AWS Control Tower in Multiuser-Umgebung

Konfiguration und Steuerung einer Multi-User-AWS-Umgebung

Das Einrichten einer neuen AWS-Umgebung zu Evaluierungs- und Testzwecken ist einfach und schnell. Dies ist einer der bekannten Vorteile von AWS, sodass Ihre Entwickler schnell mit der Implementierung und dem Testen neuer Anwendungen beginnen können. Mit der Zeit werden immer mehr Governance-Aspekte auftreten und eine Multi-Account-Strategie erforderlich sein (mehr dazu in diesem A&B-Blog). Dies wiederum erhöht jedoch die Komplexität der Verwaltung Ihrer Anwendung. Müssen Sie sich also zwischen Agilität für Ihre Entwickler und Kontrolle für Ihre Administratoren entscheiden? Die Antwort lautet: Nein! AWS Control Tower kann Ihnen dabei helfen, Ihre Multi-Account-AWS-Umgebung sicher einzurichten und zu steuern.

Was ist AWS Control Tower?

AWS Control Tower ist kein völlig neues Tool. Stattdessen handelt es sich um einen AWS-Dienst, der andere vorhandene AWS-Dienste wie AWS Landing Zone Solution verwendet. Eine Landing Zone ist eine (AWS-)Umgebung, die auf Best Practices in Bezug auf die Konfiguration basiert und in der Sie Ihre Anwendung in einer sicheren Multi-Account-Umgebung erstellen und ausführen können. Somit ist die Landing Zone der Ausgangspunkt für Ihre Entwickler und Administratoren im Sinne von DevSecOps.

Arbeiten mit AWS Control Tower

Im ersten Schritt richten Sie Ihre AWS-Umgebung mit wenigen Klicks in AWS Control Tower ein und konfigurieren sie. Dabei werden einige Basiskonten basierend auf bewährten Methoden erstellt, beispielsweise ein Protokollierungskonto und ein eigenes Konto für Prüfzwecke. Daraus ergeben sich eine Reihe von zentralen Organisationseinheiten (OU), die später nicht mehr geändert werden sollten. Dies bietet auch die Grundlagen für die automatische Bereitstellung konformer Konten, sodass Ihre Projektmitglieder später neue Konten erstellen können (benutzerdefinierte Organisationseinheiten), ohne für jedes neue Konto Rechnungsinformationen oder andere standardisierte Informationen eingeben zu müssen.

Während die zentralen Organisationseinheiten nicht geändert werden sollten, werden die benutzerdefinierten Organisationseinheiten verwendet, um spezielle Konten für verschiedene Zwecke zu erstellen, beispielsweise Entwicklerkonten oder einzelne Geschäftsbenutzerkonten.

Quelle: https://speakerdeck.com/deki/aws-control-tower?slide=14

Aber natürlich müssen Sie als Administrator die Möglichkeit haben, sicherzustellen, dass diese Konten den etablierten Richtlinien Ihrer Organisation entsprechen. Dies gelingt Ihnen im zweiten Schritt durch die Definition von Service Control Policies (SCPs) und Guardrails. Mit Service Control Policies legen Sie fest, welche AWS-Service-APIs erlaubt sind (Allowlist) und welche APIs blockiert werden müssen (Blocklist). Die SCPs werden Organisationseinheiten als präventive Guardrails zugewiesen. Ziel ist hier die Vermeidung von Richtlinienverletzungen. Das Erkennen von Richtlinienverletzungen ist das Ziel von detektivischen Guardrails, die mit AWS Config Rules definiert werden können.

Quelle: https://speakerdeck.com/deki/aws-control-tower?slide=24  

Und schließlich bietet AWS Control Tower nach dem Erstellen der Konten und Leitplanken ein Dashboard mit visuellen Zusammenfassungen Ihrer AWS-Umgebung, das alle Organisationseinheiten und Konten sowie ihren Status im Vergleich zu den definierten Leitplanken enthält.

Wer sollte sich AWS Control Tower ansehen?

Wenn Sie neu bei AWS sind, beginnen Sie normalerweise mit einem kleinen Anwendungsfall. Wenn dies der Ausgangspunkt für Ihre Produktentwicklung ist, werden Sie schnell den Punkt erreichen, an dem Sie mehr als ein Konto benötigen, beispielsweise wenn Sie Konten für Abrechnungszwecke aufteilen oder Protokollierungs- oder Prüffunktionen in spezielle Konten trennen möchten. Obwohl das Einrichten zusätzlicher Konten manuell erfolgen kann, ist dies der richtige Zeitpunkt, um sich AWS Control Tower anzusehen: Anstatt vorhandene Konten manuell zu kopieren und einzufügen, können Sie die von AWS Control Tower bereitgestellten Best Practices verwenden, um eine flexible Multi-Account-Architektur für Ihre Anwendungen zu entwerfen.

Aber auch wenn Sie bereits eine laufende AWS-Anwendung mit manuell angelegten Accounts haben und/oder bereits AWS Landing Zone Solution nutzen, sollten Sie sich AWS Control Tower – das auf AWS Landing Zone Solution basiert – einmal genauer ansehen und prüfen, ob ein Wechsel zu AWS Control Tower jetzt der richtige Schritt ist, um Ihre DevSecOps flexibler zu gestalten.

Wir unterstützen Sie gerne beim AWS Control Tower. Sowohl als Neueinsteiger als auch als erfahrener AWS-Nutzer kontaktieren Sie uns unter Alice&Bob.Company

Weitere Blogbeiträge zu diesem Thema

Automatisierte Reaktion auf Sicherheitsvorfälle

Pfeil nach rechts

Die Bedeutung der Cloud-Transformation

Pfeil nach rechts

Mit CloudTracker überprivilegierte Benutzer in AWS finden

Pfeil nach rechts

Sichern Sie Ihre Webanwendungen automatisch mit AWS Firewall Manager unternehmensweit

Pfeil nach rechts
Du hast Fragen? Schreib uns!
Hiermit akzeptiere ich die Datenschutzbestimmungen der Alice&Bob.Company GmbH.
Termin buchen
Du hast Fragen? Schreib uns!
Sebastian Schäffer
Head of Business Operations & Growth
sebastianschäffer@alice-bob.de
Termin buchen
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.