MALZ Netzwerkarchitektur - AMS-Benutzerhandbuch für Fortgeschrittene
Über die Landezone-Netzwerkarchitektur mit mehreren Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

MALZ Netzwerkarchitektur

Über die Landezone-Netzwerkarchitektur mit mehreren Konten

Bevor Sie mit dem Onboarding-Prozess in der AWS Managed Services (AMS) Multi-Account landing zone (MALZ) beginnen, ist es wichtig, die Basisarchitektur oder landing zone, die AMS in Ihrem Namen erstellt, sowie deren Komponenten und Funktionen zu verstehen.

Bei der AMS Multi-Account-Landing Zone handelt es sich um eine Multi-Account-Architektur, die mit der Infrastruktur vorkonfiguriert ist, um Authentifizierung, Sicherheit, Vernetzung und Protokollierung zu erleichtern.

Anmerkung

Kostenschätzungen finden Sie unter Grundkomponenten der AMS-Landezonenumgebung mit mehreren Konten.

Das folgende Diagramm zeigt auf grober Ebene die Kontostruktur und die Aufteilung der Infrastruktur in die einzelnen Konten:

AWS-Konto structure diagram showing management, shared services, network, security, and log archive accounts.

Service-Region

Alle Ressourcen innerhalb einer AMS-Landezone mit mehreren Konten werden aufgrund der aktuellen regionsübergreifenden Beschränkungen mit Active Directory und Transit Gateway in einer einzigen AWS-Region Ihrer Wahl bereitgestellt.

Organisationseinheiten

Eine typische AMS-Landezone mit mehreren Konten besteht aus vier Organisationseinheiten der obersten Ebene ()OUs:

  • Die zentrale Organisationseinheit (OU) (wird verwendet, um Konten zu gruppieren und als eine einzige Einheit zu verwalten)

  • Die Organisationseinheit der Anwendungen

  • Die vom Kunden verwaltete Organisationseinheit

  • Sie beschleunigen die OU

Mit der von AMS verwalteten landing zone für mehrere Konten können Sie auch benutzerdefinierte AWS-Konten OUs für die Gruppierung und Organisation erstellen und ihnen benutzerdefinierte SCPs Konten zuordnen. Beispiele hierfür finden Sie unter Verwaltungskonto | Benutzerdefiniertes Konto erstellen OUs und Verwaltungskonto erstellen | Benutzerdefiniertes SCP erstellen (Überprüfung erforderlich). AMS bietet vier bestehende Konten, in denen OUs neue Konten angefordert werden können: Accelerate, Applications > Managed, Applications > Development OUs und Customer-managed.

  • Beschleunigen Sie OU:

    Dies ist eine Organisationseinheit der obersten Ebene in der AMS Multi-Account-Landing landing zone (MALZ). Konten unter dieser Organisationseinheit werden von AMS mit einem RFC (Bereitstellung | Verwaltete landing zone | Verwaltungskonto | Accelerate-Konto erstellen, Typ-ID ändern: ct-2p93tyd5angmi) bereitgestellt. In diesen Accelerate-Anwendungskonten können Sie von beschleunigten Betriebsdiensten wie Überwachung und Warnmeldungen, Vorfallmanagement, Sicherheitsmanagement und Backup-Management profitieren. Weitere Informationen finden Sie unter AMS Accelerate-Konten.

  • Anwendungen > verwaltete Organisationseinheit:

    In dieser untergeordneten Organisationseinheit der Anwendungs-OU werden die Konten vollständig von AMS verwaltet, einschließlich aller betrieblichen Aufgaben. Zu den operativen Aufgaben gehören die Verwaltung von Serviceanfragen, das Vorfallmanagement, das Sicherheitsmanagement, das Kontinuitätsmanagement, das Patch-Management, die Kostenoptimierung, die Überwachung und das Eventmanagement. Diese Aufgaben werden für das Management Ihrer Infrastruktur ausgeführt. Bei Bedarf OUs können mehrere untergeordnete Objekte erstellt werden, bis die maximale Anzahl an verschachtelten Elementen für AWS-Organisationen erreicht OUs ist. Einzelheiten finden Sie unter Kontingente für AWS Organizations.

  • Anwendungen > OU für Entwicklung:

    Unter dieser Unter-OU der Anwendungs-OU in der von AMS verwalteten landing zone handelt es sich bei Konten um Konten im Entwicklermodus, die Ihnen erweiterte Berechtigungen zur Bereitstellung und Aktualisierung von AWS-Ressourcen außerhalb des AMS-Change-Management-Prozesses gewähren. Diese Organisationseinheit unterstützt bei Bedarf auch die Erstellung neuer untergeordneter Organisationseinheiten.

  • vom Kunden verwaltete Organisationseinheit:

    Dies ist eine Organisationseinheit der obersten Ebene in der AMS-Landezone für mehrere Konten. Konten unter dieser Organisationseinheit werden von AMS mit einem RFC bereitgestellt. Bei diesen Konten sind Sie für den Betrieb von Workloads und AWS-Ressourcen verantwortlich. Diese Organisationseinheit unterstützt bei Bedarf auch die Einrichtung neuer untergeordneter Organisationseinheiten.

Als bewährte Methode empfehlen wir, Konten anhand ihrer Funktionen OUs und Richtlinien unter diesen und individuell angeforderten Unterkonten zu gruppieren. OUs

Richtlinien zur Servicesteuerung und AWS-Organisation

AWS stellt Service-Kontrollrichtlinien (SCPs) für die Berechtigungsverwaltung in einer AWS-Organisation bereit. SCPs werden verwendet, um zusätzliche Richtlinien dafür zu definieren, welche Aktionen Benutzer in welchen Fällen ausführen können. OUs Standardmäßig stellt AMS eine Reihe von in der Verwaltung SCPs bereitgestellten Konten bereit, die Schutz auf verschiedenen Standard-OU-Ebenen bieten. Für SCP-Einschränkungen wenden Sie sich bitte an Ihren CSDM.

Sie können auch benutzerdefinierte erstellen SCPs und diese an bestimmte anhängen. OUs Sie können von Ihrem Verwaltungskonto aus mit dem Änderungstyp ct-33ste5yc7hprs angefordert werden. AMS überprüft dann die angeforderten benutzerdefinierten Daten, bevor sie auf das Ziel angewendet werden. SCPs OUs Beispiele finden Sie unter Verwaltungskonto | Benutzerdefiniertes Konto OUs und Verwaltungskonto erstellen | Benutzerdefiniertes SCP erstellen (Überprüfung erforderlich).