本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 案例和架構概觀
<a name="scenario"></a>

政府機構在 中有三個工作負載 AWS 雲端：
+ 使用 Amazon Simple Storage Service (Amazon S3) 進行儲存和擷取、轉換和載入 AWS Lambda (ETL) 操作的[無伺服器資料湖](serverless-data-lake.md) 
+ 在 Amazon Elastic Container Service (Amazon ECS) 上執行並使用 Amazon Relational Database Service (Amazon RDS) 中資料庫的[容器化 Web 服務](containerised-web-service.md) 
+ 在 Amazon EC2 上執行[的商業off-the-shelf(COTS) 軟體](cots-software.md) 

*雲端團隊*為組織提供集中式平台，為 AWS 環境執行核心服務。雲端團隊提供 AWS 環境的核心服務。每個工作負載都由不同的*應用程式團隊*擁有，也稱為*開發人員團隊*或*交付團隊*。

## 核心架構
<a name="core-architecture"></a>

雲端團隊已在 中建立下列功能 AWS 雲端：
+ 聯合身分 AWS IAM Identity Center 連結至其 Microsoft Entra ID （先前稱為 *Azure Active Directory*) 執行個體。聯合會透過 AWS Identity and Access Management (IAM) 角色強制執行 MFA、使用者帳戶的自動過期，以及短期憑證的使用。
+ 集中式 AMI 管道用於使用 EC2 Image Builder OSs和核心應用程式。
+ Amazon Inspector 已啟用以識別漏洞，所有安全調查結果都會傳送至 Amazon GuardDuty 進行集中管理。
+ 建立的機制用於更新應用程式控制規則、回應網路安全事件，以及檢閱合規漏洞。
+ AWS CloudTrail 用於記錄和監控。
+ 安全事件，例如根使用者的登入，會啟動提醒。
+ SCPs和 VPC 端點政策會為您的 AWS 環境建立資料周邊。
+ SCPs可防止應用程式團隊停用安全性和記錄服務，例如 CloudTrail 和 AWS Config。
+ AWS Config 為了安全 AWS 帳戶 起見，問題清單會從整個 AWS 組織彙總到單一 。
+  AWS 帳戶 ACS AWS Config [C Essential 8 一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html)在您的組織中已啟用。