本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 專用帳戶結構
<a name="dedicated-accounts"></a>


|  | 
| --- |
| 進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua)，以影響 AWS 安全參考架構 (AWS SRA) 的未來。 | 

為您的 AWS 資源 AWS 帳戶 提供安全、存取和計費界限，並可讓您實現資源獨立性和隔離。根據預設，帳戶之間不允許存取。

設計 OU 和帳戶結構時，請先考慮安全性和基礎設施。我們建議為這些特定函數建立一組基礎 OUs，分為基礎設施和安全 OUs。這些 OU 和帳戶建議會擷取我們更廣泛、更全面的 AWS Organizations 和多帳戶結構設計的指導方針子集。如需完整的建議集，請參閱 文件中的 AWS [使用多個帳戶組織您的 AWS 環境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)，以及部落格文章 [組織單位的最佳實務 AWS Organizations](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/)。

 AWS SRA 利用下列帳戶來實現有效的安全操作 AWS。這些專用帳戶可協助確保職責分離、支援應用程式和資料不同敏感項目的不同控管和存取政策，以及協助減輕安全事件的影響。在接下來的討論中，我們專注於生產 (*產品） *帳戶及其相關聯的工作負載。軟體開發生命週期 (SDLC) 帳戶 （通常稱為*開發*和*測試*帳戶） 適用於預備交付項目，並且可以在與生產帳戶不同的安全政策集下操作。


| 
| 
| **帳戶** | **OU** | **安全角色** | 
| --- |--- |--- |
| 管理  | — | 集中控管和管理所有 AWS 區域 和 帳戶。 AWS 帳戶 託管組織根的 AWS 。 | 
| 安全工具 | 安全 | 專用 AWS 帳戶 於操作廣泛適用的安全服務 （例如 GuardDuty、Security Hub CSPM、Audit Manager、Detective、Amazon Inspector 和 AWS Config) AWS 帳戶、監控和自動化安全提醒和回應。（在 中 AWS Control Tower，Security OU 下帳戶的預設名稱為 *Audit 帳戶*。) | 
| 日誌封存 | 安全 | 專用 AWS 帳戶 於擷取和封存所有 AWS 區域 和 的所有記錄和備份 AWS 帳戶。這應該設計為不可變儲存。 | 
| 網路 | 基礎設施 | 應用程式與更廣泛的網際網路之間的閘道。網路帳戶會將更廣泛的聯網服務、組態和操作與個別應用程式工作負載、安全性和其他基礎設施隔離。 | 
| 共用服務 | 基礎設施 | 此帳戶支援多個應用程式和團隊用來交付其結果的服務。範例包括 Identity Center 目錄服務 (Active Directory)、簡訊服務和中繼資料服務。 | 
| 應用程式 | 工作負載 | AWS 帳戶 託管 AWS 組織的應用程式並執行工作負載。（這些有時稱為*工作負載帳戶*。) 應建立應用程式帳戶來隔離軟體服務，而不是映射至您的團隊。這可讓部署的應用程式對組織變更更具彈性。 |