本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS AWS SRA 的組織和帳戶結構 | | | --- | | 進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua),以影響 AWS 安全參考架構 (AWS SRA) 的未來。 | 下圖擷取 AWS SRA 的高階結構,而不顯示特定服務。它反映上一節討論的專用帳戶結構,我們在此處包含圖表,以圍繞架構的主要元件引導討論: + 圖表中顯示的所有帳戶都是單一 AWS 組織的一部分。 + 圖表左上角是組織管理帳戶,用於建立 AWS 組織。 + 組織管理帳戶下方有兩個特定帳戶的安全 OU:一個用於安全工具,另一個用於日誌存檔。 + 右側是具有網路帳戶和共用服務帳戶的基礎設施 OU。 + 在圖表底部是工作負載 OU,它與存放企業應用程式的應用程式帳戶相關聯。 在本指引中,所有帳戶都視為在單一 中操作的生產 (產品) 帳戶 AWS 區域。Most AWS 服務 ([全域服務](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/global-services.html)除外) 在區域範圍內,這表示服務的控制項和資料平面各自獨立存在 AWS 區域。因此,您必須將此架構複寫到 AWS 區域 您計劃使用的所有 ,以確保涵蓋整個 AWS 環境。如果您在特定 中沒有任何工作負載 AWS 區域,您應該使用 [SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region) 或使用記錄和監控機制來停用區域。您可以使用 Security Hub CSPM 將調查結果和安全性分數從多個彙總 AWS 區域 到單一彙總區域,以實現集中可見性。 託管具有大量帳戶 AWS 的組織時,擁有協調層有助於帳戶部署和帳戶控管。 AWS Control Tower 提供設定和管理 AWS 多帳戶環境的簡單方法。[GitHub 儲存庫](https://github.com/aws-samples/aws-security-reference-architecture-examples)中的 AWS SRA 程式碼範例示範如何使用 [Customizations for AWS Control Tower (CfCT)](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/) 解決方案來部署 AWS SRA 建議的結構。 ![AWS SRA 的高階結構 (不含 服務)。](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/security-reference-architecture/images/consolidated.png)