SRA 建置區塊 — AWS Organizations、帳戶和護欄

通過進行簡短的調查來影響AWS安全參考架構（AWSSRA）的 future。

AWS 安全服務、其控制和互動最適合用於 AWS 多帳戶策略以及身分和存取管理保護的基礎。這些護欄可設定您實作最低權限、職責分離和隱私權的能力，並提供支援決策說明需要哪些類型的控制項、管理每個安全服務的位置，以及它們如何在 AWS SRA 中共用資料和許可。 

AWS 帳戶可為您的 AWS 資源提供安全、存取和帳單界限，讓您實現資源獨立性和隔離。使用多個 AWS 帳戶在滿足安全要求方面扮演重要角色，如使用多個帳戶組織 AWS 環境白皮書中「使用多個 AWS 帳戶的好處」一節所述。例如，您可以根據功能、合規性需求或一組通用控制項，在組織單位 (OU) 內的個別帳戶和群組帳戶中組織工作負載，而不是鏡像企業的報表結構。牢記安全性和基礎架構，讓您的企業能夠隨著工作負載的增長設定常見的防護措施。此方法在工作負載之間提供強大的界限和控制。帳戶層級分隔結合 AWS Organizations Organization 可用來將生產環境與開發和測試環境隔離，或在處理不同分類資料的工作負載之間提供強大的邏輯界限，例如支付卡產業資料安全標準 (PCI DSS) 或 Health 保險可攜性與責任法案 (HIPAA)。雖然您可以使用單一帳戶開始 AWS 旅程，但 AWS 建議您在工作負載規模和複雜性不斷增加時設定多個帳戶。 

許可讓您指定 AWS 資源的存取權限。權限會授與稱為主體 (使用者、群組和角色) 的 IAM 實體。依預設，主參與者開始時沒有權限。IAM 實體在授予許可之前，無法在 AWS 中執行任何動作，而且您可以設定與整個 AWS 組織一樣廣泛適用的防護，或者作為主體、動作、資源和條件的個別組合進行細緻的防護。