本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # SRA 的基石 — AWS Organizations、账户和护栏 | | | --- | | 通过进行[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)来影响 AWS 安全参考架构 (AWS SRA) 的未来。 | AWS 最好在 AWS[多账户策略](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)以及身份和访问管理护栏的基础上使用安全服务、其控制和交互。这些护栏设置了您实施最低权限、职责分离和隐私的能力,并为决定需要哪些类型的控制、每项安全服务的管理位置以及它们如何在 SRA 中共享数据和权限提供了支持。 AWS 为您的 AWS 资源 AWS 账户 提供安全性、访问权限和计费界限,使您能够实现资源独立和隔离。如使用多个账户组织环境白皮书的 “使用多个账户*组织 AWS 环境” 的 “使用多个账户[的好处 AWS 账户” 部分所述,使用多个](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html)账户*在满足安全要求方面 AWS 账户 起着重要作用。例如,您可以根据职能、合规性要求或一组常用控件将工作负载组织到单独的账户中,并对组织单位 (OU) 内的账户进行分组,而不是镜像企业的报告结构。请牢记安全和基础架构,使您的企业能够随着工作负载的增长设置共同的护栏。这种方法在工作负载之间提供了强大的界限和控制。账户级分离与之相结合,用于将生产环境与 AWS Organizations开发和测试环境隔离开来,或者在处理不同分类(例如支付卡行业数据安全标准 (PCI DSS) 或《健康保险便携性与责任法案》(HIPAA))等不同类别的数据的工作负载之间提供强大的逻辑界限。尽管您可能从一个账户开始您的 AWS 旅程,但 AWS 建议您随着工作负载规模和复杂性的增加而设置多个帐户。 权限允许您指定对 AWS 资源的访问权限。权限被授予被称为*委托人*(用户、群组和角色)的 IAM 实体。默认情况下,委托人一开始就没有权限。在您向他们授予权限 AWS 之前,IAM 委托人无法在其中执行任何操作,并且您可以设置防护栏,其范围与整个 AWS 组织一样广泛,也可以像委托人、操作、资源和条件的个人组合一样精细地适用。