AWS Organizations 和專用帳戶結構 - AWS 方案指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Organizations 和專用帳戶結構

調查

我們希望聽到您的意見。請進行簡短的問卷,以提供對 AWS PRA 的意見回饋。

AWS Organizations 是一種帳戶管理服務,可協助您集中管理和管理多個 AWS 帳戶。使用 AWS Organizations 是架構良好的多帳戶 AWS 環境的基礎。如需詳細資訊,請參閱建立您的最佳實務 AWS 環境

下圖顯示 AWS PRA 的高階帳戶和組織單位 (OU) 結構。在大部分情況下,PRA 的組織結構 AWS 符合 AWS SRA 的組織結構

中的 AWS 隱私權參考架構帳戶結構 AWS Organizations。

與 AWS SRA 組織的偏差包括:

  • AWS PRA 新增個人資料 (PD) OU,專門用於收集、儲存和處理個人資料。這種結構分離提供了靈活性,以便您可以定義特定、精細的控制,以協助保護個人資料免受意外的揭露。

  • 在基礎設施 OU 中, AWS PRA 目前不包含 AWS SRA 中所述的共用服務帳戶的其他指引。

  • AWS PRA 目前不包含 AWS SRA 中所述的工作負載 OU 的其他指引。收集或處理個人資料的應用程式位於 PD OU 中的專用帳戶中。

您可以使用 AWS Control Tower 進行整體基礎控管,並自動部署整個組織的安全性和隱私權控制。如果 目前 AWS Control Tower 在您的組織中未使用,您仍然可以在其各自服務中部署許多安全與隱私權控制, AWS Control Tower例如服務控制政策和 AWS Config 規則。

當您規劃帳戶和 OU 結構時,您可能會發現考慮處理個人資料會很有幫助,包括帳戶區隔策略。您可能需要考慮您正在處理的唯一使用案例和適用法律和法規的資料類型。例如,持卡人資料受到支付卡產業資料安全標準 (PCI DSS) 的保護,受保護的健康資訊可能受到健康保險流通與責任法案 (HIPAA) 的約束。您可能想要檢閱哪些環境包含個人資料,並大幅規劃您的區隔策略。典型的帳戶分割策略可以包括符合軟體開發生命週期 (SDLC) 的專用 AWS 帳戶 帳戶,例如開發專用帳戶、預備或品質保證 (QA) 和生產專用帳戶。這類分割策略可能是整體設計討論中的關鍵元件,您的 OUs 可能需要符合您的特定法規要求。

有些多帳戶 AWS 環境需要每個 的專用應用程式帳戶 AWS 區域,或者可能需要多帳戶登陸區域。在這種情況下,您需要額外的分割,才能滿足客戶和監管機構的獨特資料主權要求。如需詳細資訊,請參閱本指南中的 全球擴展的規劃