View a markdown version of this page

AWS Organizations y la estructura de cuentas dedicada - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Organizations y la estructura de cuentas dedicada

Encuesta

Nos encantaría saber su opinión. Envíe sus comentarios sobre la AWS PRA mediante una breve encuesta.

AWS Organizations es un servicio de administración de cuentas que le permite administrar y gestionar varias Cuentas de AWS de forma centralizada. El uso de AWS Organizations es la base de un entorno de múltiples AWS cuentas bien diseñado. Para obtener más información, consulte Establishing your best practice AWS environment.

El siguiente diagrama muestra la estructura de cuentas y unidades organizativas (OU) de alto nivel de la PRA. AWS En su mayor parte, la estructura organizativa de la AWS PRA coincide con la estructura organizativa de la AWS SRA.

La estructura de cuentas AWS de Privacy Reference Architecture en AWS Organizations.

Las desviaciones con respecto a la organización AWS SRA incluyen:

  • La AWS PRA añade la OU de datos personales (PD), que se dedica a recopilar, almacenar y procesar datos personales. Esta separación estructural proporciona flexibilidad para que pueda definir controles específicos y detallados que ayuden a proteger los datos personales de la revelación no intencionada.

  • En la OU de infraestructura, la AWS PRA no incluye actualmente directrices adicionales para la cuenta de servicios compartidos que se describen en la AWS SRA.

  • Actualmente, la AWS PRA no incluye directrices adicionales para la OU de cargas de trabajo que se describen en la AWS SRA. Las aplicaciones que recopilan o procesan datos personales se encuentran en cuentas específicas en la UO de datos personales.

Puede utilizar AWS Control Tower para aplicar una gobernanza básica general y para la implementación automatizada de los controles de seguridad y privacidad en toda su organización. Si su organización AWS Control Tower no lo utiliza actualmente, puede implementar muchos de los controles de seguridad y privacidad incluidos AWS Control Tower, como las políticas y AWS Config reglas de control de servicios, en sus respectivos servicios.

Puede que le ayude valorar el procesamiento de los datos personales al planificar su estructura de cuentas y UO, incluida una estrategia de segmentación de cuentas. Es posible que deba tener en cuenta los tipos de datos que procesa en función de sus casos de uso específicos y de la legislación y normativas aplicables. Por ejemplo, los datos de los titulares de las tarjetas están protegidos por el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) y la información sobre la salud protegida puede estar sujeta a la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) de EE. UU. Tal vez quiera revisar qué entornos contienen datos personales y planificar su estrategia de segmentación basándose en gran medida en ello. Las estrategias de segmentación de cuentas típicas pueden incluir Cuentas de AWS específicas que se adapten al ciclo de vida del desarrollo del software (SDLC), como cuentas dedicadas al desarrollo, las pruebas o el control de calidad (QA) y la producción. Una estrategia de segmentación como esta puede ser un componente fundamental en el debate general sobre el diseño, y es OUs posible que deba ajustarse a sus requisitos reglamentarios específicos.

Algunos AWS entornos con varias cuentas requieren cuentas de aplicaciones dedicadas por zona de destino para varias cuentas Región de AWS, o pueden requerirla. En este caso, necesita una segmentación adicional para cumplir con los requisitos exclusivos de soberanía de datos en relación con sus clientes y los organismos reguladores. Para obtener más información, consulte la sección Preparación de estrategias para la expansión global de esta guía.