本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 基础设施 OU – 网络账户
<a name="network-account"></a>

**调查**  
我们很乐意听取您的意见。请通过[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2)提供 AWS 有关 PRA 的反馈。

在网络帐户中，您可以管理您的虚拟私有云 (VPCs) 和更广泛的互联网之间的网络。在此账户中，您可以通过使用来实施广泛的披露控制机制 AWS WAF，使用 AWS Resource Access Manager (AWS RAM) 共享 VPC 子网和 AWS Transit Gateway 附件，并使用 Amazon CloudFront 来支持有针对性的服务使用。有关此账户的更多信息，请参阅[AWS 安全参考架构 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html)。下图说明了在网络帐户中配置 AWS 的安全和隐私服务。

![\[AWS 服务 部署在基础设施组织单位的网络帐户中。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Network.png)


**Topics**
+ [Amazon CloudFront](#cloudfront)
+ [AWS Resource Access Manager](#aws-ram-network)
+ [AWS Transit Gateway](#transit-gateway)
+ [AWS WAF](#aws-waf)

## Amazon CloudFront
<a name="cloudfront"></a>

[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) 支持前端应用程序和文件托管的地理限制。 CloudFront可以通过称为*边缘位置*的全球数据中心网络交付内容。当用户请求与你一起提供的内容时 CloudFront，该请求会被路由到延迟最低的边缘站点。有关如何在安全情境中使用此服务的更多信息，请参阅 [AWS 安全参考架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-cf)。

您的隐私计划目前或许能够满足特定地区法律的要求。如果您的工作负载仅限于为仅位于这些区域的客户提供服务，那么您可以实施技术措施来阻止来自其他区域的使用请求。您可以使用 CloudFront 地理限制来阻止特定地理位置的用户访问您通过 CloudFront 发行版分发的内容。有关地理限制的更多信息和配置选项，请参阅 CloudFront文档[中的限制内容的地理分布](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html)。

您还可以配置 CloudFront 为生成访问日志，其中包含有关 CloudFront 收到的每个用户请求的详细信息。有关更多信息，请参阅 CloudFront 文档中的[配置和使用标准日志（访问日志）](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)。最后，如果配置 CloudFront 为在一系列边缘位置缓存内容，则可以考虑缓存发生在哪里。对于某些组织而言，跨区域缓存可能会受到跨境数据传输要求的约束。

## AWS Resource Access Manager
<a name="aws-ram-network"></a>

[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 可帮助您安全地共享资源， AWS 账户 从而减少运营开销并提供可见性和可审计性。使用 AWS RAM，组织可以限制哪些 AWS 资源可以与其组织 AWS 账户 中的其他人或第三方账户共享。有关更多信息，请参阅[可共享 AWS 资源](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html)。在网络账户中，您可以使用 AWS RAM 共享 VPC 子网和传输网关连接。如果您曾经与另一个人共享数据平面连接 AWS 账户，则可以考虑建立流程来检查连接是否经过预先批准 AWS 区域 并符合您的数据驻留要求。 AWS RAM 

除了共享 VPCs 和传输网关连接外，还 AWS RAM 可用于共享不支持 IAM 基于资源的策略的资源。对于托管在[个人数据 OU](personal-data-account.md) 中的工作负载，您可以使用 AWS RAM 访问位于单独的 OU 中的个人数据 AWS 账户。有关更多信息，请参阅*个人数据 OU – PD 应用程序账户*部分中的 [AWS Resource Access Manager](personal-data-account.md#aws-ram-pd-account)。

## AWS Transit Gateway
<a name="transit-gateway"></a>

如果您想部署符合组织数据驻留要求的收集、存储或处理个人数据的 AWS 资源 AWS 区域 ，并且您有适当的技术保障措施，请考虑实施防护措施，以防止控制平面和数据平面上未经批准的跨境数据流动。在控制面板，您可以利用 IAM 和服务控制策略来限制区域使用情况，并由此控制跨区域的数据流。

在数据面板上，有多个选项可以控制跨区域的数据流。例如，您可以使用路由表、VPC 对等和 AWS Transit Gateway 附件。 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)是连接虚拟私有云 (VPCs) 和本地网络的中央集线器。作为更大的 AWS 着陆区（Land VPC-to-VPC ing zone）的一部分，您可以考虑数据的各种传输方式 AWS 区域，包括通过互联网网关、通过直接对等以及通过区域间对等。 AWS Transit Gateway例如，您可以在 AWS Transit Gateway中执行以下操作：
+ 确认您和本地环境之间的东西向 VPCs和南北连接符合您的隐私要求。
+ 根据您的隐私要求配置 VPC 设置。
+ 使用中的服务控制策略 AWS Organizations 和 IAM 策略来帮助防止修改您的配置 AWS Transit Gateway 和亚马逊虚拟私有云 (Amazon VPC) 配置。有关服务控制策略示例，请参阅本指南中的 [限制对 VPC 配置的更改](restrict-changes-vpc-configurations.md)。

## AWS WAF
<a name="aws-waf"></a>

为帮助防止个人数据意外泄露，您可以为 Web 应用程序部署一种 defense-in-depth方法。您可以在应用程序中内置输入验证和速率限制，但 AWS WAF 可以作为另一道防线。 [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)是一种 Web 应用程序防火墙，可帮助您监控转发到受保护的 Web 应用程序资源的 HTTP 和 HTTPS 请求。有关如何在安全情境中使用此服务的更多信息，请参阅 [AWS 安全参考架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-waf)。

使用 AWS WAF，您可以定义和部署检查特定标准的规则。以下这些活动可能会导致个人数据的非预期泄露：
+ 来自未知或恶意 IP 地址或地理位置的流量
+ 开放全球应用程序安全项目（OWASP）[十大攻击类型](https://owasp.org/www-project-top-ten/)，其中包括与泄露相关的攻击，例如 SQL 注入
+ 请求速率高
+ 一般机器人流量
+ 内容抓取程序

您可以部署由管理的 AWS WAF [规则组](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-groups.html) AWS。某些托管规则组 AWS WAF 可用于检测对隐私和个人数据的威胁，例如：
+ [SQL 数据库](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html#aws-managed-rule-groups-use-case-sql-db)：此规则组包含旨在阻止与 SQL 数据库攻击（如 SQL 注入攻击）相关的请求模式的规则。如果应用程序与 SQL 数据库相连，请考虑此规则组。
+ [已知错误输入](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs)：该规则组包含旨在用于阻止请求模式的规则，这些模式确认无效且与漏洞攻击或发现相关联。
+ [机器人控制](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html)：此规则组包含一系列旨在管理来自机器人（这类机器人可能会消耗过多资源、影响业务指标、导致服务中断以及进行恶意活动）的请求的规则。
+ [账户盗用防护（ATP）](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-atp.html)：此规则组包含旨在防止恶意账户盗用企图的规则。此规则组会检查发送至您是应用程序登录端点的登录尝试请求。