本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
專用帳戶結構
| 進行簡短的調查 |
AWS 帳戶為您的 AWS 資源提供安全、存取和計費界限,並可讓您實現資源獨立性和隔離。根據預設,帳戶之間不允許存取。
設計 OU 和帳戶結構時,請先考慮安全性和基礎設施。我們建議為這些特定函數建立一組基礎 OUs,分為基礎設施和安全 OUs。這些 OU 和帳戶建議會擷取我們更廣泛的 AWS Organizations 和多帳戶結構設計的更全面指導方針子集。如需完整的建議集,請參閱 AWS 文件中的使用多個帳戶組織您的 Word 環境,以及部落格文章使用 AWS Organizations 組織單位的最佳實務
AWS SRA 會利用下列帳戶,在 AWS 上實現有效的安全操作。這些專用帳戶有助於確保職責分離,支援應用程式和資料不同敏感項目的不同管理和存取政策,並協助減輕安全事件的影響。在接下來的討論中,我們專注於生產 (產品) 帳戶及其相關聯的工作負載。軟體開發生命週期 (SDLC) 帳戶 (通常稱為開發和測試帳戶) 適用於預備交付項目,並且可以在與生產帳戶不同的安全政策集下操作。
帳戶 |
OU |
安全角色 |
管理
|
— |
所有 AWS 區域和帳戶的中央管理和管理。託管 AWS 組織的根的 AWS 帳戶。 |
安全工具 |
安全 |
專用 AWS 帳戶用於操作廣泛適用的安全服務 (例如 Amazon GuardDuty、AWS Security Hub、AWS Audit Manager、Amazon Detective、Amazon Inspector 和 AWS Config)、監控 AWS 帳戶,以及自動化安全提醒和回應。(在 AWS Control Tower 中,Security OU 下帳戶的預設名稱為 Audit 帳戶。) |
日誌封存 |
安全 |
專用 AWS 帳戶用於擷取和封存所有 AWS 區域和 AWS 帳戶的所有記錄和備份。這應該設計為不可變儲存。 |
網路 |
基礎設施 |
應用程式與更廣泛的網際網路之間的閘道。Network 帳戶會將更廣泛的聯網服務、組態和操作與個別應用程式工作負載、安全性和其他基礎設施隔離。 |
共用服務 |
基礎設施 |
此帳戶支援多個應用程式和團隊用來交付其成果的服務。範例包括 Identity Center 目錄服務 (Active Directory)、傳訊服務和中繼資料服務。 |
應用程式 |
工作負載 |
託管 AWS 組織應用程式並執行工作負載的 AWS 帳戶。(這些有時稱為工作負載帳戶。) 應建立應用程式帳戶以隔離軟體服務,而不是映射至您的團隊。這使得部署的應用程式對組織變更更具彈性。 |
