本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
OU 設計:階段 1
對於範例中的跨國製藥公司, 中的組織和 OUs 的初始設計 AWS Organizations 嚴格遵循設定 AWS 建議 AWS Control Tower。如需範例,請參閱 AWS for Healthcare 上的登陸區域加速器
架構設計
下圖顯示初始 OU 架構。
安全性 OU
安全 OU 廣泛地將與安全功能 AWS 帳戶 相關的群組一起,並使用兩個帳戶 (Audit 和 Log Archive) 來存放安全操作資料,以便集中記錄和稽核對環境的存取。 AWS 核心安全服務,例如 Amazon GuardDuty,並 AWS Security Hub 位於稽核帳戶中。
基礎設施平台 OU
基礎設施平台 OU 會一起分組 AWS 帳戶 ,提供基礎設施基礎。此 OU 最初部署的 是中央網路元件 (閘道、防火牆、中央網路中樞和類似服務) AWS 帳戶 的 。
其他 OUs
其他公司特定的 OUs(例如臨床 OU) 會在低階階層中擴增基礎 OUs。工作負載是使用多帳戶結構,以及這些 OUs 中的個別環境實作。
驅動此初始設計的幾個考量:
-
巢狀 OUs 目前無法在 中使用 AWS Control Tower ,且需要廣泛的自訂。
-
為雲端指定的初始工作負載,著重於公司的特定層面,例如臨床試驗或製造設備分析 (功能檢視)。
-
公司區分五個工作負載環境 (開發、驗證、整合、訓練和生產)。公司需要遊樂場來開發應用程式,而不需透過 AWS 控制生產工作負載的嚴格控管。例如 Manufacturing-Dev OUs 等開發 OU 已為此目的指派。
-
工作負載自動化是每個應用程式生態系統的一部分,不需要分離。
-
基礎設施資格 (IQ) 和 GxP 合規程序不需要區分 OU 層級的 AWS 控制項。
