T-Systems-Claim-Logo
Suchen
Bird's eye view of high-rise landscape over which binary codes fly.

AWS Control Tower: Die Revolution für Landing Zones

Vereinfachte Services, spezifische Anpassungen, unterstützende Optionen – so profitieren Kunden von AWS Control Tower 

15. Mai 2023Artur Schneider

Gut organisiert: AWS Landing Zones mit Control Tower

Amazon Web Services (AWS) bieten umfangreiche Ressourcen, Services und Anwendungen für einen globalen Kundenstamm. Zentral bei der Einführung von Cloud-Diensten ist es, eine sichere und gut organisierte Umgebung zu schaffen. AWS Control Tower vereinfacht diesen Prozess und verändert den Ansatz der AWS Landing Zones. Wir zeigen, wie die Lösung funktioniert, seine Merkmale und seine Wirkung auf das Landing-Zone-Erlebnis der Kunden. 

Was ist AWS Control Tower?

Innovation chart

AWS Control Tower ist ein Managed Service, der ein automatisiertes und strukturiertes Verfahren zur Einrichtung einer AWS-Umgebung mit mehreren Accounts bietet. 
Damit lassen sich AWS-Accounts erstellen und verwalten. Mithilfe von AWS Organizations lassen sie sich zudem einfacher organisieren. Hinzu kommt: AWS Control Tower schafft eine sorgfältig konzipierte Basisumgebung, die sich an Best Practices orientiert. Sicherheit und Compliance sind dabei in allen Accounts gewährleistet.  

AWS-Accounts automatisiert einrichten

Eine AWS Landing Zone einzurichten, bedeutet einen hohen zeitlichen und administrativen Aufwand. Denn es müssen Regeln für Sicherheit und Compliance festgelegt und die Accounts erstellt werden. AWS Control Tower revolutioniert den Ansatz der AWS Landing Zones, indem die Lösung es vereinfacht, die Accounts zu erstellen und zu verwalten. Sie richtet AWS-Umgebungen, die mehrere Accounts umfassen, automatisiert ein und organisiert sie ebenfalls automatisiert. Über ein umfassendes Dashboard können Nutzer die Accounts überwachen und verwalten. Mithilfe vordefinierter Leitplanken implementiert AWS Control Tower Best Practices für Sicherheit und Compliance und sorgt so für einheitliche Sicherheitsvorkehrungen in allen Accounts. Dazu gehören sowohl präventive als auch überwachende Kontrollen. 

AWS Control Tower ist nahtlos mit AWS Organizations integriert, so dass Kunden Organisationseinheiten (OUs) für eine effiziente Gruppierung und Verwaltung der Accounts erstellen können. Diese hierarchische Struktur vereinfacht das Ressourcen-Management und ermöglicht eine zentrale Abrechnung. So können Kunden die Kosten für das Cloud Computing leichter verfolgen und optimieren.

Auch bietet die Lösung Möglichkeiten für spezifische Anpassungen und Erweiterungen, damit die Nutzer ihre Umgebungen perfekt auf die eigenen Anforderungen zuschneiden können. Das erlaubt es ihnen, neue Services hinzuzufügen, zusätzliche Leitplanken zu konfigurieren oder externe Tools zu integrieren. AWS Control Tower beschleunigt die Cloud-Einführung, indem es die Einrichtung der AWS Landing Zones erleichtert. So können sich die Kunden auf die Bereitstellung und Skalierung ihrer Anwendungen konzentrieren, statt sich zeitintensiv mit der Einrichtung von Infrastrukturen beschäftigen zu müssen. 

Zentrale AWS-Services in AWS Control Tower  

AWS Control Tower nutzt verschiedene AWS-Services für die Bereitstellung optimierter Funktionen: 

  • AWS Organizations: Bildet die Basis, um eine hierarchische Struktur der Accounts mithilfe von OUs zu erstellen. Das vereinfacht Verwaltung und Ressourcenzuweisung. 
  • AWS Single Sign-On (SSO): Integrierbar, um eine vereinheitlichte Authentifizierung und Autorisierung in allen Accounts bereitzustellen. 
  • AWS Service Catalog: Liefert die Ressourcen für Account Factory, um eine standardisierte Account-Bereitstellung mit angepassten Vorlagen zu ermöglichen. 
  • AWS Config: Legt Leitplanken fest, um sicherzustellen, dass Ressourcenkonfigurationen den Richtlinien für Sicherheit und Compliance entsprechen. 
  • Amazon CloudWatch: Bietet Protokoll-, Überwachungs- und Alarmfunktionen, um Sichtbarkeit und Kontrolle über die Infrastruktur zu gewährleisten. 
  • AWS CloudTrail: Integrierbar für einen umfassenden Prüfpfad, um die Verantwortlichkeit sicherzustellen und Compliance-Anforderungen zu unterstützen. 

Zentrale AWS-Services in AWS Control Tower

Workflow

AWS Control Tower nutzt verschiedene AWS-Services für die Bereitstellung optimierter Funktionen: 

  • AWS Organizations: Bildet die Basis, um eine hierarchische Struktur der Accounts mithilfe von OUs zu erstellen. Das vereinfacht Verwaltung und Ressourcenzuweisung. 
  • AWS Single Sign-On (SSO): Integrierbar, um eine vereinheitlichte Authentifizierung und Autorisierung in allen Accounts bereitzustellen. 
  • AWS Service Catalog: Liefert die Ressourcen für Account Factory, um eine standardisierte Account-Bereitstellung mit angepassten Vorlagen zu ermöglichen. 
  • AWS Config: Legt Leitplanken fest, um sicherzustellen, dass Ressourcenkonfigurationen den Richtlinien für Sicherheit und Compliance entsprechen. 
  • Amazon CloudWatch: Bietet Protokoll-, Überwachungs- und Alarmfunktionen, um Sichtbarkeit und Kontrolle über die Infrastruktur zu gewährleisten. 
  • AWS CloudTrail: Integrierbar für einen umfassenden Prüfpfad, um die Verantwortlichkeit sicherzustellen und Compliance-Anforderungen zu unterstützen. 

Regeln für Governance, Security und Compliance 

Customizations for AWS Control Tower Architecture Diagram

Customizations for Control Tower  

Eine der zentralen Funktionen, um AWS Control Tower anzupassen, ist Customization for Control Tower (CfCT). Damit können Sie maßgeschneiderte Regeln für Governance, Sicherheit und Compliance auf Ihre AWS-Control-Tower-Umgebung anwenden, indem Sie diese mit AWS CloudFormation StackSets und AWS Organizations Service Control Policies (SCPs) integrieren. 
Die spezifische Konfiguration muss in einer Manifest-Datei definiert werden und kann entweder als Quelle aus S3 oder über AWS CodeCommit gestartet werden. 
Diese Lösung bietet Ihnen die Vorteile der programmatischen Verwaltung Ihrer Leitplanken sowie der Wiederverwendbarkeit. 
Hinzu kommt: Sie können Ihre Cloud Services von einem zentralen Ort verwalten und so Verwaltungskosten einsparen. 

Account Factory Customization 

Eine weitere leistungsfähige Anpassungsfunktion von AWS Control Tower ist die Account Factory Customization (AFC). Dieser Service automatisiert die Erstellung neuer AWS-Accounts und die Anwendung von Basiskonfigurationen. Ihm liegt der AWS Service Catalog zugrunde. Mit der Account Factory Customization können Sie die Account-Erstellung je nach den individuellen Anforderungen Ihrer Organisation verändern. Kunden können spezifische Blueprints erstellen, um Konfigurationen oder die Erstellung von Ressourcen vorzugeben. AWS-Partner bieten Partner-Blueprints für Control Tower wie DataDog mit dem Blueprint zur Integration.  

Nutzung von AWS Control Tower in einer Greenfield-Umgebung  

Als Greenfield-Umgebung bezeichnen wir eine neue, noch nicht bekannte Struktur, in der noch keine AWS-Accounts oder -Ressourcen vorhanden sind. So richten Sie AWS Control Tower in einer Greenfield-Umgebung ein: 

  1. Melden Sie sich mit dem Account, den Sie als Management-Account verwenden wollen, bei der AWS Management Console an. 
  2. Navigieren Sie zur AWS Control Tower Console. 
  3. Klicken Sie auf die Option zur Einrichtung der Landing Zone, um zu starten. 
  4. Geben Sie erforderliche Informationen ein, etwa die E-Mail-Adresse Ihrer Organisation und die bevorzugte AWS-SSO-Identitätsquelle. 
  5. Prüfen Sie die vorgeschlagenen OUs und Standard-Basis-Richtlinien und klicken Sie auf „Landing Zone einrichten“, um die Bereitstellung durchzuführen. 
  6. AWS Control Tower erstellt OUs, Accounts und SCPs. (Hinweis: Dies kann bis zu einer Stunde dauern.) 
  7. Ist die Landing Zone eingerichtet, können Sie mehrere Accounts über die AWS Control Tower Console erstellen und verwalten. 

Nutzung von AWS Control Tower in einer Brownfield-Umgebung  

Als Brownfield-Umgebung bezeichnen wir eine bestehende AWS-Umgebung mit vorkonfigurierten Accounts und Ressourcen. So richten Sie AWS Control Tower in einer Brownfield-Umgebung ein: 

  1. Bewerten Sie Ihre Umgebung: Prüfen Sie AWS-Accounts, OUs und Ressourcen im Hinblick auf die Compliance mit den Best Practices für AWS Control Tower. 
  2. Bereiten Sie den Management-Account vor: Bestimmen Sie unter Einhaltung der Control-Tower-Anforderungen einen Management-Account. 
  3. Richten Sie AWS SSO ein: Aktivieren und konfigurieren Sie AWS SSO, um den Zugriff auf die Accounts zu verwalten. 
  4. Binden Sie bestehende Accounts ein: Stellen Sie sicher, dass bestehende AWS-Accounts alle Voraussetzungen erfüllen, bevor Sie diese in AWS Control Tower einbinden. 
  5. Konfigurieren Sie Leitplanken für AWS Control Tower: Wenden Sie geeignete Leitplanken an, um die Compliance in Ihrer Umgebung sicherzustellen. 
  6. Verlagern Sie bestehende Ressourcen zu der Landing Zone (optional). 
  7. Überwachen und verwalten Sie Ihre Umgebung: Nutzen Sie die AWS Control Tower Console, um Accounts, OUs und Leitplanken zu verwalten, und überprüfen Sie regelmäßig den Compliance-Status. 

Fazit

AWS Control Tower hat den Ansatz der AWS Landing Zones für Kunden grundlegend verändert und bietet eine vereinfachte und optimierte Methode, um eine sichere, regelkonforme und sorgfältig konzipierte AWS-Umgebung mit mehreren Accounts einzurichten. Durch die automatisierte Erstellung und Verwaltung von Accounts, die Implementierung von Best Practices für Sicherheit und Compliance und die nahtlose Integration mit AWS Organizations ermöglicht AWS Control Tower es den Kunden, sich auf ihre wichtigsten Geschäftsziele zu konzentrieren und den Wechsel in die Cloud-Umgebung zu beschleunigen. Mit den erweiterten Optionen zur spezifischen Anpassung erfüllt AWS die Bedürfnisse fortgeschrittener Nutzer der AWS Landing Zones, da diese Möglichkeiten zur Anpassung erhalten, die sie von klassischen Landing-Zone-Architekturen gewohnt sind.

T-Systems ist AWS Service Delivery Partner für AWS Control Tower und stellt individuell zugeschnittene Managed Services für die AWS-Control-Tower-Umgebungen von Kunden bereit. Unsere Experten helfen Ihnen, Ihre Cloud-Infrastruktur so zu optimieren, dass diese sicher, regelkonform und auf Ihre Geschäftsziele abgestimmt bleibt. Profitieren Sie von unserm umfangreichen Wissen und unserer Erfahrung, um Ihre Investition in AWS Control Tower optimal auszuschöpfen. Damit Sie sich auf das konzentrieren können, worauf es wirklich ankommt: Innovation und Wachstum in Ihrem Unternehmen. 

Zur Person
Artur Schneider – Senior Cloud Consultant

Artur Schneider

Senior Cloud Consultant, T-Systems International GmbH

Profil und alle Artikel ansehen

Das könnte Sie auch interessieren

Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.