Übersicht
Kontobewertung für AWS Organizations ermöglicht es Ihnen, alle AWS-Konten innerhalb Ihrer AWS Organizations zentral zu verwalten und auszuwerten. So können Sie die Abhängigkeiten von AWS Organizations besser verstehen und sich besser zurechtfinden. Die manuelle Bewertung der Abhängigkeiten von AWS Organizations kann zeitaufwändig sein – möglicherweise müssen Dutzende oder sogar Hunderte von AWS-Ressourcen einzelner Konten überprüft werden. Jetzt können Sie drei Arten von Scans ausführen, um delegierte Administratorkonten, identitäts- und ressourcenbasierte Richtlinien und AWS-Services zu finden, für die der vertrauenswürdige Zugriff für Ihre AWS Organizations aktiviert ist – alles über eine einfache Benutzeroberfläche.
Vorteile
In einer intuitiven Web-Benutzeroberfläche können Sie Ihre Scanergebnisse anzeigen, untersuchen und Fehler beheben.
Verwenden Sie mehr als 25 AWS-Services, die mit vertrauenswürdigem Zugriff aktiviert sind, um Vorgänge über alle AWS-Konten in Ihren AWS Organizations durchzuführen.
Suchen Sie mit der Web-Benutzeroberfläche nach ressourcenbasierten Richtlinien, delegierten Administratorkonten und vertrauenswürdigem Zugriff.
Technische Details
Sie können diese Architektur mit dem Implementierungsleitfaden und der dazugehörigen Vorlage für AWS CloudFormation automatisch bereitstellen.
Schritt 1
Benutzer melden sich über die Web-Benutzeroberfläche beim Hub-Konto an, und der Amazon Cognito-Benutzerpool authentifiziert jeden Benutzer. Amazon CloudFront stellt den Inhalt der Web-Benutzeroberfläche aus einem Amazon Simple Storage Service (Amazon S3)-Bucket bereit.
Schritt 2
Der S3-Bucket hostet die Webschnittstelle.
Schritt 3
Wenn Sie einen Scan starten, erhält die Web-Benutzeroberfläche ein Token von Amazon Cognito und sendet eine Anfrage an das Amazon API Gateway. Die AWS WAF schützt die Anwendungsprogrammierschnittstellen (APIs) vor Angriffen.
Diese Lösung konfiguriert eine Reihe von Regeln, die als Web-Zugriffssteuerungsliste (ACL) bezeichnet werden und Webanfragen auf der Grundlage konfigurierbarer, benutzerdefinierter Websicherheitsregeln und -bedingungen zulassen, blockieren oder zählen.
Hinweis: Die Schritte 3–6 gelten für jede Art von Scan.
Schritt 4
Ein API Gateway stellt die API-Ebene der Lösung bereit.
Hinweis: Die Schritte 3–6 gelten für jede Art von Scan.
Schritt 5
Amazon Cognito authentifiziert das Token im Header der API-Anforderungen.
Hinweis: Die Schritte 3–6 gelten für jede Art von Scan.
Schritt 6
AWS Lambda stellt die Microservices bereit und leitet API-Anfragen an jeden Microservice weiter. Der Microservice für das Auftragsmanagement kümmert sich um die Erstellung, Löschung und den Verlauf jedes vom Benutzer in der Web-Benutzeroberfläche initiierten Scanauftrags.
Hinweis: Die Schritte 3–6 gelten für jede Art von Scan.
Scan delegierter Administratorkonten
Schritt 7
Der Microservice für den Scan delegierter Benutzerkonten findet und speichert die Informationen der delegierten Administratorkonten für alle aktivierten AWS-Services in einer Amazon DynamoDB-Tabelle. Diese Konten können die API-Operationen für die AWS-Kontoverwaltung für andere Mitgliedskonten in der Organisation aufrufen.
Scan delegierter Administratorkonten
Schritt 8
Dieser Microservice bezieht die Informationen aus dem Verwaltungskonto der Organisation.
Scan nach vertrauenswürdigem Zugriff
Schritt 9
Der Microservice für den Scan nach vertrauenswürdigem Zugriff findet und speichert die Services in AWS Organizations mit vertrauenswürdigem Zugriff, sodass der Service Aufgaben in Ihrem Unternehmen und seinen Konten in Ihrem Namen ausführen kann. Dieser Microservice speichert die Serviceprinzipien in einer DynamoDB-Tabelle.
Scan nach vertrauenswürdigem Zugriff
Schritt 10
Dieser Microservice bezieht die Informationen aus dem Verwaltungskonto von AWS Organizations.
Scan nach ressourcenbasierten Richtlinien
Schritt 11
Der Microservice zum Scannen nach ressourcenbasierten Richtlinien verwendet eine Lambda-Funktion, um einen asynchronen Auftrag zu starten und AWS Step Functions aufzurufen.
Scan nach ressourcenbasierten Richtlinien
Schritt 12
Die Step Functions State Machine scannt mehrere Konten und AWS-Regionen parallel, um Ressourcendetails zu finden und in der DynamoDB-Tabelle zu speichern. Dieser Microservice kann bis zu 25 AWS-Services kontenübergreifend in Ihren Organisationen scannen und Ressourcenabhängigkeiten identifizieren.
Scan nach ressourcenbasierten Richtlinien
Schritt 13
Jede Iteration in der State Machine ruft eine Lambda-Funktion auf, um in jedem Spoke-Konto eine Rolle zu übernehmen. Dieser Microservice überprüft die Bedingungen in den Richtlinien, die Organisations-IDs oder Organisationseinheiten-IDs enthalten können.
Schritt 1
Benutzer melden sich über die Web-Benutzeroberfläche beim Hub-Konto an, und der Amazon Cognito-Benutzerpool authentifiziert jeden Benutzer. Amazon CloudFront stellt den Inhalt der Web-Benutzeroberfläche aus einem Amazon Simple Storage Service (Amazon S3)-Bucket bereit.
Schritt 2
Der S3-Bucket hostet die Webschnittstelle.
Schritt 3
Wenn Sie einen Scan starten, erhält die Web-Benutzeroberfläche ein Token von Amazon Cognito und sendet eine Anfrage an das Amazon API Gateway. Die AWS WAF schützt die Anwendungsprogrammierschnittstellen (APIs) vor Angriffen.
Diese Lösung konfiguriert eine Reihe von Regeln, die als Web-Zugriffssteuerungsliste (ACL) bezeichnet werden und Webanfragen auf der Grundlage konfigurierbarer, benutzerdefinierter Websicherheitsregeln und -bedingungen zulassen, blockieren oder zählen.
Hinweis: Die Schritte 3–6 gelten für jede Art von Scan.
Schritt 4
Ein API Gateway stellt die API-Ebene der Lösung bereit.
Hinweis: Die Schritte 3–6 gelten für jede Art von Scan.
Schritt 5
Amazon Cognito authentifiziert das Token im Header der API-Anforderungen.
Hinweis: Die Schritte 3–6 gelten für jede Art von Scan.
Schritt 6
AWS Lambda stellt die Microservices bereit und leitet API-Anfragen an jeden Microservice weiter. Der Microservice für das Auftragsmanagement kümmert sich um die Erstellung, Löschung und den Verlauf jedes vom Benutzer in der Web-Benutzeroberfläche initiierten Scanauftrags.
Hinweis: Die Schritte 3–6 gelten für jede Art von Scan.
Scan delegierter Administratorkonten
Schritt 7
Der Microservice für den Scan delegierter Benutzerkonten findet und speichert die Informationen der delegierten Administratorkonten für alle aktivierten AWS-Services in einer Amazon DynamoDB-Tabelle. Diese Konten können die API-Operationen für die AWS-Kontoverwaltung für andere Mitgliedskonten in der Organisation aufrufen.
Scan delegierter Administratorkonten
Schritt 8
Dieser Microservice bezieht die Informationen aus dem Verwaltungskonto der Organisation.
Scan nach vertrauenswürdigem Zugriff
Schritt 9
Der Microservice für den Scan nach vertrauenswürdigem Zugriff findet und speichert die Services in AWS Organizations mit vertrauenswürdigem Zugriff, sodass der Service Aufgaben in Ihrem Unternehmen und seinen Konten in Ihrem Namen ausführen kann. Dieser Microservice speichert die Serviceprinzipien in einer DynamoDB-Tabelle.
Scan nach vertrauenswürdigem Zugriff
Schritt 10
Dieser Microservice bezieht die Informationen aus dem Verwaltungskonto von AWS Organizations.
Scan nach ressourcenbasierten Richtlinien
Schritt 11
Der Microservice zum Scannen nach ressourcenbasierten Richtlinien verwendet eine Lambda-Funktion, um einen asynchronen Auftrag zu starten und AWS Step Functions aufzurufen.
Scan nach ressourcenbasierten Richtlinien
Schritt 12
Die Step Functions State Machine scannt mehrere Konten und AWS-Regionen parallel, um Ressourcendetails zu finden und in der DynamoDB-Tabelle zu speichern. Dieser Microservice kann bis zu 25 AWS-Services kontenübergreifend in Ihren Organisationen scannen und Ressourcenabhängigkeiten identifizieren.
Scan nach ressourcenbasierten Richtlinien
Schritt 13
Jede Iteration in der State Machine ruft eine Lambda-Funktion auf, um in jedem Spoke-Konto eine Rolle zu übernehmen. Dieser Microservice überprüft die Bedingungen in den Richtlinien, die Organisations-IDs oder Organisationseinheiten-IDs enthalten können.
Ähnliche Inhalte
Ermitteln Sie einige der Überlegungen zu Konten, Berichten, Abrechnungen und anderen Aspekten, die Sie bei der Migration von Konten anstellen müssen.
Erfahren Sie, wie Sie unsere Konten, die mit konsolidierter Abrechnung konfiguriert sind, zu einer neuen Organisation migrieren können, die über alle Funktionen verfügt.
War diese Seite hilfreich?
- Datum der Veröffentlichung