Aufbau einer landing zone - AWS Präskriptive Leitlinien
AWS Control TowerMaßgeschneiderte landing zoneEmpfohlener Ansatz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufbau einer landing zone

Sie haben einige Optionen, um Ihre landing zone zu erstellenAWS. Sie können einen Managed Service wählen, um Ihre Umgebung zu orchestrieren, oder mit einem Partner zusammenarbeiten, um Ihre eigene zu erstellen. AWSbietet AWS Control Tower, einen verwalteten Service. Wir empfehlen Neukunden, mit zu beginnenAWS Control Tower. Es ist jedoch wichtig, die Unterschiede und Möglichkeiten der einzelnen Ansätze zu verstehen, damit Sie die beste Entscheidung für Ihr Unternehmen treffen können.

Optionen für Landezonen aufAWS:

Optionen für Landezonen aufAWS

des des des des des des oder

Liefermechanismus, der die Unterschiede zwischenAWS Control Tower und einer benutzerdefinierten landing zone zeigt, die vom Kunden oder Partner verwaltet wird

Vorteile und Kompromisse für jeden Ansatz:

Lösung Vorteile Nachteile

AWS Control Tower

  • Vollständig verwalteter Service

  • AWS-bereitgestellte Leitplanken und standardmäßig angewandte Compliance-Richtlinien

  • Zentrales Dashboard für Überwachung und Compliance-Status

  • Account Factory für die Bereitstellung neuer Konten

AWS Organizationsmit einer von Kunden oder Partnern entwickelten kundenspezifischen Lösung

Maßgeschneiderte Lösung

  • Der Kunde oder Partner ist für die gesamte Entwicklung und Codierung verantwortlich.

  • Der Kunde oder Partner ist für die Integration und Implementierung verantwortlich.

Alle Angebote für Umgebungen mit mehreren Konten werden unterstützt vonAWS Organizations. AWS Organizationsstellt die zugrunde liegende Infrastruktur und die Funktionen bereit, mit denen Sie IhreAWS Umgebung aufbauen und verwalten können. MitAWS Organizations können Sie die von uns bereitgestellten Strategieberatung für mehrere Konten nutzenAWS und Ihre Umgebung selbst so anpassen, dass sie Ihren Geschäftsanforderungen am besten entspricht. Wenn Sie bereits Kunde sind und mit Ihrer aktuellenAWS Organizations Implementierung zufrieden sind, sollten Sie Ihre aktuelleAWS Umgebung weiterhin betreiben.

AWS Control Tower

AWS Control Towerläuft alsAWS verwalteter Dienst. Wenn Sie auf der Suche nach einer sofort einsatzbereiten, vorgefertigten Umgebungslösung sind, können Sie sichAWS Control Tower für präskriptive Anleitungen und eine vollständig verwaltete Umgebung entscheiden. Der Service richtet eine landing zone ein, die auf bewährten Methoden für mehrere Konten basiert, zentralisiert das Identitäts- und Zugriffsmanagement und legt vorkonfigurierte Governance-Regeln für Sicherheit und Compliance fest.

AWS Control Towereinrichten

AWS Control Towerautomatisiert die Einrichtung einer neuen landing zone mithilfe von Best Practices, Blueprints für Identität, Verbundzugriff und Kontostruktur. Zu den implementierten BlueprintsAWS Control Tower gehören unter anderem:

  • Eine Umgebung mit mehreren Konten mitAWS Organizations

  • Kontoübergreifende Sicherheitsaudits mitAWS Identity and Access Management (IAM) undAWS IAM Identity Center

  • Identitätsmanagement mithilfe des Identity Center-Standardverzeichnisses

  • In Amazon Simple Storage Service (Amazon S3)AWS CloudTrailAWS Config

Bei Leitplanken handelt es sich um übergeordnete Regeln, die für eine kontinuierliche Steuerung Ihrer gesamtenAWS Umgebung sorgen. Leitplanken können sowohl präventiv als auch detektiv sein. Präventive Leitplanken werden mithilfe von Service Control Policies (SCPs) implementiert, die Teil von sindAWS Organizations. Detektivleitplanken werden mithilfe vonAWS-Config-Regeln undAWS Lambda Funktionen implementiert. Zu den Beispielen fürAWS Control Tower Leitplanken gehören:

  • Der Root-Benutzer benutzer

  • Internetverbindung über RDP verbieten

  • Der S3-Buckets

  • Amazon Elastic Block Store (Amazon EBS) -Volumes Elastic Compute Cloud (Amazon EC2)

Anmerkung

AWS Control Towerist ein Startpunkt für eine landing zone. Beim Aufbau Ihrer landing zone müssen Sie Ihre Strategie für Netzwerk, Zugriffsmanagement und Sicherheit auf der Grundlage Ihrer individuellen Anforderungen festlegen.

Maßgeschneiderte landing zone

Sie können wählen, ob Sie Ihre eigene maßgeschneiderte Landezonenlösung erstellen möchten. In diesem Fall müssen Sie die Basisumgebung implementieren, um mit Identitäts- und Zugriffsmanagement, Governance, Datensicherheit, Netzwerkdesign und Protokollierung zu beginnen. Wir empfehlen diesen Ansatz, wenn Sie alle Ihre Umgebungskomponenten von Grund auf neu erstellen möchten oder wenn Sie Anforderungen haben, die nur eine benutzerdefinierte Lösung unterstützen kann. Sie müssen über ausreichende Fachkenntnisse verfügen,AWS um die Lösung nach der Bereitstellung zu verwalten, zu aktualisieren, zu warten und zu betreiben.

Bevor Sie jedoch mit einem maßgeschneiderten Landezonendesign fortfahren, empfehlen wir Ihnen, diesAWS Control Tower zunächst zu berücksichtigen. AWS Control Towerwurde maßgeschneidert und von vielen Kunden aus verschiedenen Branchen verwendet, um Workloads erfolgreich bereitzustellenAWS. WennAWS Control Tower dies Ihren Anforderungen an die Anpassung nicht entspricht, versuchen Sie es mit AWSLanding Zone. Dies ist eine Landezonenimplementierung, die auf basiertAWS CloudFormation.

Wir empfehlen, dass alle neuen Landezonen mit beginnenAWS Control Tower. AWS Control Towerhilft Ihnen dabei, eine erste präskriptive Landezonen-Konfiguration zu erstellen, out-of-the-box Leitplanken und Blueprints zu verwenden und mithilfe von AWS Control TowerAccount Factory neue Konten zu erstellen.

Wenn du benutzerdefinierte Leitplanken und Baupläne benötigst, findest du unter Anpassungen InformationenAWS Control Tower zum Anpassen deinerAWS Control Tower landing zone. Diese Referenzimplementierung ist in die Funktion fürAWS Control Tower Lebenszyklusereignisse und Benachrichtigungen integriert, um Anpassungen der landing zone als Reaktion auf entsprechendeAWS Control Tower Lebenszyklusereignisse voranzutreiben.

Wenn Sie bereitsAWS Control Tower Kunde sind, stehen Ihnen sowohl nativeAWS Control Tower Lifecycle-Ereignisse als auch die Referenzimplementierung zur Anpassung zur Verfügung, um Ihre Anpassungsanforderungen zu erfüllen. Alles, was Sie tun müssen, ist dieAWS CloudFormation Vorlage der Referenzimplementierung in Ihrem bestehendenAWS Control Tower Konto bereitzustellen.