Die richtige Anzahl an AWS Accounts für Ihre Cloud Umgebung

Lesedauer: ca. 6 Minuten

So setzen Sie Ihre AWS-Multi-Account-Umgebung richtig auf

In diesem Beitrag tauchen wir tiefer in das Konzept der AWS-Plattform ein und sehen uns einige Best Practices und Überlegungen zum Definieren einer AWS-Multi-Account-Umgebung an.

Obwohl Best Practices eine Orientierungshilfe bieten, wird die Architektur Ihrer AWS-Umgebung maßgeblich von geschäftlichen Faktoren, individuellen Anforderungen und Ihrer strategischen Ausrichtung beeinflusst werden. Lassen Sie uns daher einige der üblichen Benefits hinsichtlich der Definition einer AWS-Account-Strategie untersuchen. Nicht jeder davon wird auf Ihren Anwendungsfall zutreffen. Letztlich müssen die unterschiedlichen Aspekte beleuchtet werden, um eine passgenaue Multi-Account-Strategie und Landing Zone zu definieren.

MultiAccounts AWS

7 Gründe, warum Sie Ihren monolithischen AWS-Account in mehrere Accounts aufteilen sollten

1. Fördern Sie Innovations und Agilität

Mit fortschreitender Digitalisierung ist die IT-Abteilung Triebfeder für Innovationskraft und Agilität in einem Unternehmen. Um Ideen frühzeitig zu fördern, können Sie Ihren Mitarbeitern separate AWS Accounts zur Verfügung stellen. Mit breiterem Zugriff auf AWS-Services bieten diese Umgebungen mehr Freiheiten als streng kontrollierte produktionsähnliche Test- oder gar Produktionsumgebungen welche zentral verwaltet werden.

Damit nichts aus dem Ruder läuft, empfehlen wir Ihnen, für diese Art von Accounts Sicherheits-Leitplanken und Kostenbudgets einzurichten.

2. Trennung von Kundendaten

Gerade als SaaS-Anbieter stellt sich die Frage, wie unterschiedliche Kundendaten effizient voneinander getrennt werden sollen. Eine Trennung über unterschiedliche AWS Accounts zu erreichen ist vor allem dann attraktiv, wenn eine sehr einfach zu beschreibende Grenze pro Tenant erforderlich ist. Wenn Ihre Kunden besorgt über einen möglichen mandantenübergreifenden Zugriff sind, ist ein AWS-Account basiertes Isolationsmodell das überzeugendste Argument hinsichtlich Datensicherheit.

3. Explosionsradius reduzieren

Ressourcen eines Accounts sind von Ressourcen eines anderen Accounts isoliert, sogar innerhalb Ihrer eigenen AWS Organisation.

Diese Grenze bietet Ihnen die Möglichkeit, die Auswirkungen eines anwendungsbezogenen Problems, einer Fehlkonfiguration oder einer böswilligen Handlung zu begrenzen. Wenn ein Problem innerhalb eines Accounts auftritt, werden die Auswirkungen auf Workloads in anderen Konten entweder reduziert oder eliminiert.

4. Security und Compliance

Angenommen Ihre Anwendungen verarbeiten DSGVO relevante Daten, wäre es dann nicht viel effizienter, Ihren Auditor oder Pentester auf einen dedizierten Produktions-Account zu verweisen? Diese dedizierten Konten ermöglichen es den Sicherheitsteams, sich auf die notwendigen Kontrollen und detaillierten Bedrohungsmodelle zu konzentrieren, anstatt die gesamte Cloud-Landschaft zu auditieren. Dies vereinfacht nicht nur Ihren Auditierungsprozess, sondern fördert auch Innovationen durch die Nutzung weniger restriktiver Accounts in anderen Bereichen Ihres Unternehmens.

5. Unterstützung unterschiedlicher IT-Betriebsmodelle, Team- und Organisationsstrukturen

Nehmen wir an, eine Organisation möchte die Autonomie ihrer Projektteams fördern. Hier ist es sinnvoll, jedes Team innerhalb eines dedizierten AWS-Accounts zu isolieren und jedem Team eine Spielwiese oder Sandbox zum Experimentieren zu bieten. Somit kann jedes Team das für die jeweilige Anwendung optimale Betriebsmodell wählen, wie zum Beispiel Traditional Ops - CloudOps - DevOps.

Eine passend konfigurierte Landing Zone bietet Ihnen die Möglichkeit für die verschiedenen Modelle Leitplanken zu setzen

6. Verwalten von Kosten

Viele Unternehmen haben die Anforderung, AWS-Kosten einer bestimmten Geschäftseinheit (BU), Umgebung, Anwendung oder Projektkostenstelle zuzuordnen. Eine Multi-Account-Strategie erlaubt es Ihnen, Kosten pro Account aufzuschlüsseln. Aus diesem Grund ist die Verwendung unterschiedlicher Konten für verschiedene Geschäftseinheiten und Gruppen von Workloads hilfreich, Ihre Cloud-Ausgaben einfacher zu kontrollieren, prognostizieren und budgetieren.

Darüber hinaus besteht die Möglichkeit der Kostenzuweisung durch feingranulare Berichte und Filter unter Verwendung von AWS-Ressourcen-Tags. Auch wenn diese Funktion hilfreich ist, ist sie möglicherweise nicht der einfachste Mechanismus für die Kostenzuweisung für vielseitige und umfangreiche Workloads. Außerdem ist zu berücksichtigen, dass nicht jeder Ressourcentyp Tagging für eine detaillierte Abrechnung unterstützt.

7. Verteilen von AWS Service Quotas und API request rate limits

AWS Service Quotas, auch als Limits bezeichnet, sind die maximale Anzahl von Service-Ressourcen oder Vorgängen, die für einen Account gelten. Zum Beispiel die Anzahl der Amazon Simple Storage Service (Amazon S3) Buckets.

Eventuell betreiben Sie eine High-Performance Anwendung, die Ereignisse über verschiedene ereignisgesteuerte AWS Lambda-Pipelines verarbeitet, die nicht durch Service-Limits und Schwellenwerte für die gleichzeitige Lambda-Ausführung beeinträchtigt werden sollten, weil sie von anderen Anwendungen genutzt werden. Dann haben Sie einen sehr guten Anwendungsfall, um diese Anwendung in einem spezifischen AWS-Account zu isolieren.

Die oben genannten Punkte können nicht getrennt voneinander betrachtet werden, sondern jeder Aspekt sollte bei der Abwägung des für Ihren Fall geeigneten Multi-Account-Konzepts in AWS gewichtet werden.

Account Verwaltung

Ihnen kommt die Verwaltung einer Tonne an AWS Accounts wie eine Herkulesaufgabe vor? Die gute Nachricht ist, dass AWS verschiedene Techniken und Tools anbietet, welche die Verwaltung mehrerer Konten erleichtern.

In diesem Artikel konzentrieren wir uns auf AWS Organizations, um eine Multi-Account Struktur umzusetzen.

AWS Organizations

AWS Organizations ist ein Service, der Plattformteams bei der Verwaltung - im Hinblick auf die Erstellung, Gruppierung und Berechtigungsaspekte - eines Multi-Account-Ökosystems unterstützt. Mit AWS Organizations können Sie eine mehrstufige Struktur von Organisationseinheiten aufbauen, um Berechtigungen auf Basisebene, sogenannte Service Control Policies (SCPs), zu verwalten und so sicherzustellen, dass nur bestimmte Services oder Aktionen innerhalb eines AWS-Accounts ausgeführt werden können. Eine typische Struktur einer AWS-Organisation ist in der folgenden Abbildung dargestellt.

AWS Accounts richtig anlegen Blogartikel Innovations ON

Im Wesentlichen bieten AWS-Organisationen die folgenden Vorteile und Funktionen:

  • Konsolidierte Abrechnung für alle untergeordneten Konten im Root-Konto (oder Master-Konto) mit detaillierten Berichten, um die tatsächlichen Ausgaben pro Konto zu ermitteln.

  • AWS-Konten können eine AWS-Organisation verlassen oder Teil davon werden, zum Beispiel wenn sich Geschäftsstrukturen ändern oder bestimmte Projekte oder Abteilungen von einem anderen Unternehmen übernommen werden.

  • Wenn Sie die Kosten aller Mitgliedskonten zusammenfassen, können Sie gegebenenfalls Mengenrabatte erhalten. Denken Sie beispielsweise an Kosten beim ausgehenden Datenverkehr oder S3-Speicher, die nahezu in jedem Konto anfallen. Ein weiterer Kostenvorteil ist die optimale Nutzung von Reserved Instances (RIs) über die Mitgliedskonten hinweg oder die Nutzung von Saving Plans.

  • Viele AWS-Dienste zum Beispiel AWS Firewall Manager und AWS CloudTrail lassen sich gut in AWS Organizations integrieren, um eine einheitliche Übersicht für Audits und sicherheitsrelevante Tätigkeiten zu bieten.

AWS Organizations ist kein Muss für jedes Szenario mit mehreren Konten. Wenn Sie sich in der Position befinden, in der ein AWS-Partner Ihr AWS-Rechnungsmanagement als Teil Ihrer Managed Services-Vereinbarung durchführt, sind viele der täglichen Herausforderungen mit der Rechnungsstellung über mehrere Konten möglicherweise bereits erledigt, was AWS Organizations aus Sicht der Rechnungsstellung zu einer weniger wichtigen Anforderung macht.

Empfohlene Start Organisation

In diesem Beispiel verwendet das Management-Konto der Organisation AWS Single Sign-on (AWS SSO), um Ihren Mitarbeitern einen einheitlichen Zugriff auf die AWS-Konten in Ihrer Organisation zu ermöglichen.

Die OU "Security" enthält ein Konto "log-archive", das als zentraler Ablagepunkt in der Organisation für Protokolldaten fungiert. Sicherheits-, Audit- und Compliance-Teams können diese dann zu Analysezwecken verwenden. Das Konto "security-tooling" dient zur Verwaltung von Security-Tools.

Eine Workloads-OU enthält Produktions- sowie Test-Accounts.

AWS Accounts richtig anlegen Blogartikel Innovations ON

Fazit

Unser Rat ist, starten Sie klein und erweitern Sie AWS-Organisation sofern notwendig. Versuchen Sie nicht jeden Sonderfall gleich zu Beginn abzudecken.

Verwenden Sie nicht Ihren bestehenden AWS Account als Root-Account, wenn dieser bereits Workloads enthält. Sondern starten Sie mit einem neuen Account ohne Altlasten. Ihren alten Account können Sie immer noch als Mitglied der neuen Organisation hinzufügen.

Wenn Sie sich unsicher sind oder eine zweite Meinung zur Validierung Ihrer Multi-Account-Strategie wünschen, wenden Sie sich an unser Professional Services-Team, das Sie auf Ihrer Reise zur Cloud-Gründung fachkundig berät. Obwohl es kein Spaziergang ist, wie das Sprichwort sagt, wird Ihr Unternehmen mit ein wenig Aufwand sehr von einer gut definierten Multi-Account-Strategie profitieren.

Lassen Sie Ihre AWS Account Struktur von unseren Experten checken

  • nebenstehendes Formular ausfüllen
  • 30-Minuten Check-Up Ihrer AWS Accounts von unseren Experten erhalten
  • Kostenlos und unverbindlich

Wir beantworten Ihnen alle Fragen rund um die Optimierung Ihrer AWS Accounts und werfen gemeinsam einen Blick auf Einspar- und Verbesserungspotenziale. Die 30-Minütigen Gespräche werden von unseren zertifizierten AWS Experten remote durchgeführt.

Innovations ON Public Cloud 1x1 mit Tom Simon
Was sind AWS Services?
Amazon Web Services (AWS) ist mit mehr als 200 Services, die umfangreiche Funktionen bieten und in g...

Microsoft Workloads im Rechenzentrum oder in der Cloud betreiben
Vom Rechenzentrum in die Public Cloud: Hier sind Ihre (Microsoft) Workloads ideal aufgehoben
Für den Betrieb Ihrer Microsoft Workloads stehen Ihnen eine Reihe an Möglichkeiten zur Verfügung: vo...

Innovations ON Public Cloud 1x1 mit Tom Simon
Vom EDV Dienstleister zum Public Cloud Partner
Wir alle kennen ihn und haben mit Sicherheit schon das eine oder andere für unsere IT-Umgebung mit i...

Cloud und Kosten Interview mit Simon Baumgärtner
Cloud Kosten auf den Zahn fühlen: Interview mit Simon Baumgärtner
Was ist bei der Evaluation einer möglichen Cloud-Strategie wichtiger als die dazugehörige Kostenbetr...

Innovations ON Public Cloud 1x1 mit Tom Simon
Was ist die Public Cloud?
Die Public Cloud hat sich in den letzten Jahren neben dem traditionellen Rechenzentrum und weiteren ...

Microsoft Workloads
Microsoft Workloads in der Public Cloud
Der Begriff Workload hat verschiedene Definitionen. So kann er in der direkten Übersetzung als „Arbe...

Innovations ON Public Cloud 1x1 mit Tom Simon
AWS Partner – wieso weshalb warum
Amazon Web Services (AWS) bietet seine virtuellen Public Cloud Ressourcen wie Speicherplatz, Infrast...

Kostenoptimierung in der Cloud
Kostenoptimierung in der Cloud – Unternehmen zahlen oft zu viel
Ein Wechsel der IT-Infrastruktur in die Cloud wird oftmals mit Kosteneinsparungen verbunden. Eine ak...

Innovations ON Public Cloud 1x1 mit Tom Simon
Die Hyperscaler im Public Cloud Umfeld
Unter „Hyperscaler“ im Public Cloud Bereich versteht man die internationalen Cloud-Anbieter wie Amaz...

Anzahl_Accounts_Cloud_blog
Die richtige Anzahl an AWS Accounts für Ihre Cloud Umgebung
In diesem Beitrag tauchen wir tiefer in das Konzept der AWS-Plattform ein und sehen uns einige Best...

AWS Migration Competency Blogartikel
Zertifizierte Cloud Migration für Ihren idealen Einstieg in die Welt von AWS
Cloud Computing ist mittlerweile einer der gesetzten Begriffe innerhalb der IT-Branche. Die Public ...

Microsoft Workloads auf AWS und Gründe die für eine Migration sprechen
Microsoft Workloads auf AWS? Diese Vorteile überzeugen
Die Cloud Plattform von Amazon Web Services (AWS) ist im Vergleich zu ihren direkten Mitbewerbern w...

Titelbild Cloud Partner Blogartikel von Innovations ON GmbH
Cloud Partner: Dienstleister oder Systemhaus?
Wer ist der passende Cloud Partner für Ihren Weg in die AWS Cloud? Spezialisierter Cloud Dienstleis...

Cloud Kosten in der Public Cloud von AWS
Cloud Kosten richtig kalkulieren
Der Schritt in die Cloud ist eng mit der Frage nach den anfallenden Kosten einer Cloud Migration ver...

Blogartikel Innovations ON GmbH
Agiles Vorgehen nach Scrum
Vielleicht haben Sie bereits von Scrum gehört und fragen sich, was genau es damit auf sich hat und...

Blogartikel Innovations ON GmbH
Cloud Migration – Ihr erster Schritt in die Cloud Welt
Viele IT-ler sträuben sich, wenn sie den Begriff „Umzug in die Cloud“ hören, denn wie jeder weiß, i...

Blogartikel Innovations ON GmbH
Bereiten Sie Ihr Team ideal auf die Cloud vor!
Die Cloud bietet vielen Unternehmen Vorteile, die sie mit eigenen lokalen Rechenzentren, Colocation ...

Wilhelmsburg Ulm, Hauptstandort Innovations ON GmbH
Rückblick: Cloud meets Alb-Donau 3.0
Süddeutschland und insbesondere die Region Alb-Donau haben eine starke, innovative und international...

Blogartikel Innovations ON GmbH
Agile Projekte nach Scrum Methodik mit Festpreisbindung
Schon lange ist bekannt, dass konventionelle Sourcing-Ansätze den agilen Projektlieferungen durch ko...

Blogartikel Innovations ON GmbH
Die Wahl Ihres passenden Cloud Dienstleisters
Unternehmen, die erste Anwendungsmöglichkeiten der Cloud geprüft haben oder sie sogar schon einsetze...

Treten Sie direkt mit dem Autor in Kontakt

Direkt mit dem Autor in Kontakt treten

Manuel Müller Cloud Consultant bei Innovations ON
Manuel Müller
Cloud Consultant
Anfrage senden
Die E-Mail-Adresse sollte ein '@'-Zeichen und eine gültige Domain mit einem Punkt enthalten.
Die Telefonnummer darf nur aus Zahlen und folgenden Zeichen bestehen: + ( ) - /