架構設計安全 OU 基礎設施平台 OU 合格的 OU 不合格的 OU 自動化 OU 例外狀況 OU Graveyard OU

OU 設計：第 2 階段

範例中的製藥公司透過將合格的生產工作負載部署到現有的 OUs，加速進入雲端成熟的新階段。這啟動了初始設計的審查，並挑戰了階段 1 結構，因為更多工作負載遷移到受管制的 AWS 登陸區域。

下列新要求和洞見變得重要：

公司實作了資料共用模型工作負載，因此應用程式取得了無法再指派給個別 OUs多用途性質，例如臨床或製造。
資格（特別是持續資格）成為許多工作負載的重要層面。這些工作負載必須整合到操作程序中，以便更輕鬆地遵循安全最佳實務。合格的工作負載需要更嚴格的 AWS 控制，這些控制是在階段 1 中的 OU 層級設定。
巢狀 OU 功能可在中使用 AWS Control Tower。
提升技能和經驗可更深入了解哪些特定政策與工作負載相關。
公司根據責任一致性定義並商定了營運模型。
工作負載分割和結構藍圖已成熟，並已用於工作負載遷移。

因此，在階段 2 中實作了新設計，並 AWS 帳戶遷移至該新結構。此新結構包含以下各節所述OUs。

架構設計

下圖顯示階段 2 的 OU 架構。

安全 OU

安全 OU 包含與安全功能廣泛 AWS 帳戶相關的，並使用兩個帳戶 (Audit 和 Log Archive) 來存放安全操作資料，以集中記錄和稽核對環境的存取。 AWS 核心安全服務，例如 Amazon GuardDuty，並 AWS Security Hub CSPM 位於稽核帳戶中。此 OU 與原始設計保持不變。

基礎設施平台 OU

基礎設施平台 OU 包含基礎基礎設施帳戶，例如整個 AWS 登陸區域的聯網和共用自動化。此 OU 與原始設計保持不變。

合格的 OU

合格 OU 包含需要合格基礎設施的工作負載，例如嚴格的變更管理、資格和驗證。

不合格的 OU

不合格的 OU 包含的工作負載沒有 GxP 要求或不具業務關鍵性的工作負載。

自動化 OU

Automations OU 包含工作負載自動化的共用資源，例如用於基礎設施管理的持續整合和持續交付 (CI/CD) 管道。根據需求，自動化可以跨環境分割或以單一託管 AWS 帳戶。

例外狀況 OU

例外狀況 OU 包含需要特殊處理的工作負載，否則政策會阻止這些工作負載。例如，廣泛存取且可讀取的 Amazon Simple Storage Service (Amazon S3) 儲存貯體會屬於例外狀況 OU。

Graveyard OU

Graveyard OU 包含將刪除的 AWS 帳戶工作負載。應移除這些帳戶中的政策，以取得有效且簡單的管理存取權，直到帳戶過期或刪除為止。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

OU 設計：階段 1

OU 遷移和驗證