本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
OU 設計:階段 1
對於我們範例中的跨國製藥公司, 中的組織和 OUs 的初始設計 AWS Organizations 嚴格遵循設定 AWS 建議 AWS Control Tower。如需範例,請參閱 AWS for Healthcare 上的登陸區域加速器
架構設計
下圖顯示初始 OU 架構。
安全 OU
安全 OU 廣泛地將與安全功能 AWS 帳戶 相關的群組結合在一起,並使用兩個帳戶 (Audit 和 Log Archive) 來存放安全操作資料,以便集中記錄和稽核對環境的存取。 AWS 核心安全服務,例如 Amazon GuardDuty,並 AWS Security Hub CSPM 位於稽核帳戶中。
基礎設施平台 OU
AWS 帳戶 提供基礎設施基礎的基礎設施平台 OU 群組。最初部署在此 OU 中的 適用於 AWS 帳戶 中央聯網元件 (閘道、防火牆、中央聯網中樞和類似服務)。
其他 OUs
其他公司特定的 OUs(例如臨床 OU) 在低階階層中擴增基礎 OUs。工作負載會使用多帳戶結構和這些 OUs 中的個別環境來實作。
有幾個考量因素推動了此初始設計:
-
巢狀 OUs 目前無法在 中使用 AWS Control Tower ,且需要廣泛的自訂。
-
為雲端指定的初始工作負載,著重於公司的特定層面,例如臨床試驗或製造設備分析 (功能檢視)。
-
公司區分五個工作負載環境 (開發、驗證、整合、訓練和生產)。公司需要遊樂場來開發應用程式,而不需透過 AWS 控制生產工作負載的嚴格控管。例如 Manufacturing-Dev OUs 等開發 OU 已為此目的指派。
-
工作負載自動化是每個應用程式生態系統的一部分,不需要分離。
-
基礎設施資格 (IQ) 和 GxP 合規程序不需要區分 OU 層級的 AWS 控制項。
