Kundenbeispiel** 

 Bei AnyCompany Retail arbeitet das Cloud-Operations-Team mit Stakeholdern im gesamten Unternehmen zusammen, um die Governance-Anforderungen zu entwickeln. Sie verbieten beispielsweise den SSH Zugriff auf EC2 Amazon-Instances. Wenn Teams Systemzugriff benötigen, müssen sie AWS Systems Manager Session Manager verwenden. Das Cloud-Operations-Team aktualisiert die Governance-Anforderungen regelmäßig, sobald neue Services verfügbar sind. 

 **Implementierungsschritte** 

1.  Identifizieren Sie die Stakeholder für Ihren Workload, einschließlich zentralisierter Teams. 

1.  Arbeiten Sie mit den Stakeholdern zusammen, um Governance-Anforderungen zu ermitteln. 

1.  Nachdem Sie eine Liste erstellt haben, ordnen Sie die Verbesserungspunkte entsprechend der Priorität und beginnen Sie damit, sie in Ihren Workload zu implementieren. 

   1.  Verwenden Sie Dienste wie [AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)die Erstellung governance-as-code und Überprüfung der Einhaltung von Governance-Anforderungen. 

   1.  Wenn Sie [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) verwenden, können Sie Governance-Anforderungen mithilfe von Service-Kontrollrichtlinien (Service Control Policies, SCP) implementieren. 

1.  Stellen Sie Unterlagen bereit, die die Implementierung bestätigen. 

 **Aufwand für den Implementierungsplan:** Mittel. Die Implementierung fehlender Governance-Anforderungen kann dazu führen, dass Sie Ihren Workload überarbeiten müssen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [OPS01-BP04 Bewerten der Compliance-Anforderungen](ops_priorities_compliance_reqs.md) – Compliance ist ähnlich wie Unternehmensführung, kommt jedoch von außerhalb des Unternehmens. 

 **Zugehörige Dokumente:** 
+ [AWS Leitfaden für Verwaltung und Governance zur Cloud-Umgebung](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html)
+ [Bewährte Methoden für Richtlinien zur AWS Organizations Servicesteuerung in einer Umgebung mit mehreren Konten](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [Unternehmensführung in der AWS Cloud: Das richtige Gleichgewicht zwischen Agilität und Sicherheit](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/)
+ [Was sind Unternehmensführung, Risiko und Compliance (GRC)?](https://aws.amazon.com/what-is/grc/)

 **Zugehörige Videos:** 
+ [AWS Management und Unternehmensführung: Konfiguration, Compliance und Prüfung — AWS Online Tech Talks](https://www.youtube.com/watch?v=79ud1ZAaoj0)
+ [AWS re:INFORCE 2019: Governance für das Cloud-Zeitalter (-R1) DEM12](https://www.youtube.com/watch?v=y3WmHnavuN8)
+ [AWS re:Invent 2020: Konformität als Code erreichen mit AWS Config](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2020: Agile Unternehmensführung auf AWS GovCloud (US)](https://www.youtube.com/watch?v=hv6B17eriHQ)

 **Zugehörige Beispiele:** 
+ [AWS Config Beispiele für das Konformitätspaket](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)

 **Zugehörige Services:** 
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Organizations - Richtlinien zur Servicekontrolle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)