Natalia Merzlyakova - Fotolia

F

Wie lassen sich Cloud-Accounts mit AWS Organizations sicherer verwalten?

Das neue AWS Organizations bietet zahlreiche Möglichkeiten zur Verwaltung von Accounts und Gruppen in der Amazon-Cloud.

Auf der Veranstaltung AWS re:Invent hat Amazon ein neues Tool vorgestellt, das Administratoren und Security-Manager dabei unterstützen soll, zahlreiche Cloud-Accounts zu verwalten. Es trägt den Namen AWS Organizations. Damit ist es möglich, AWS-Accounts zu verwalten und Gruppen zu erstellen. Im Folgenden erfahren Sie, wie die Vorteile von AWS Organizations aus Security-Sicht aussehen und wie sich das neue Werkzeug im Vergleich zu bereits existierenden Security-Tools wie AWS IAM schlägt.

AWS Organizations wurde mit dem Ziel entwickelt, Cloud-Administratoren eine sichere und effektive Verwaltung von Accounts innerhalb der Amazon Web Services (AWS) zu ermöglichen. Zu den wichtigsten Funktionen von AWS Organizations gehören maßgeschneiderte Richtlinien, die auf Nutzer und Gruppen angewendet werden können. Dadurch lassen sich Sicherheitsfunktionen leichter verwalten, wichtige Aufgaben automatisieren und Abrechnungsfunktionen vereinfachen. Das neue Tool weist einige Übereinstimmungen mit AWS IAM (Identity and Access Management) auf. Es bietet aber mehr Möglichkeiten und setzt auf den bereits implementierten IAM-Policies auf.

AWS Organizations ermöglicht das Management von Accounts unter einer neuen Einheit. Diese Einheiten sind hierarchisch aufgebaut, so dass die Richtlinien und organisatorischen Unterteilungen besser miteinander verzahnt werden können. Dadurch erleichtert sich die Verwaltung. Auf den ersten Blick erinnert AWS Organizations an Active Directory von Microsoft, aber das trifft auf viele hierarchisch strukturierte Organizational Units (OUs) zu.

Auf jede einzelne OU kann eine Richtlinie angewendet werden, die dann auch auf alle Nutzer und Gruppen wirkt, die in der Einheit organisiert sind. Das hat allerdings zur Folge, dass jeder Nutzer und jede Gruppe in nur jeweils einer einzigen OU organisiert sein kann. Es ist aber möglich, mehrere Richtlinien auf die Nutzer anzuwenden, weil die OUs miteinander verknüpft werden können. Die Gruppen können nach Regionen, Nutzern, Gruppen oder anderen Elementen gegliedert werden.

AWS IAM und AWS Organizations

Beim Vergleich von AWS IAM und AWS Organizations wird klar, dass es einige Überlappungen gibt. AWS Organizations bietet jedoch erweiterte Möglichkeiten, die Rechte von Nutzern zu kontrollieren. IAM-Richtlinien können unter Organizations erstellt und durchgesetzt werden, aber dies ist nur ein Weg, um die Rechte festzulegen. Wenn Anwender gegen die Richtlinien handeln, ist es nun möglich, Policies einzusetzen, die auf White- und Blacklists basieren. Dadurch lassen sich die Rechte und Sicherheitseinstellungen der Anwender an die erwünschten Vorgaben durch ein hierarchisch organisiertes Richtlinien-Management anpassen. AWS Organizations ist dann das Framework, mit dem IAM-Richtlinien durchgesetzt werden, um die Sicherheit in der Cloud zu erhöhen.

Der Einsatz von AWS Organizations reduziert den manuellen Aufwand, der ansonsten nötig ist, um neue Accounts und Skripte zur Verwaltung der Nutzer zu erstellen. Außerdem wird dadurch der Prozess vereinfacht, mit dem sich Richtlinien durchsetzen lassen. Gruppen lassen sich schnell mit allen benötigten Rechten erstellen. Gleichzeitig werden die Möglichkeiten eingeschränkt, die einem Account zur Verfügung stehen. Mit Hilfe von Service Control Policies (SCPs) kann ein Administrator in kurzer Zeit neue Richtlinien erstellen und auf OUs sowie einzelne Nutzer anwenden.

Mit AWS Organizations arbeiten

Bei der Ersteinrichtung von AWS Organizations wird ein Master-Account angelegt, mit dem sich auch alle Abrechnungen erledigen lassen und der eine Möglichkeit zur Verwaltung der OUs und SCPs bietet. Es ist jedoch nicht empfehlenswert, direkt mit diesem Account zu arbeiten. Stattdessen ist es sinnvoller, die jeweiligen Aufgaben an weniger mächtige Admin-Accounts zu verteilen. Der Master-Account hat die volle Kontrolle über alle Bereiche. Es ist außerdem ratsam, AWS CloudTrail für ihn zu aktivieren, um einen Überblick über alle mit ihm durchgeführten Aktionen zu erhalten.

Darüber hinaus ermöglicht der AWS-Organizations-Service eine einheitliche Abrechnung, mit dem sich die Bezahlfunktionen über die gesamte Cloud-Struktur steuern lassen. Die Erstellung von AWS-Accounts ist relativ schwer zu managen, weil es so einfach geht. Mit AWS Organizations ist es jedoch möglich, alle Konten zentral zu verwalten und gleichzeitig für eine einzige Bezahlfunktion zu sorgen. Alle angelegten Accounts müssen sich dann an diese Vorgaben halten, so dass sich Zahlungen deutlich leichter verwalten lassen. Weitere Information finden Sie unter anderem in der deutschsprachigen FAQ zu AWS Organizations.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Risiko Zugangsdaten: IAM für Cloud-Anwendungen

IAM-Strategie an Cloud und Software-defined-Ansätze anpassen

Der richtige Umgang mit Logfiles aus Cloud-Umgebungen

Verhaltensbasierte Angriffserkennung in Amazon Web Services

Artikel wurde zuletzt im Februar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close