Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Architecture réseau MALZ
À propos de l'architecture du réseau de zones d'atterrissage multi-comptes
Avant de commencer le processus d'intégration à la zone d'accueil multi-comptes (MALZ) d'AWS Managed Services (AMS), il est important de comprendre l'architecture de base, ou zone de destination, qu'AMS crée en votre nom, ses composants et ses fonctions.
La zone de landing zone multi-comptes AMS est une architecture multi-comptes, préconfigurée avec l'infrastructure nécessaire pour faciliter l'authentification, la sécurité, la mise en réseau et la journalisation.
Note
Pour les estimations des coûts, voir les composants de base de l'environnement de zone d'atterrissage multi-comptes AMS.
Rubriques
Le schéma suivant décrit de manière générale la structure des comptes et la manière dont l'infrastructure est séparée dans chacun des comptes :
Région de service
Toutes les ressources d'une zone de landing zone multi-comptes AMS sont déployées dans la seule région AWS de votre choix, en raison de la limitation interrégionale actuelle avec Active Directory et Transit Gateway.
Unités d'organisation
Une zone de landing zone multi-comptes AMS typique comprend quatre unités organisationnelles de haut niveau () OUs :
L'unité organisationnelle (UO) principale (utilisée pour regrouper les comptes afin de les administrer en tant qu'unité unique)
L'UO des applications
L'unité d'organisation gérée par le client
L'unité d'intégration accélérée
La zone de landing multi-comptes gérée par AMS vous permet également de créer des comptes AWS personnalisés OUs pour regrouper et organiser des comptes AWS et de les SCPs associer à des comptes personnalisés ; pour des exemples à ce sujet, voir respectivement Compte de gestion | Créer un compte personnalisé OUs et un compte de gestion | Créer un SCP personnalisé (révision requise). AMS propose quatre comptes existants OUs dans le cadre desquels OUs de nouveaux comptes peuvent être demandés : accélération, applications > gérées, applications > développement et gestion par le client.
accélérer l'UO :
Il s'agit d'une unité d'organisation de haut niveau dans la zone d'atterrissage multi-comptes AMS (MALZ). Les comptes relevant de cette unité d'organisation sont approvisionnés par AMS à l'aide d'une RFC (déploiement | zone d'atterrissage gérée | Compte de gestion | Création d'un compte Accelerate, modification de l'ID de type : ct-2p93tyd5angmi). Dans ces comptes d'applications accélérés, vous pouvez bénéficier de services opérationnels accélérés tels que la surveillance et les alertes, la gestion des incidents, la gestion de la sécurité et la gestion des sauvegardes. Pour plus de détails, consultez la section Comptes AMS Accelerate.
applications > unité d'organisation gérée :
Dans cette sous-unité organisationnelle de l'UO de l'application, les comptes sont entièrement gérés par AMS, y compris toutes les tâches opérationnelles. Les tâches opérationnelles incluent la gestion des demandes de service, la gestion des incidents, la gestion de la sécurité, la gestion de la continuité, la gestion des correctifs, l'optimisation des coûts, la surveillance et la gestion des événements. Ces tâches sont effectuées dans le cadre de la gestion de votre infrastructure. Plusieurs enfants OUs peuvent être créés selon les besoins, jusqu'à ce qu'une limite maximale d'enfants imbriqués OUs soit atteinte pour les organisations AWS. Pour plus de détails, consultez la section Quotas for AWS Organizations.
applications > UO de développement :
Dans le cadre de cette sous-unité d'organisation de l'application dans la zone de landing zone gérée par AMS, les comptes sont des comptes en mode développeur qui vous fournissent des autorisations élevées pour fournir et mettre à jour des ressources AWS en dehors du processus de gestion des modifications d'AMS. Cette UO soutient également la création de nouvelles UO pour enfants selon les besoins.
UO gérée par le client :
Il s'agit d'une unité d'organisation de haut niveau dans la zone de landing multi-comptes AMS. Les comptes relevant de cette UO sont approvisionnés par AMS à l'aide d'une RFC. Dans ces comptes, vous êtes responsable du fonctionnement des charges de travail et des ressources AWS. Cette UO soutient également la création de nouvelles UO pour enfants selon les besoins.
À titre de bonne pratique, nous recommandons de regrouper les comptes relevant de ces sous-catégories OUs et des sous-comptes personnalisés OUs en fonction de leurs fonctionnalités et de leurs politiques.
Politiques de contrôle des services et AWS Organization
AWS fournit des politiques de contrôle des services (SCPs) pour la gestion des autorisations dans une organisation AWS. SCPs sont utilisés pour définir des garde-fous supplémentaires indiquant les actions que les utilisateurs peuvent effectuer et dans lesquelles. OUs Par défaut, AMS fournit un ensemble de comptes de gestion SCPs déployés qui fournissent des protections à différents niveaux d'unité d'organisation par défaut. Pour les restrictions relatives au SCP, veuillez contacter votre CSDM.
Vous pouvez également créer des éléments personnalisés SCPs et les associer à des éléments spécifiques OUs. Ils peuvent être demandés depuis votre compte de gestion en utilisant le type de modification ct-33ste5yc7hprs. AMS examine ensuite les personnalisations SCPs demandées avant de les appliquer à la cible OUs. Pour des exemples, voir Compte de gestion | Créer un compte personnalisé OUs et un compte de gestion | Créer un SCP personnalisé (révision requise).
