Technologische Neuigkeiten, Bewertungen und Tipps!
Blogs

AWS-Ressourcenhierarchie: Organisationseinheiten erklärt 2024

August 14, 2024

Die AWS-Ressourcenhierarchie ist ein mehrstufiges Zugriffsverwaltungssystem, das dafür sorgt, dass die Konten in AWS Organizations konform, sicher und innerhalb des Budgets bleiben. Sie umfasst normalerweise vier Entitäten: Organisationen, Organisationseinheiten, Mitgliedskonten und Ressourcen.

Eine AWS-Organisation ist ein Container, der mehrere AWS-Konten konsolidiert. Eine Organisationseinheit ist jedoch eine Unterteilung innerhalb einer Organisation, die aus einer kleineren Gruppe von Konten besteht.

Mitgliedskonten sind reguläre AWS-Konten, die einer Organisation hinzugefügt oder in ihr erstellt werden. Eine Ressource ist jeder Dienst, der die Cloud-Infrastruktur ausmacht, wie EC2-Instanzen, AWS Lambda usw.

Alle anzeigen

Treffen Sie die Experten

Erfahren Sie mehr über unser Redaktionsteam und unseren Rechercheprozess.

Was ist die AWS-Ressourcenhierarchie?

Die AWS-Ressourcenhierarchie ist ein mehrstufiges System, das verschiedene Konten in einer AWS-Organisation gruppiert. Es handelt sich um ein Zugriffsverwaltungssystem, das die Umgebungen der Konten in einer Organisation anpasst, um sicherzustellen, dass sie im Rahmen des Budgets bleiben, konform sind und bewährte Sicherheitsmethoden befolgen.

Eine AWS-Ressourcenhierarchie umfasst häufig vier Elemente: Organisationen, Organisationseinheiten, Konten und Ressourcen.

  • Organisation: Eine Organisation ist eine Verwaltungseinheit für mehrere AWS-Konten.
  • Organisationseinheit: Eine Organisationseinheit ist eine Untergruppe von AWS-Konten in einer AWS-Organisation.
  • Konto: Ein AWS-Konto ist eine grundlegende Einheit für den Zugriff auf und die Verwaltung von Ressourcen und Abrechnungen.
  • Ressource: Eine Ressource ist jeder Dienst oder jedes Tool, das Teil Ihrer Cloud-Umgebung ist.

Jedes Konto in einer Organisation kann jeweils nur zu einer Organisationseinheit gehören.

Was ist eine Organisation in AWS?

Eine Organisation in Amazon Web Services (AWS) ist eine zentrale Einheit, die die Verwaltung mehrerer Konten als eine einzige Einheit rationalisiert. Sie enthält mehrere AWS-Konten, die als eine einzige Einheit zusammenarbeiten.

Mit AWS Organizations können Sie eine einzige Zahlungsmethode für alle Mitgliedskonten verwenden.

Eine AWS-Organisation ist wie jede andere Organisation: Mitarbeiter unterstehen einem First-Line-Manager, First-Line-Manager einem Mid-Level-Manager, Mid-Level-Manager dem Top-Level-Management und das Top-Level-Management dem CEO. Mehrere Accounts (Mitarbeiter) sind in Organisationseinheiten (Management-Ebenen) aufgeteilt, aber alle arbeiten zusammen.

Die Hauptaufgabe einer Organisation in AWS ist die zentrale Verwaltung. AWS-Organisationen können die Abrechnung, Sicherheit und Compliance von Mitgliedskonten steuern und verwalten. Sie können auch direkt Konten erstellen, die automatisch Teil der Organisation werden. Darüber hinaus können Sie eine Einladung senden, um ein vorhandenes Konto zu einer AWS-Organisation hinzuzufügen.

Was ist eine Root in AWS Organizations?

Eine Root ist die Entität der obersten Ebene, die alle anderen Entitäten umfasst. Sie befindet sich an der Spitze des Organisationsbaums und gibt den Ton für organisationsweite Konfigurationen an. Mit anderen Worten: Konten und Ressourcen erben Richtlinien und Konfigurationen, die auf die Root angewendet werden. In Azure wird die Root als Root-Verwaltungsgruppe bezeichnet, und in Google Cloud wird sie als Root-Knoten bezeichnet.

Was ist ein Verwaltungskonto in AWS Organizations?

Das Verwaltungskonto erstellt eine Instanz einer AWS-Organisation. Mit anderen Worten: Es handelt sich um das AWS-Konto, mit dem die Organisation erstellt wurde.

Wie der Name schon sagt, verwaltet das Verwaltungskonto die Angelegenheiten der Organisation. Es bezahlt die Rechnungen, lädt Konten zur Organisation ein, erstellt Konten in der Organisation, entfernt Konten, weist Administratorkonten zu, aktiviert kontoübergreifende Dienste und wendet Richtlinien auf die Einheiten (Root-, Organisationseinheits- und Mitgliedskonten) an.

Was ist ein delegierter Administrator für AWS Organizations?

Delegierte Administratoren sind Konten, die dazu beitragen, die Nutzung des Verwaltungskontos zu reduzieren und es dadurch weniger anfällig zu machen. Delegierte Administratoren helfen außerdem dabei, organisatorische Einblicke zu optimieren und eine präzisere Kontrolle zu ermöglichen. Sie führen bestimmte Aufgaben im Namen des Verwaltungskontos aus und sind entweder für Organisationen oder für AWS-Dienste bestimmt.

Delegierter Administrator für Organisationen: Diese Konten verwalten Richtlinien in der Organisation. Sie erstellen Richtlinien und wenden sie auf die Stammkonten, Organisationseinheiten (OUs) und Mitgliedskonten an.

Delegierter Administrator für AWS-Dienste: Diese delegierten Administratorkonten befassen sich mit AWS-Diensten, die in einer AWS-Organisation verwendet werden. Jedem dieser Konten werden Administratorberechtigungen für einen bestimmten Dienst erteilt, die Sie im Allgemeinen im Verwaltungskonto finden.

Welche unterschiedlichen Richtlinien gelten in AWS-Organisationen?

Richtlinien in AWS Organizations sind Regeldefinitionen, die zusätzliche Konfigurationen, Zugriffskontrolle und Ressourcenverwaltung für die Konten in einer Organisation ermöglichen. In AWS Organizations gibt es zwei Hauptrichtlinientypen: Autorisierungsrichtlinien Und Verwaltungsrichtlinien.

  • Autorisierungsrichtlinien: Bei diesen Richtlinientypen geht es um die Kontosicherheit in einer Organisation.
    • Dienstkontrollrichtlinien (SCPs): Verwalten Sie die Berechtigungen für Konten in einer Organisation und fungieren Sie als zentrale Station, die die maximalen Berechtigungen für jedes Konto beschreibt.
  • Verwaltungsrichtlinien: Verwaltungsrichtlinien bestimmen die Verwaltung der in die Umgebung integrierten AWS-Dienste. Es gibt drei Untertypen: Tag-Richtlinien, Sicherungsrichtlinien und Opt-out-Richtlinien für Dienste der künstlichen Intelligenz (KI).
    • Tag-Richtlinien: Harmonisieren Sie die mit AWS-Ressourcen in einer Organisation verwendeten Tags.
    • Sicherungsrichtlinien: Beschreiben Sie die Verwaltung und Anwendung der Sicherung der AWS-Ressourcen in einer Organisation.
    • Opt-out-Richtlinien für Dienste künstlicher Intelligenz (KI): Bietet die Möglichkeit, eine detaillierte Kontrolle über die von AWS AI-Diensten erfassten Daten zu behalten.

AWS Organizations unterstützt vier Arten von Richtlinien: Service-Kontrolle
Richtlinien (SCP), Backup-, Tag- und KI-Dienste-Opt-out.

Was ist die Service Control-Richtlinie in AWS Organizations?

Eine Service Control Policy (SCP) in einer AWS-Organisation definiert die zulässigen Aktionen und Dienste für Rollen und Benutzer in einer Organisation. Grundsätzlich legt eine Service Control Policy die Grenzen der Einheiten einer Organisation fest.

Ein SCP weist nicht unbedingt Berechtigungen zu; stattdessen legt es Höchstgrenzen für die Entitäten (Organisation, Organisationseinheiten und Konten) fest. Die von einem SCP definierten Grenzen haben jedoch Vorrang vor der IAM-Richtlinie, die Benutzern und Rollen zugeordnet ist. Die an die Stammorganisation der Organisation angehängte Service-Kontrollrichtlinie gilt für alle anderen Einheiten.

Was ist der Unterschied zwischen Zulassungslisten und Sperrlisten?

Wenn Sie eine Zulassungsliste verwenden, sind nur die Berechtigungen auf der Liste zulässig. Bei einer Verweigerungsliste ist jedoch alles zulässig, mit Ausnahme der Einschränkungen auf der Liste.

Standardmäßig verfügen Stamm-, Organisationseinheiten und Konten in einer AWS-Organisation über die Richtlinie FullAWSAccess, die Vollzugriff gewährt. Dies erleichtert die Konfiguration beim Starten der Organisation. Im weiteren Verlauf müssen Sie jedoch möglicherweise den Zugriff jeder Entität einschränken. Hier kommen Zulassungs- und Sperrlisten ins Spiel.

Die Zulassungsliste erteilt Entitäten in einer Organisation definierte Berechtigungen und ersetzt die FullAWSAccess-Richtlinie. Die Verweigerungsliste hingegen ersetzt die FullAWSAccess-Richtlinie nicht. Stattdessen entfernt sie die Berechtigungen, die die FullAWSAccess-Richtlinie einer Entität erteilt.

Was sind die Funktionen von AWS Organizations?

Die Hauptfunktionen von AWS Organizations sind Kontoverwaltung, Sicherheit und Überwachung, Zugriffskontrolle, Ressourcenfreigabe, konsolidierte Abrechnung, Compliance und zentrales Ressourcenmanagement. Die folgenden Funktionen definieren diese Schlüsselrollen:

  • Kontoverwaltung: Mit dieser Funktion können Sie neue Konten erstellen, vorhandene Konten hinzufügen und diese zentral verwalten. Dies ist effizienter, als mehrere Konten einzeln zu verwalten.
  • Sicherheit und Überwachung: Mithilfe dieser Funktion können dem Sicherheitsteam Überwachungs- und Sicherheitstools zur Verfügung gestellt werden, damit dieses die Sicherheit aller Konten verwalten kann.
  • Zugangskontrolle: Service Control Policies (SCPs) bilden neben IAM-Richtlinien den Kern der Zugriffskontrolle in einer Organisation. Sie helfen, unbefugten Zugriff zu verhindern.
  • Gemeinsame Nutzung von Ressourcen: Durch die kontenübergreifende Ressourcenfreigabe können AWS-Dienste über mehrere Konten hinweg gemeinsam genutzt werden.
  • Konsolidierte Abrechnung: Dadurch wird eine einzige Rechnung für alle Ressourcen bereitgestellt, die die Konten in einer Organisation nutzen. So lassen sich Kosten einfacher verfolgen und verwalten.
  • Einhaltung: Tools wie AWS Config, CloudTrail und AWS Backup sorgen gemeinsam dafür, dass die Umgebung den gesetzlichen Standards entspricht.
  • Organisationsdefinition und Management: Diese Funktion ist der Kern der Ordnung, die AWS Organizations bietet. Die Aufteilung der Konten in Verwaltungsgruppen sorgt für bessere Übersicht.

Was sind die Anwendungsfälle von AWS Organizations?

Die wichtigsten Anwendungsfälle für AWS Organizations sind Multi-Account-Management, Kostenoptimierung, Ressourcenverwaltung und Delegation.

  • Verwaltung mehrerer Konten: Mit AWS Organizations können Sie Konten erstellen oder sie in eine einheitliche Umgebung einladen, in der Sie die Berechtigungsstufen jedes Kontos verwalten können.
  • Kostenoptimierung: Dank konsolidierter Rechnungsstellung präsentiert AWS Organizations eine einheitliche Rechnung. Dies erleichtert die Anzeige im Vergleich zur gleichzeitigen Überprüfung der Rechnungen für mehrere Konten.
  • Ressourcenverwaltung: Durch die Gruppierung von Konten in Organisationseinheiten wird die Ressourcenverwaltung vereinfacht, da Sie bestimmten Konten nicht mehr einzeln Ressourcenzugriff gewähren müssen.
  • Delegation: AWS Organizations erleichtert die Delegierung von Aufgaben an bestimmte Konten und Organisationseinheiten und verringert so die Verantwortung des Hauptkontos.

Wie sind die Preise von AWS Organizations?

AWS Organizations ist ein kostenloser Service. Die mit dem Service verfügbaren Ressourcen – wie S3-Cloud-Storage-Buckets und EC2-Instanzen – sind jedoch kostenpflichtig.

Was ist eine Organisationseinheit in AWS?

Eine Organisationseinheit (OU) in Amazon Web Services ist eine zusammenhängende Gruppe von Konten – eine Untereinheit der größeren Gruppe von Konten unter der Wurzel. Organisationseinheiten sorgen für bessere Transparenz und Modularität bei der Verwaltung einer Organisation.

Eine Organisationseinheit kann weitere Organisationseinheiten enthalten.

Mit einer Organisationseinheit können Sie dieselben SCPs auf eine Gruppe von Konten mit gemeinsamen Rollen anwenden. Sie können den Servicezugriff auch nur auf die Konten in der Organisationseinheit aktivieren. Grundsätzlich hilft eine Organisationseinheit dabei, effizient einen granularen Zugriff zu erreichen.

Beim Einrichten Ihrer Organisation sind eine Sicherheits-OU und eine Infrastruktur-OU hilfreich. Abgesehen von diesen beiden können Sie auch Bereitstellungs-OUs, Workload-OUs, Sandbox-OUs, OUs für einzelne Geschäftsbenutzer usw. erstellen.

AWS empfiehlt 11 OUs, darunter zwei grundlegende OUs: die Sicherheits-OU und die Infrastruktur-OU. Natürlich benötigen Sie beim Einrichten Ihrer Organisation möglicherweise nicht alle dieser OUs, und Sie können sogar benutzerdefinierte OUs erstellen. Nachfolgend finden Sie eine Liste der von AWS empfohlenen Organisationseinheiten:

  • Sicherheit OU: Diese Organisationseinheit umfasst Konten, die Sicherheitsdienste verwalten.
  • Infrastruktur-Organisationseinheit: Die Infrastruktur-Organisationseinheit enthält Konten, die die zentrale Cloud-Infrastruktur verwalten, einschließlich Dienste wie EC2 und Amazon Virtual Private Cloud.
  • Sandbox-Organisationseinheit: Die Konten in dieser Organisationseinheit sind für Tests und Entwicklung vorgesehen.
  • Organisationseinheit „Workloads“: Hierzu zählen Konten, die Produktions- oder Nichtproduktions-Geschäftsworkloads enthalten.
  • Organisationseinheit zur Richtlinienbereitstellung: Die hier aufgeführten Konten dienen als Testumgebung für neue Richtlinien.
  • Suspendierte Organisationseinheit: Diese Organisationseinheit beherbergt markierte oder inaktive Konten.
  • OU für einzelne Geschäftsbenutzer: In dieser Organisationseinheit verwalten die Konten Ressourcen außerhalb geschäftsspezifischer Umgebungen.
  • Ausnahmen OU: Dies dient als Container für Konten, die von bestimmten SCPs ausgenommen sind.
  • Bereitstellungs-OU: Diese Einheit bietet Ressourcen und Workloads, die die Bereitstellung unterstützen.
  • Übergangs-OU: Übergangs-OUs enthalten vorübergehend Konten, bevor diese ordnungsgemäß in die Organisation integriert werden.
  • Organisationseinheit für Geschäftskontinuität: Der Hauptzweck dieser Organisationseinheit ist die Notfallwiederherstellung.

Was ist ein Mitgliedskonto in einer AWS-Organisation?

Ein Mitgliedskonto ist wie jedes normale AWS-Konto, mit dem einzigen Unterschied, dass es Teil einer AWS-Organisation ist. Ein Mitgliedskonto ist die kleinste Einheit, die für den Zugriff auf Dienste und die Abrechnung in einer AWS-Organisation erforderlich ist.

So laden Sie andere Konten mithilfe von Einladungen zu einer AWS-Organisation ein

Nachfolgend finden Sie die Schritte zum Einladen eines bestehenden Kontos zu einer AWS-Organisation.

Welche Ressourcen können in einer AWS-Organisation erstellt werden?

Die Mitgliedskonten einer Organisation können je nach den von der Organisation festgelegten Beschränkungen jede Art von AWS-Ressource erstellen, z. B. EC2-Instanzen, Lambda-Instanzen oder S3-Buckets.

Obwohl AWS Organizations AWS-Ressourcen nicht direkt bereitstellt, können Sie Dienste wie Amazon Inspector einrichten, um Aktionen in Ihrer Organisation auszuführen.

Allerdings erstellen AWS-Organisationen die Ressourcen nicht selbst. Stattdessen erstellen die Konten innerhalb der Organisation Ressourcen. Mithilfe von Service-Kontrollrichtlinien kann eine Organisation jedoch die Ressourcen steuern, die ihre Mitgliedskonten erstellen können.

Welche verschiedenen Dienste können in einer AWS-Organisation verwendet werden?

Dienste wie AWS CloudTrail, AWS Identity and Access Management (IAM) und AWS Cost Explorer lassen sich in den AWS Organizations-Dienst integrieren, sodass Sie sie in einer AWS-Organisation verwenden können.

So verwalten Sie die Ressourcen in einer AWS-Organisation

Ressourcen in einer AWS-Organisation werden durch eine Kombination aus Kostenoptimierung, Zugriffsverwaltung sowie Sicherheits- und Überwachungstools verwaltet.

  • Kostenoptimierung: Um sicherzustellen, dass die Ressourcennutzung im Rahmen des Budgets bleibt, können Sie die Abrechnung mit Funktionen wie konsolidierter Abrechnung und AWS Cost Explorer verwalten. Verwenden Sie außerdem Preismodelle wie Sparpläne und reservierte Instanzen, um tolle Angebote für bestimmte Dienste zu erhalten.
  • Zugriffsverwaltung: Die Funktion des delegierten Administrators ist für eine granulare Zugriffskontrolle nützlich. Anstatt dass ein Konto eine große Menge an Ressourcen verwaltet, verwalten verschiedene Konten Teile des Ressourcenpools. AWS IAM ist auch für die Zugriffsverwaltung hilfreich; es bietet Multi-Faktor-Authentifizierung und erzwingt den Zugriff mit den geringsten Berechtigungen.
  • Sicherheit und Überwachung: Service-Kontrollrichtlinien sind eine der wichtigsten Sicherheitsfunktionen in einer AWS-Organisation. Sie können jedoch auch AWS IAM-Richtlinien verwenden, um unbefugten Zugriff auf Organisationsressourcen zu verhindern. Für die Sicherheitsüberwachung sind AWS Security Hub, AWS CloudTrail und AWS Config praktisch.

Was sind Ressourcengruppen?

AWS Resource Groups ist ein Service, mit dem Sie die Funktionen mehrerer Ressourcen gleichzeitig verwalten und automatisieren können. Er steigert die Effizienz, indem er Ihnen ermöglicht, Massenaufgaben für mehrere Ressourcen gleichzeitig auszuführen.

Wie funktioniert Cloud-Sicherheit in einer AWS-Organisation?

Die Cloud-Sicherheit in einer AWS-Organisation folgt dem Modell der geteilten Verantwortung: AWS bietet physische und betriebliche Sicherheit für die zugrunde liegende Infrastruktur, während Sie Daten und Anwendungen in der Cloud sichern.

Um Daten- und Anwendungssicherheit in der Cloud zu erreichen, verwendet AWS Organizations verschiedene Tools. Beispielsweise kann eine Organisation Service-Kontrollrichtlinien zusammen mit Identity and Access Management (IAM) verwenden, um den Zugriff zu kontrollieren.

Darüber hinaus können Sie die Compliance mit AWS Security Hub und AWS Audit Manager bewerten und gleichzeitig mit Amazon GuardDuty nach Bedrohungen suchen. Sie können auch die Angriffsfläche der Organisation minimieren, indem Sie mit AWS PrivateLink eine private Verbindung zu ihren Diensten herstellen.

Welche Rolle spielt IAM in AWS-Organisationen?

IAM ist das grundlegende Zugriffsverwaltungstool für die Konten in AWS Organizations. Es definiert die primären Berechtigungen der Konten. In einer Organisation haben jedoch die durch Service-Kontrollrichtlinien definierten Berechtigungsbeschränkungen Vorrang vor den IAM-Richtlinien eines Kontos.

Abschließende Gedanken

Eine AWS-Organisation erleichtert die Verwaltung mehrerer Konten in AWS und sorgt gleichzeitig für Sicherheit, Compliance und Kostenoptimierung. Eine Ressourcengruppe bietet außerdem eine zentrale Verwaltung und verwaltet im Gegensatz zu AWS-Organisationen auch Ressourcen.

Haben Sie AWS Organizations oder Resource Groups verwendet? Haben Sie ähnliche Dienste auf einer anderen Cloud-Plattform verwendet? Wir würden gerne von Ihren Erfahrungen mit der AWS-Ressourcenhierarchie oder der Multi-Account-Verwaltung im Cloud-Computing im Allgemeinen hören. Hinterlassen Sie also unten einen Kommentar. Vielen Dank fürs Lesen.

FAQ: AWS-Ressourcengruppen

  • Wie ist die AWS-Ressourcenhierarchiestruktur?

    Die AWS-Ressourcenhierarchiestruktur umfasst Organisationen, Organisationseinheiten, Konten und Ressourcen.

  • Wie sind AWS-Ressourcen organisiert?

    Standardmäßig werden AWS-Ressourcen nach Dienst organisiert. In Ressourcengruppen können Sie sie jedoch nach Tags oder CloudFormation-Stack organisieren.

  • Was ist die Organisationsstruktur von AWS?

    Die AWS-Organisationsstruktur verwendet den AWS Organizations-Dienst für eine zentrale Verwaltung von Sicherheit, Compliance und Abrechnung.

  • Was ist der Unterschied zwischen der GCP- und der AWS-Ressourcenhierarchie?

    Die Ressourcenhierarchie in der Google Cloud Platform konzentriert sich auf Projektressourcen und Arbeitslast, in AWS hingegen auf Ressourcen und Konten. Grundsätzlich steht eine Organisationsressource an der Spitze der GCP-Hierarchie. In AWS stehen jedoch die Konten an der Spitze.

Sagen Sie uns Bescheid, ob Ihnen der Beitrag gefallen hat. Nur so können wir uns verbessern.

Ja Nein

Your Header Sidebar area is currently empty. Hurry up and add some widgets.