本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS Organizations 和专用账户结构 **调查** 我们很乐意听取您的意见。请通过[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2)提供 AWS 有关 PRA 的反馈。 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 是一项账户管理服务,可帮助您集中管理和治理多个 AWS 账户。的使用 AWS Organizations 是架构良好的多 AWS 账户环境的基础。有关更多信息,请参阅 [Establishing your best practice AWS environment](https://aws.amazon.com/organizations/getting-started/best-practices/)。 下图显示了 AWS PRA 的高级账户和组织单位 (OU) 结构。在大多数情况下,PRA的组织结构与 [AWS S AWS RA的组织结构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/architecture.html)相匹配。 ![中的 AWS 隐私参考架构账户结构 AWS Organizations。](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/privacy-reference-architecture/images/aws-pra-org-structure.png) 与 AWS SRA 组织的偏差包括: + AWS PRA 增加了个人数据 (PD) OU,专门用于收集、存储和处理个人数据。这种结构分离提供了灵活性,因此您可以定义具体、细粒度的控制措施,以帮助保护个人数据免遭意外泄露。 + 在基础设施 OU 中, AWS PRA 目前不包含 AWS SRA 中描述的[共享服务账户](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/shared-services.html)的其他指导。 + P AWS RA 目前不包含 AWS SRA 中描述[的工作负载 OU](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html) 的其他指南。收集或处理个人数据的应用程序位于 PD OU 的专用账户中。 您可以使用 [AWS Control Tower](https://aws.amazon.com/controltower/) 在整个组织中进行整体基础治理,并自动部署安全和隐私控制措施。如果您的组织目前 AWS Control Tower 没有使用,您仍然可以在其各自的服务中部署许多安全和隐私控件 AWS Control Tower,例如服务控制策略和 AWS Config 规则。 您可能会发现,在规划账户和 OU 结构(包括账户细分策略)时,考虑处理个人数据很有帮助。您可能需要根据所处理的数据类型,考虑其独特的使用案例和适用的法律法规。例如,持卡人数据受支付卡行业数据安全标准(PCI DSS)保护,而受保护的健康信息可能受《健康保险流通与责任法案》(HIPAA)约束。您可能需要查看哪些环境包含个人数据,并以此为重点制定细分策略。典型的客户细分策略可以包括与软件开发生命周期(SDLC)保持一致的专用 AWS 账户 ,例如用于开发、暂存或质量保证(QA)和生产的专用账户。诸如此类的细分策略可能是整个设计讨论中的关键组成部分,您 OUs 可能需要与特定的监管要求保持一致。 有些多账户 AWS 环境需要每个账户专用的应用程序账户 AWS 区域,或者可能需要多账户登录区域。在这种情况下,您需要进行额外的细分,以满足客户和监管机构的独特数据主权要求。有关更多信息,请参阅本指南中的[制定全球扩展战略](global-expansion.md)。