SRA 构建块 — AWS 组织、账户和护栏

AWS 安全服务、其控制和交互最好在 A WS 多账户策略以及身份和访问管理护栏的基础上使用。这些护栏设置了您实施最低权限、职责分离和隐私的能力，并为决定需要哪些类型的控制、每项安全服务的管理位置以及它们如何在 AWS SRA 中共享数据和权限提供支持。 

AWS 账户为您的 AWS 资源提供安全、访问和计费限制，使您能够实现资源独立和隔离。使用多个 AWS 账户在您满足安全要求方面起着重要作用，如使用多个账户组织您的 AWS 环境白皮书的 “使用多个 AWS 账户的好处” 部分所述。例如，您可以根据职能、合规性要求或一组常用控件将工作负载组织到单独的账户中，并根据组织单位 (OU) 中的账户进行分组，而不是镜像企业的报告结构。请牢记安全和基础架构，使您的企业能够随着工作负载的增长设置共同的护栏。这种方法在工作负载之间提供了强大的界限和控制。账户级分离与 AWS Organizations 相结合，用于将生产环境与开发和测试环境隔离开来，或者在处理不同分类（例如支付卡行业数据安全标准 (PCI DSS) 或《健康保险便携性和责任法案》(HIPAA)）的工作负载之间提供强大的逻辑界限。尽管您可能从一个账户开始您的 AWS 之旅，但随着工作负载规模和复杂性的增加，AWS 建议您设置多个账户。 

权限允许您指定对 AWS 资源的访问权限。权限被授予被称为委托人（用户、群组和角色）的 IAM 实体。默认情况下，委托人一开始就没有权限。在您授予权限之前，IAM 实体无法在 AWS 中执行任何操作，并且您可以设置与整个 AWS 组织一样广泛适用的护栏，或者像委托人、操作、资源和条件的个人组合一样细致地适用。