Einheit 3.1: Data Center Designer und Kontenverwaltung
Einführung
Stellen Sie sich vor, Sie betreten einen modernen Fabrikboden, auf dem die gesamte Produktionslinie visuell dargestellt ist, jeden Maschinen überwachen und Änderungen einfach durch Zeigen und Klicken vornehmen können. Der Data Center Designer (DCD) bietet genau diese Erfahrung für Ihre Cloud-Infrastruktur. Anstatt komplexe Befehle auswendig zu lernen oder durch endlose Menüs zu navigieren, können Sie virtuelle Maschinen, Speicher und Netzwerke auf eine visuelle Leinwand ziehen und zusehen, wie Ihre Infrastruktur zum Leben erweckt wird.
IONOS ist ein europäischer Cloud-Anbieter mit Sitz in Deutschland, und der DCD ist die primäre Schnittstelle, über die Sie Ihre Infrastruktur auf dieser Plattform verwalten. In dieser Einheit werden Sie lernen, wie diese Verwaltungsschnittstelle funktioniert, wer innerhalb Ihres Cloud-Kontos was tun kann und wie Sie Ihr Konto sicher halten. Ob Sie ein Vertragsinhaber sind, der mehrere Kunden verwaltet, ein Administrator, der den täglichen Betrieb überwacht, oder ein Teammitglied mit spezifischen Verantwortlichkeiten, das Verständnis dieser Verwaltungsgrundlagen stellt sicher, dass Sie effizient und sicher arbeiten können.
1. Data Center Designer (DCD) Überblick
Das Data Center Designer (DCD) ist das webbasierte, grafische Steuerungspanel von IONOS Cloud. Es bietet eine drag-and-drop-Benutzeroberfläche, die von JavaScript angetrieben wird und es Ihnen ermöglicht, virtuelle Rechenzentren (VDCs) und alle darin enthaltenen Ressourcen, einschließlich virtueller Maschinen, Speicher, LANs, IP-Adressen, Snapshots, Firewall-Regeln und PaaS-Diensten, zu erstellen, zu konfigurieren und zu verwalten. Sie können das DCD in jedem modernen Browser ohne zusätzliche Software installieren.
1.1 Visuelle Infrastruktur-Design
Das DCD verwendet einen canvasbasierten Ansatz, bei dem Sie Ihre Cloud-Umgebung visuell entwerfen. Stellen Sie sich vor, es wäre wie ein Blueprint oder ein Schaltplan für Ihre Infrastruktur. Sie ziehen Ressourcen (wie eine virtuelle Maschine, ein Cube oder ein Netzwerk-Load Balancer) aus einer Palette auf die Arbeitsfläche, legen sie dort ab, wo Sie sie platzieren möchten, und verbinden ihre Schnittstellen, indem Sie Linien zwischen den Komponenten zeichnen. Diese visuelle Anordnung zeigt genau, wie jede Komponente verknüpft ist, was bei der Fehlersuche und Dokumentation hilft.
Nachdem Sie Ihre Ressourcen auf der Arbeitsfläche angeordnet haben, können Sie auf jedes Element klicken, um das Inspector-Fenster zu öffnen, in dem Sie Eigenschaften wie CPU-Kerne, RAM, Speichergröße, Betriebssystem-Image, Sicherheitsgruppen und Netzwerkkonfiguration festlegen. Sobald Sie mit Ihrem Entwurf zufrieden sind, können Sie die Änderungen bereitstellen, und die visuelle Anordnung wird in der Cloud materialisiert.
1.2 Canvas-Modus und Xpress-Modus
Das DCD bietet zwei Erstellungsmodi, um unterschiedliche Bedürfnisse zu erfüllen:
Canvas-Modus (Erweitert) gibt Ihnen die volle Freiheit, jedes Element auf der visuellen Arbeitsfläche zu platzieren und zu verbinden. Power-User, die komplexe, benutzerdefinierte Architekturen benötigen, verwenden normalerweise diesen Modus, da er die vollständige Kontrolle über die Ressourcenplatzierung und -konfiguration bietet.
Xpress-Modus (Schnell) ist ein Wizard, der zur Beschleunigung von Standard-IaaS-Workloads eingeführt wurde. Wenn Sie schnell eine grundlegende virtuelle Maschine mit Speicher und Netzwerk erstellen müssen, führt Sie der Xpress-Modus durch den Prozess Schritt für Schritt. Unabhängig davon, wie eine Instanz erstellt wird, werden alle nachfolgenden Verwaltungsaufgaben im Canvas-Modus durchgeführt, um eine konsistente Erfahrung zu gewährleisten.
1.3 Einheitliches Steuerungspanel
Das DCD dient als Ihr einziges Fenster für alle IONOS-Cloud-Dienste. Sie können Compute-, Speicher-, Netzwerk-, Datenbank-, Kubernetes-Cluster-, AI-Modell-Deployments und mehr aus dem gleichen Arbeitsbereich verwalten. Dieser zentrale Ansatz reduziert die Zeit und den Aufwand, die erforderlich sind, um zwischen verschiedenen Konsolen zu wechseln. Sie sehen den vollständigen Zustand Ihrer Cloud-Umgebung an einem Ort, einschließlich:
- Aktiver Cloud Savings Plans und ihrer Auslastung
- Ressourcen-Nutzung und -Limiten
- Activity Logs und Flow Logs für Audit- Trails
- Überwachungsdashboards und Warnungen
- Rollenbasierte Zugriffskontrollen und Benutzerberechtigungen
Das DCD integriert auch gemeinsame operative Tools wie SSH-Schlüsselverwaltung, Remote-Console-Zugriff, Cloud-init-Startkonfigurationen und Flow-Log-Viewer. Das bedeutet, dass typische Aufgaben wie das Hochladen eines SSH-Schlüssels, den Zugriff auf die Konsole einer virtuellen Maschine oder die Untersuchung von Netzwerk-Verkehrsprotokollen alle von dem gleichen Arbeitsbereich aus erreichbar sind, was den Kontextwechsel reduziert.
1.4 Integration mit Infrastructure as Code
Obwohl das DCD hauptsächlich ein grafisches Tool ist, funktioniert es nahtlos mit code-first-Tools wie Terraform, Ansible und dem IONOS-Cloud-API. Sie können Infrastruktur visuell im DCD entwerfen, die Konfiguration exportieren und sie programmgesteuert verwalten oder Infrastruktur mithilfe von Code erstellen und das Ergebnis später in das DCD importieren, um es visuell zu überwachen.
Wenn Ressourcen über API oder SDK erstellt werden, zeigt das DCD die resultierende Topologie an, obwohl die genaue visuelle Platzierung auf der Arbeitsfläche gestapelt werden kann, da die programmgesteuerte Erstellung die grafische Anordnung nicht steuert. Für große oder häufig ändernde Umgebungen bietet dieser hybride Ansatz die Geschwindigkeit der Automatisierung mit der Klarheit der visuellen Darstellung.
2. Kontotypen und Berechtigungen
IONOS Cloud verwendet ein strukturiertes Berechtigungsmodell mit drei primären Kontotypen: Vertragsinhaber, Administrator und Benutzer. Jeder Typ hat unterschiedliche Fähigkeiten und Einschränkungen, um sicherzustellen, dass Benutzer den Zugriff haben, den sie benötigen, ohne die Sicherheit oder die Compliance zu gefährden.
2.1 Vertragsinhaber
Der Vertragsinhaber ist der erste Benutzer, der den Vertrag registriert. Dieses Konto erhält alle Privilegien für den gesamten Vertrag, mit uneingeschränktem Zugriff auf alle Ressourcen, unabhängig davon, wer sie erstellt hat. Der Vertragsinhaber kann jeden anderen Benutzer, einschließlich Administratoren, hinzufügen oder entfernen, und diese Eigentümerrolle kann nicht entzogen oder übertragen werden. Darüber hinaus erhält der Vertragsinhaber alle rechtlichen Mitteilungen, wie Rechnungen und Vertragsbedingungen, und ist der einzige Kontotyp, der die Zahlungsmethode für den Vertrag ändern kann.
In der Hauptsache hat der Vertragsinhaber die höchste Autorität über das Cloud-Konto. Diese Rolle ist für Organisationen von entscheidender Bedeutung, da sie die Abrechnung, rechtliche Vereinbarungen und die oberste Zugriffsverwaltung kontrolliert. Wenn Sie der Vertragsinhaber sind, sollten Sie dieses Konto mit dem höchsten Sicherheitslevel behandeln, einschließlich der Aktivierung der Zwei-Faktor-Authentifizierung und der Verwendung eines starken, eindeutigen Passworts.
2.2 Administrator
Ein Administrator ist jeder Benutzer, den der Vertragsinhaber (oder ein bestehender Administrator) zum Administrator befördert. Administratoren haben die gleichen operativen Privilegien wie der Vertragsinhaber für jede Ressource. Sie können alle Ressourcen anzeigen, bearbeiten, teilen und löschen, und sie können Benutzer hinzufügen oder entfernen, mit Ausnahme des Kontos des Vertragsinhabers.
Der wichtigste Unterschied besteht darin, dass Administratoren die Zahlungsmethode des Vertrags nicht ändern können. Diese Einschränkung stellt sicher, dass die finanzielle Kontrolle ausschließlich beim Vertragsinhaber bleibt. Für den täglichen Betrieb haben Administratoren vollen Zugriff auf die Verwaltung der Infrastruktur, Benutzer und Berechtigungen, was diese Rolle ideal für IT-Manager und leitende technische Mitarbeiter macht.
2.3 Benutzer (Explizite Berechtigungen)
Ein Benutzer wird als normales Benutzerkonto erstellt und dann bestimmten Berechtigungen zugewiesen, entweder direkt oder über eine Gruppe. Im Gegensatz zu den Rollen des Vertragsinhabers und des Administrators hat ein neu erstellter Benutzer keine Berechtigungen, bis diese explizit zugewiesen werden. Dies folgt dem Prinzip der geringsten Privilegien (PoLP), das bedeutet, dass Benutzern nur der Mindestzugriff gewährt wird, den sie benötigen, um ihre Aufgaben auszuführen.
Berechtigungen sind atomare Zuweisungen wie Lesen, Bearbeiten und Teilen, die einem Benutzer oder einer Gruppe zugeordnet werden können. Zum Beispiel kann ein Entwickler Lesen- und Bearbeitungsrechte für bestimmte virtuelle Maschinen erhalten, aber keinen Zugriff auf Abrechnungsinformationen. Ein Sicherheitsanalyst kann Leserechte auf Activity Logs und Flow Logs für Überwachungszwecke erhalten.
Gruppen ermöglichen es, die gleiche Menge an Berechtigungen mehreren Benutzern gleichzeitig zuzuweisen, was die Verwaltung im großen Maßstab vereinfacht. Anstatt die Berechtigungen für jeden Teammitglied individuell zu konfigurieren, erstellen Sie eine Gruppe (zum Beispiel "Entwickler" oder "Operations-Team"), weisen der Gruppe die notwendigen Berechtigungen zu und fügen Benutzer hinzu. Wenn ein Benutzer dem Team beitritt oder verlässt, fügen Sie ihn einfach der Gruppe hinzu oder entfernen Sie ihn, und seine Berechtigungen werden automatisch aktualisiert.
2.4 Vergleichstabelle für Berechtigungen
Die folgende Tabelle vergleicht die drei Kontotypen und ihre Kernfähigkeiten:
| Kontotyp | Erstellung | Kernberechtigungen | Was Sie nicht tun können |
|---|---|---|---|
| Vertragsinhaber | Erster Benutzer, der den Vertrag registriert | Alle Privilegien für den gesamten Vertrag. Kann alle Ressourcen anzeigen, bearbeiten, löschen und teilen. Kann jeden Benutzer, einschließlich Administratoren, hinzufügen oder entfernen. Erhält alle rechtlichen Mitteilungen. Kann nicht der Eigentümerrolle beraubt werden. | Keine - der Eigentümer hat uneingeschränkten Zugriff. |
| Administrator | Befördert durch den Eigentümer oder einen bestehenden Administrator | Gleiche Privilegien wie der Eigentümer für jede Ressource (anzeigen, bearbeiten, teilen, löschen). Kann Benutzer hinzufügen oder entfernen, mit Ausnahme des Eigentümers. | Kann die Zahlungsmethode des Vertrags nicht ändern (nur der Eigentümer kann). |
| Benutzer (Explizite Berechtigungen) | Erstellt und bestimmten Berechtigungen zugewiesen via Gruppen oder direkte Zuweisung | Kann nur die Aktionen ausführen, die explizit zugewiesen wurden (z.B. Lesen, Bearbeiten, Teilen auf ausgewählten Ressourcen). Berechtigungen sind feingranular und werden über Gruppen oder pro-Ressourcen-Berechtigungen verwaltet. | Kein Standardzugriff. Kann keine anderen Benutzer verwalten, es sei denn, eine Berechtigung, die dies ermöglicht, wird erteilt. |
Wie oben gezeigt, hat der Vertragsinhaber die volle finanzielle und administrative Kontrolle, Administratoren haben die volle operative Kontrolle, aber keine finanzielle Kontrolle, und Benutzer haben nur die spezifischen Berechtigungen, die Ihnen gewährt werden.
3. Vertragsmanagement und Zugriff auf mehrere Verträge
Viele Organisationen und Wiederverkäufer arbeiten mit mehreren Verträgen oder Subverträgen. IONOS Cloud macht es einfach, Verträge anzuzeigen und zwischen ihnen zu wechseln, den Zugriff von Benutzern auf Verträge zu verwalten und Subverträge für Kunden oder Geschäftseinheiten zu erstellen.
3.1 Vertragsauswahlfunktion
Im Data Center Designer (DCD), nachdem Sie sich angemeldet haben, sehen Sie eine Vertragsauswahlfunktion (in der Regel in der oberen rechten Ecke der Oberfläche). Diese Funktion zeigt den Vertrag an, in dem Sie derzeit arbeiten, und ermöglicht es Ihnen, zu jedem anderen Vertrag oder Subvertrag zu wechseln, auf den Sie Zugriff haben. Der Wechsel funktioniert nur, wenn Sie mindestens lesenden Zugriff auf den Zielvertrag haben. Um Aktionen auszuführen, müssen Sie einer Gruppe angehören, die die erforderlichen Privilegien hat.
Wenn Sie einen anderen Vertrag auswählen, lädt die Benutzeroberfläche den Kontext neu, sodass alle nachfolgenden Aktionen (Erstellen von virtuellen Rechenzentren, Verwalten von Ressourcen, Anzeigen von Protokollen usw.) im ausgewählten Vertrag erfolgen. Dieses nahtlose Wechseln ist für Vertragsinhaber, Vertragsadministratoren und alle Benutzer verfügbar, die das Privileg "Zugriff auf Vertrag" erhalten haben.
3.2 Erstellen von Subverträgen (Wiederverkäufer)
Wiederverkäufer können Subverträge für ihre Kunden aus dem Hauptvertrag des Wiederverkäufers erstellen. Nur der Inhaber des Wiederverkäufervertrags kann Subverträge erstellen und auch Administratoren für diese Subverträge erstellen. Diese Struktur ermöglicht es Managed-Service-Providern (MSPs) und Wiederverkäufern, separate Cloud-Umgebungen für jeden Kunden zu betreiben, während sie gleichzeitig eine zentrale Abrechnung und Überwachung aufrechterhalten.
Zum Beispiel kann ein MSP, das die Infrastruktur für fünf Kunden verwaltet, fünf Subverträge erstellen, einen für jeden Kunden. Jeder Subvertrag hat seine eigenen virtuellen Rechenzentren, Ressourcen und Benutzer. Der Inhaber des MSP-Vertrags kann zwischen den Subverträgen wechseln, um sie zentral zu verwalten, während die Benutzer jedes Kunden nur ihren eigenen Subvertrag sehen.
3.3 Gewähren des Zugriffs auf mehrere Verträge für Benutzer
Um anderen Benutzern den Zugriff auf einen anderen Vertrag zu gewähren, verwenden Sie die Funktion "Benutzer und Gruppen" im DCD:
- Navigieren Sie zu Menü > Verwaltung > Benutzer & Gruppen
- Wählen Sie die Gruppen-Registerkarte
- Wählen Sie eine Gruppe aus (oder erstellen Sie eine neue)
- Weisen Sie im Privilegien-Tab das entsprechende Vertrags-Privileg zu (z. B. "Vertrag zugreifen und verwalten")
- Fügen Sie die Benutzer dieser Gruppe hinzu
Benutzer erben die vertragsweiten Rechte der Gruppe. Administratoren haben automatisch vollen Zugriff auf jeden Vertrag, dem sie zugewiesen sind, aber nur der Vertragsinhaber kann Zahlungsinformationen ändern. Um die Rechte eines Benutzers auf einem Vertrag zu entfernen oder zu ändern, entfernen Sie den Benutzer aus der Gruppe, die das Vertrags-Privileg besitzt, oder deaktivieren Sie die "Administrator"-Flagge auf dem Benutzerkonto, was den Benutzer auf die durch Gruppen definierten Privilegien zurücksetzt.
3.4 Wichtige Punkte für das Vertragsmanagement
- Vertragsinhaber = Vollkontrolle: Kann Zahlungsinformationen ändern, Sparpläne erstellen und Subverträge erstellen
- Vertragsadministratoren = Inhaber-Rechte auf Ressourcen, aber können keine Zahlungsinformationen ändern
- Reguläre Benutzer erhalten die Rechte, die Sie über Gruppen zuweisen (RBAC)
- Wiederverkäufer-Verträge können Subverträge erstellen, aber Sparpläne, die auf Wiederverkäufer-Ebene erstellt werden, können nicht auf einen anderen Subvertrag übertragen werden
- Das Wechseln zwischen Verträgen ist eine Benutzeroberflächen-Aktion im DCD; kein zusätzlicher API-Aufruf ist erforderlich, sobald Sie die entsprechenden Berechtigungen haben
4. Kontoeinstellungen für die Kontosicherheit
Die Sicherung Ihres IONOS Cloud-Kontos ist entscheidend für den Schutz Ihrer Infrastruktur, Daten und Abrechnungsinformationen. IONOS bietet mehrere Sicherheitskontrollen, um Ihnen zu helfen, eine starke Authentifizierung durchzusetzen und den Zugriff sicher zu verwalten.
4.1 Passwortrichtlinie
Der Passwortrichtlinien-Manager im DCD (erreichbar über Menü > Verwaltung > Passwortrichtlinie) ermöglicht es Ihnen, Regeln für die Passwortstärke zu definieren. Sie können Anforderungen für die Mindestlänge, erforderliche Zeichentypen (Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen) und Mindestmengen für jeden Zeichentyp festlegen.
Nur ein Vertragsinhaber kann eine Passwortrichtlinie erstellen, bearbeiten oder löschen. Nach dem Speichern wird die Richtlinie automatisch auf jede neue Passworteinrichtung angewendet. Sie können nur eine aktive Richtlinie pro Vertrag haben. Eine typische empfohlene Passwortrichtlinie erfordert:
- Eine Mindestlänge von 9-12 Zeichen
- Mindestens 1 Großbuchstabe
- Mindestens 1 Kleinbuchstabe
- Mindestens 1 Ziffer
- Mindestens 1 Sonderzeichen
Wenn Sie die Richtlinie löschen, wird das Konto auf die IONOS-Standardrichtlinie zurückgesetzt, die mindestens 5 Zeichen erfordert und eine Mischung aus Groß- und Kleinschreibung, mindestens eine Ziffer und optional Sonderzeichen empfiehlt. Die Durchsetzung einer starken Passwortrichtlinie reduziert das Risiko von Angriffen durch das Ausprobieren von Passwörtern und Brute-Force-Angriffen.
4.2 Zwei-Faktor-Authentifizierung (2FA)
Die Zwei-Faktor-Authentifizierung (2FA) fügt eine zweite Sicherheitsebene zu Ihrem Konto hinzu. Nachdem Sie Ihre normalen Anmeldedaten (E-Mail-Adresse und Passwort) eingegeben haben, müssen Sie auch einen zeitbasierten Sicherheitscode bereitstellen, der von einer Authentifizierungs-App auf Ihrem Mobilgerät generiert wird. Sobald diese Funktion aktiviert ist, erfordert jeder Login zum Data Center Designer (DCD) diesen Code, wodurch das Konto auch dann geschützt ist, wenn das Passwort kompromittiert wurde.
Aktivierung von 2FA für Ihr eigenes Konto
Um 2FA für sich selbst zu aktivieren:
- Öffnen Sie das DCD und navigieren Sie zu Menü > Ihr Profil > Kontosicherheit
- Im Abschnitt 2-Faktor-Authentifizierung klicken Sie auf 2-Faktor-Authentifizierung aktivieren
- Befolgen Sie den Assistenten: Installieren Sie eine Authentifizierungs-App (wie Google Authenticator oder Authy), scannen Sie den QR-Code, geben Sie den generierten Token ein und beenden Sie den Vorgang
- Beim nächsten Login werden Sie nach dem Code gefragt
Nur der Kontobenutzer kann 2FA für sich selbst aktivieren. Administratoren oder Vertragsinhaber können dies nicht in seinem Namen tun, aber sie können es durchsetzen.
Durchsetzung von 2FA für Sub-Benutzer
Um 2FA für einen anderen Benutzer zu erfordern:
- Navigieren Sie zu Menü > Verwaltung > Benutzer und Gruppen
- Wählen Sie den Benutzer aus, gehen Sie zum Tab Metadaten
- Aktivieren Sie 2-Faktor-Authentifizierung erzwingen und klicken Sie auf Speichern
Der Benutzer wird aufgefordert, 2FA vor seinem nächsten Login zu aktivieren. Dies ist nützlich für Organisationen, die eine einheitliche Sicherheitsbasis für alle Benutzer durchsetzen möchten.
Voraussetzungen für 2FA
- Installieren Sie jede Authentifizierungs-App, die QR-Codes lesen und automatische Zeitssynchronisation ermöglicht
- Die Uhr des Mobilgeräts muss auf automatisch gestellt sein, um die generierten Codes synchron zu halten
- 2FA ist nur im DCD-Benutzeroberfläche verfügbar; der Zugriff über API erfordert ein Token, das über das Token Manager generiert wird (das für 2FA-aktivierte Konten obligatorisch ist)
4.3 Support-PIN
Der Support-PIN ist ein Sicherheitscode, den Sie in Ihrem IONOS Cloud-Konto festlegen, um Ihre Identität zu überprüfen, wenn Sie den IONOS Cloud-Support kontaktieren. Dieser PIN stellt sicher, dass nur autorisierte Benutzer Änderungen anfordern oder sensible Informationen über das Konto während der Supportanrufe erhalten können.
Um Ihren Support-PIN festzulegen oder zu ändern:
- Öffnen Sie das Data Center Designer (DCD)
- Navigieren Sie zu Menü > Ihr Profil > Kontosicherheit
- Im Abschnitt Support-PIN festlegen geben Sie den PIN ein, den Sie verwenden möchten
- Klicken Sie auf Support-PIN festlegen, um die Änderung zu speichern
Nachdem Sie bestätigt haben, wird der PIN gespeichert und bei der Kontaktaufnahme mit dem IONOS Cloud-Support erforderlich sein. Dieser einfache Schritt fügt eine weitere Schutzschicht hinzu und stellt sicher, dass selbst wenn jemand Ihre Anmeldedaten kennt, er sich nicht als Sie ausgeben kann, wenn er Support anfordert.
4.4 Wie Sicherheitskontrollen zusammenarbeiten
Passwortrichtlinie, Zwei-Faktor-Authentifizierung und Support-PIN arbeiten zusammen, um eine Verteidigungsstrategie in der Tiefe zu schaffen:
- Passwortrichtlinie stellt sicher, dass der erste Faktor (das Passwort) die Mindestanforderungen an die Komplexität erfüllt
- 2FA fügt einen zweiten, unabhängigen Faktor hinzu, der das Risiko von unbefugtem Zugriff dramatisch reduziert, selbst wenn das Passwort bekannt ist
- Support-PIN schützt vor Social-Engineering-Angriffen, bei denen jemand versucht, den Support-Mitarbeiter zu manipulieren, um Änderungen am Konto vorzunehmen
Sowohl die Passwortrichtlinie als auch 2FA können auf Vertragsebene vorgeschrieben werden. Der Vertragsinhaber definiert die Passwortrichtlinie, während Administratoren 2FA für alle Sub-Benutzer erzwingen können, um eine einheitliche Sicherheitsbasis innerhalb der Organisation sicherzustellen.
Häufige Anwendungsfälle
Reale Szenarien, in denen die Data Center Designer und die Funktionen des Kontomanagements verwendet werden:
-
Multi-Kunden-Managed-Service-Provider: Ein Managed-Service-Provider (MSP) verwaltet die Cloud-Infrastruktur für 20 Kunden. Der MSP erstellt einen Subunternehmervertrag für jeden Kunden und der Kontobesitzer wechselt zwischen den Subunternehmerverträgen mithilfe des DCD-Vertragsauswahlfelds (erläutert in Abschnitt 3.1). Die Administratoren und Benutzer jedes Kunden sehen nur ihren eigenen Subunternehmervertrag. Der MSP erzwingt 2FA und eine starre Passwortrichtlinie (Abschnitt 4.1 und 4.2) in allen Subunternehmerverträgen, um die Sicherheits- und Compliance-Anforderungen zu erfüllen.
-
Großes Unternehmen Entwicklungsteam: Ein Unternehmen mit 50 Entwicklern, 10 Operations-Ingenieuren und 5 Sicherheitsanalysten benötigt eine fein granulierte Zugriffskontrolle. Der Vertragsadministrator erstellt drei Gruppen, wie in Abschnitt 2.3 beschrieben: "Entwickler" (Lesen und Bearbeiten von virtuellen Maschinen in der Entwicklungsumgebung), "Operations" (Lesen, Bearbeiten, Teilen aller Produktionsressourcen) und "Sicherheit" (Nur-Lesen auf Activity Logs und Flow Logs). Wenn Teammitglieder beitreten oder verlassen, fügt der Administrator sie einfach der entsprechenden Gruppe hinzu oder entfernt sie, und ihre Berechtigungen werden automatisch aktualisiert, um dem Prinzip der geringsten Privilegien aus Abschnitt 2.4 zu folgen.
-
Sichere Finanzdienstleistungs-Implementierung: Ein Finanzinstitut implementiert Anwendungen auf IONOS Cloud und muss strenge Sicherheits- und Audit-Anforderungen erfüllen. Der Vertragsbesitzer konfiguriert eine Passwortrichtlinie, die 12-zeichenlange Passwörter mit Groß- und Kleinschreibung, Ziffern und Sonderzeichen erfordert (Abschnitt 4.1). Alle Benutzer müssen 2FA über die Einstellung "Zweifaktor-Authentifizierung erzwingen" aktivieren, die in Abschnitt 4.2 erläutert wird. Die Institution legt auch Support-PINs für alle Administratoren fest (Abschnitt 4.3). Diese Sicherheitskontrollen, kombiniert mit Activity Logs für Audit-Protokolle (in Einheit 3.4 behandelt), gewährleisten die Einhaltung von Branchenregulierungen.
Zusammenfassung
Das Data Center Designer (DCD) ist die primäre Management-Schnittstelle von IONOS Cloud und bietet eine visuelle, drag-and-drop-Oberfläche für das Designen und Verwalten von Cloud-Infrastrukturen. Es dient als einheitliches Steuerungspanel, auf dem Sie Rechenressourcen, Speicher, Netzwerk, Datenbanken und mehr aus einem einzigen Arbeitsbereich verwalten können. Das DCD bietet zwei Erstellungsmodi: Canvas-Modus für erweiterte, benutzerdefinierte Designs und Xpress-Modus für schnelle, geführte Bereitstellungen.
Das Berechtigungsmodell von IONOS Cloud umfasst drei Kontotypen. Der Vertragsinhaber hat die volle administrative und finanzielle Kontrolle, einschließlich der exklusiven Möglichkeit, Zahlungsmethoden zu ändern. Administratoren haben die volle operative Kontrolle über Ressourcen und Benutzer, aber können keine Zahlungseinstellungen ändern. Reguläre Benutzer haben nur die spezifischen Privilegien, die Sie ihnen gewähren, unter Beachtung des Prinzips der Mindestprivilegien. Die Verwaltung von Berechtigungen durch Gruppen vereinfacht die Zugriffskontrolle im großen Maßstab.
Für Organisationen, die mit mehreren Verträgen oder Subverträgen arbeiten, ermöglicht der Vertragsauswahlfunktion von DCD ein einfaches Wechseln zwischen Kontexten. Wiederverkäufer können Subverträge für Kunden erstellen, und Vertragsadministratoren können Benutzern über gruppenbasierte Privilegien Zugriff auf mehrere Verträge gewähren.
Die Kontosicherheit in IONOS Cloud kombiniert Passwortrichtlinien, Zwei-Faktor-Authentifizierung (2FA) und Support-PINs. Passwortrichtlinien erzwingen starke Passwortanforderungen, 2FA fügt einen zweiten Authentifizierungsfaktor mit Zeit-basierten Codes hinzu, und Support-PINs schützen vor Social-Engineering-Angriffen. Zusammen erstellen diese Kontrollen einen schichtbasierten Sicherheitsansatz, der Ihre Cloud-Infrastruktur und Daten schützt.
Wichtige Punkte:
- Das Data Center Designer (DCD) ist eine webbasierte grafische Schnittstelle für die Verwaltung von IONOS Cloud-Infrastrukturen mit drag-and-drop-Visuelles Design
- Es gibt drei Kontotypen: Vertragsinhaber (vollständige Kontrolle), Administrator (vollständige operative Kontrolle, aber keine Zahlungsänderungen) und Benutzer (explizite Privilegien nur)
- Die Verwaltung von mehreren Verträgen wird durch den Vertragsauswahlfunktion und gruppenbasierte Zugriffskontrollen unterstützt, sodass Wiederverkäufer und Unternehmen separate Umgebungen verwalten können
- Die Kontosicherheitseinstellungen umfassen Passwortrichtlinien (Vertragsinhaber-kontrolliert), Zwei-Faktor-Authentifizierung (Benutzer- oder erzwungen) und Support-PIN (Benutzer-kontrolliert)
- Gruppen vereinfachen die Berechtigungsverwaltung, indem sie Privilegien mehreren Benutzern zugleich zuweisen, unter Beachtung des Prinzips der Mindestprivilegien
- Das DCD integriert sich mit Infrastructure-as-Code-Tools (Terraform, Ansible, API) für hybride visuelle und programmatische Verwaltung
Wichtige Begriffe:
- Data Center Designer (DCD): IONOS Clouds webbasierte grafische Steuerungsschnittstelle für die Erstellung, Konfiguration und Verwaltung von virtuellen Rechenzentren und Cloud-Ressourcen
- Vertragsinhaber: Der erste Benutzer, der den Vertrag registriert; hat die volle administrative und finanzielle Kontrolle, einschließlich der exklusiven Möglichkeit, Zahlungsmethoden zu ändern
- Administrator: Benutzer mit vollständigen operativen Privilegien, identisch mit denen des Inhabers, aber kann keine Zahlungsdetails ändern
- Prinzip der Mindestprivilegien (PoLP): Sicherheitsbest Practice, die Benutzern nur den minimalen Zugriff gewährt, den sie benötigen, um ihre Aufgaben auszuführen
- Zwei-Faktor-Authentifizierung (2FA): Sicherheitsmechanismus, der einen zweiten Verifizierungsschritt (Zeit-basierten Code von einem Authentifizierungs-App) zusätzlich zum Passwort erfordert
- Support-PIN: Sicherheitscode, der vom Benutzer festgelegt wird, um die Identität zu verifizieren, wenn er den IONOS Cloud-Support kontaktiert
Nächste Schritte
Weiter lernen: Einheit 3.2: Identitäts- und Zugriffsverwaltung
Verwandte Themen:
- Einheit 2.1: Kernarchitekturkomponenten - Verständnis von virtuellen Rechenzentren und Ressourcenorganisation
- Einheit 3.4: Activity Logs und Überwachung - Prüfspuren und Sicherheitsüberwachung