本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
专用账户结构
| 通过进行简短的调查 |
AWS账户为您的AWS资源提供安全性、访问权限和计费界限,并使您能够实现资源独立和隔离。默认不允许在账户之间进行访问。
在设计 OU 和账户结构时,首先要考虑安全性和基础架构。我们建议OUs为这些特定功能创建一组基础知识,分为 “基础架构” 和 “安全OUs”。这些 OU 和账户建议包含了我们更广泛、更全面的 Organization AWS s 和多账户结构设计指南的一部分。有关全套建议,请参阅AWS文档中的使用多个账户组织AWS环境,以及博客文章 Organizations 组织单位的最佳实践
AWSSRA利用以下帐户在上实现有效的安全操作。AWS这些专用账户有助于确保职责分工,为不同的应用程序和数据敏感度支持不同的治理和访问策略,并有助于减轻安全事件的影响。在接下来的讨论中,我们将重点介绍生产(生产)客户及其相关的工作负载。软件开发生命周期 (SDLC) 帐户(通常称为开发和测试帐户)用于暂存可交付成果,并且可以在与生产帐户不同的安全策略下运行。
账户 |
OU |
安全角色 |
管理
|
— |
所有AWS区域和账户的中央治理和管理。托管AWS组织根目录的AWS账户。 |
安全工具 |
安全性 |
用于AWS运营广泛适用的安全服务(例如亚马逊 GuardDuty、Security Hub、AWS Audit Manager、AWS Amazon Detective、Amazon Inspector 和 AWS Config)、监控AWS账户以及自动发送安全警报和响应的专用账户。(在 Cont AWS rol Tower 中,安全 OU 下的帐户的默认名称为 “审核帐户”。) |
日志存档 |
安全性 |
用于提取和存档所有AWS区域和AWS账户的所有日志记录和备份的专用账户。AWS这应该设计为不可变的存储。 |
网络 |
基础设施 |
您的应用程序和更广泛的互联网之间的网关。网络帐户将更广泛的网络服务、配置和操作与单个应用程序工作负载、安全和其他基础设施隔离开来。 |
共享服务 |
基础设施 |
此账户支持多个应用程序和团队用来交付成果的服务。示例包括身份中心目录服务(Active Directory)、消息服务和元数据服务。 |
应用程序 |
工作负载 |
AWS托管AWS组织应用程序并执行工作负载的帐户。(这些帐户有时被称为工作负载帐户。) 应创建应用程序帐户以隔离软件服务,而不是映射到您的团队。这使得部署的应用程序更能适应组织变革。 |
