本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS Organizations 和專用帳戶結構 **調查** 我們希望聽到您的意見。請進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2),以提供對 AWS PRA 的意見回饋。 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 是一種帳戶管理服務,可協助您集中管理和管理多個 AWS 帳戶。使用 AWS Organizations 是架構良好的多帳戶 AWS 環境的基礎。如需詳細資訊,請參閱[建立您的最佳實務 AWS 環境](https://aws.amazon.com/organizations/getting-started/best-practices/)。 下圖顯示 AWS PRA 的高階帳戶和組織單位 (OU) 結構。在大部分情況下,PRA 的組織結構 AWS 符合 [AWS SRA 的組織結構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/architecture.html)。 ![\[中的 AWS 隱私權參考架構帳戶結構 AWS Organizations。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/aws-pra-org-structure.png) 與 AWS SRA 組織的偏差包括: + AWS PRA 新增個人資料 (PD) OU,專門用於收集、儲存和處理個人資料。這種結構分離提供了靈活性,因此您可以定義特定、精細的控制,以協助保護個人資料免於意外洩露。 + 在基礎設施 OU 中, AWS PRA 目前不包含 AWS SRA 中所述的[共用服務帳戶](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/shared-services.html)的其他指引。 + AWS PRA 目前不包含 AWS SRA 中所述[的工作負載 OU](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html) 的其他指引。收集或處理個人資料的應用程式位於 PD OU 中的專用帳戶中。 您可以使用 [AWS Control Tower](https://aws.amazon.com/controltower/) 進行整體基礎控管,並自動部署整個組織的安全性和隱私權控制。如果 目前 AWS Control Tower 在您的組織中未使用,您仍然可以在其各自服務中部署許多安全與隱私權控制, AWS Control Tower例如服務控制政策和 AWS Config 規則。 當您規劃帳戶和 OU 結構時,考慮處理個人資料可能會有所幫助,包括帳戶區隔策略。您可能需要考慮處理的唯一使用案例和適用法律和法規的資料類型。例如,持卡人資料受到支付卡產業資料安全標準 (PCI DSS) 的保護,受保護的健康資訊可能受到健康保險流通與責任法案 (HIPAA) 的約束。您可能想要檢閱哪些環境包含個人資料,並大幅規劃您的區隔策略。典型的帳戶分割策略可以包括符合軟體開發生命週期 (SDLC) 的專用 AWS 帳戶 帳戶,例如開發專用帳戶、預備或品質保證 (QA) 和生產。這類分割策略可能是整體設計討論中的關鍵元件,您的 OUs 可能需要符合您的特定法規要求。 有些多帳戶 AWS 環境需要每個 的專用應用程式帳戶 AWS 區域,或者可能需要多帳戶登陸區域。在這種情況下,您需要額外的區隔來滿足客戶和監管機構的獨特資料主權要求。如需詳細資訊,請參閱本指南中的 [全球擴展的規劃](global-expansion.md)。