本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 概述
<a name="overview"></a>

我们与一家跨国制药公司合作，在 AWS 上开展了概念验证（PoC）活动，以探索他们如何将现有应用程序从本地迁移到 AWS Cloud。当他们开始扩展和加快迁移工作流以包括生产工作负载时，他们显然需要一个受到监管且合规的 AWS 登录区，以助力其实现目标。我们使用 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 设计和实施新的 AWS 登录区。

新 AWS 登录区及其组织的一个重要方面是其*组织单位*（OU）的结构。OU 是使用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 创建的 AWS 账户的逻辑分组。您可以使用 OU 将 AWS 账户组织成层次结构，并且更轻松一致地应用管理和治理控制。

您可以将基于策略的控件附加到某个 OU 和 AWS 账户。OU 内的子 OU 会自动继承这些控件。因此，OU 在管理 AWS Organizations 中的安全性和治理方面起着至关重要的作用。

*策略*是包含一个或多个语句的 JSON 文档，这些语句用于定义要应用到一组 AWS 账户的控件。AWS Organizations 目前支持四种类型的策略，也称为*服务控制策略*（SCP）。SCP 定义了可在不同 AWS 账户中使用的 AWS 服务和操作。例如，您可以使用 SCP 要求 Amazon Elastic Compute Cloud（Amazon EC2）实例的启动使用特定的实例类型。

## 策略类型
<a name="policy-types"></a>

SCP 策略类型包括以下几种：
+ 允许列表和拒绝列表是您应用 [SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html) 以筛选可供账户使用的权限时的补充策略。
+ [标签策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)帮助您维护一致的标签，包括各账户中的标签键和标签值的首选大小写处理。
+ [备份策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup.html)为支持的资源类型配置备份，例如备份的时间窗口和跨 AWS 区域备份的目标保管库。
+ [人工智能服务退出政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)支持或禁用全球 AWS 人工智能（AI）服务的持续改进。

**策略继承行为：**当您将某个策略附加到特定 OU 时，直接位于该 OU 下的账户或任何子 OU 将继承此策略。当您将策略附加到特定账户时，该策略仅影响该账户。您可以通过引入异常策略来覆盖继承的策略。继承明确允许所有权限从根（OU）传递到该 OU 和子 OU 中的每个 AWS 账户，除非您明确拒绝权限。要拒绝某项权限，您可以创建其他策略并将其附加到相应的 OU 或 AWS 账户。有关策略继承和异常的更多信息，请参阅 [AWS Organizations 文档](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html#orgs_manage_policies_inheritance_auth_scps)。

AWS Control Tower 还使用 OU 结构提供自己的一套侦测和预防性控制（也称为*护栏*）。AWS Control Tower 预防性控制通过使用 AWS Organizations 中的 SCP 来防止采取措施。侦测控制使用 AWS Config 来报告与控件的配置偏差。有关这些控制的更多信息，请参阅 [AWS Control Tower 文档](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html)。

您还可以启用 [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html) 来自动执行安全最佳实践检查，将安全提醒聚合到一个位置和格式中，并了解所有 AWS 账户的整体安全状况。