本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# OU 設計：階段 1
<a name="phase-1"></a>

對於我們範例中的跨國製藥公司， 中的組織和 OUs 的初始設計 AWS Organizations 嚴格遵循設定 AWS 建議 AWS Control Tower。如需範例，請參閱 [AWS for Healthcare 上的登陸區域加速器](https://github.com/aws-samples/landing-zone-accelerator-on-aws-for-healthcare)。 AWS Control Tower 一開始使用通用基礎 OU 佈建簡單的 OUs 結構，如部落格文章 [組織單位最佳實務 AWS Organizations](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/?org_product_gs_bp_OUBlog)中所述，包括安全 OU、平台基礎設施 OU 和公司特定的 OUs。

## 架構設計
<a name="p1-arch-design"></a>

下圖顯示初始 OU 架構。

![OU 結構第 1 階段的架構設計](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/ou-structure-landing-zone/images/ou-phase-1.png)


## 安全 OU
<a name="p1-security"></a>

安全 OU 廣泛地將與安全功能 AWS 帳戶 相關的群組結合在一起，並使用兩個帳戶 (Audit 和 Log Archive) 來存放安全操作資料，以便集中記錄和稽核對環境的存取。 AWS 核心安全服務，例如 Amazon GuardDuty，並 AWS Security Hub CSPM 位於稽核帳戶中。

## 基礎設施平台 OU
<a name="p1-infra"></a>

 AWS 帳戶 提供基礎設施基礎的基礎設施平台 OU 群組。最初部署在此 OU 中的 適用於 AWS 帳戶 中央聯網元件 （閘道、防火牆、中央聯網中樞和類似服務）。 

## 其他 OUs
<a name="p1-additional"></a>

其他公司特定的 OUs（例如臨床 OU) 在低階階層中擴增基礎 OUs。工作負載會使用多帳戶結構和這些 OUs 中的個別環境來實作。

有幾個考量因素推動了此初始設計：
+ 巢狀 OUs 目前無法在 中使用 AWS Control Tower ，且需要廣泛的自訂。
+ 為雲端指定的初始工作負載，著重於公司的特定層面，例如臨床試驗或製造設備分析 （功能檢視）。
+ 公司區分五個工作負載環境 （開發、驗證、整合、訓練和生產）。公司需要遊樂場來開發應用程式，而不需透過 AWS 控制生產工作負載的嚴格控管。例如 Manufacturing-Dev OUs 等開發 OU 已為此目的指派。
+ 工作負載自動化是每個應用程式生態系統的一部分，不需要分離。
+ 基礎設施資格 (IQ) 和 GxP 合規程序不需要區分 OU 層級的 AWS 控制項。