Usando AWS Control Tower puedes partir desde las buenas prácticas, con un esquema multi-cuenta, donde centralmente puedas forzar el cumplimiento de políticas (GuardRails) mientras centralizas y proteges los logs de AWS Cloudtrail en una cuenta de logging.
Los siguientes servicios de seguridad están integrados a AWS Organizations (AWS Control Tower incluye Organizations), para una gestión central desde la cuenta de Seguridad (o Audit)
https://aws.amazon.com/es/controltower/pricing (el servicio es gratuito, sólo tiene costo la infraestructura que genera)