專屬帳戶結構

通過進行簡短的調查來影響AWS安全參考架構（AWSSRA）的 future。

AWS 帳戶為您的 AWS 資源提供安全、存取和帳單界限，並讓您實現資源獨立性和隔離。默認情況下，帳戶之間不允許訪問。 

在設計 OU 和帳戶結構時，請先考慮安全性和基礎結構。我們建議您為這些特定功能建立一組基礎 OU，並分割為「基礎結構」和「安全性 OU」。這些 OU 和帳戶建議擷取了我們針對 AWS Organizations 和多帳戶結構設計更廣泛、更全面的準則的一部分。如需完整的建議集，請參閱 AWS 文件中的使用多個帳戶組織 AWS 環境和 AWS Organ izations 的組織單位最佳實務部落格文章。 

AWS SRA 利用下列帳戶在 AWS 上實現有效的安全操作。這些專屬帳戶有助於確保責任分離、針對應用程式和資料的不同敏感性支援不同的治理和存取原則，並協助減輕安全性事件的影響。在接下來的討論中，我們專注於生產 (prod) 帳戶及其相關工作負載。軟體開發生命週期 (SDLC) 帳戶 (通常稱為開發和測試帳戶) 用於暫存交付項目，並且可以在與生產帳戶設定不同的安全性原則下運作。

 

帳戶	OU	安全性角色
管理	—	集中管理和管理所有 AWS 區域和帳戶。託管 AWS 組織根目錄的 AWS 帳戶。
安全工具	安全性	專用 AWS 帳戶可用於操作廣泛適用的安全服務 (例如 Amazon GuardDuty、AWS Security Hub、AWS Audit Manager、亞馬遜 Detective、Amazon Inspector 和 AWS Config)、監控 AWS 帳戶，以及自動執行安全警示和回應。在 AWS Control Tower 中，安全 OU 下帳戶的預設名稱為稽核帳戶。)
日誌存檔	安全性	專用 AWS 帳戶，用於導入和存檔所有 AWS 區域和 AWS 帳戶的所有記錄和備份。這應該被設計為不可變的存儲。
網路	基礎建	您的應用程式和更廣泛的網際網路之間的閘道。Network 帳戶將更廣泛的網路服務、組態和作業與個別應用程式工作負載、安全性和其他基礎架構隔離開來。
共用服務	基礎建	此帳戶支援多個應用程式和團隊用來交付成果的服務。範例包括身分識別中心目錄服務 (Active Directory)、訊息服務和中繼資料服務。
應用	工作負載	託管 AWS 組織應用程式和執行工作負載的 AWS 帳戶。(有時稱為「工作負載」帳戶。) 應建立應用程式帳戶以隔離軟體服務，而不是對應至您的團隊。這使得部署的應用程序對組織變化更具彈性。