Arquitectura de red MALZ - Guía de usuario avanzada de AMS
Acerca de la arquitectura de red de landing zone multicuenta

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Arquitectura de red MALZ

Acerca de la arquitectura de red de landing zone multicuenta

Antes de iniciar el proceso de incorporación a la zona de aterrizaje multicuenta (MALZ) de AWS Managed Services (AMS), es importante que comprenda la arquitectura básica, o zona de aterrizaje, que AMS crea en su nombre, así como sus componentes y funciones.

La zona de aterrizaje multicuenta AMS es una arquitectura de varias cuentas, preconfigurada con la infraestructura necesaria para facilitar la autenticación, la seguridad, la creación de redes y el registro.

nota

Para obtener estimaciones de los costos, consulte los componentes básicos del entorno AMS multi-account landing zone.

El siguiente diagrama describe en detalle la estructura de las cuentas y cómo se segrega la infraestructura en cada una de las cuentas:

Cuenta de AWS structure diagram showing management, shared services, network, security, and log archive accounts.

Región del servicio

Todos los recursos de una zona de aterrizaje multicuenta de AMS se implementan en la única región de AWS que elija, debido a la limitación actual entre regiones con Active Directory y Transit Gateway.

Unidades organizativas

Una típica zona de aterrizaje multicuenta de AMS consta de cuatro unidades organizativas de nivel superior ()OUs:

  • La unidad organizativa (OU) principal (utilizada para agrupar cuentas y administrarlas como una sola unidad)

  • La unidad organizativa de la aplicación

  • La unidad organizativa gestionada por el cliente

  • La OU acelerada

La zona de aterrizaje multicuenta administrada por AMS también le permite crear una cuenta personalizada OUs para agrupar y organizar las cuentas de AWS y asociarlas SCPs con la personalización; para ver ejemplos de cómo hacerlo, consulte Cuenta de administración | Crear cuenta de administración | Crear una cuenta de administración personalizada OUs y de administración | Crear SCP personalizada (es necesario revisar), respectivamente. AMS ofrece cuatro cuentas existentes que OUs permiten solicitar cuentas nuevas: Accelerate, aplicaciones > administradas, aplicaciones > desarrollo OUs y administradas por el cliente.

  • Acelere la OU:

    Se trata de una unidad organizativa de nivel superior en la zona de aterrizaje multicuenta (MALZ) de AMS. AMS aprovisiona las cuentas de esta OU con un RFC (Deployment | Managed landing zone | Management account | Create Accelerate Accelerate, ID de tipo de cambio: ct-2p93tyd5angmi). En estas cuentas de aplicaciones aceleradas, puede beneficiarse de servicios operativos acelerados, como la supervisión y las alertas, la gestión de incidentes, la gestión de la seguridad y la gestión de las copias de seguridad. Para obtener más información, consulte las cuentas de AMS Accelerate.

  • aplicaciones > OU gestionada:

    En esta subunidad organizativa de la OU de la aplicación, AMS administra en su totalidad las cuentas, incluidas todas las tareas operativas. Las tareas operativas incluyen la gestión de las solicitudes de servicio, la gestión de incidentes, la gestión de la seguridad, la gestión de la continuidad, la gestión de los parches, la optimización de costes, la supervisión y la gestión de eventos. Estas tareas se llevan a cabo para la gestión de su infraestructura. Se OUs pueden crear varios elementos secundarios según sea necesario, hasta que OUs se alcance un límite máximo de anidados para las organizaciones de AWS. Para obtener más información, consulte Quotas for AWS Organizations.

  • aplicaciones > OU de desarrollo:

    Según esta sub-OU de la OU de la aplicación en una zona de aterrizaje gestionada por AMS, las cuentas son cuentas en modo desarrollador que le proporcionan permisos elevados para aprovisionar y actualizar los recursos de AWS fuera del proceso de gestión de cambios de AMS. Esta unidad organizativa también permite la creación de nuevas unidades organizativas secundarias, según sea necesario.

  • OU gestionada por el cliente:

    Se trata de una unidad organizativa de nivel superior en la zona de aterrizaje multicuenta de AMS. AMS aprovisiona las cuentas incluidas en esta OU con una RFC. En estas cuentas, las operaciones de las cargas de trabajo y los recursos de AWS son su responsabilidad. Esta unidad organizativa también apoya la creación de nuevas unidades organizativas secundarias, según sea necesario.

Como práctica recomendada, recomendamos agrupar las cuentas incluidas en estas OUs subdivisiones y las solicitadas de forma OUs personalizada en función de sus funcionalidades y políticas.

Políticas de control de servicios y AWS Organization

AWS proporciona políticas de control de servicios (SCPs) para la administración de permisos en una organización de AWS. SCPs se utilizan para definir barreras adicionales sobre qué acciones pueden realizar los usuarios y cuáles. OUs De forma predeterminada, AMS proporciona un conjunto de cuentas integradas SCPs en la administración que proporcionan protección en diferentes niveles de unidad organizativa predeterminados. Para conocer las restricciones de SCP, póngase en contacto con su CSDM.

También puede crear personalizadas SCPs y adjuntarlas a otras específicas. OUs Se pueden solicitar desde su cuenta de administración mediante el tipo de cambio ct-33ste5yc7hprs. A continuación, AMS revisa la personalización solicitada antes de aplicarla al objetivo. SCPs OUs Para ver ejemplos, consulte Cuenta de administración | Crear una cuenta de administración OUs y personalizada | Crear un SCP personalizado (es necesario revisar).