| Verwendungszweck |
Bietet einen flexiblen, deklarativen und modularen Ansatz für die Bereitstellung und Verwaltung einer Enterprise-tauglichen und skalierbaren AWS-Umgebung mit potenziell Hunderten von Accounts. |
Bietet ein Framework für die schnelle Bereitstellung einer AWS-Umgebung mit mehreren Accounts mit empfohlenen Best Practices. |
Bietet einen automatisierten und vorgegebenen Ansatz zum Einrichten und Verwalten einer sicheren AWS-Umgebung mit mehreren Accounts. |
| Bereitstellungsmechanismus |
Terraform |
CDK und CloudFormation |
AWS managed service + Add-on Lösungen |
| Komplexität des Aufbaus |
Erfordert Terraform-Kenntnisse zur Implementierung und zum Betrieb. Die Module werden individuell parametrisiert und bereitgestellt. Detaillierte Beispiel-Repositories werden als Blueprint für die Implementierung der gesamten Lösung bereitgestellt. Zusätzliche Dokumentation und Schritt-für-Schritt-Anleitungen sind ebenfalls verfügbar. |
Erfordert CloudFormation und idealerweise CDK-Kenntnisse. Control Tower oder AWS-Organisationen müssen zuerst eingerichtet werden. Für die erste Bereitstellung der Lösung muss eine CloudFormation-Vorlage ausgeführt werden. YAML-Konfigurationsdateien werden dann in AWS CodeCommit verwaltet und über CodePipelines und CloudFormation StackSets bereitgestellt. |
Control Tower selbst kann direkt über die AWS-Konsole bereitgestellt und verwaltet werden. Für individuelle Anpassungen sind zusätzliche Kenntnisse in CloudFormation und/oder Terraform erforderlich. Add-on Lösungen für Control Tower müssen separat bereitgestellt werden und können die Komplexität drastisch erhöhen. |
| Lösungslebenszyklus |
Jedes Modul hat seinen eigenen Lebenszyklus und kann einzeln aktualisiert und zurückgestuft werden. Die Ausführung eines Terraform Plans kennzeichnet die Veränderungen und sollte überprüft werden, um unerwünschte Anpassungen zu vermeiden. Ein stufenweiser Rollout wird unterstützt und empfohlen. |
Die gesamte Lösung muss über die CloudFormation-Vorlage aktualisiert werden. Nach dem Aktualisieren der Lösung werden alle CodePipelines gestartet und ausgerollt. Es gibt keine Unterstützung für ein gestaffeltes Rollout. |
AWS Control Tower kann über die Einstellungen der Landing Zone aktualisiert werden. Zusätzlich müssen registrierte Accounts in einem zweiten Schritt aktualisiert werden. Add-on Lösungen müssen separat aktualisiert werden. |
| Flexibilität und Personalisierbarkeit |
Terraform-Module bieten ein Maximum an Flexibilität in Bezug auf die Bereitstellung. Solange die zugrunde liegenden Dienste verfügbar sind, können alle Regionen verwaltet werden. Es ist sogar möglich, bestimmte Module in einer anderen Region einzusetzen, bis der zugrunde liegende Dienst verfügbar ist (z.B. Verwendung des Identity Center in Frankfurt, bis es in einer neuen Region verfügbar ist). Vom Kunden verwaltete Module können parallel verwendet werden. Dedizierte Vorlagen-Module sind als Blueprint für die Anpassung der Lösung verfügbar. |
Kann mit AWS Control Tower oder lediglich AWS Organizations verwendet werden und kann in Regionen bereitgestellt werden, in denen AWS Control Tower nicht unterstützt wird. Mit Konfigurationsdateien kann die Lösung angepasst und zusätzliche CloudFormation StackSets bereitgestellt werden. |
AWS Control Tower muss in einer unterstützten Region (Heimatregion) bereitgestellt werden. Nicht unterstützte Regionen können nicht vollständig verwaltet werden. Add-on Lösungen sind für beschränkte Personalisierung über CloudFormation und/oder Terraform verfügbar. |
| Automatisierung in CI/CD |
Alle Terraform-Module werden über Kunden-Pipelines bereitgestellt. Darüber hinaus bietet NTC Account Factory eine native AWS-Lösung (basierend auf CodePipelines) zum dynamischen Rollout von Account-Baselines mit Terraform über mehrere Accounts und Regionen. |
Basiert auf AWS CodeCommit, CodeBuild und CodePipelines. Kann nicht mit Kunden-Pipelines integriert werden. |
Die Automatisierung wird von AWS im Hintergrund ausgeführt und ist vom Benutzer nicht konfigurierbar. Add-on Lösungen (z.B. Account Factory für Terraform) bieten eine begrenzte Personalisierung über Kunden-Pipelines. |
| Fehlerdiagnose |
Alles wird mit Terraform bereitgestellt, und daher sind mögliche Fehler auch mit Terraform verbunden. Fehler können im Terraform-Code, in den Terraform-Abhängigkeiten (Versionen und Provider) und in der Personalisierung (Account Lifecycle und Account Baseline) auftreten. |
Fehler können im CDK-Code (TypeScript), CloudFormation Templates / StackSets und CodePipelines auftreten. In Kombination mit dem Control Tower erhöht sich der Aufwand für Betrieb und Fehlersuche erheblich. |
Es können Fehler in AWS Service Catalog, CloudFormation Templates / StackSets und durch nicht aktualisierte Landing Zones und Account Enrollments auftreten. Bei der Verwendung von Add-on Lösungen (z.B. Account Factory für Terraform) können zusätzliche Fehler in der Add-on Lösung selbst und beim Anpassen der Lösung (z.B. Account Baseline) auftreten. |
| Unterstützung |
Support für die Terraform-Module ist in der Lizenz enthalten. Zusätzliche Unterstützung (z.B. Training) kann separat angeboten werden. |
Probleme können im Github Repository eingereicht werden. AWS bietet Unterstützung in Verbindung mit einem AWS Business oder Enterprise Support Plan. |
AWS bietet Support für Control Tower an sich in Verbindung mit einem AWS Business oder Enterprise Support Plan. Probleme mit Add-on Lösungen (z.B. Account Factory für Terraform) können im Github Repository eingereicht werden. |
| Lizenz |
Für den Zugriff auf Module, Updates, Dokumentation und Support muss eine Lizenz erworben werden. Der Quellcode ist vollständig einsehbar, und heruntergeladene Module können auch nach Ablauf der Lizenz verwendet und modifiziert werden. |
Open source. Der Quellcode ist vollständig einsehbar. |
Proprietärer, von AWS verwalteter Dienst. Der Quellcode von Control Tower ist nicht einsehbar. Keine zusätzlichen Gebühren für den Control Tower Service an sich. |
