本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # SRA 建置區塊 – AWS Organizations、帳戶和護欄 | | | --- | | 進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua),以影響 AWS 安全參考架構 (AWS SRA) 的未來。 | AWS 安全服務、其控制項和互動最適合在 AWS[多帳戶策略](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)和身分和存取管理護欄的基礎上使用。這些護欄可設定您實作最低權限、職責分離和隱私權的能力,並針對需要哪些類型控制、管理每個安全服務的位置,以及他們如何在 AWS SRA 中共用資料和許可等決策提供支援。 為您的 AWS 資源 AWS 帳戶 提供安全、存取和計費界限,並可讓您實現資源獨立性和隔離。使用多個 在如何滿足安全需求方面 AWS 帳戶 扮演重要角色,如使用[多個 AWS 帳戶](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html)帳戶整理環境的效益白皮書中所述。 * AWS *例如,您可以根據函數、合規要求或常見的控制項集,將工作負載組織在組織單位 (OU) 內的個別帳戶和群組帳戶中,而不是鏡像企業的報告結構。請記住安全性和基礎設施,讓您的企業能夠在工作負載成長時設定常見的防護機制。此方法可在工作負載之間提供強大的界限和控制。帳戶層級區隔結合 AWS Organizations用於隔離生產環境與開發和測試環境,或在處理支付卡產業資料安全標準 (PCI DSS) 或健康保險流通與責任法案 (HIPAA) 等不同分類資料的工作負載之間提供強大的邏輯界限。雖然您可以使用單一帳戶開始您的 AWS 旅程,但 AWS 建議您隨著工作負載的大小和複雜性增加而設定多個帳戶。 許可可讓您指定 AWS 資源的存取權。將許可授予稱為*主體 *(使用者、群組和角色) 的 IAM 實體。根據預設,主體會從沒有許可開始。在授予許可 AWS 之前,IAM 主體在 中什麼都不做,而且您可以設定護欄,廣泛套用到整個 AWS 組織,或微調為主體、動作、資源和條件的個別組合。