AWS Organizations 和专用账户结构 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Organizations 和专用账户结构

调查

我们很乐意听取您的意见。请通过简短的调查提供 AWS 有关 PRA 的反馈。

AWS Organizations 是一项账户管理服务,可帮助您集中管理和治理多个 AWS 账户。的使用 AWS Organizations 是架构良好的多 AWS 账户环境的基础。有关更多信息,请参阅 Establishing your best practice AWS environment

下图显示了 AWS PRA 的高级账户和组织单位 (OU) 结构。在大多数情况下,PRA的组织结构与 AWS S AWS RA的组织结构相匹配。

中的 AWS 隐私参考架构账户结构 AWS Organizations。

与 AWS SRA 组织的偏差包括:

  • AWS PRA 增加了个人数据 (PD) OU,专门用于收集、存储和处理个人数据。这种结构分离提供了灵活性,因此您可以定义具体、细粒度的控制措施,以帮助保护个人数据免遭意外泄露。

  • 在基础设施 OU 中, AWS PRA 目前不包含 AWS SRA 中描述的共享服务账户的其他指导。

  • P AWS RA 目前不包含 AWS SRA 中描述的工作负载 OU 的其他指南。收集或处理个人数据的应用程序位于 PD OU 的专用账户中。

您可以使用 AWS Control Tower 在整个组织中进行整体基础治理,并自动部署安全和隐私控制措施。如果您的组织目前 AWS Control Tower 没有使用,您仍然可以在其各自的服务中部署许多安全和隐私控件 AWS Control Tower,例如服务控制策略和 AWS Config 规则。

您可能会发现,在规划账户和 OU 结构(包括账户细分策略)时,考虑处理个人数据很有帮助。您可能需要根据所处理的数据类型,考虑其独特的使用案例和适用的法律法规。例如,持卡人数据受支付卡行业数据安全标准(PCI DSS)保护,而受保护的健康信息可能受《健康保险流通与责任法案》(HIPAA)约束。您可能需要查看哪些环境包含个人数据,并以此为重点制定细分策略。典型的客户细分策略可以包括与软件开发生命周期(SDLC)保持一致的专用 AWS 账户 ,例如用于开发、暂存或质量保证(QA)和生产的专用账户。诸如此类的细分策略可能是整个设计讨论中的关键组成部分,您 OUs 可能需要与特定的监管要求保持一致。

有些多账户 AWS 环境需要每个账户专用的应用程序账户 AWS 区域,或者可能需要多账户登录区域。在这种情况下,您需要进行额外的细分,以满足客户和监管机构的独特数据主权要求。有关更多信息,请参阅本指南中的制定全球扩展战略