Choisir un seul MALZ ou plusieurs MALZs

Coût de base

Moins élevé, optimisé à environ 3 000$ par mois.

Plus élevé, un coût supplémentaire d'environ 3 000$ par environnement.

Facturation

Facture unique, grâce à un seul compte de facturation/gestion.

Facture distincte pour chaque zone d'atterrissage multi-comptes. Actuellement, AWS Org ne prend pas en charge les comptes à gestion multiple avec une facture unique.

Portabilité des instances réservées existantes (RIs)

Faible. RIs Les AWS ne sont actuellement pas convertibles entre plusieurs comptes de facturation. Vous réutiliseriez l'existant RIs pour une zone de landing zone multi-comptes.

Plus bas. Vous réutiliseriez et distribueriez RIs sur toute la zone de landing multi-comptes.

Réductions sur la hiérarchisation des produits

Élevée. Consultez la section Réductions sur volume.

Faible. Consultez la section Réductions sur volume.

Frais de configuration initiale (dans le respect des project/migration délais)

Faible. Intégrations Active Directory, réseau et authentification unique (SSO) une seule fois.

Élevée. Vous effectueriez Active Directory, l'intégration réseau et les intégrations SSO pour chaque zone de landing zone. Cela peut entraîner des retards potentiels dans tout projet de migration.

Configurabilité des services communs

Peu d'efforts. Vous configurez common/shared des services tels que le DNS, la sauvegarde, la surveillance, la journalisation, etc.

Des efforts importants. Une planification supplémentaire est nécessaire pour déterminer où seront situés l'infrastructure ou les services communs. Le trafic passant par plusieurs passerelles de transit (TGWs) dans chaque zone d'atterrissage peut entraîner des coûts supplémentaires.

Evolutivité

Moyen. AMS a actuellement une limite pratique de 150 comptes par zone d'atterrissage multi-comptes. Plusieurs équipes ou fournisseurs exécutant des applications sur le même compte peuvent avoir accès à des piles appartenant à différentes équipes. Cette limitation peut être atténuée en contrôlant l'accès aux piles spécifiques à l'application au niveau de la ServiceNow couche (en intégrant l'application AMS ServiceNow Connector et en utilisant des balises). Demandez aux responsables techniques de livraison (TDMs) ou aux architectes cloud (CAs) d'AMS comment implémenter cela.

Élevée. Possibilité de tirer parti de plusieurs zones de landing multi-comptes pour distribuer les comptes tout en atteignant le niveau de ségrégation des comptes ou des applications. La gestion d'un grand nombre de comptes peut entraîner des frais généraux d'exploitation ou de coûts.

Risque opérationnel

(Cela dépend) Faible. Intégration opérationnelle et disponibilité opérationnelle une seule fois. Moins de risques de dérives du processus.

(Cela dépend) Faible. Multiples activités d'intégration et opérationnelles. La dérive dans plusieurs zones d'atterrissage au cours de cette période pourrait entraîner des risques opérationnels.

Plusieurs régions AWS

Région AWS unique. La zone de landing multi-comptes AMS est limitée à une seule région AWS. Pour couvrir plusieurs régions AWS, utilisez plusieurs zones de landing zone multi-comptes.

Plusieurs régions AWS. Avec plusieurs zones d'atterrissage multi-comptes, vous pouvez déployer chaque MALZ dans une région et les interconnecter à l'aide de la passerelle de transit (TGW) peering.

Migration ou portabilité du compte

Oui. Il est possible de déplacer des comptes d'une unité organisationnelle à une autre au sein de la même organisation AWS.

Non AMS ne prend pas en charge la migration d'un compte entre les zones d'atterrissage, c'est-à-dire entre AWS Organizations. Les charges de travail peuvent atteindre plusieurs zones d'atterrissage grâce à la passerelle de transit (TGW) ou au peering VPC.

Gestion des modifications

Moyen. Les modifications destructives apportées à des composants courants tels que TGW, Active Directory (AD) ou sortants (sortie) peuvent avoir un impact sur toutes les charges de travail dans une zone de landing zone multi-comptes. Cependant, les modifications apportées aux composants gérés par AMS sont testées en interne et intégrées dans des mises à jour continues.

Faible. Les modifications destructives apportées à des composants courants tels que le TGW, l'AD ou l'outbound (sortie) ne peuvent avoir d'impact que sur les charges de travail dans cette zone de landing multi-comptes spécifique.

Contrôles des données et des accès

(Cela dépend) Peu de contrôle si vous souhaitez vous connecter à différents réseaux sur site et sur site pour les charges de travail Prod ADs et Non-Prod. La fédération SAML, les domaines TGW et les groupes de sécurité (SGs) peuvent également aider à mettre en œuvre les contrôles requis.

(Cela dépend) Contrôle élevé si vous souhaitez vous connecter à différents réseaux sur site et sur site pour les charges de travail Prod ADs et Non-Prod. Utilisez des zones d'atterrissage séparées pour des exigences de conformité strictes.

Conformité et sécurité

(Cela dépend) Faible s'il existe des exigences de conformité strictes pour séparer complètement les charges de travail matérielles des charges de travail non matérielles. Des contrôles préventifs et de détection conformes à la norme AMS sont en place.

(Cela dépend) Une zone d'atterrissage pouvant aller jusqu'à plusieurs comptes pourrait aider à respecter des exigences de conformité strictes en séparant complètement les charges de travail matérielles des charges de travail non matérielles. Des contrôles préventifs et de détection conformes à la norme AMS sont en place.