Die richtige Anzahl an AWS Accounts für Ihre Cloud Umgebung

Lesedauer: ca. 6 Minuten

So setzen Sie Ihre AWS-Multi-Account-Umgebung richtig auf

In diesem Beitrag tauchen wir tiefer in das Konzept der AWS-Plattform ein und sehen uns einige Best Practices und Überlegungen zum Definieren einer AWS-Multi-Account-Umgebung an.

Obwohl Best Practices eine Orientierungshilfe bieten, wird die Architektur Ihrer AWS-Umgebung maßgeblich von geschäftlichen Faktoren, individuellen Anforderungen und Ihrer strategischen Ausrichtung beeinflusst werden. Lassen Sie uns daher einige der üblichen Benefits hinsichtlich der Definition einer AWS-Account-Strategie untersuchen. Nicht jeder davon wird auf Ihren Anwendungsfall zutreffen. Letztlich müssen die unterschiedlichen Aspekte beleuchtet werden, um eine passgenaue Multi-Account-Strategie und Landing Zone zu definieren.

Warum Sie Ihren monolithischen AWS-Account in mehrere Accounts aufteilen sollten

Fördern Sie Innovations und Agilität

Mit fortschreitender Digitalisierung ist die IT-Abteilung Triebfeder für Innovationskraft und Agilität in einem Unternehmen. Um Ideen frühzeitig zu fördern, können Sie Ihren Mitarbeitern separate AWS Accounts zur Verfügung stellen. Mit breiterem Zugriff auf AWS-Services bieten diese Umgebungen mehr Freiheiten als streng kontrollierte produktionsähnliche Test- oder gar Produktionsumgebungen welche zentral verwaltet werden.

Damit nichts aus dem Ruder läuft, empfehlen wir Ihnen, für diese Art von Accounts Sicherheits-Leitplanken und Kostenbudgets einzurichten.

Trennung von Kundendaten

Gerade als SaaS-Anbieter stellt sich die Frage, wie unterschiedliche Kundendaten effizient voneinander getrennt werden sollen. Eine Trennung über unterschiedliche AWS Accounts zu erreichen ist vor allem dann attraktiv, wenn eine sehr einfach zu beschreibende Grenze pro Tenant erforderlich ist. Wenn Ihre Kunden besorgt über einen möglichen mandantenübergreifenden Zugriff sind, ist ein AWS-Account basiertes Isolationsmodell das überzeugendste Argument hinsichtlich Datensicherheit.

Explosionsradius reduzieren

Ressourcen eines Accounts sind von Ressourcen eines anderen Accounts isoliert, sogar innerhalb Ihrer eigenen AWS Organisation.

Diese Grenze bietet Ihnen die Möglichkeit, die Auswirkungen eines anwendungsbezogenen Problems, einer Fehlkonfiguration oder einer böswilligen Handlung zu begrenzen. Wenn ein Problem innerhalb eines Accounts auftritt, werden die Auswirkungen auf Workloads in anderen Konten entweder reduziert oder eliminiert.

Security und Compliance

Angenommen Ihre Anwendungen verarbeiten DSGVO relevante Daten, wäre es dann nicht viel effizienter, Ihren Auditor oder Pentester auf einen dedizierten Produktions-Account zu verweisen? Diese dedizierten Konten ermöglichen es den Sicherheitsteams, sich auf die notwendigen Kontrollen und detaillierten Bedrohungsmodelle zu konzentrieren, anstatt die gesamte Cloud-Landschaft zu auditieren. Dies vereinfacht nicht nur Ihren Auditierungsprozess, sondern fördert auch Innovationen durch die Nutzung weniger restriktiver Accounts in anderen Bereichen Ihres Unternehmens.

Unterstützung unterschiedlicher IT-Betriebsmodelle, Team- und Organisationsstrukturen

Nehmen wir an, eine Organisation möchte die Autonomie ihrer Projektteams fördern. Hier ist es sinnvoll, jedes Team innerhalb eines dedizierten AWS-Accounts zu isolieren und jedem Team eine Spielwiese oder Sandbox zum Experimentieren zu bieten. Somit kann jedes Team das für die jeweilige Anwendung optimale Betriebsmodell wählen, wie zum Beispiel Traditional Ops - CloudOps - DevOps.

Eine passend konfigurierte Landing Zone bietet Ihnen die Möglichkeit für die verschiedenen Modelle Leitplanken zu setzen

Verwalten von Kosten

Viele Unternehmen haben die Anforderung, AWS-Kosten einer bestimmten Geschäftseinheit (BU), Umgebung, Anwendung oder Projektkostenstelle zuzuordnen. Eine Multi-Account-Strategie erlaubt es Ihnen, Kosten pro Account aufzuschlüsseln. Aus diesem Grund ist die Verwendung unterschiedlicher Konten für verschiedene Geschäftseinheiten und Gruppen von Workloads hilfreich, Ihre Cloud-Ausgaben einfacher zu kontrollieren, prognostizieren und budgetieren.

Darüber hinaus besteht die Möglichkeit der Kostenzuweisung durch feingranulare Berichte und Filter unter Verwendung von AWS-Ressourcen-Tags. Auch wenn diese Funktion hilfreich ist, ist sie möglicherweise nicht der einfachste Mechanismus für die Kostenzuweisung für vielseitige und umfangreiche Workloads. Außerdem ist zu berücksichtigen, dass nicht jeder Ressourcentyp Tagging für eine detaillierte Abrechnung unterstützt.

Verteilen von AWS Service Quotas und API request rate limits

AWS Service Quotas, auch als Limits bezeichnet, sind die maximale Anzahl von Service-Ressourcen oder Vorgängen, die für einen Account gelten. Zum Beispiel die Anzahl der Amazon Simple Storage Service (Amazon S3) Buckets.

Eventuell betreiben Sie eine High-Performance Anwendung, die Ereignisse über verschiedene ereignisgesteuerte AWS Lambda-Pipelines verarbeitet, die nicht durch Service-Limits und Schwellenwerte für die gleichzeitige Lambda-Ausführung beeinträchtigt werden sollten, weil sie von anderen Anwendungen genutzt werden. Dann haben Sie einen sehr guten Anwendungsfall, um diese Anwendung in einem spezifischen AWS-Account zu isolieren.

Die oben genannten Punkte können nicht getrennt voneinander betrachtet werden, sondern jeder Aspekt sollte bei der Abwägung des für Ihren Fall geeigneten Multi-Account-Konzepts in AWS gewichtet werden.

Account Verwaltung

Ihnen kommt die Verwaltung einer Tonne an AWS Accounts wie eine Herkulesaufgabe vor? Die gute Nachricht ist, dass AWS verschiedene Techniken und Tools anbietet, welche die Verwaltung mehrerer Konten erleichtern.

In diesem Artikel konzentrieren wir uns auf AWS Organizations, um eine Multi-Account Struktur umzusetzen.

AWS Organizations

AWS Organizations ist ein Service, der Plattformteams bei der Verwaltung - im Hinblick auf die Erstellung, Gruppierung und Berechtigungsaspekte - eines Multi-Account-Ökosystems unterstützt. Mit AWS Organizations können Sie eine mehrstufige Struktur von Organisationseinheiten aufbauen, um Berechtigungen auf Basisebene, sogenannte Service Control Policies (SCPs), zu verwalten und so sicherzustellen, dass nur bestimmte Services oder Aktionen innerhalb eines AWS-Accounts ausgeführt werden können. Eine typische Struktur einer AWS-Organisation ist in der folgenden Abbildung dargestellt.

AWS Accounts richtig anlegen Blogartikel Innovations ON

Im Wesentlichen bieten AWS-Organisationen die folgenden Vorteile und Funktionen:

  • Konsolidierte Abrechnung für alle untergeordneten Konten im Root-Konto (oder Master-Konto) mit detaillierten Berichten, um die tatsächlichen Ausgaben pro Konto zu ermitteln.

  • AWS-Konten können eine AWS-Organisation verlassen oder Teil davon werden, zum Beispiel wenn sich Geschäftsstrukturen ändern oder bestimmte Projekte oder Abteilungen von einem anderen Unternehmen übernommen werden.

  • Wenn Sie die Kosten aller Mitgliedskonten zusammenfassen, können Sie gegebenenfalls Mengenrabatte erhalten. Denken Sie beispielsweise an Kosten beim ausgehenden Datenverkehr oder S3-Speicher, die nahezu in jedem Konto anfallen. Ein weiterer Kostenvorteil ist die optimale Nutzung von Reserved Instances (RIs) über die Mitgliedskonten hinweg oder die Nutzung von Saving Plans.

  • Viele AWS-Dienste zum Beispiel AWS Firewall Manager und AWS CloudTrail lassen sich gut in AWS Organizations integrieren, um eine einheitliche Übersicht für Audits und sicherheitsrelevante Tätigkeiten zu bieten.

AWS Organizations ist kein Muss für jedes Szenario mit mehreren Konten. Wenn Sie sich in der Position befinden, in der ein AWS-Partner Ihr AWS-Rechnungsmanagement als Teil Ihrer Managed Services-Vereinbarung durchführt, sind viele der täglichen Herausforderungen mit der Rechnungsstellung über mehrere Konten möglicherweise bereits erledigt, was AWS Organizations aus Sicht der Rechnungsstellung zu einer weniger wichtigen Anforderung macht.

Empfohlene Start Organisation

AWS Accounts richtig anlegen Blogartikel Innovations ON
In diesem Beispiel verwendet das Management-Konto der Organisation AWS Single Sign-on (AWS SSO), um Ihren Mitarbeitern einen einheitlichen Zugriff auf die AWS-Konten in Ihrer Organisation zu ermöglichen.

Die OU "Security" enthält ein Konto "log-archive", das als zentraler Ablagepunkt in der Organisation für Protokolldaten fungiert. Sicherheits-, Audit- und Compliance-Teams können diese dann zu Analysezwecken verwenden. Das Konto "security-tooling" dient zur Verwaltung von Security-Tools.

Eine Workloads-OU enthält Produktions- sowie Test-Accounts.

Fazit

Unser Rat ist, starten Sie klein und erweitern Sie AWS-Organisation sofern notwendig. Versuchen Sie nicht jeden Sonderfall gleich zu Beginn abzudecken.

Verwenden Sie nicht Ihren bestehenden AWS Account als Root-Account, wenn dieser bereits Workloads enthält. Sondern starten Sie mit einem neuen Account ohne Altlasten. Ihren alten Account können Sie immer noch als Mitglied der neuen Organisation hinzufügen.

Wenn Sie sich unsicher sind oder eine zweite Meinung zur Validierung Ihrer Multi-Account-Strategie wünschen, wenden Sie sich an unser Professional Services-Team, das Sie auf Ihrer Reise zur Cloud-Gründung fachkundig berät. Obwohl es kein Spaziergang ist, wie das Sprichwort sagt, wird Ihr Unternehmen mit ein wenig Aufwand sehr von einer gut definierten Multi-Account-Strategie profitieren.

Lassen Sie Ihre AWS Account Struktur von unseren Experten checken

  • nebenstehendes Formular ausfüllen
  • 30-Minuten Check-Up Ihrer AWS Accounts von unseren Experten erhalten
  • Kostenlos und unverbindlich

Wir beantworten Ihnen alle Fragen rund um die Optimierung Ihrer AWS Accounts und werfen gemeinsam einen Blick auf Einspar- und Verbesserungspotenziale. Die 30-Minütigen Gespräche werden von unseren zertifizierten AWS Experten remote durchgeführt.

Treten Sie direkt mit dem Autor in Kontakt

Direkt mit dem Autor in Kontakt treten
Manuel Müller Cloud Consultant bei Innovations ON
Manuel Müller
Cloud Consultant
Anfrage senden
Die E-Mail-Adresse sollte ein '@'-Zeichen und eine gültige Domain mit einem Punkt enthalten.
Die Telefonnummer darf nur aus Zahlen und folgenden Zeichen bestehen: + ( ) - /