Mehrere AWS-Konten ohne Komplexität

Die Verwaltung komplexer Architekturen ist in öffentlichen Clouds und auf Amazon AWS durchaus möglich, aber wie macht man das richtig? Wie sollte man die Dinge einrichten? Und wie sollte man sein Konto organisieren?

Viele Ansätze sind möglich. Ursprünglich war es üblich, mehrschichtige Anwendungen in einem einzigen AWS-Konto zu verwalten. Heute wissen wir, dass dies weder sicher noch handhabbar ist.

Stattdessen sollten Sie separate AWS-Konten für jede einzelne Umgebung einrichten:

Für jedes Projekt sollten Sie ein eigenes Konto für Entwicklung, Staging, Integration, Produktion und Live-Umgebung haben. Außerdem sollten Sie separate Konten für Protokollierung und Backups in Betracht ziehen. Auf diese Weise kann der Eindringling Ihre Backups nicht löschen oder Ihre Protokolle ändern, um seinen Eindringling zu vertuschen. Das klingt kompliziert, und ja, es ist sicherlich komplizierter, als alle Ressourcen in einem einzigen Konto zu platzieren. In der Zwischenzeit hat sich AWS stark weiterentwickelt. Daher ist die Verwaltung verschiedener Konten oder die Aktivierung von Berechtigungen über Kontogrenzen hinweg viel einfacher als früher. Dies bietet erhebliche Vorteile sowohl hinsichtlich der Sicherheit als auch der Handhabbarkeit. Daher empfehlen wir, Ihre digitale Produktionsplattform auf mehrere AWS-Konten zu verteilen.

Die wichtigste Verbesserung, die AWS im Laufe der Zeit entwickelt hat, ist, dass der zentrale Berechtigungsverwaltungsdienst, IAM genannt, eine feinkörnige Berechtigungsverwaltung sowohl für „menschliche“ als auch für technische (Maschinen-)Benutzer über Kontogrenzen hinweg ermöglichen kann. Natürlich kann die Berechtigungsverwaltung in so großen Umgebungen schnell außer Kontrolle geraten, weshalb AWS Control Tower eingeführt wurde. Dies kann als benutzerfreundliches Präsentations- und Verwaltungs-Frontend verstanden werden, das Ihnen die Kontrolle zurückgibt, selbst wenn es Hunderte oder Tausende von Richtlinien, Dutzende oder Hunderte von IAM-Benutzern, Dutzende von AWS-Konten und komplexe Organisationen gibt.

Apropos:

Organisationen sind ein weiteres Feature, das in der jüngsten Vergangenheit eingeführt wurde. Sie helfen Ihnen, Ihre AWS-Konten zu strukturieren und Unternehmensrichtlinien auf alle Konten und Organisationseinheiten anzuwenden. Sie könnten beispielsweise erzwingen, dass alle Benutzer eine Multi-Faktor-Authentifizierung einrichten oder dass EC2-Instanzen nur in einer bestimmten AWS-Region erstellt werden können usw. Sie fragen sich vielleicht, wie dies mit Richtlinien funktioniert, die für einzelne Konten festgelegt sind, da diese in Konflikt geraten könnten. Organisationsrichtlinien setzen Konten außer Kraft, wenn widersprüchliche Richtlinien definiert sind.

Control Tower kann Ihnen zwar dabei helfen, Ihre Landing Zone so einzurichten, dass diese Best Practices berücksichtigt werden, und Abweichungen von Ihren ursprünglichen Definitionen erkennen und davor warnen, aber es ist eine bekannte Tatsache, dass sich Umgebungen weiterentwickeln, und was anfangs sinnvoll erschien, kann zu einem nicht mehr zu wartenden Biest werden, das nicht mehr den Best Practices folgt. Aus diesem Grund ist es sehr sinnvoll, regelmäßig gut konzipierte Überprüfungen durchzuführen – stellen Sie sicher, dass Ihre Architektur immer noch den aktuellen (und sich ändernden) AWS-Best Practices entspricht.

Wir empfehlen zweimal im Jahr eine gut konzipierte Überprüfung, um sicherzustellen, dass Ihre AWS-Umgebungen den aktuellen und zukünftigen Best Practices entsprechen. Wann haben Sie das letzte Mal eine Überprüfung Ihrer AWS-Kontoinfrastruktur durch einen Dritten durchführen lassen? Unsere in AWS-Sicherheit geschulten Lösungsarchitekten und -ingenieure unterstützen Sie gerne.

Rufen Sie also besser Alice&Bob.Company an!