AWS Organizations 和专用账户结构 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Organizations 和专用账户结构

调查

我们很乐意听取您的意见。请通过简短的调查提供有关 AWS PRA 的反馈。

AWS Organizations 是一项账户管理服务,可帮助您集中管理和治理多个 AWS 账户。使用 AWS Organizations 是构建架构完善的多账户 AWS 环境的基础。有关更多信息,请参阅 Establishing your best practice AWS environment

下图显示 AWS PRA 的高级账户和组织单元(OU)结构。在大多数情况下,AWS PRA 的组织结构与 AWS SRA 的组织结构 匹配。

AWS Organizations 中的 AWS Privacy Reference Architecture 账户结构。

与 AWS SRA 组织的差异包括:

  • AWS PRA 增加了个人数据(PD)OU,专门用于收集、存储和处理个人数据。这种结构分离提供了灵活性,因此您可以定义具体、细粒度的控制措施,以帮助保护个人数据免遭意外泄露。

  • 在基础设施 OU 中,AWS PRA 目前不包含 AWS SRA 中所述的共享服务账户的其他指引。

  • AWS PRA 目前不包含 AWS SRA 中所述的工作负载 OU 的其他指引。收集或处理个人数据的应用程序位于 PD OU 的专用账户中。

您可以使用 AWS Control Tower 在整个组织中进行整体基础治理,并自动部署安全和隐私控制措施。如果您的组织目前没有使用 AWS Control Tower,您仍可在其各自的服务中部署 AWS Control Tower 的许多安全和隐私控制措施,例如服务控制策略和 AWS Config 规则。

您可能会发现,在规划账户和 OU 结构(包括账户细分策略)时,考虑处理个人数据很有帮助。您可能需要根据所处理的数据类型,考虑其独特的使用案例和适用的法律法规。例如,持卡人数据受支付卡行业数据安全标准(PCI DSS)保护,而受保护的健康信息可能受《健康保险流通与责任法案》(HIPAA)约束。您可能需要查看哪些环境包含个人数据,并以此为重点制定细分策略。典型的客户细分策略可以包括与软件开发生命周期(SDLC)保持一致的专用 AWS 账户,例如用于开发、暂存或质量保证(QA)和生产的专用账户。诸如此类的细分策略可能是整个设计讨论中的关键组成部分,您的 OU 可能需要与特定的监管要求保持一致。

部分多账户 AWS 环境要求每个 AWS 区域使用专用的应用程序账户,或者可能需要多账户登录区。在这种情况下,您需要进行额外的细分,以满足客户和监管机构的独特数据主权要求。有关更多信息,请参阅本指南中的制定全球扩展战略