AWS Landing Zone – Einführung

Die Implementierung einer Multi-Account-Umgebung in AWS kann für viele Unternehmen herausfordernd sein. Die Konzeptionierung umfasst viele Aspekte, wie beispielsweise die Definition einer Account Struktur, einzusetzende Services, Security Baselines und Berechtigungen. Die AWS Landing Zone bietet eine Komplettlösung um eine Multi Account Umgebung zu implementieren.

Für Unternehmen ist es effizienter mehrere AWS Accounts für verschiedene Organisationsbereiche oder Projekte einzurichten, statt einen großen Account zu verwalten. Das verschafft eine bessere Übersicht sowie die Unterteilung der einzelnen Aufgabenbereiche. Hierdurch wird eine erhöhte Absicherung erreicht, indem beispielsweise Berechtigungen für spezifische Bereiche festgelegt werden können.

Die AWS Landing Zone bietet eine schnelle und einfache Möglichkeit solch ein Konstrukt aufzubauen, indem eine standardisierte Multi-Account Umgebung, basierend auf AWS best practice Ansätzen, bereitstellt wird.
Dabei wird automatisiert eine Architektur mit grundlegenden Accounts und Diensten geschaffen, die einen sofortigen Einstieg in eine Multi Account Umgebung ermöglicht.

Grundarchitektur

Die Grundarchitektur umfasst dabei unter anderem die Erstellung von folgenden Core Accounts:

• Organizations Account, welcher als übergeordneter “Master” Account fungiert und primär für das Account Management zuständig ist
• Shared Service Account, der die Kontrolle über Services, wie beispielsweise AWS Microsoft AD, VPC, Route 53 und Co. ermöglicht
• Logging Account, der CloudTrail Logs zu allen Accounts und Services gebündelt sammelt
• Security Account, ermöglicht einem zentralisierten Team das Monitoring sowie Sicherheitsvorkehrungen zu treffen

In jedem Account sind unter anderem folgende Sicherheitsvorkehrungen mit inbegriffen:

Die beschriebene Grundarchitektur wird von AWS wie folgt visuell dargestellt:

Master Account

Im Master Account unter AWS Organizations werden die Core Accounts schließlich erstellt. Damit die Accountstruktur weiter aufgebaut werden kann, wird durch die AWS Landing Zone eine AWS Account Vending Machine (AVM) implementiert.
Dieser Service vereinfacht die Erstellung neuer Accounts, indem neue Konten schnell erstellt und in die entsprechende OUs verschoben werden können. Außerdem ist es möglich, Benutzerzugriffe, mittels AWS Single Sign-On, einfach zu verwalten.

Accountstruktur

Eine mögliche Konzeptionierung der Accountstruktur könnte wie folgt aussehen:

Zusammenfassung

Die AWS Landing Zone ist eine einfache und schnelle Lösung, um grundlegende Strukturen einer Multi Account Umgebung aufzubauen und zu verwalten. Dabei sei zu erwähnen, dass die AWS Landing Zone kein neuer Service ist, sondern ein Zusammenschluss bestehender AWS Services, mit der die Lösung erschaffen wird.
Unternehmen die solch eine Umgebung anstreben wollen, sind mit der AWS Landing Zone auf Basis von bewährten AWS best practices bestens aufgestellt.

Weitere Informationen

Für weitere Informationen rund um die AWS Landing Zone, können folgende Links aufgerufen werden:
https://aws.amazon.com/de/answers/aws-landing-zone/

How to Manage Multiple AWS Accounts with AWS Landing Zone

AWS Landing Zone

https://medium.com/altostack/accelerate-cloud-adoption-with-the-new-aws-landing-zone-1e9bfb3fff8f
https://www.linkedin.com/pulse/moving-cloud-landing-zone-morten-jensen
https://www.contino.io/insights/3-ways-the-new-aws-landing-zone-as-code-accelerates-enterprise-cloud-adoption

AWS introducing ‘AWS Landing Zone’ solution

Blog - Kommentar verfassen

Cookies have to be enabled.

---

Please understand that commenting is only possible when Cookies are enabled.

More information you can get in the

Data privacy statement

Cookies akzeptieren

Name*

Email*

Comment*

750 more characters available.

Security check *

Please enter the following characters:

 

Submit