

# OPS01-BP03 評估管控要求
<a name="ops_priorities_governance_reqs"></a>

 管控是政策、規則或架構的集合，供公司用來達成其商業目標。管控要求產生自您的組織內部。這些要求可能會影響到您所選擇的技術類型，或是您操作工作負載的方式。將組織管控要求納入您的工作負載中。合規是指展現您已實作管控要求的能力。 

 **預期成果：** 
+  管控要求會併入工作負載的架構設計和操作中。 
+  您可以提供您已遵循管控要求的證明。 
+  定期審查並更新管控要求。 

 **常見的反模式：** 
+ 您的組織規定根帳戶需進行多重要素驗證。您未能實行此要求，根帳戶遭到損害。
+ 在設計工作負載期間，您選擇了未經 IT 部門核准的執行個體類型。您無法啟動工作負載，而必須執行重新設計。
+ 您必須有災難復原計劃。您未建立該計劃，且工作負載遭逢長時間的中斷。
+  您的團隊想要使用新的執行個體，但您的管理要求尚未更新予以允許。 

 **建立此最佳實務的優勢：** 
+  遵循管控要求，可讓您的工作負載符合較大組織的政策。 
+  管控要求會反映組織的產業標準和最佳實務。 

 **未建立此最佳實務時的風險暴露等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

與利害關係人和管控組織共同識別管控要求。將管控要求納入您的工作負載中。能夠證明您已遵循管控要求。

 **客戶範例** 

 在 AnyCompany Retail，雲端營運團隊與組織內的利害關係人共同制定管控要求。例如，他們禁止對 Amazon EC2 執行個體進行 SSH 存取。如果團隊需進行系統存取，他們必須使用 AWS Systems Manager Session Manager。雲端營運團隊會在新服務推出時定期更新管控要求。 

 **實作步驟** 

1.  識別工作負載的利害關係人，包括任何集中團隊。 

1.  與利害關係人共同識別管控要求。 

1.  產生清單後，請排定改善項目的優先順序，並開始在您的工作負載中加以實作。 

   1.  使用 [AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) 之類的服務建立「管控即程式碼」，並驗證確實遵循了管控要求。 

   1.  如果您使用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)，您可以利用服務控制政策來實作管控要求。 

1.  提供驗證實作情形的文件。 

 **實作計劃的工作量：**中。實作遺漏的管控要求可能會導致工作負載重新作業。 

## 資源
<a name="resources"></a>

 **相關的最佳實務：** 
+  [OPS01-BP04 評估合規要求](ops_priorities_compliance_reqs.md) - 合規與管控類似，但來自組織外部。 

 **相關文件：** 
+ [AWS 管理與管控雲端環境指南](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html)
+ [多帳戶環境中的 AWS Organizations 服務控制政策的最佳實務](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [AWS 雲端 中的管控：敏捷和安全之間的正確平衡](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/)
+ [什麼是管控、風險和合規 (GRC)？](https://aws.amazon.com/what-is/grc/)

 **相關影片：** 
+ [AWS 管理與管控：組態、合規和稽核 - AWS 線上技術會談](https://www.youtube.com/watch?v=79ud1ZAaoj0)
+ [AWS re:Inforce 2019：雲端時代的管控 (DEM12-R1)](https://www.youtube.com/watch?v=y3WmHnavuN8)
+ [AWS re:Invent 2020：使用 AWS Config 實現合規即程式碼](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2020：AWS GovCloud (US) 上的敏捷管控](https://www.youtube.com/watch?v=hv6B17eriHQ)

 **相關範例：** 
+ [AWS Config 合規套件範例](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)

 **相關服務：** 
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Organizations - 服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)