View a markdown version of this page

Bewährte Methoden für die Verwendung von EC2-Richtlinien - AWS Organizations
Nutzen Sie die EignungsbeurteilungenFangen Sie klein an und skalieren Sie dannRichten Sie Überprüfungsprozesse einValidieren Sie Änderungen mit DescribeEffectivePolicyKommunizieren und trainieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Verwendung von EC2-Richtlinien

AWS empfiehlt die folgenden bewährten Methoden für die Verwendung von EC2-Richtlinien.

Nutzen Sie die Eignungsbeurteilungen

Verwenden Sie den EC2-Policy-Kontostatusbericht, um den aktuellen Status aller Attribute zu bewerten, die von den EC2-Richtlinien für die betroffenen Konten unterstützt werden. Sie können die Konten und Organisationseinheiten (OUs) auswählen, die in den Berichtsbereich aufgenommen werden sollen, oder Sie können eine gesamte Organisation auswählen, indem Sie das Stammverzeichnis auswählen.

Dieser Bericht hilft Ihnen bei der Einschätzung der Bereitschaft, indem er eine Aufschlüsselung nach Regionen enthält und angibt, ob der aktuelle Status eines Attributs kontenübergreifend einheitlich (durchnumberOfMatchedAccounts) oder inkonsistent (durch dienumberOfUnmatchedAccounts) ist. Sie können auch den häufigsten Wert sehen, d. h. den Konfigurationswert, der für das Attribut am häufigsten beobachtet wird.

Die Entscheidung, eine EC2-Richtlinie zur Durchsetzung einer Basiskonfiguration anzuhängen, hängt von Ihrem spezifischen Anwendungsfall ab.

Weitere Informationen und ein anschauliches Beispiel finden Sie unter. Kontostatusbericht für EC2-Richtlinien

Fangen Sie klein an und skalieren Sie dann

Um das Debuggen zu vereinfachen, beginnen Sie mit einer Testrichtlinie. Überprüfen Sie das Verhalten und die Auswirkungen jeder Änderung, bevor Sie die nächste Änderung vornehmen. Dieser Ansatz reduziert die Anzahl der Variablen, die Sie berücksichtigen müssen, wenn ein Fehler oder ein unerwartetes Ergebnis auftritt.

In einer unkritischen Testumgebung können Sie beispielsweise mit einer Testrichtlinie beginnen, die an ein einzelnes Konto angehängt ist. Nachdem Sie sich vergewissert haben, dass sie Ihren Spezifikationen entspricht, können Sie die Richtlinie schrittweise in der Organisationsstruktur nach oben verschieben, sodass mehr Konten und mehr Organisationseinheiten (OUs) vorhanden sind.

Richten Sie Überprüfungsprozesse ein

Implementieren Sie Prozesse zur Überwachung neuer EC2-Attribute, zur Bewertung von Richtlinienausnahmen und zur Anpassung an Ihre organisatorischen Sicherheits- und Betriebsanforderungen.

Validieren Sie Änderungen mit DescribeEffectivePolicy

Nachdem Sie eine Änderung an einer EC2-Richtlinie vorgenommen haben, überprüfen Sie die geltenden Richtlinien für repräsentative Konten unter der Ebene, auf der Sie die Änderung vorgenommen haben. Sie können die effektive Richtlinie mithilfe der oder mithilfe des AWS-ManagementkonsoleDescribeEffectivePolicyAPI-Vorgangs oder einer seiner AWS CLI oder AWS SDK-Varianten anzeigen. Stellen Sie sicher, dass die vorgenommene Änderung die beabsichtigten Auswirkungen auf die effektive Richtlinie hatte.

Kommunizieren und trainieren

Stellen Sie sicher, dass Ihre Organisationen den Zweck und die Auswirkungen Ihrer EC2-Richtlinien verstehen. Geben Sie klare Hinweise zu den zu erwartenden Verhaltensweisen und zum Umgang mit Fehlern aufgrund der Durchsetzung von Richtlinien.