AWS Organizations – Häufig gestellte Fragen

AWS Control Tower basiert auf AWS-Services wie AWS Organizations und bietet die einfachste Methode zur Einrichtung und Steuerung einer neuen sicheren AWS-Umgebung mit mehreren Konten. Es richtet eine Landing Zone ein, die eine gut strukturierte Umgebung mit mehreren Konten auf Grundlage bewährter Entwürfe darstellt, und ermöglicht die Verwaltung mit Leitplanken Ihrer Wahl. Leitplanken sind SCPs und AWS Config-Regeln, die die Governance für Sicherheit, Compliance und Betrieb umsetzen.

AWS Control Tower bietet eine abstrahierte, automatisierte und vorgegebene Erfahrung als Ergänzung zu AWS Organizations. Es setzt AWS Organizations automatisch als zugrundeliegenden AWS-Service zur Organisation von Konten ein und implementiert präventive Leitplanken unter Verwendung von SCPs. Control Tower und Organizations ergänzen sich gut. Sie können Control Tower verwenden, um Ihre Umgebung einzurichten und Leitplanken zu bestimmen. Anschließend können Sie mithilfe von AWS Organizations benutzerdefinierte Richtlinien (wie Tag-Richtlinien, Sicherungsrichtlinien oder SCPs) erstellen, die die Nutzung von AWS-Services und Ressourcen über mehrere AWS-Konten hinweg zentral steuern.

Leitplanken sind vorkonfigurierte SCP- und AWS Config-Governance-Regeln für Sicherheit, Betrieb und Compliance, die Kunden auswählen und unternehmensweit oder auf bestimmte Kontengruppen anwenden können. Eine Leitplanke wird in einfacher Sprache ausgedrückt und erzwingt eine spezifische Governance-Richtlinie für Ihre AWS-Umgebung, die innerhalb einer Organisationseinheit (OU) aktiviert werden kann.

AWS Control Tower eignet sich für Kunden, die ihre kontenübergreifende AWS-Umgebung mit integrierten bewährten Methoden erstellen oder verwalten möchten. Es bietet eine vordefinierte Anleitung zur umfangreichen Steuerung Ihrer AWS-Umgebung und verleiht Ihnen die Kontrolle über Ihre Umgebung, ohne die Geschwindigkeit und Agilität zu beeinträchtigen, die AWS für Entwickler bereitstellt. Sie profitieren von AWS Control Tower, wenn Sie eine neue AWS-Umgebung einrichten, mit Ihrem Umstieg auf AWS gerade erst beginnen, eine neue Cloud-Initiative starten, noch neu bei AWS sind oder eine bestehende AWS-Umgebung mit mehreren Konten haben.

Eine Organisation ist eine Sammlung von AWS-Konten, die Sie hierarchisch organisieren und zentral verwalten können.

Ein AWS-Konto ist ein Container für Ihre AWS-Ressourcen. In einem AWS-Konto erstellen und verwalten Sie Ihre AWS-Ressourcen, wobei das AWS-Konto die Verwaltungsfunktionen für den Zugriff und die Fakturierung bereitstellt.

Die Verwendung mehrerer AWS-Konten stellt eine bewährte Methode zur Skalierung Ihrer Umgebung dar, da sie eine natürliche Kostengrenze bietet, Ressourcen aus Sicherheitsgründen isoliert, Flexibilität für Einzelpersonen und Teams bietet und zudem auf neue Geschäftsprozesse angepasst werden kann.

Das Verwaltungskonto ist das AWS-Konto, das Sie zur Erstellung Ihrer Organisation verwenden. Von einem Verwaltungskonto aus können Sie weitere Konten in Ihrer Organisation erstellen, Einladungen ausstellen und das Ausstellen von Einladungen für andere Konten verwalten, damit diese Ihrer Organisation beitreten können, und Sie können Konten von Ihrer Organisation entfernen. Sie können außerdem Entitäten wie Verwaltungsstämmen, OUs oder Konten innerhalb Ihrer Organisation Richtlinien zuordnen. Letztendlich ist das Verwaltungskonto Besitzer der Organisation und hat die finale Kontrolle über Sicherheits-, Infrastruktur- und Kostenrichtlinien. Das Verwaltungskonto ist das Zahlungskonto. Über dieses Konto werden alle Gebühren beglichen, die für die Konten der zugehörigen Organisation auflaufen. Das einmal festgesetzte Verwaltungskonto Ihrer Organisation können Sie nicht mehr ändern.

Ein Mitgliedskonto ist ein AWS-Konto, das Teil einer Organisation ist und entspricht nicht dem Verwaltungskonto. Als Administrator einer Organisation können Sie für diese Organisation Mitgliedskonten erstellen und vorhandene Konten zum Beitritt zur Organisation einladen. Auf Mitgliedskonten können Sie auch Richtlinien anwenden. Ein Mitgliedskonto kann jeweils nur einer Organisation angehören.

Der Verwaltungsstamm gehört zum Verwaltungskonto und ist der Ausgangspunkt für die Organisation Ihrer AWS-Konten. Der Verwaltungsstamm ist der oberste Container in der hierarchischen Struktur Ihrer Organisation. Unter diesem Stamm können Sie OUs so erstellen, dass Ihre Konten logisch gruppiert und diese OUs in jener hierarchischen Struktur organisiert werden, die am besten für Ihr Unternehmen geeignet ist.

Eine Organisationseinheit (OU) ist eine Gruppe von AWS-Konten innerhalb einer Organisation. Eine OU kann außerdem andere OUs enthalten, die Ihnen das Erstellen einer Hierarchie ermöglicht. Die Konten einer Abteilung können zum Beispiel in einer Abteilungs-OU zusammengefasst werden. Konten, aus denen Sicherheitsservices ausgeführt werden, können eine Sicherheits-OU bilden. OUs sind hilfreich, wenn Sie einem Teilsatz der Konten Ihrer Organisation die gleichen Kontrollen zuweisen möchten. Das Verschachteln von OUs ermöglicht kleinere Verwaltungseinheiten. Beispielsweise können Sie OEs für jeden Workload anlegen und anschließend zwei verschachtelte OEs in jeder Workload-OE anlegen, um Workloads für die Produktion von der Vorproduktion zu trennen. Diese OUs übernehmen zusätzlich zu den direkt auf Team-Ebene zugewiesenen Kontrollen auch die Richtlinien der übergeordneten OU.

Eine Richtlinie ist ein "Dokument" mit einer oder mehreren Aussagen, die die Kontrollen definieren, die Sie auf eine Gruppe von AWS-Konten anwenden möchten. AWS Organizations unterstützt folgende Richtlinien:

• Sicherungsrichtlinien – erfordern AWS-Sicherungen mit einer bestimmten Kadenz
• Tag-Richtlinien – definieren Tag-Schlüssel und zulässige Werte
• Opt-Out-Richtlinien für KI-Services – kontrollieren die Speicherung und Verwendung von Inhalten bei KI-Services
• Service-Kontrollrichtlinien (Service Control Policies, SCPs) – Eine SCP definiert die Aktionen der AWS-Services z. B. Amazon EC2 RunInstances, die für die einzelnen Konten der Organisation verfügbar sind.

Auf sämtliche Organizations-Entitäten mit Ausnahme von Organisationen, die in China verwaltet werden, kann, wie bei AWS Identity and Access Management (IAM), global zugegriffen werden. Sie müssen keine AWS-Region angeben, wenn Sie Ihre Organisation erstellen und verwalten, aber Sie müssen eine separate Organisation für Konten erstellen, die in China verwendet werden. Die Benutzer Ihrer AWS-Konten können AWS-Services in jeder geografischen Region nutzen, in denen diese Services zur Verfügung stehen.

Nein. Sie können das dem Verwaltungskonto zugeordnete AWS-Konto nach der erstmaligen Festlegung nicht mehr ändern. Wählen Sie Ihr Verwaltungskonto daher sorgfältig aus.

Mit den folgenden beiden Methoden können Sie Ihrer Organisation ein AWS-Konto hinzufügen:

Methode 1: Laden Sie ein vorhandenes Konto zum Beitritt zu Ihrer Organisation ein.

1. Melden Sie sich als Administrator des Verwaltungskontos an und navigieren Sie zur AWS Organizations-Konsole.

2. Klicken Sie auf die Registerkarte Accounts.

3. Wählen Sie Add account und dann Invite account aus.

4. Geben Sie die E-Mail-Adresse oder die AWS-Konto-ID des Kontos ein, das Sie einladen möchten.

Hinweis: Sie können gleichzeitig auch mehrere AWS-Konten einladen. Dazu geben Sie eine kommagetrennte Liste der E-Mail-Adressen oder AWS-Konto-IDs ein.

Das bestimmte AWS-Konto erhält daraufhin eine E-Mail-Nachricht mit einer Einladung zum Beitritt zu Ihrer Organisation. Ein Administrator des eingeladenen AWS-Kontos muss die Einladung in der AWS Organizations-Konsole, in der AWS-Befehlszeilenschnittstelle oder in der Organizations-API annehmen oder ablehnen. Wenn der Administrator Ihre Einladung annimmt, wird das Konto in der Liste der Mitgliedskonten in Ihrer Organisation sichtbar. Anwendbare Richtlinien, wie beispielsweise SCPs, werden automatisch auf das neu hinzugefügte Konto angewendet. Wenn Ihre Organisation beispielsweise dem Stamm Ihrer Organisation eine SCP zugeordnet hat, wird diese direkt auf die neu zugeordneten Konten angewendet.

Methode 2: Erstellen Sie ein AWS-Konto in Ihrer Organisation

1. Melden Sie sich als Administrator Ihres Verwaltungskontos an und navigieren Sie zur AWS Organizations-Konsole.

2. Klicken Sie auf die Registerkarte Accounts.

3. Wählen Sie Add account und dann Create account aus.

4. Geben Sie einen Namen und eine E-Mail-Adresse für das Konto ein.

Ein Konto kann auch über die AWS SDK oder die AWS-Befehlszeilenschnittstelle erstellt werden. Nach dem Hinzufügen des Kontos können Sie es, unabhängig von der Erstellungsmethode, in eine Organisationseinheit (OU) verschieben. Das neue Konto übernimmt automatisch die der OU zugeordneten Richtlinien.

Nein. Ein AWS-Konto kann gleichzeitig nur Mitglied einer Organisation sein.

Im Zuge der Erstellung eines AWS-Kontos erstellt AWS Organizations eine IAM-Rolle mit vollständigen Verwaltungsrechten für das neue Konto. IAM-Benutzer und IAM-Rollen mit den entsprechenden Berechtigungen im Master-Konto können die IAM-Rolle annehmen und erhalten so Zugriff auf das neue Konto.

Nein. Dies wird derzeit nicht unterstützt.

Ja. Sie müssen jedoch zunächst das Konto aus Ihrer Organisation entfernen und es zu einem eigenständigen Konto machen (siehe unten). Wenn Sie ein eigenständiges Konto erstellt haben, kann es von einer anderen Organisation eingeladen werden.

Ja. Wenn Sie mit der AWS Organizations-Konsole, der API oder den CLI-Befehlen ein Konto in einer Organisation erstellen, erfasst AWS nicht alle für eigenständige Konten erforderlichen Daten. Für jedes Konto, das eigenständig gemacht werden soll, müssen Sie diese Daten aktualisieren. Hierzu kann Folgendes zählen: Bereitstellen von Kontaktdaten, Bereitstellen einer gültigen Zahlungsmethode und Auswählen einer Option für das Support-Paket. AWS verwendet die Zahlungsmethode, um alle gebührenpflichtigen (nicht aus der kostenlosen AWS-Stufe) AWS-Aktivitäten abzurechnen, die anfallen, während das Konto nicht mit einer Organisation verbunden ist. Weitere Informationen finden Sie unter Entfernen eines Mitgliedskontos aus Ihrer Organisation.

Dies kann variieren. Falls Sie mehr Konten benötigen, öffnen Sie über das AWS Support Center einen Support-Vorgang, um eine Erhöhung zu beantragen.

Sie können das Konto eines Mitglied mit einer der folgenden beiden Methoden entfernen. Möglicherweise müssen Sie weitere Informationen angeben, um ein Konto zu entfernen, das Sie über Organisationen erstellt haben. Wenn ein Konto nicht entfernt werden kann, wechseln Sie zum AWS Support Center und bitten Sie dort um Hilfe beim Entfernen des Kontos.

Methode 1: Entfernen Sie ein eingeladenes Mitgliedskonto durch Anmeldung beim Verwaltungskonto

1. Melden Sie sich als Administrator des Master-Kontos an und navigieren Sie zur AWS Organizations-Konsole.

2. Wählen Sie auf der linken Seite Accounts aus.

3. Wählen Sie das Konto aus, das Sie entfernen möchten, und klicken Sie dann auf Remove account (Konto entfernen).

4. Wenn das Konto über keine gültige Zahlungsmethode verfügt, müssen Sie eine bereitstellen.

Methode 2: Entfernen Sie ein eingeladenes Mitgliedskonto durch Anmeldung beim Mitgliedskonto

1. Melden Sie sich als Administrator des Mitgliedskontos an, das Sie aus der Organisation entfernen möchten.

2. Navigieren Sie zur AWS Organizations-Konsole.

3. Wählen Sie *Organisation verlassen* aus.

4. Wenn das Konto über keine Zahlungsmethode verfügt, müssen Sie eine bereitstellen.

Führen Sie zur Erstellung einer OU die folgenden Schritte aus:

1. Melden Sie sich als Administrator des Verwaltungskontos an und navigieren Sie zur AWS Organizations-Konsole.

2. Wählen Sie die Registerkarte Konten organisieren.

3. Navigieren Sie in der Hierarchie dorthin, wo Sie die OU erstellen möchten. Sie können sie direkt unter dem Stamm oder innerhalb einer anderen OU erstellen.

4. Wählen Sie Organisationseinheit erstellen aus und geben Sie einen Namen für die OU ein. Der Name muss innerhalb der Organisation eindeutig sein.

Hinweis: Sie können die OU später umbenennen.

Sie können der OU nun AWS-Konten hinzufügen. Zur Erstellung und Verwaltung einer OU können Sie auch die AWS-Befehlszeilenschnittstelle oder die AWS-APIs verwenden.

Befolgen Sie diese Schritte, um einer OU ein Mitgliedskonto hinzuzufügen:

1. Klicken Sie in der AWS Organizations-Konsole auf die Registerkarte Organize accounts.

2. Wählen Sie das AWS-Konto aus und klicken Sie auf Move account.

3. Wählen Sie im daraufhin angezeigten Dialogfeld die OU aus, in die Sie das AWS-Konto verschieben möchten.

Alternativ können Sie zum Hinzufügen von AWS-Konten zu einer OU auch die AWS-Befehlszeilenschnittstelle oder die AWS-APIs verwenden.

Nein. Ein AWS-Konto kann gleichzeitig nur Mitglied einer OU sein.

Nein. Eine OU kann immer nur Mitglied einer OU sein.

Sie können Ihre OUs auf bis zu fünf Ebenen verschachteln. Mit Stamm- und AWS-Konten, die in den untersten OUs erstellt wurden, kann Ihre Hierarchie fünf Ebenen haben.

Richtlinien können Sie Ihrem Organisationsstamm (für alle Konten der Organisation), einzelnen OUs (für alle Konten der OU, einschließlich verschachtelter OUs) oder einzelnen Konten zuweisen.

Eine Richtlinie können Sie auf zwei Weisen zuweisen:

• Navigieren Sie in der AWS Organizations-Konsole an den Ort, dem Sie die Richtlinie zuordnen möchten (Stamm, OU oder Konto), und wählen Sie dann Attach Policy (Richtlinie anfügen) aus.
• Wählen Sie in der Organizations-Konsole die Registerkarte Richtlinien und führen Sie dann einen der folgenden Schritte aus:
  Wählen Sie eine vorhandene Richtlinie aus, wählen Sie in der Dropdown-Liste Aktionen die Option Richtlinie anfügen aus und wählen Sie dann den Stamm, die OU oder das Konto aus, dem bzw. der Sie die Richtlinie zuordnen möchten.
• Wählen Sie Create Policy (Richtlinie erstellen) aus und wählen Sie anschließend, als Teil des Richtlinienerstellungs-Workflows, den Stamm, die OU oder das Konto aus, dem bzw. der Sie die neue Richtlinie zuordnen möchten.

Weitere Informationen finden Sie unter Verwalten von Richtlinien.

Ja. Angenommen, Sie haben Ihre AWS-Konten entsprechend Ihrer Anwendungsentwicklungsstufen in folgende OUs unterteilt: DEV, TEST und PROD. Richtlinie P1 ist dem Organisationsstamm zugewiesen, Richtlinie P2 der OU "DEV" und Richtlinie P3 dem AWS-Konto A1 in der OU "DEV". Bei dieser Konfiguration werden P1, P2 und P3 auf das Konto A1 angewendet.
Weitere Informationen finden Sie unter Zu Service-Kontrollrichtlinien.

Derzeit unterstützt AWS Organizations folgende Richtlinien:

• Sicherungsrichtlinien – erfordern Sicherungen mit einer bestimmten Kadenz unter Verwendung von AWS Backup
• Tag-Richtlinien – definieren Tag-Schlüssel und zulässige Werte
• Opt-Out-Richtlinien für KI-Services – kontrollieren die Speicherung und Verwendung von Inhalten der Organisation bei KI-Services
• Service-Kontrollrichtlinien (Service Control Policies, SCPs) – Mit SCPs können Sie die Aktionen definieren und durchsetzen, die IAM-Benutzer, -Gruppen und -Rollen der Konten ausführen können, denen die SCP zugewiesen ist.

Mit Service-Kontrollrichtlinien (SCPs) können Sie festlegen, welche AWS-Service-Aktionen für Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rollen) in den Konten Ihrer Organisation zugänglich sind. Eine SCP ist erforderlich, sie ist jedoch nicht die einzige Kontrolle, die bestimmt, welche Prinzipals in einem Konto auf Ressourcen zugreifen können, um Prinzipals in einem Konto Zugang auf die Ressourcen zu gewähren. Die Aktionen, die ein Prinzipal eines Kontos, dem eine SCP zugewiesen ist, tatsächlich ausführen kann, ergeben sich aus der Schnittmenge der Berechtigungen, die explizit in der SCP zugeteilt sind, und den Berechtigungen, die dem Prinzipal zugeteilt sind. Legt die einem Konto zugewiesene SCP beispielsweise fest, dass nur Amazon EC2-Aktionen ausgeführt werden können, und die Berechtigungen eines Prinzipals des gleichen AWS-Kontos lassen sowohl EC2- als auch Amazon S3-Aktionen zu, so kann der Prinzipal nur EC2-Aktionen ausführen.
Prinzipals eines Mitgliedskontos (einschließlich des Stammbenutzers dieses Mitgliedskontos) können keine SCPs entfernen oder ändern, die diesem Mitgliedskonto zugewiesen sind.  

SCPs folgen den gleichen Regeln und der gleichen Grammatik wie IAM-Richtlinien. Informationen zu SCP Syntax finden Sie unterSCP Syntax.. Zum Beispiel SCPs, sieheBeispiel Service-Kontrollrichtlinien.  

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action":["EC2:*","S3:*"], 

 "Resource":"*" 

 } 

 ] 

 }

Beispiel für eine Sperrliste
Die folgende SCP erteilt Zugriff auf alle Aktionen der AWS-Services mit Ausnahme der S3-Aktion PutObject. Alle Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rolle) eines Kontos, für das diese SCP gilt, können auf alle Aktionen mit Ausnahme der S3-Aktion PutObject zugreifen, vorausgesetzt sie verfügen selbst über die entsprechenden Berechtigungen. 

{ 

 "Version":"2012-10-17", 

 "Statement":[ 

 { 

 "Effect":"Allow", 

 "Action": "*:*", 

 "Resource":"*" 

 }, 

 { 

 "Effect":"Deny", 

 "Action":"S3:PutObject", 

 "Resource":"*" 

 } 

 ] 

 }

Weitere Beispiele finden Sie unter Strategien für die Nutzung von SCPs.

Nein. SCPs weisen das gleiche Verhalten auf wie IAM-Richtlinien. Das bedeutet, dass eine leere IAM-Richtlinie dem standardmäßigen DENY entspricht. Die Anwendung einer leeren SCP auf ein Konto ist gleichbedeutend mit der Anwendung einer Richtlinie, die explizit alle Aktionen verweigert.

Die geltenden Berechtigungen (Kontostamm, IAM-Benutzer und IAM-Rolle), die einem Prinzipal in einem AWS-Konto mit einer angewendeten SCP gewährt werden, ergeben sich aus der Schnittmenge der Berechtigungen, die in der SCP zugeteilt sind, und den Berechtigungen, die dem Prinzipal durch die IAM-Berechtigungsrichtlinien zugeteilt sind. Wenn ein IAM-Benutzer beispielsweise "Allow": "ec2:* " und "Allow": "sqs:* " hat, und die dem Konto zugeordnete SCP "Allow": "ec2:* " und "Allow": "s3:* " hat, lautet die daraus resultierende Erlaubnis für den IAM-Benutzer "Allow": "ec2:* " Der Prinzipal kann keine Amazon SQS- (durch die SCP nicht erlaubt) oder S3-Aktionen (durch die IAM-Richtlinie nicht erlaubt) durchführen.

Ja. Der IAM-Richtliniensimulator kann die Auswirkungen von SCPs enthalten. In einem Mitgliedskonto Ihrer Organisation verwendet, simuliert der Richtliniensimulator die Auswirkung auf einzelne Prinzipals des Kontos. Ein Administrator in einem Mitgliedskonto mit entsprechenden AWS Organizations-Berechtigungen kann sehen, ob sich eine SCP auf den Zugang für die Prinzipals (Kontostamm, IAM-Benutzer und IAM-Rolle) in Ihrem Mitgliedskonto auswirkt.
Weitere Informationen finden Sie unter Service-Kontrollrichtlinien.

Ja. Es ist Ihre Entscheidung, welche Richtlinien Sie durchsetzen möchten. Sie können beispielsweise eine Organisation erstellen, für die Sie nur die Funktion der konsolidierten Fakturierung nutzen. Der Vorteil ist ein gemeinsames Zahlungskonto für alle Konten Ihrer Organisation mit entsprechend gestaffelten Preisnachlässen.

AWS Organizations wird ohne Aufpreis angeboten.

Der Besitzer des Verwaltungskontos ist für die Nutzung wie auch sämtliche Daten und Ressourcen der Konten seiner Organisation verantwortlich.

Nein. Derzeit gibt Ihre Rechnung die in Ihrer Organisation definierte Struktur noch nicht wieder. Allerdings können Sie Ihre AWS-Kosten mit Tags für die Kostenzuordnung, die Sie Ihren AWS-Konten hinzufügen, kategorisieren und verfolgen. Diese Zuordnung ist dann auch in der konsolidierten Rechnung für Ihre Organisation enthalten.

Die AWS-Services haben sich mit den AWS Organizations integriert, um den Kunden eine zentralisierte Verwaltung und Konfiguration über alle Konten hinweg in ihren Organisationen zu ermöglichen. Auf diese Weise können Sie Services über Ihre Konten hinweg von einem einzigen Ort aus verwalten und die Bereitstellung und Konfiguration vereinfachen.

Eine Liste der mit AWS Organizations integrierten AWS-Services finden Sie unter AWS-Services, die Sie mit AWS Organizations verwenden können.

Um mit der Verwendung eines in die AWS Organization integrierten AWS-Services zu beginnen, navigieren Sie in der AWS-Managementkonsole zu diesem Service und aktivieren Sie die Integration.