Architettura di rete MALZ - Guida per l'utente avanzato di AMS
Informazioni sull'architettura di rete multi-account landing zone

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Architettura di rete MALZ

Informazioni sull'architettura di rete multi-account landing zone

Prima di iniziare il processo di onboarding verso AWS Managed Services (AMS) Multi-account landing zone (MALZ), è importante comprendere l'architettura di base, o landing zone, che AMS crea per tuo conto, i suoi componenti e le sue funzioni.

La landing zone multi-account AMS è un'architettura multi-account, preconfigurata con l'infrastruttura per facilitare l'autenticazione, la sicurezza, il networking e la registrazione.

Nota

Per le stime dei costi, consulta i componenti di base dell'ambiente di landing zone multi-account AMS.

Il diagramma seguente illustra a grandi linee la struttura dei conti e il modo in cui l'infrastruttura è suddivisa in ciascuno dei conti:

Account AWS structure diagram showing management, shared services, network, security, and log archive accounts.

Regione del servizio

Tutte le risorse all'interno di una landing zone con più account AMS vengono distribuite all'interno di un'unica regione AWS di tua scelta, a causa dell'attuale limitazione interregionale con Active Directory e Transit Gateway.

Unità organizzative

Una tipica landing zone con più account AMS è composta da quattro unità organizzative di primo livello ()OUs:

  • L'unità organizzativa (OU) principale (utilizzata per raggruppare gli account da amministrare come unità singola)

  • L'unità organizzativa delle applicazioni

  • L'unità organizzativa gestita dal cliente

  • Accelerano l'unità organizzativa

La landing zone multi-account gestita da AMS consente inoltre di creare account personalizzati OUs per il raggruppamento e l'organizzazione di account AWS e di associare account personalizzati SCPs ad essi; per esempi su questa operazione, consulta rispettivamente Account di gestione | Creazione di account personalizzato OUs e di gestione | Creazione di un SCP personalizzato (revisione richiesta). AMS offre quattro account esistenti OUs in base ai quali è possibile richiedere nuovi account: accelerate, applications > managed, applications > development OUs e customer-managed.

  • accelerare OU:

    Si tratta di un'unità organizzativa di primo livello in AMS multi-account landing zone (MALZ). Gli account di questa unità organizzativa vengono forniti da AMS con un RFC (Deployment | Managed landing zone | Management account | Create Accelerate account, change type ID: ct-2p93tyd5angmi). In questi account Accelerate Application, puoi beneficiare di servizi operativi accelerati come monitoraggio e avvisi, gestione degli incidenti, gestione della sicurezza e gestione dei backup. Per maggiori dettagli, consulta Account AMS Accelerate.

  • applicazioni > unità organizzativa gestita:

    In questa unità organizzativa secondaria dell'Application OU, gli account sono completamente gestiti da AMS, comprese tutte le attività operative. Le attività operative comprendono la gestione delle richieste di assistenza, la gestione degli incidenti, la gestione della sicurezza, la gestione della continuità, la gestione delle patch, l'ottimizzazione dei costi, il monitoraggio e la gestione degli eventi. Queste attività vengono eseguite per la gestione dell'infrastruttura. OUs È possibile creare più figli in base alle esigenze, fino al raggiungimento del limite massimo di nested OUs per le organizzazioni AWS. Per i dettagli, consulta Quotas for AWS Organizations.

  • applicazioni > unità organizzativa di sviluppo:

    In questa unità organizzativa secondaria dell'unità organizzativa dell'applicazione nella landing zone gestita da AMS, gli account sono account in modalità sviluppatore che forniscono autorizzazioni elevate per il provisioning e l'aggiornamento di risorse AWS al di fuori del processo di gestione delle modifiche AMS. Questa unità organizzativa supporta anche la creazione di nuove unità organizzative secondarie, se necessario.

  • OU gestita dal cliente:

    Si tratta di un'unità organizzativa di primo livello nella landing zone multi-account AMS. Gli account appartenenti a questa unità organizzativa vengono forniti da AMS con una RFC. In questi account, le operazioni dei carichi di lavoro e delle risorse AWS sono sotto la tua responsabilità. Questa unità organizzativa supporta anche la creazione di nuove unità organizzative secondarie, se necessario.

Come procedura ottimale, consigliamo di raggruppare gli account in queste OUs sottocategorie e in quelle richieste dall'utente in base alle relative funzionalità e politiche. OUs

Policy di controllo dei servizi e AWS Organization

AWS fornisce policy di controllo dei servizi (SCPs) per la gestione delle autorizzazioni in un'organizzazione AWS. SCPs vengono utilizzati per definire barriere aggiuntive per quali azioni gli utenti possono eseguire e quali. OUs Per impostazione predefinita, AMS fornisce una serie di account SCPs distribuiti in gestione che forniscono protezioni a diversi livelli di unità organizzative predefiniti. Per le restrizioni SCP, contattate il vostro CSDM.

Puoi anche crearne di personalizzati SCPs e allegarli a specifici. OUs Possono essere richiesti dal tuo account di gestione utilizzando il tipo di modifica ct-33ste5yc7hprs. AMS esamina quindi le personalizzazioni richieste prima di applicarle all'obiettivo. SCPs OUs Ad esempio, vedi Account di gestione | Crea account personalizzato OUs e di gestione | Crea SCP personalizzato (revisione richiesta).