O AWS Organizations e a estrutura de contas dedicadas - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O AWS Organizations e a estrutura de contas dedicadas

Pesquisa

Gostaríamos muito de ouvir você. Forneça feedback sobre o AWS PRA respondendo a uma breve pesquisa.

O AWS Organizations é um serviço de gerenciamento de contas que ajuda a gerenciar e governar de forma centralizada várias Contas da AWS. O uso do AWS Organizations é a base de um ambiente com várias contas da AWS que e bem arquitetado. Para obter mais informações, consulte Establishing your best practice AWS environment.

O diagrama a seguir mostra a estrutura de contas e unidades organizacionais (UO) de alto nível do AWS PRA. Na maioria das vezes, a estrutura organizacional do AWS PRA corresponde à estrutura organizacional do AWS SRA.

A estrutura da conta do AWS Privacy Reference Architecture no AWS Organizations.

Os desvios da organização do AWS SRA incluem:

  • O AWS PRA adiciona a UO de dados pessoais (PD), que é dedicada à coleta, ao armazenamento e ao processamento de dados pessoais. Essa separação estrutural fornece flexibilidade para que você possa definir controles específicos e refinados para ajudar a proteger os dados pessoais da divulgação não intencional.

  • Na UO de infraestrutura, o AWS PRA atualmente não inclui orientações adicionais para a conta de serviços compartilhados descrita no AWS SRA.

  • Atualmente, o AWS PRA não inclui orientações adicionais para a UO Workloads descritas no AWS SRA. As aplicações que coletam ou processam dados pessoais estão localizadas em contas dedicadas na UO de dados pessoais.

Você pode usar o AWS Control Tower para governança básica geral e implantação automatizada de controles de segurança e privacidade em toda a sua organização. Se o AWS Control Tower não estiver em uso atualmente em sua organização, você ainda pode implantar muitos dos controles de segurança e privacidade no AWS Control Tower, como políticas de controle de serviços e regras da AWS Config, em seus respectivos serviços.

Talvez seja útil considerar o processamento de dados pessoais ao planejar sua conta e a estrutura da UO, incluindo uma estratégia de segmentação de contas. Talvez seja necessário considerar os tipos de dados que você está processando para seus casos de uso exclusivos e as leis e regulamentações aplicáveis. Por exemplo, os dados do titular do cartão são protegidos pelo Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), e as informações de saúde protegidas podem estar sujeitas à Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA). Talvez você queira analisar quais ambientes contêm dados pessoais e planejar sua estratégia de segmentação com base nisso. Uma estratégia típica de segmentação de contas pode incluir Contas da AWS dedicadas que se alinham ao ciclo de vida de desenvolvimento de software (SDLC), como contas dedicadas para desenvolvimento, preparação ou garantia de qualidade (QA) e produção. Uma estratégia de segmentação como essa pode ser um componente essencial na análise geral do projeto, e suas UOs podem precisar se alinhar aos seus requisitos regulatórios específicos.

Alguns ambientes com várias contas da AWS exigem contas de aplicações dedicadas por Região da AWS, ou podem exigir zonas de pouso com várias contas. Nesse caso, você precisa de segmentação adicional para atender aos requisitos exclusivos de soberania de dados de seus clientes e reguladores. Para obter mais informações, consulte Elaboração de estratégias para uma expansão global neste guia.