Arsitektur jaringan MALZ - Panduan Pengguna Tingkat Lanjut AMS
Tentang arsitektur jaringan landing zone multi-akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Arsitektur jaringan MALZ

Tentang arsitektur jaringan landing zone multi-akun

Sebelum memulai proses orientasi ke AWS Managed Services (AMS) Multi-account landing zone (MALZ) AWS Managed Services (AMS), penting untuk memahami arsitektur dasar, atau landing zone, yang dibuat AMS atas nama Anda, komponen, dan fungsinya.

AMS multi-account landing zone adalah arsitektur multi-akun, pra-konfigurasi dengan infrastruktur untuk memfasilitasi otentikasi, keamanan, jaringan, dan logging.

catatan

Untuk perkiraan biaya, lihat komponen dasar lingkungan landing zone multi-akun AMS.

Diagram berikut menguraikan pada tingkat tinggi struktur akun dan bagaimana infrastruktur dipisahkan ke dalam masing-masing akun:

Akun AWS structure diagram showing management, shared services, network, security, and log archive accounts.

Wilayah layanan

Semua sumber daya dalam landing zone multi-akun AMS digunakan dalam satu Wilayah AWS pilihan Anda, karena batasan lintas wilayah saat ini dengan Active Directory dan Transit Gateway.

Unit organisasi

Landing zone multi-akun AMS yang khas terdiri dari empat unit organisasi tingkat atas ()OUs:

  • Unit Organisasi inti (OU) (digunakan untuk mengelompokkan akun bersama untuk mengelola sebagai satu unit)

  • Aplikasi OU

  • OU yang dikelola pelanggan

  • Percepatan OU

Landing zone multi-akun yang dikelola AMS juga memungkinkan Anda membuat kustom OUs untuk mengelompokkan dan mengatur Akun AWS dan mengaitkan kustom SCPs dengannya; untuk contoh dalam melakukan ini, lihat Akun manajemen | Membuat akun Kustom OUs dan Manajemen | Buat SCP Kustom (perlu ditinjau), masing-masing. AMS menyediakan empat yang sudah ada OUs di mana akun baru OUs dan dapat diminta: akselerasi, aplikasi> dikelola, aplikasi> pengembangan, dan dikelola pelanggan.

  • mempercepat OU:

    Ini adalah OU tingkat atas di AMS multi-account landing zone (MALZ). Akun di bawah OU ini disediakan oleh AMS dengan RFC (Deployment | Managed landing zone | Managed landing zone | Management account | Create Accelerate account, change type ID: ct-2p93tyd5angmi). Dalam akun aplikasi akselerasi ini, Anda bisa mendapatkan keuntungan dari mempercepat layanan operasional seperti pemantauan dan peringatan, manajemen insiden, manajemen keamanan, dan manajemen cadangan. Untuk detail selengkapnya, lihat akun AMS Accelerate.

  • aplikasi> OU terkelola:

    Dalam unit sub organisasi Aplikasi OU ini, akun dikelola sepenuhnya oleh AMS termasuk semua tugas operasional. Tugas operasional meliputi manajemen permintaan layanan, manajemen insiden, manajemen keamanan, manajemen kontinuitas, manajemen patch, optimalisasi biaya, pemantauan dan manajemen acara. Tugas-tugas ini dilakukan untuk manajemen infrastruktur Anda. Beberapa anak OUs dapat dibuat sesuai kebutuhan, hingga batas maksimum nested OUs tercapai untuk organisasi AWS. Untuk detailnya, lihat Kuota untuk AWS Organizations.

  • aplikasi> pengembangan OU:

    Di bawah Sub-OU aplikasi OU ini di landing zone yang dikelola AMS, akun adalah akun mode Pengembang yang memberi Anda izin tinggi untuk menyediakan dan memperbarui sumber daya AWS di luar proses manajemen perubahan AMS. OU ini juga mendukung penciptaan anak-anak baru OU sesuai kebutuhan.

  • OU yang dikelola pelanggan:

    Ini adalah OU tingkat atas di landing zone multi-akun AMS. Akun di bawah OU ini disediakan oleh AMS dengan RFC. Di akun ini, pengoperasian beban kerja dan sumber daya AWS adalah tanggung jawab Anda. OU ini juga mendukung penciptaan anak-anak baru OU sesuai kebutuhan.

Sebagai praktik terbaik, kami merekomendasikan agar akun di bawah ini OUs dan sub- permintaan khusus OUs dikelompokkan berdasarkan fungsi dan kebijakan mereka.

Kebijakan kontrol layanan dan AWS Organization

AWS menyediakan kebijakan kontrol layanan (SCPs) untuk manajemen izin di Organisasi AWS. SCPs digunakan untuk menentukan pagar pembatas tambahan untuk tindakan apa yang dapat dilakukan pengguna di mana. OUs Secara default, AMS menyediakan satu set yang SCPs digunakan dalam akun manajemen yang memberikan perlindungan pada tingkat OU default yang berbeda. Untuk pembatasan SCP, silakan hubungi CSDM Anda.

Anda juga dapat membuat kustom SCPs dan melampirkannya ke spesifik OUs. Mereka dapat diminta dari akun Manajemen Anda menggunakan jenis perubahan ct-33ste5yc7hprs. AMS kemudian meninjau kustom SCPs yang diminta sebelum menerapkannya ke target OUs. Untuk contoh, lihat Akun manajemen | Membuat akun Kustom OUs dan Manajemen | Buat SCP Kustom (Review Required).