翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
単一の MALZ または複数の MALZsの選択
次の表は、1 つのマルチアカウントランディングゾーン (MALZ) と複数のマルチアカウントランディングゾーン (例: 2 つのマルチアカウントランディングゾーン - Prod と非 Prod) のどちらかを決定する際の考慮事項の概要を示しています。一般的に、選択は個々のニーズ、法的要件、運用慣行によって異なります。
| エンティティ | 単一 AMS ランディングゾーン | 複数の (2 つ以上の) ランディングゾーン |
|---|---|---|
基本費用 |
低く、1 か月あたり約 3,000 USD で最適化されています。 |
より高い場合は、環境ごとに約 3,000 USD の追加コストが発生します。 |
請求 |
単一の請求/管理アカウントによる単一の請求。 |
マルチアカウントランディングゾーンごとに個別の請求書。現在、AWS Org は 1 回の請求でマルチ管理アカウントをサポートしていません。 |
既存のリザーブドインスタンス (RIsの移植性 |
低。AWS RIsは現在、複数の請求アカウント間で変換できません。マルチアカウントランディングゾーンの既存の RIs を再利用します。 |
下。RIs再利用し、すべてのマルチアカウントランディングゾーンに分散します。 |
製品階層化の割引 |
||
初期セットアップのオーバーヘッド (プロジェクト/移行タイムライン上) |
低。Active Directory、ネットワーキング、およびシングルサインオン (SSO) 統合は 1 回のみです。 |
高 ランディングゾーンごとに Active Directory、ネットワーク統合、および SSO 統合を実行します。これにより、移行プロジェクトに遅延が発生する可能性があります。 |
一般的なサービスの設定可能性 |
労力が少ない。DNS、バックアップ、モニタリング、ログ記録などの共通/共有サービスを設定します。 |
高い労力。一般的なインフラストラクチャやサービスが置かれている場所に対処するには、追加の計画が必要です。各ランディングゾーンの複数のトランジットゲートウェイ (TGWs) を通過するトラフィックは、追加料金が発生する可能性があります。 |
スケーラビリティ |
Medium。AMS には、マルチアカウントランディングゾーンあたり 150 個のアカウントという現在の実用的な制限があります。同じアカウントでアプリケーションを実行している複数のチームまたはベンダーは、異なるチームが所有するスタックにアクセスできる可能性があります。この制限は、ServiceNow レイヤーでアプリケーション固有のスタックへのアクセスを制御することで (AMS ServiceNow Connector アプリケーションを統合してタグを使用することで) 軽減できます。AMS テクニカルデリバリーマネージャー (TDMs) またはクラウドアーキテクト (CAs) に、この実装方法を依頼します。 |
高 アカウントまたはアプリケーションレベルの分離を達成しながら、複数のマルチアカウントランディングゾーンを活用してアカウントを分散する機能。多数のアカウントを管理すると、運用またはコストのオーバーヘッドにつながる可能性があります。 |
運用上のリスク |
(依存) 低。運用上の統合と準備は 1 回のみ。プロセスドリフトの可能性が低くなります。 |
(依存) 低。複数の統合および運用アクティビティ。期間中の複数のランディングゾーンのドリフトは、運用上のリスクにつながる可能性があります。 |
マルチ AWS リージョン |
単一の AWS リージョン。AMS マルチアカウントランディングゾーンは、単一の AWS リージョンに制限されています。複数の AWS リージョンにまたがるには、複数のマルチアカウントランディングゾーンを使用します。 |
マルチ AWS リージョン。複数のマルチアカウントランディングゾーンを使用すると、各 MALZ を 1 つのリージョンにデプロイし、トランジットゲートウェイ (TGW) ピアリングを使用して相互接続できます。 |
アカウントの移行または移植性 |
はい。ある OU から同じ AWS Organization 内の別の OU にアカウントを移動できます。 |
いいえ。AMS はランディングゾーン間、つまり AWS Organizations 間でのアカウントの移行をサポートしていません。ワークロードは、トランジットゲートウェイ (TGW) または VPC ピアリングを使用してランディングゾーン間で到達できます。 |
変更管理 |
Medium。TGW、Active Directory (AD)、アウトバウンド (Egress) などの一般的なコンポーネントに破壊的な変更を加えると、マルチアカウントランディングゾーン内のすべてのワークロードに影響を与える可能性があります。ただし、AMS マネージドコンポーネントへの変更は内部的にテストされ、ローリング更新でプッシュされます。 |
低。TGW、AD、アウトバウンド (エグレス) などの一般的なコンポーネントに破壊的な変更を加えると、その特定のマルチアカウントランディングゾーンのワークロードにのみ影響します。 |
データおよびアクセスコントロール |
(依存) Prod ワークロードと Non-Prod ワークロードの異なるオンプレミス ADs とネットワークに接続する場合は、コントロールが低くなります。SAML フェデレーション、TGW ドメイン、セキュリティグループ (SGsも、必要なコントロールを実装するのに役立ちます。 |
(依存) Prod ワークロードと Non-Prod ワークロードの異なるオンプレミス ADs とネットワークに接続する場合は、高い制御が可能です。厳格なコンプライアンス要件には、個別のランディングゾーンを使用します。 |
コンプライアンスとセキュリティ |
(依存) マテリアルワークロードと非マテリアルワークロードを完全に分離するために厳格なコンプライアンスが必要な場合は、低。AMS 標準の予防的コントロールと検出的コントロールが導入されています。 |
(依存) マルチアカウントランディングゾーンが複数ある場合、マテリアルワークロードと非マテリアルワークロードを完全に分離することで、厳格なコンプライアンス要件を満たすことができます。AMS 標準の予防的コントロールと検出的コントロールが導入されています。 |
推奨事項: 厳密なコンプライアンスやマルチリージョンの必要性がなければ、単一の AMS マルチアカウントランディングゾーンから始めると、コスト、セキュリティ、運用上の優秀性、移行の複雑さのバランスが取れます。アカウントまたはビジネスの制約が発生した場合は、いつでも追加のランディングゾーンを設定できます。
