Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Elegir un solo MALZ o varios MALZs
La siguiente tabla proporciona algunas consideraciones de alto nivel a la hora de decidir entre una sola zona de aterrizaje multicuenta (MALZ) o varias zonas de aterrizaje multicuenta (por ejemplo, dos zonas de aterrizaje multicuenta: Prod y no Prod). En general, la elección depende de las necesidades individuales, los requisitos legales y las prácticas operativas.
| Entidad | Zona de aterrizaje AMS única | Varias (dos o más) zonas de aterrizaje |
|---|---|---|
Costo de la base |
Más baja, optimizada a un precio aproximado de 3000$ al mes. |
Más alto, un costo adicional de aproximadamente 3000 dólares por entorno. |
Facturación |
Factura única, debido a una sola cuenta de facturación/administración. |
Factura separada para cada landing zone multicuenta. Actualmente, la organización de AWS no admite cuentas de administración múltiple con una sola factura. |
Portabilidad de las instancias reservadas existentes () RIs |
Baja. Actualmente, AWS no RIs se puede convertir en varias cuentas de facturación. Reutilizarías la existente RIs para una zona de aterrizaje multicuenta. |
Inferior. Reutilizarías y distribuirías RIs en todas las zonas de landing zone con múltiples cuentas. |
Descuentos por estratificación de productos |
Alta. Consulta los descuentos por volumen. |
Bajo. Consulte Descuentos por volumen. |
Gastos generales de configuración inicial (según project/migration los plazos) |
Bajo. Integraciones de Active Directory, redes e inicio de sesión único (SSO) una sola vez. |
Alta. Realizaría integraciones de Active Directory, integración de red e integraciones de SSO para cada landing zone. Esto podría provocar posibles retrasos en cualquier proyecto de migración. |
Configurabilidad de los servicios comunes |
Esfuerzos bajos. Usted configura common/shared servicios como DNS, respaldo, monitoreo, registro, etc. |
Grandes esfuerzos. Se requiere una planificación adicional para determinar dónde se ubicarán la infraestructura o los servicios comunes. El tráfico que atraviese varias pasarelas de tránsito (TGWs) en cada landing zone podría suponer un coste adicional. |
Escalabilidad |
Medio. AMS tiene un límite práctico actual de 150 cuentas por zona de aterrizaje multicuenta. Varios equipos o proveedores que ejecuten aplicaciones en la misma cuenta podrían tener acceso a las pilas que pertenecen a diferentes equipos. Esta limitación se puede mitigar controlando el acceso a las pilas específicas de cada aplicación en la ServiceNow capa (integrando la aplicación AMS ServiceNow Connector y utilizando etiquetas). Pregunte a los directores de servicios técnicos (TDMs) o a los arquitectos de la nube (CAs) de AMS cómo implementarlo. |
Alta. Posibilidad de aprovechar varias zonas de aterrizaje multicuenta para distribuir las cuentas y, al mismo tiempo, lograr un nivel de segregación de cuentas o aplicaciones. Administrar un gran número de cuentas puede provocar gastos generales operativos o de costes. |
Riesgo operativo |
(Depende) Bajo. Integración operativa y preparación una sola vez. Menos posibilidades de que el proceso se desvíe. |
(Depende) Bajo. Múltiples actividades operativas y de integración. La deriva en varias zonas de aterrizaje durante el período podría conllevar riesgos operativos. |
Varias regiones de AWS |
Región única de AWS. La zona de landing de cuentas múltiples de AMS está restringida a una sola región de AWS. Para abarcar varias regiones de AWS, utilice varias zonas de landing con varias cuentas. |
Varias regiones de AWS. Con varias zonas de destino con varias cuentas, puede implementar cada MALZ en una región e interconectarlas mediante el peering de Transit Gateway (TGW). |
Migración o portabilidad de cuentas |
Sí. Es posible mover cuentas de una OU a otra dentro de la misma organización de AWS. |
No. AMS no admite la migración de una cuenta entre zonas de destino, es decir, entre AWS Organizations. Las cargas de trabajo pueden llegar a todas las zonas de aterrizaje con Transit Gateway (TGW) o interconexión de VPC. |
Administración de cambios |
Medio. Realizar cambios destructivos en componentes comunes como TGW, Active Directory (AD) o salientes (egress) puede afectar a todas las cargas de trabajo de una landing zone con varias cuentas. Sin embargo, los cambios en los componentes administrados por AMS se prueban internamente y se incluyen en actualizaciones sucesivas. |
Bajo. Realizar cambios destructivos en componentes comunes como TGW, AD o Outbound (egress) solo puede afectar a las cargas de trabajo de esa landing zone específica con varias cuentas. |
Controles de acceso y datos |
(Depende) Bajo control si desea conectarse a diferentes redes ADs y locales para cargas de trabajo propias o ajenas a Prod. La federación de SAML, los dominios TGW y los grupos de seguridad (SGs) también pueden ayudar a implementar los controles necesarios. |
(Depende) Alto control si desea conectarse a diferentes redes ADs y locales para cargas de trabajo propias y ajenas a Prod. Utilice zonas de aterrizaje separadas para cumplir con los estrictos requisitos de cumplimiento. |
Cumplimiento y seguridad |
(Depende) Bajo si hay requisitos de cumplimiento estrictos para separar por completo las cargas de trabajo materiales de las no materiales. Se han establecido controles preventivos y de detección estándares por la AMS. |
(Depende) Una zona de aterrizaje con múltiples cuentas podría ayudar a lograr estrictos requisitos de cumplimiento al segregar por completo las cargas de trabajo materiales de las no materiales. Se han establecido controles preventivos y de detección estándar por parte de la AMS. |
Recomendación: Sin un cumplimiento estricto o una necesidad multirregional, empezar con una sola landing zone multicuenta de AMS lograría un buen equilibrio entre el costo, la seguridad, la excelencia operativa y la complejidad de la migración. Siempre puedes configurar una landing zone adicional si te encuentras con alguna restricción empresarial o de cuenta.
