經驗教訓和最佳實務

OU 結構設計並非一次性工作。隨著公司提高雲端採用率並將其他工作負載遷移到 AWS 登陸區域，其 OU 設計 （隱含其政策概念） 也會自然發展。

不要誤認為資料夾OUs；將它們視為政策的目標。OUs 及其階層提供 的結構元素， AWS 帳戶 應一律視為 政策的容器。建議您將需要相同政策集的所有 AWS 帳戶 放入相同的 OU。本指南也延伸至巢狀 OUs(OUs內的 OUs)。

AWS 需要集中共用功能和跨工作負載資料共用功能 （在企業資料平台中經常出現） 的環境，較容易容納在非以業務單位 (LOB) 函數分類為基礎的 OU 結構中。例如，在 中的政策方面，製造應用程式的生產環境與臨床試驗分析應用程式的生產環境並無不同 AWS Organizations。

遵守並使用繼承。當您將政策連接到特定 OU 時， AWS 帳戶 這些 OU 會直接在該 OU 下方或任何子 OU 下繼承政策。當您將政策連接至特定 時 AWS 帳戶，政策只會影響該 AWS 帳戶。

從一個 OU 結構到另一個 OU 結構的遷移工作取決於在 OU 或 AWS 帳戶 層級設定現有政策的廣泛程度。另一個重要因素是現有 OU 階層中使用多少政策繼承，或繼承是否中斷。遷移的複雜性會隨著不規則或偏離繼承路徑的實作而增加。例如，如果您在個別 AWS 帳戶 層級套用政策，或經常發生政策例外狀況 （中斷繼承），將這些政策遷移到新結構將花費更多精力。在這種情況下，在遷移規劃期間，我們建議您花時間檢閱和重新設計政策繼承。

同時負責 AWS Organizations 政策和 AWS Control Tower 控制。OU 結構在 AWS Control Tower 和 之間共用 AWS Organizations。 AWS Control Tower 提供自己的一組偵測和預防性控制。這些控制項適用於 AWS 帳戶 或 OU 層級。 AWS Organizations 會協調 OU 層級上的政策。在 OU 遷移中，我們建議您先遷移 AWS Organizations 政策，因為這些政策具有更多合規性權重。我們建議您在第二個遷移步驟中將 AWS Control Tower 控制項套用至新的 OU 結構。

更新需要一些時間 AWS 帳戶。您必須使用 將現有的 AWS 帳戶 個別重新註冊到新的 OU 結構 AWS Control Tower。這需要一些時間。如果您有大量帳戶，建議您透過自動化簡化此工作，以控制和自動化 的 OU 放置 AWS 帳戶。以下是兩個範例案例：