本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# OU 設計：第 2 階段
<a name="phase-2"></a>

範例中的製藥公司透過將合格的生產工作負載部署到現有的 OUs，加速進入雲端成熟的新階段。這啟動了初始設計的審查，並挑戰了階段 1 結構，因為更多工作負載遷移到受管制的 AWS 登陸區域。

下列新要求和洞見變得重要：
+ 公司實作了資料共用模型工作負載，因此應用程式取得了無法再指派給個別 OUs多用途性質，例如臨床或製造。
+ 資格 （特別是持續資格） 成為許多工作負載的重要層面。這些工作負載必須整合到操作程序中，以便更輕鬆地遵循安全最佳實務。合格的工作負載需要更嚴格的 AWS 控制，這些控制是在階段 1 中的 OU 層級設定。
+ 巢狀 OU 功能可在 中使用 AWS Control Tower。
+ 提升技能和經驗可更深入了解哪些特定政策與工作負載相關。
+ 公司根據責任一致性定義並商定了營運模型。
+ 工作負載分割和結構藍圖已成熟，並已用於工作負載遷移。

因此，在階段 2 中實作了新設計，並 AWS 帳戶 遷移至該新結構。此新結構包含以下各節所述OUs。

## 架構設計
<a name="p2-arch-design"></a>

下圖顯示階段 2 的 OU 架構。

![OU 結構第 2 階段的架構設計](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/ou-structure-landing-zone/images/ou-phase-2.png)


## 安全 OU
<a name="p2-security"></a>

安全 OU 包含與安全功能廣泛 AWS 帳戶 相關的 ，並使用兩個帳戶 (Audit 和 Log Archive) 來存放安全操作資料，以集中記錄和稽核對環境的存取。 AWS 核心安全服務，例如 Amazon GuardDuty，並 AWS Security Hub CSPM 位於稽核帳戶中。此 OU 與原始設計保持不變。

## 基礎設施平台 OU
<a name="p2-infra"></a>

基礎設施平台 OU 包含基礎基礎設施帳戶，例如整個 AWS 登陸區域的聯網和共用自動化。此 OU 與原始設計保持不變。

## 合格的 OU
<a name="p2-qualified"></a>

合格 OU 包含需要合格基礎設施的工作負載，例如嚴格的變更管理、資格和驗證。

## 不合格的 OU
<a name="p2-non-qualified"></a>

不合格的 OU 包含的工作負載沒有 GxP 要求或不具業務關鍵性的工作負載。

## 自動化 OU
<a name="p2-automations"></a>

Automations OU 包含工作負載自動化的共用資源，例如用於基礎設施管理的持續整合和持續交付 (CI/CD) 管道。根據需求，自動化可以跨環境分割或以單一 託管 AWS 帳戶。

## 例外狀況 OU
<a name="p2-exceptions"></a>

例外狀況 OU 包含需要特殊處理的工作負載，否則政策會阻止這些工作負載。例如，廣泛存取且可讀取的 Amazon Simple Storage Service (Amazon S3) 儲存貯體會屬於例外狀況 OU。

## Graveyard OU
<a name="p2-graveyard"></a>

Graveyard OU 包含將刪除的 AWS 帳戶 工作負載。應移除這些帳戶中的政策，以取得有效且簡單的管理存取權，直到帳戶過期或刪除為止。