Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitätsmanagement und Zugriffskontrolle für den Übergang zu einer Multi-Konto-Architektur
Dieser erste Schritt beim Übergang zu einer Architektur mit mehreren Konten besteht darin, Ihre neue Kontostruktur innerhalb einer Organisation einzurichten. Anschließend können Sie Benutzer hinzufügen und ihren Zugriff auf die Konten konfigurieren. In diesem Abschnitt werden Ansätze zur Verwaltung des Benutzerzugriffs auf mehrere AWS-Konten beschrieben.
**Topics**
+ [Eine Organisation einrichten](set-up-organization.md)
+ [Erstellen Sie eine Landing Zone](create-landing-zone.md)
+ [Organisationseinheiten hinzufügen](add-organizational-units.md)
+ [Erste Benutzer hinzufügen](add-initial-users.md)
+ [Mitgliedskonten verwalten](manage-member-accounts.md)
# Eine Organisation einrichten
Wenn Sie mehrere haben AWS-Konten, können Sie diese Konten logisch über eine Organisation in [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)verwalten. Ein *Konto* in AWS Organizations ist ein Standard AWS-Konto , der Ihre AWS Ressourcen und die Identitäten enthält, die auf diese Ressourcen zugreifen können. Eine *Organisation* ist eine Einheit, die Ihre Daten konsolidiert, AWS-Konten sodass Sie sie als eine Einheit verwalten können.
Wenn Sie ein Konto verwenden, um eine Organisation zu erstellen, wird dieses Konto das *Verwaltungskonto* (auch bekannt als *Konto des Zahlers* oder *Root-Konto*) für die Organisation. Eine Organisation kann nur ein Verwaltungskonto haben. Wenn Sie der Organisation weitere AWS-Konten hinzufügen, werden diese zu *Mitgliedskonten*.
**Anmerkung**
Jedes hat AWS-Konto außerdem eine einzige Identität, die als *Root-Benutzer* bezeichnet wird. Sie können sich als Root-Benutzer mit der E-Mail-Adresse und dem Passwort anmelden, die Sie bei der Erstellung des Kontos verwendet haben. Wir empfehlen jedoch dringend, den Root-Benutzer nicht für alltägliche Aufgaben zu verwenden, auch nicht für administrative Aufgaben. Weitere Informationen finden Sie unter [AWS-Konto -Root-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html).
Wir empfehlen außerdem, den [Root-Zugriff für Mitgliedskonten zu zentralisieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html) und die Root-Benutzeranmeldeinformationen aus den Mitgliedskonten in Ihrer Organisation zu entfernen.
Sie organisieren Konten in einer hierarchischen, baumähnlichen Struktur, die aus dem Organisationsstamm, den Organisationseinheiten (OUs) und den Mitgliedskonten besteht. *Root* ist der übergeordnete Container für alle Konten in Ihrer Organisation. Eine *organisatorische Einheit* (OU) ist ein Container für [Konten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#account) innerhalb des [Roots](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#root). Eine Organisationseinheit kann andere Konten OUs oder Mitgliedskonten enthalten. Eine Organisationseinheit kann nur ein übergeordnetes Element haben und jedes Konto kann nur einer Organisationseinheit angehören. Weitere Informationen finden Sie unter [Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) (AWS Organizations Dokumentation).
Eine [Service Control Policy (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) spezifiziert die Dienste und Aktionen, die Benutzer und Rollen verwenden können. SCPs ähneln AWS Identity and Access Management (IAM-) Berechtigungsrichtlinien, mit dem Unterschied, dass sie keine Berechtigungen gewähren. SCPs Definieren Sie stattdessen die maximalen Berechtigungen. Wenn Sie eine Richtlinie an einen der Knoten in der Hierarchie anhängen, gilt sie für alle Konten OUs und innerhalb dieses Knotens. Wenn Sie beispielsweise eine Richtlinie auf das Stammverzeichnis anwenden, gilt sie für alle [OUs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organizationalunit)[Konten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#account) in der Organisation, und wenn Sie eine Richtlinie auf eine Organisationseinheit anwenden, gilt sie nur für die Konten OUs und in der Ziel-OU.
Eine [Resource Control Policy (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) bietet eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation. RCPs hilft Ihnen dabei, sicherzustellen, dass die Ressourcen in Ihrem Konto den Richtlinien für die Zugriffskontrolle Ihrer Organisation entsprechen.
Sie können die AWS Organizations Konsole verwenden, um alle Ihre Konten innerhalb einer Organisation zentral einzusehen und zu verwalten. Einer der Vorteile einer Organisation besteht darin, dass Sie eine konsolidierte Rechnung erhalten können, in der alle mit den Verwaltungs- und Mitgliedskonten verbundenen Gebühren aufgeführt sind. Weitere Informationen finden Sie unter [Konsolidierte Fakturierung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) (AWS Organizations Dokumentation).
## Best Practices
+ Verwenden Sie kein vorhandenes AWS-Konto , um eine Organisation zu erstellen. Beginnen Sie mit einem neuen Konto, das zu Ihrem Verwaltungskonto für die Organisation wird. Privilegierte Operationen können innerhalb des Verwaltungskontos einer Organisation ausgeführt werden SCPs und gelten RCPs nicht für das Verwaltungskonto. Daher sollten Sie nur Cloud-Ressourcen und -Daten in das Verwaltungskonto aufnehmen, die dort verwaltet werden müssen.
+ Beschränken Sie den Zugriff auf das Verwaltungskonto auf Personen, die neue Konten einrichten AWS-Konten und die Organisation verwalten müssen.
+ Wird verwendet SCPs , um die maximalen Berechtigungen für das Stammkonto, die Organisationseinheiten und die Mitgliedskonten zu definieren. SCPs kann nicht direkt auf das Verwaltungskonto angewendet werden.
+ Wird verwendet RCPs , um die maximalen Berechtigungen für Ressourcen in Mitgliedskonten zu definieren. RCPskann nicht direkt auf das Verwaltungskonto angewendet werden.
+ Halten Sie sich an die [Best Practices für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices.html) (AWS Organizations Dokumentation).
# Erstellen Sie eine Landing Zone
Eine *landing zone* ist eine gut strukturierte AWS Umgebung mit mehreren Konten, von der aus Sie Workloads und Anwendungen bereitstellen können. Sie bietet eine Grundlage für den Einstieg in die Architektur mehrerer Konten, Identitäts- und Zugriffsmanagement, Governance, Datensicherheit, Netzwerkdesign und Protokollierung. [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) ist ein Service, der die Wartung und Verwaltung einer Umgebung mit mehreren Konten vereinfacht, indem er automatisierten Integritätsschutz bereitstellt. In der Regel stellen Sie eine einzige AWS Control Tower landing zone bereit, die Ihre gesamte Umgebung verwaltet AWS-Regionen. AWS Control Tower funktioniert, indem es andere AWS-Services innerhalb Ihres Kontos orchestriert. Weitere Informationen finden Sie unter [Was passiert, wenn Sie eine landing zone einrichten](https://docs.aws.amazon.com/controltower/latest/userguide/how-control-tower-works.html#how-it-works-setup) (AWS Control Tower Dokumentation).
Wenn Sie eine landing zone mit einrichten AWS Control Tower, identifizieren Sie drei gemeinsame Konten: das Verwaltungskonto, das Protokollarchivkonto und das Auditkonto. Weitere Informationen finden Sie unter [Was sind gemeinsame Konten](https://docs.aws.amazon.com/controltower/latest/userguide/how-control-tower-works.html#what-shared) (AWS Control Tower Dokumentation). Für das Verwaltungskonto müssen Sie ein vorhandenes Konto verwenden, das keine Workloads hostet, um die Landing Zone einzurichten. Für das Protokollarchiv und die Auditkonten können Sie wählen, ob Sie vorhandene AWS-Konten Konten wiederverwenden oder sie für AWS Control Tower sich selbst erstellen möchten.
Anweisungen zur Einrichtung Ihrer AWS Control Tower landing zone finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html) (AWS Control Tower Dokumentation).
## Best Practices
+ Halten Sie sich an die Best Practices im Abschnitt [Entwurfsprinzipien für Ihre Multi-Account-Strategie](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/design-principles-for-your-multi-account-strategy.html) (AWS Whitepaper).
+ Halten Sie sich an die [Best Practices für AWS Control Tower Administratoren](https://docs.aws.amazon.com/controltower/latest/userguide/best-practices.html) (AWS Control Tower Dokumentation).
+ Erstellen Sie Ihre landing zone in der AWS-Region , in der die meisten Ihrer Workloads gehostet werden.
**Wichtig**
Wenn du dich entscheidest, diese Region zu ändern, nachdem du deine landing zone eingerichtet hast, benötigst du die Unterstützung von AWS Support und du musst die landing zone außer Betrieb nehmen. Diese Vorgehensweise wird nicht empfohlen.
+ Wählen Sie bei der Entscheidung, welche Regionen gelten AWS Control Tower sollen, nur die Regionen aus, in denen Sie davon ausgehen, dass Workloads sofort bereitgestellt werden. Sie können diese Regionen ändern oder später weitere hinzufügen. Wenn eine Region AWS Control Tower regiert, wird sie ihre detektivischen Leitplanken in dieser Region als einsetzen. [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ Nachdem festgelegt wurde, welche Regionen regieren AWS Control Tower sollen, wird allen Regionen, die keine Regierung besitzen, der Zugang verweigert. Auf diese Weise können Sie sicherstellen, dass Ihre Workloads und Entwickler nur zugelassene AWS-Regionen verwenden können. Dies wird in der Organisation als Service-Kontrollrichtlinie (SCP) implementiert. Weitere Informationen finden [Sie unter Konfiguration der AWS-Region Verweigerungssteuerung](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html) (AWS Control Tower Dokumentation).
+ Wenn du deine landing zone in AWS Control Tower einrichtest, empfehlen wir dir, die folgenden OUs Konten umzubenennen:
+ Wir empfehlen, die **Sicherheit**-OU zu **Security\$1Prod** umzubenennen, um zu signalisieren, dass diese Organisationseinheit für sicherheitsrelevante AWS-Konten in der Produktion verwendet wird.
+ Wir empfehlen Ihnen, die Erstellung einer zusätzlichen Organisationseinheit AWS Control Tower zuzulassen und diese dann von **Sandbox** in **Workloads** umzubenennen. Im nächsten Abschnitt erstellen Sie OUs innerhalb der **Workloads** OU weitere, mit denen Sie Ihre organisieren. AWS-Konten
+ Es wird empfohlen, die zentrale Protokollierung AWS-Konto von **Log Archive** in umzubenennen. **log-archive-prod**
+ **Wir empfehlen, das Auditkonto von Audit in umzubenennen **security-tooling-prod**.**
+ Um Betrug zu verhindern, AWS ist es erforderlich, dass sie zuvor genutzt AWS-Konten wurden, bevor sie einer AWS Control Tower landing zone hinzugefügt werden können. Wenn Sie eine neue AWS-Konto ohne Nutzungshistorie verwenden, können Sie in dem neuen Konto eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance starten, die nicht im AWS kostenlosen Kontingent enthalten ist. Lassen Sie die Instance einige Minuten laufen und beenden Sie sie dann.
# Organisationseinheiten hinzufügen
Die Einrichtung der richtigen Organisationsstruktur ist entscheidend für die Einrichtung einer Umgebung mit mehreren Konten. Da Sie Richtlinien zur Servicesteuerung (SCPs) verwenden, um die maximalen Berechtigungen für eine Organisationseinheit und die darin enthaltenen Konten zu definieren, muss Ihre Organisationsstruktur aus Sicht der Verwaltung, der Berechtigungen und der Finanzberichterstattung logisch sein. Weitere Informationen zur Struktur einer Organisation, einschließlich der Organisationseinheiten (OUs), finden Sie unter [Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) (AWS Organizations Dokumentation).
In diesem Abschnitt passen Sie die landing zone an, indem Sie verschachtelte Umgebungen erstellen, mit OUs denen Sie Ihre Umgebungen segmentieren und strukturieren können, z. B. Produktions- und Nichtproduktionsumgebungen. Diese empfohlenen bewährten Methoden dienen dazu, Ihre Landing Zone so zu segmentieren, dass produktive und nicht produktive Ressourcen getrennt werden und die Infrastruktur von den Workloads getrennt wird.
Weitere Informationen zur Erstellung OUs finden Sie unter [Organisationseinheiten verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) (AWS Organizations Dokumentation).
## Best Practices
+ Erstellen Sie in der **Workloads-Organisationseinheit**, in der Sie sie erstellt haben[Erstellen Sie eine Landing Zone](create-landing-zone.md), die folgenden OUs verschachtelten Elemente:
+ **Prod** – Verwenden Sie diese Organisationseinheit für AWS-Konten , die Produktionsdaten, einschließlich Kundendaten, speichern und darauf zugreifen.
+ **NonProd**— Verwenden Sie diese Organisationseinheit für den Speicher von Daten AWS-Konten , die nicht zur Produktion gehören, z. B. für Entwicklungs-, Staging- oder Testumgebungen
Erstellen Sie unter dem Organisationsroot eine **Infrastruktur\$1Prod**-DU. Verwenden Sie diese Organisationseinheit, um ein zentrales Netzwerkkonto zu hosten.
# Erste Benutzer hinzufügen
Es gibt zwei Möglichkeiten, Menschen Zugang zu AWS-Konten zu gewähren:
+ IAM-Identitäten, wie z. B. Benutzer, Gruppen und Rollen
+ Identitätsverbund, z. B. durch AWS IAM Identity Center
In kleineren Unternehmen und Einzel-Konto-Umgebungen ist es üblich, dass Administratoren einen IAM-Benutzer erstellen, wenn eine neue Person dem Unternehmen beitritt. Der Zugriffsschlüssel und die geheimen Schlüsselanmeldeinformationen, die einem IAM-Benutzer zugeordnet sind, sind bekannt als *langfristige Anmeldeinformationen* weil sie nicht ablaufen. Dies ist jedoch keine empfohlene bewährte Sicherheitsmethode, denn wenn ein Angreifer diese Anmeldeinformationen kompromittiert hätte, müssten Sie neue Anmeldeinformationen für den Benutzer generieren. Ein anderer Ansatz für den Zugriff AWS-Konten sind [IAM-Rollen](https://aws.amazon.com/blogs/startups/how-setting-up-iam-users-and-iam-roles-can-help-keep-your-startup-secure/). Sie können auch [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) verwenden, um vorübergehend *kurzfristige Anmeldeinformationen* anzufordern, die nach einer konfigurierbaren Zeit ablaufen.
Sie können den Zugriff von Personen auf Sie AWS-Konten über [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) verwalten. Sie können individuelle Benutzerkonten für jeden Ihrer Mitarbeiter oder Auftragnehmer erstellen, sie können ihre eigenen Passwörter und Multi-Faktor-Authentifizierung (MFA)-Lösungen verwalten und Sie können sie gruppieren, um den Zugriff zu verwalten. Bei der Konfiguration von MFA können Sie Softwaretoken wie Authentifikatoranwendungen oder Hardwaretokens wie YubiKey Geräte verwenden.
IAM Identity Center unterstützt auch den Verbund mit externen Identitätsanbietern (IdPs) wie Okta und Ping Identity. JumpCloud Weitere Informationen finden Sie unter [Unterstützte Identitätsanbieter](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html) (Dokumentation zu IAM Identity Center). Durch die Verbindung mit einem externen IdP können Sie die Benutzerauthentifizierung anwendungsübergreifend verwalten und dann IAM Identity Center verwenden, um den Zugriff auf bestimmte Anwendungen zu autorisieren. AWS-Konten
## Best Practices
+ Halten Sie sich an [Bewährte Methoden für die Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (IAM-Dokumentation) für die Konfiguration des Benutzerzugriffs.
+ Verwalten Sie den Kontozugriff nach Gruppen anstatt nach einzelnen Benutzern. Erstellen Sie in IAM Identity Center neue Gruppen, welche jede Ihrer Geschäftsfunktionen repräsentieren. Sie könnten beispielsweise Gruppen für Technik, Finanzen, Vertrieb und Produktmanagement erstellen.
+ Oft werden Gruppen definiert, indem diejenigen getrennt werden, die Zugriff auf alle AWS-Konten benötigen (oft nur Lesezugriff) und diejenigen, die Zugriff auf ein einzelnes AWS-Konto benötigen. Wir empfehlen Ihnen, die folgende Benennungskonvention für Gruppen zu verwenden, damit Sie die mit der Gruppe verknüpften Rechte AWS-Konto und Berechtigungen leicht identifizieren können.
`--`
+ Zum Beispiel für die Gruppe `AWS-A-dev-nonprod-DeveloperAccess`, ist `AWS-A` ein Präfix, das den Zugriff auf ein einzelnes Konto anzeigt, `dev-nonprod` ist der Name des Kontos und `DeveloperAccess` ist der dieser Gruppe zugewiesene Berechtigungssatz. Für die Gruppe `AWS-O-BillingAccess` indiziert der `AWS-O`-Präfix den Zugriff auf die gesamte Organisation, und `BillingAccess` gibt den Berechtigungssatz für die Gruppe an. In diesem Beispiel ist ein Kontoname nicht im Gruppennamen enthalten, da die Gruppe Zugriff auf die gesamte Organisation hat.
+ Wenn Sie IAM Identity Center mit einem externen SAML-basierten IdP verwenden und MFA benötigen möchten, können Sie die Authentifizierungsmethode mithilfe der attributbasierten Zugriffskontrolle (ABAC) vom IdP an IAM Identity Center übergeben. Die Attribute werden über die SAML-Assertionen gesendet. Weitere Informationen finden Sie unter [Attribute für die Zugriffskontrolle aktivieren und konfigurieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html) (Dokumentation von IAM Identity Center).
Viele IdPs, wie Microsoft Azure Active Directory und Okta, können den Authentication Method Reference (`amr`) -Anspruch innerhalb einer SAML-Assertion verwenden, um den MFA-Status des Benutzers an IAM Identity Center weiterzuleiten. Der Anspruch, der zur Bestätigung des MFA-Status verwendet wird, und sein Format variieren je nach IdP. Weitere Informationen finden Sie in der Dokumentation zu Ihrem IdP.
In IAM Identity Center können Sie dann Richtlinien für Berechtigungssätze erstellen, die festlegen, wer auf Ihre Ressourcen zugreifen kann. AWS Wenn Sie ABAC aktivieren und Attribute angeben, übergibt IAM Identity Center den Attributwert des authentifizierten Benutzers an IAM zur Verwendung bei der Richtlinienbewertung. Weitere Informationen finden Sie unter [Erstellen Sie Berechtigungsrichtlinien für ABAC](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac-policies.html) (Dokumentation von IAM Identity Center). Wie im folgenden Beispiel gezeigt, verwenden Sie die `aws:PrincipalTag`-Bedingungsschlüssel zum Erstellen einer Zugriffskontrollregel für MFA.
```
"Condition": {
"StringLike": { "aws:PrincipalTag/amr": "mfa" }
}
```
# Mitgliedskonten verwalten
In diesem Abschnitt laden Sie Ihr bereits bestehendes Konto in die Organisation ein und beginnen, neue Konten in Ihrer Organisation zu erstellen. Ein wichtiger Teil dieses Prozesses ist die Definition der Kriterien, anhand derer Sie bestimmen, ob Sie ein neues Konto einrichten müssen.
**Topics**
+ [Einladen Ihres bereits bestehenden Kontos](#invite-account)
+ [Passen Sie die VPC-Einstellungen an in AWS Control Tower](#customize-vpc-settings)
+ [Definieren Sie die Umfangskriterien](#define-scoping-criteria)
## Einladen Ihres bereits bestehenden Kontos
Darin AWS Organizations können Sie das bereits bestehende Konto Ihres Unternehmens in Ihre neue Organisation einladen. Nur das Verwaltungskonto in der Organisation kann andere Konten zum Beitritt einladen. Wenn der Administrator des eingeladenen Kontos zustimmt, tritt das Konto umgehend der Organisation bei, und das Verwaltungskonto der Organisation wird für alle vom neuen Mitgliedskonto anfallenden Gebühren verantwortlich. Weitere Informationen finden Sie unter [Einladen eines AWS-Konto , Ihrer Organisation beizutreten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) und [Eine Einladung einer Organisation annehmen oder ablehnen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html#orgs_manage_accounts_accept-decline-invite) (AWS Organizations -Dokumentation).
**Anmerkung**
Sie können ein Konto nur dann zum Beitritt zu einer Organisation einladen, wenn dieses Konto derzeit keiner anderen Organisation angehört. Wenn das Konto Mitglied einer bestehenden Organisation ist, müssen Sie es aus der Organisation entfernen. Wenn es sich bei dem Konto um das Verwaltungskonto für eine andere Organisation handelt, die fälschlicherweise erstellt wurde, müssen Sie die Organisation löschen.
**Wichtig**
Wenn Sie Zugriff auf historische Kosten- oder Nutzungsinformationen aus Ihrem bestehenden Konto benötigen, können Sie diese Informationen in einen Amazon Simple Storage Service (Amazon S3) -Bucket exportieren. AWS Cost and Usage Report Tun Sie dies, bevor Sie die Einladung zum Beitritt der Organisation annehmen. Wenn ein Konto einer Organisation beitritt, verlieren Sie den Zugriff auf diese historischen Daten für das Konto. Weitere Informationen finden Sie unter [Einen Amazon-S3-Bucket für Kosten- und Nutzungsberichte einrichten](https://docs.aws.amazon.com/cur/latest/userguide/cur-s3.html) (AWS Cost and Usage Report -Dokumentation).
*Best Practices*
+ Wir empfehlen Ihnen, Ihr bereits vorhandenes Konto, das wahrscheinlich Produktionsworkloads enthält, zur **Workloads** > **Prod**-Organisationseinheit hinzuzufügen, die Sie in [Organisationseinheiten hinzufügen](add-organizational-units.md) erstellt haben.
+ Standardmäßig hat das Verwaltungskonto der Organisation keinen Administratorzugriff auf Mitgliedskonten, die zur Organisation eingeladen wurden. Wenn Sie möchten, dass das Verwaltungskonto die administrative Kontrolle hat, müssen Sie die **OrganizationAccountAccessRole**IAM-Rolle im Mitgliedskonto erstellen und dem Verwaltungskonto die Erlaubnis erteilen, diese Rolle zu übernehmen. Weitere Informationen finden Sie unter [Konto „ OrganizationAccountAccessRole In einem eingeladenen Mitglied“ erstellen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_create-cross-account-role) (AWS Organizations Dokumentation).
+ Lesen Sie für das bereits bestehende Konto, das Sie zu der Organisation eingeladen haben, die Informationen zu den [Best Practices für Mitgliedskonten](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html) (AWS Organizations Dokumentation) und stellen Sie sicher, dass das Konto diesen Empfehlungen entspricht.
## Passen Sie die VPC-Einstellungen an in AWS Control Tower
Wir empfehlen Ihnen, neue Produkte AWS-Konten über [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) in bereitzustellen AWS Control Tower. Wenn Sie Account Factory verwenden, können Sie die AWS Control Tower Integration mit Amazon nutzen EventBridge , um Ressourcen neu bereitzustellen, AWS-Konten sobald das Konto erstellt wurde.
Wenn Sie eine neue einrichten AWS-Konto, wird automatisch eine [standardmäßige Virtual Private Cloud (VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) bereitgestellt. Wenn Sie jedoch über Account Factory ein neues Konto einrichten, stellt AWS Control Tower automatisch eine zusätzliche VPC bereit. Weitere Informationen finden Sie unter [Überblick über AWS Control Tower und VPCs](https://docs.aws.amazon.com/controltower/latest/userguide/vpc-concepts.html) (AWS Control Tower Dokumentation). Das bedeutet, dass standardmäßig VPCs in jedem neuen Konto zwei Provisionen AWS Control Tower vorgesehen sind.
Es ist üblich, dass Unternehmen mehr Kontrolle über VPCs die Konten wünschen. Viele bevorzugen es, andere Dienste wie AWS CloudFormation Hashicorp Terraform oder Pulumi zu verwenden, um ihre einzurichten und zu verwalten. VPCs Sie sollten die Account-Factory-Einstellungen anpassen, um die Erstellung der zusätzlichen VPC zu verhindern, die von AWS Control Tower bereitgestellt werden. Anweisungen finden [Sie unter Amazon VPC-Einstellungen konfigurieren](https://docs.aws.amazon.com/controltower/latest/userguide/configuring-account-factory-with-VPC-settings.html) (AWS Control Tower Dokumentation) und wenden Sie die folgenden Einstellungen an:
1. Deaktivieren Sie die Option **Über das Internet zugängliches Subnetz**.
1. Wählen Sie für **Maximale Anzahl der öffentlichen Subnetze** **0** aus.
1. Löschen Sie alle Regionen in **Regionen für die Erstellung von VPC**.
1. In **Availability Zones** wählen Sie **3**.
*Best Practices*
+ Löschen Sie die Standard-VPC, die automatisch in jedem neuen Konto bereitgestellt wird. Dadurch wird verhindert, dass Benutzer öffentliche EC2-Instances im Konto starten, ohne explizit eine dedizierte VPC zu erstellen. Weitere Informationen finden Sie unter [Ihre Standardsubnetze und die Standard-VPC löschen](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#deleting-default-vpc) (Dokumentation von Amazon Virtual Private Cloud). Sie können auch [AWS Control Tower Account Factory für Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) (AFT) konfigurieren, um die Standard-VPC in neu erstellten Konten automatisch zu löschen.
+ **Stellen Sie ein neues Objekt AWS-Konto namens **dev-nonprod** in der Organisationseinheit Workloads > bereit. **NonProd**** Verwenden Sie dieses Konto für Ihre Entwicklungsumgebung. Anweisungen finden Sie unter [Bereitstellen von Account Factory Factory-Konten mit AWS Service Catalog](https://docs.aws.amazon.com/controltower/latest/userguide/provision-as-end-user.html) (AWS Control Tower Dokumentation).
## Definieren Sie die Umfangskriterien
Sie müssen die Kriterien auswählen, anhand derer Ihr Unternehmen entscheidet, ob ein neues Konto bereitgestellt werden soll AWS-Konto. Sie können sich dafür entscheiden, Konten für jede Geschäftseinheit bereitzustellen, oder Sie entscheiden, Konten je nach Umgebung bereitzustellen, z. B. Produktion, Test oder Qualitätssicherung. Jedes Unternehmen hat seine eigenen Anforderungen daran, wie groß oder klein es sein AWS-Konten sollte. Im Allgemeinen berücksichtigen Sie bei der Entscheidung über die Größe Ihrer Konten die folgenden drei Faktoren:
+ **Ausgleich von Servicekontingenten** — *Servicekontingenten* sind die Höchstwerte für die Anzahl der Ressourcen, Aktionen und Elemente für die einzelnen Ressourcen, Aktionen und Elemente AWS-Service innerhalb eines AWS-Konto. Wenn sich viele Workloads dasselbe Konto teilen und ein Workload die meisten oder alle Servicekontingente beansprucht, kann sich dies negativ auf einen anderen Workload in demselben Konto auswirken. In diesem Fall müssen Sie diese Workloads möglicherweise auf verschiedene Konten aufteilen. Weitere Informationen finden Sie unter [AWS-Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) (Allgemeine AWS-Referenz).
+ **Kostenberichterstattung** – Durch die Isolierung von Workloads auf separate Konten können Sie die Kosten in den Kosten- und Nutzungsberichten auf Kontoebene einsehen. Wenn Sie dasselbe Konto für verschiedene Workloads verwenden, können Sie Tags verwenden, um Ressourcen zu verwalten und zu identifizieren. Weitere Informationen zum Taggen finden Sie unter [AWS Ressourcen taggen](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) ()Allgemeine AWS-Referenz.
+ **Zugriffskontrolle** – Wenn Workloads ein Konto gemeinsam nutzen, müssen Sie überlegen, wie Sie IAM-Richtlinien konfigurieren, um den Zugriff auf die Kontoressourcen zu beschränken, sodass Benutzer keinen Zugriff auf die Workloads haben, die sie nicht benötigen. Als Alternative können Sie mehrere Konten und [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) im IAM Identity Center verwenden, um den Zugriff auf einzelne Konten zu verwalten.
*Best Practices*
+ Halten Sie sich an die Best Practices für die [AWS Multi-Account-Strategie für Ihre AWS Control Tower landing zone](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) (AWS Control Tower Dokumentation).
+ Entwickeln Sie eine effektive Tagging-Strategie, die Ihnen bei der Identifizierung und Verwaltung von AWS -Ressourcen hilft. Mit Hilfe von Tags können Sie Ressourcen nach Zweck, Geschäftseinheit, Umgebung oder anderen Kriterien kategorisieren. Weitere Informationen finden Sie unter [Bewährte Methoden für das Tagging](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-best-practices) (Allgemeine AWS-Referenz Dokumentation).
+ Überlasten Sie ein Konto nicht mit zu vielen Workloads. Wenn der Workload den Servicekontingent überschreitet, kann dies zu Leistungsproblemen führen. Sie können die konkurrierenden Workloads in verschiedene aufteilen AWS-Konten oder eine Erhöhung der Servicequote beantragen. Weitere Informationen finden Sie unter [Anfordern einer Erhöhung von Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) (Dokumentation zu Service Quotas).