本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 概觀
<a name="overview"></a>

我們與一家多國製藥公司合作，在 上執行proof-of-concept(PoC) 活動 AWS ，以探索他們如何將其應用程式從現場部署遷移到 AWS 雲端。當他們開始擴展和加速遷移工作流程以包含生產工作負載時，很明顯地，他們需要受管制且合規的 AWS 登陸區域來支援他們的目標。我們曾經[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)設計和實作新的 AWS 登陸區域。

新 AWS 登陸區域及其組織的重要層面是其*組織單位* (OUs的結構。OU 是使用 AWS 帳戶 建立的邏輯群組[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。您可以使用 OUs AWS 帳戶 組織階層，並一致且更輕鬆地套用管理和控管控制。

您可以將政策型控制項連接到 OU 和 AWS 帳戶。OUs 中的子 OU 會自動繼承這些控制項。因此，OUs 中管理安全與控管方面扮演重要角色 AWS Organizations。

*政策*是 JSON 文件，其中包含一或多個陳述式，定義您要套用至 群組的控制項 AWS 帳戶。 AWS Organizations 目前支援四種類型的政策，也稱為*服務控制政策* SCPs)。SCP 定義可用於不同 的 AWS 服務 和 動作 AWS 帳戶。例如，您可以使用 SCP 要求 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體啟動以使用特定執行個體類型。

## 政策類型
<a name="policy-types"></a>

SCP 政策類型包括下列項目：
+ [允許清單和拒絕清單](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html)是補充策略，可用來套用 SCPs 來篩選帳戶可用的許可。
+ [標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)可協助您維持一致的標籤，包括跨帳戶的標籤索引鍵和標籤值的偏好大小寫處理。
+ [備份政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup.html)會為支援的資源類型設定備份，例如備份的時間範圍和備份的目的地保存庫 AWS 區域。
+ [AI 服務選擇退出政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)可啟用或停用全球 AWS 人工智慧 (AI) 服務的持續改善。

**政策繼承行為：**當您將政策連接至特定 OU 時，直接在該 OU 或任何子 OU 下的帳戶會繼承政策。當您將政策連接到特定帳戶時，政策只會影響該帳戶。您可以透過引入例外狀況政策來覆寫繼承的政策。繼承明確允許所有許可從根 (OU) 向下流到該 OU 和子 OU AWS 帳戶 中的每個 ，除非您明確拒絕許可。若要拒絕許可，您可以建立額外的政策，並將其連接到適當的 OU 或 AWS 帳戶。如需政策繼承和例外狀況的詳細資訊，請參閱 [AWS Organizations 文件](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html#orgs_manage_policies_inheritance_auth_scps)。

AWS Control Tower 也會使用 OU 結構提供自己的一組偵測和預防性控制 （也稱為*護欄*)。 AWS Control Tower 預防性控制會使用 中的 SCPs 防止動作 AWS Organizations。使用 對控制項進行組態偏離的 Detective 控制報告 AWS Config。如需這些控制項的詳細資訊，請參閱 [AWS Control Tower 文件](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html)。

您也可以讓 [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html) 自動執行安全最佳實務檢查、將安全提醒彙總為單一位置和格式，以及了解所有 的整體安全狀態 AWS 帳戶。