16 Oct / 2018
Author: Mahir Kukic Tags: There is no tags Comments: 0

Bookmark and Share

AWS Landing Zone – Einführung

Die Implementierung einer Multi-Account-Umgebung in AWS kann für viele Unternehmen herausfordernd sein. Die Konzeptionierung umfasst viele Aspekte, wie beispielsweise die Definition einer Account Struktur, einzusetzende Services, Security Baselines und Berechtigungen. Die AWS Landing Zone bietet eine Komplettlösung um eine Multi Account Umgebung zu implementieren.

Für Unternehmen ist es effizienter mehrere AWS Accounts für verschiedene Organisationsbereiche oder Projekte einzurichten, statt einen großen Account zu verwalten. Das verschafft eine bessere Übersicht sowie die Unterteilung der einzelnen Aufgabenbereiche. Hierdurch wird eine erhöhte Absicherung erreicht, indem beispielsweise Berechtigungen für spezifische Bereiche festgelegt werden können.

Die AWS Landing Zone bietet eine schnelle und einfache Möglichkeit solch ein Konstrukt aufzubauen, indem eine standardisierte Multi-Account Umgebung, basierend auf AWS best practice Ansätzen, bereitstellt wird.
Dabei wird automatisiert eine Architektur mit grundlegenden Accounts und Diensten geschaffen, die einen sofortigen Einstieg in eine Multi Account Umgebung ermöglicht.

Grundarchitektur

Die Grundarchitektur umfasst dabei unter anderem die Erstellung von folgenden Core Accounts:

  • Organizations Account, welcher als übergeordneter “Master” Account fungiert und primär für das Account Management zuständig ist
  • Shared Service Account, der die Kontrolle über Services, wie beispielsweise AWS Microsoft AD, VPC, Route 53 und Co. ermöglicht
  • Logging Account, der CloudTrail Logs zu allen Accounts und Services gebündelt sammelt
  • Security Account, ermöglicht einem zentralisierten Team das Monitoring sowie Sicherheitsvorkehrungen zu treffen

In jedem Account sind unter anderem folgende Sicherheitsvorkehrungen mit inbegriffen:

  • AWS CloudTrail, um Kontoaktivitäten aufzuzeichnen und Protokolldateien in einen S3 Bucket des Logging Account abzulegen
  • AWS Config, welches die Konfiguration der AWS-Ressourcen überwacht und die Logs in einen zentralen S3 Bucket ablegt
  • AWS Config Rules, für die Überwachung von Verschlüsselungen, IAM Passwortrichtlinien und Sicherheitsgruppen
  • Amazon VPC, welches ein initiales VPC für jeden Account erstellt und dabei das Default VPC in allen Regionen löscht
  • Die beschriebene Grundarchitektur wird von AWS wie folgt visuell dargestellt:

    aws_landing_zone_1

    Master Account

    Im Master Account unter AWS Organizations werden die Core Accounts schließlich erstellt. Damit die Accountstruktur weiter aufgebaut werden kann, wird durch die AWS Landing Zone eine AWS Account Vending Machine (AVM) implementiert.
    Dieser Service vereinfacht die Erstellung neuer Accounts, indem neue Konten schnell erstellt und in die entsprechende OUs verschoben werden können. Außerdem ist es möglich, Benutzerzugriffe, mittels AWS Single Sign-On, einfach zu verwalten.

    Accountstruktur

    Eine mögliche Konzeptionierung der Accountstruktur könnte wie folgt aussehen:

    aws_landing_zone_2

    Zusammenfassung

    Die AWS Landing Zone ist eine einfache und schnelle Lösung, um grundlegende Strukturen einer Multi Account Umgebung aufzubauen und zu verwalten. Dabei sei zu erwähnen, dass die AWS Landing Zone kein neuer Service ist, sondern ein Zusammenschluss bestehender AWS Services, mit der die Lösung erschaffen wird.
    Unternehmen die solch eine Umgebung anstreben wollen, sind mit der AWS Landing Zone auf Basis von bewährten AWS best practices bestens aufgestellt.

    Weitere Informationen

    Für weitere Informationen rund um die AWS Landing Zone, können folgende Links aufgerufen werden:
    https://aws.amazon.com/de/answers/aws-landing-zone/

    How to Manage Multiple AWS Accounts with AWS Landing Zone

    AWS Landing Zone


    https://medium.com/altostack/accelerate-cloud-adoption-with-the-new-aws-landing-zone-1e9bfb3fff8f
    https://www.linkedin.com/pulse/moving-cloud-landing-zone-morten-jensen
    https://www.contino.io/insights/3-ways-the-new-aws-landing-zone-as-code-accelerates-enterprise-cloud-adoption

    AWS introducing ‘AWS Landing Zone’ solution



    Blog - Kommentar verfassen

    Please notice, that all fields markes by * have to get filled out in order to be able to publish the comment.

    Security check *