本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 組織管理帳戶
<a name="org-management-account"></a>

**調查**  
我們希望聽到您的意見。請進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2)，以提供對 AWS PRA 的意見回饋。

Org Management 帳戶主要用於管理組織中所有帳戶的基礎隱私權控制的資源組態偏離，這些帳戶由 管理 AWS Organizations。此帳戶也是您可以一致地部署新成員帳戶的地方，具有許多相同的安全和隱私權控制。如需此帳戶的詳細資訊，請參閱[AWS 安全參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html)。下圖說明組織管理帳戶中設定 AWS 的安全性和隱私權服務。

![\[AWS 部署在 Org Management 帳戶中的 服務。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Org-Management.png)


**Topics**
+ [AWS Artifact](#aws-artifact)
+ [AWS Control Tower](#aws-control-tower)
+ [AWS Organizations](#aws-organizations)

## AWS Artifact
<a name="aws-artifact"></a>

[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) 可透過隨需下載 AWS 安全與合規文件，協助您進行稽核。如需如何在安全內容中使用此服務的詳細資訊，請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-artifact)。

這 AWS 服務 可協助您了解繼承的 AWS 控制項，並判斷在環境中實作可能還剩哪些控制項。 AWS Artifact 提供 AWS 安全和合規報告的存取權，例如系統和組織控制 (SOC) 報告和支付卡產業 (PCI) 報告。它也提供跨地理位置和合規垂直機構的認證存取權，以驗證 AWS 控制的實作和操作有效性。使用 AWS Artifact， 您可以將 AWS 稽核成品提供給稽核人員或監管機構，做為 AWS 安全和隱私權控制的證據。下列報告可能有助於示範 AWS 隱私權控制的有效性：
+ **SOC 2 第 2 類隱私權報告** – 此報告示範了如何收集、使用、保留、揭露和處置個人資料的 AWS 控制的有效性。也有 [SOC 3 隱私權報告，](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf)這是 SOC 2 隱私權控制的詳細描述。如需詳細資訊，請參閱 [SOC 常見問答集](https://aws.amazon.com/compliance/soc-faqs/)。
+ **雲端運算合規控制目錄 (C5)** – 此報告是由德國國家網路安全局 Bundesamt für Sicherheit in der Informationstechnik (BSI) 所建立。它詳細說明了為了符合 C5 要求而 AWS 實作的安全控制。它還包含與資料位置、服務佈建、司法管轄區和資訊披露義務相關的其他隱私權控制要求。
+ **ISO/IEC 27701：2019 認證報告** ­–[ISO/IEC 27701：2019](https://aws.amazon.com/compliance/iso-27701-faqs/?refid=sl_card) 說明建立和持續改善隱私權資訊管理系統 (PIMS) 的要求和指導方針。此報告會詳細說明此認證的範圍，並可做為 AWS 認證證明。如需此標準的詳細資訊，請參閱 [ISO/IEC 27701：2019](https://www.iso.org/standard/71670.html) (ISO 網站）。

## AWS Control Tower
<a name="aws-control-tower"></a>

[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 可協助您設定和管理遵循規範性安全建議實務的 AWS 多帳戶環境。如需如何在安全內容中使用此服務的詳細資訊，請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-tower)。

在 中 AWS Control Tower，您也可以自動化部署許多主動、預防性和偵測性控制項，也稱為*護欄*，這些控制項符合您的資料隱私權要求，特別是針對資料落地和主權。例如，您可以指定將資料傳輸限制為僅核准 的護欄 AWS 區域。如需更精細的控制，您可以從超過 17 個旨在控制資料駐留的 護欄中進行選擇，例如*不允許 Amazon Virtual Private Network (VPN) 連線*、*不允許 Amazon VPC 執行個體的網際網路存取*，以及* AWS 根據請求拒絕對 的存取 AWS 區域*。這些護欄由許多勾 AWS CloudFormation 點、服務控制政策和 AWS Config 規則組成，可統一部署到整個組織中。如需詳細資訊，請參閱 AWS Control Tower 文件中的[增強資料駐留保護的控制項](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html)。

對於資料主權， AWS Control Tower 目前提供預防性控制，例如*需要將連接的 Amazon EBS 磁碟區設定為加密靜態資料**，以及需要 AWS KMS 金鑰政策才能擁有限制 AWS KMS 授予建立的陳述式 AWS 服務*。主權控制比資料駐留控制更廣泛。它們有助於防止可能違反資料駐留、精細存取限制、加密和彈性要求的動作。如需詳細資訊，請參閱 AWS Control Tower 文件中的[協助數位主權的預防性控制](https://docs.aws.amazon.com/controltower/latest/controlreference/ds-preventive-controls.html)。

如果您需要在資料駐留和主權控制之外部署隱私權護欄， AWS Control Tower 包含許多[強制性控制](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html)。當您設定登陸區域時，這些控制項預設會部署到每個 OU。其中許多都是旨在保護日誌的預防性控制，例如*不允許刪除日誌封存*和*啟用 CloudTrail 日誌檔案的完整性驗證*。

AWS Control Tower 也與 整合 AWS Security Hub CSPM ，以提供偵測性控制。這些控制項稱為[服務受管標準： AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。您可以使用這些控制項來監控隱私權支援控制項的組態偏離，例如 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體的靜態加密。

## AWS Organizations
<a name="aws-organizations"></a>

 AWS PRA 使用 AWS Organizations 來集中管理架構中的所有帳戶。如需詳細資訊，請參閱本指南中的 [AWS Organizations 和專用帳戶結構](organization-account-structure.md)。在 中 AWS Organizations，您可以使用服務控制政策 SCPs) [和管理政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html)來協助保護個人資料和隱私權。

### 服務控制政策 (SCP)
<a name="aws-organizations-scps"></a>

[服務控制政策 SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 是一種組織政策，可用來管理組織中的許可。它們可集中控制目標帳戶、組織單位 AWS Identity and Access Management (OU) 或整個組織中 (IAM) 角色和使用者的最大可用許可。您可以從組織管理帳戶建立和套用 SCPs。

您可以使用 AWS Control Tower 在您的 帳戶間統一部署 SCPs。如需有關可套用的資料駐留控制的詳細資訊 AWS Control Tower，請參閱本指南[AWS Control Tower](#aws-control-tower)中的 。 AWS Control Tower 包含預防性 SCPs的完整補充。如果您的組織中目前 AWS Control Tower 未使用 ，您也可以手動部署這些控制項。

#### 使用 SCPs來處理資料駐留需求
<a name="using-scps-to-address-data-residency-requirements"></a>

通常透過在特定地理區域內存放和處理資料來管理個人資料駐留要求。為了確認符合司法管轄區的唯一資料落地要求，我們建議您與法規團隊緊密合作，以確認您的要求。確定這些要求後，有一些 AWS 基本的隱私權控制可以協助支援。例如，您可以使用 SCPs 來限制 AWS 區域 可用於處理和存放資料的 SCP。如需範例政策，請參閱本指南[限制跨 的資料傳輸 AWS 區域](restrict-data-transfers-across-regions.md)中的 。

#### 使用 SCPs 限制高風險 API 呼叫
<a name="using-scps-to-restrict-high-risk-api-calls"></a>

請務必了解 AWS 負責哪些安全與隱私權控制，以及您負責哪些安全與隱私權控制。例如，您必須負責對您使用的 進行 API AWS 服務 呼叫的結果。您也必須負責了解哪些呼叫可能會導致安全性或隱私權狀態變更。如果您擔心維護特定安全性和隱私權狀態，您可以啟用拒絕特定 API 呼叫SCPs。這些 API 呼叫可能會有影響，例如意外公開個人資料或違反特定跨邊界資料傳輸。例如，您可能想要禁止下列 API 呼叫：
+ 啟用對 Amazon Simple Storage Service (Amazon S3) 儲存貯體的公開存取
+ 停用 Amazon GuardDuty 或為資料外洩問題清單建立抑制規則，例如[木馬程式：EC2/DNSDataExfiltration](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-dnsdataexfiltration) 問題清單
+ 刪除 AWS WAF 資料外洩規則
+ 公開共用 Amazon Elastic Block Store (Amazon EBS) 快照
+ 從組織移除成員帳戶
+ 取消 Amazon CodeGuru Reviewer 與儲存庫的關聯

### 管理政策
<a name="aws-organizations-management-policies"></a>

中的[管理政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) AWS Organizations 可協助您集中設定和管理 AWS 服務 及其功能。您選擇的管理政策類型會決定政策如何影響繼承政策的 OUs和帳戶。[標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)是 中與隱私權 AWS Organizations 直接相關的管理政策範例。

#### 使用標籤政策
<a name="using-tag-policies"></a>

[標籤](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)是可協助您管理、識別、組織、搜尋和篩選 AWS 資源的關鍵值對。套用可區分組織中處理個人資料之資源的標籤會很有用。使用標籤支援本指南中的許多隱私權解決方案。例如，您可能想要套用標籤，指出正在資源中處理或存放之資料的一般資料分類。您可以撰寫屬性型存取控制 (ABAC) 政策，限制對具有特定標籤或一組標籤的資源的存取。例如，您的政策可能會指定 `SysAdmin`角色無法存取具有 `dataclassification:4`標籤的資源。如需詳細資訊和教學課程，請參閱 IAM 文件中的[根據標籤定義存取 AWS 資源的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。此外，如果您的組織使用 [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 在許多帳戶中的備份之間廣泛套用資料保留政策，您可以套用將資源置於該備份政策範圍內的標籤。

[標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)可協助您在整個組織中維持一致的標籤。在標籤政策中，您可以指定在資源加上標籤時套用的規則。例如，您可以要求資源加上特定金鑰的標籤，例如 `DataClassification`或 `DataSteward`，而且您可以為金鑰指定有效的大小寫處理方式或值。您也可以使用[強制執行](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-enforcement.html)來防止不合規標記請求完成。

使用標籤做為隱私權控制策略的核心元件時，請考慮下列事項：
+ 考慮將個人資料或其他類型的敏感資料放置在標籤索引鍵或值中的影響。當您聯絡 AWS 以取得技術協助時， AWS 可能會分析標籤和其他資源識別符，以協助解決問題。標籤資料不會加密 AWS 服務，例如 AWS 帳單與成本管理， 可以讀取這些資料。因此，您可能想要取消識別標籤值，然後使用您控制的系統重新識別它們，例如 IT 服務管理 (ITSM) 系統。 AWS 建議不要在標籤中包含個人識別資訊。
+ 請考慮某些標籤值需要不可變 （不可修改），以防止規避技術控制項，例如依賴標籤的 ABAC 條件。