MALZ 네트워크 아키텍처 - AMS 고급 사용 설명서
다중 계정 랜딩 존 네트워크 아키텍처 정보

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

MALZ 네트워크 아키텍처

다중 계정 랜딩 존 네트워크 아키텍처 정보

AWS Managed Services(AMS) 다중 계정 랜딩 존(MALZ)에 대한 온보딩 프로세스를 시작하기 전에 AMS가 사용자를 대신하여 생성하는 기본 아키텍처 또는 랜딩 존, 해당 구성 요소 및 함수를 이해하는 것이 중요합니다.

AMS 다중 계정 랜딩 존은 인증, 보안, 네트워킹 및 로깅을 용이하게 하기 위해 인프라로 사전 구성된 다중 계정 아키텍처입니다.

참고

예상 비용은 AMS 다중 계정 랜딩 존 환경 기본 구성 요소를 참조하세요.

다음 다이어그램은 계정 구조와 인프라가 각 계정으로 분리되는 방법을 개략적으로 설명합니다.

AWS 계정 structure diagram showing management, shared services, network, security, and log archive accounts.

서비스 리전

AMS 다중 계정 랜딩 존 내의 모든 리소스는 Active Directory 및 Transit Gateway의 현재 교차 리전 제한으로 인해 선택한 단일 AWS 리전 내에 배포됩니다.

조직 단위

일반적인 AMS 다중 계정 랜딩 존은 4개의 최상위 조직 단위(OUs)로 구성됩니다.

  • 핵심 조직 단위(OU)(계정을 그룹화하여 단일 단위로 관리하는 데 사용됨)

  • 애플리케이션 OU

  • 고객 관리형 OU

  • 가속화된 OU

또한 AMS 관리형 다중 계정 랜딩 존을 사용하면 AWS 계정을 그룹화 및 구성하기 위한 사용자 지정 OUs를 생성하고 사용자 지정 SCPs를 해당 계정과 연결할 수 있습니다. 이에 대한 예제는 각각 관리 계정 | 사용자 지정 OUs 및 관리 계정 생성 | 사용자 지정 SCP 생성(검토 필요)을 참조하세요. AMS는 가속화, 애플리케이션 > 관리형, 애플리케이션 > 개발, 고객 관리형 등 새로운 OU와 계정을 요청할 수 OUs 있는 4가지 기존 OUs를 제공합니다.

  • OU 가속화:

    AMS 다중 계정 랜딩 존(MALZ)의 최상위 OU입니다. 이 OU의 계정은 RFC(배포 | 관리형 랜딩 존 | 관리 계정 | Accelerate 계정 생성, 변경 유형 ID: ct-2p93tyd5angmi)를 사용하여 AMS에 의해 프로비저닝됩니다. 이러한 가속화된 애플리케이션 계정에서는 모니터링 및 알림, 인시던트 관리, 보안 관리, 백업 관리와 같은 가속화된 운영 서비스를 활용할 수 있습니다. 자세한 내용은 AMS Accelerate 계정을 참조하세요.

  • 애플리케이션 > 관리형 OU:

    애플리케이션 OU의이 하위 조직 단위에서 계정은 모든 운영 작업을 포함하여 AMS에 의해 완전히 관리됩니다. 운영 작업에는 서비스 요청 관리, 인시던트 관리, 보안 관리, 연속성 관리, 패치 관리, 비용 최적화, 모니터링 및 이벤트 관리가 포함됩니다. 이러한 작업은 인프라 관리를 위해 수행됩니다. AWS 조직에서 중첩된 OUs의 최대 한도에 도달할 때까지 필요에 따라 여러 하위 OUs를 생성할 수 있습니다. 자세한 내용은 AWS Organizations 할당량을 참조하세요.

  • 애플리케이션 > 개발 OU:

    AMS 관리형 랜딩 존에 있는 애플리케이션 OU의이 하위 OU에서 계정은 AMS 변경 관리 프로세스 외부에서 AWS 리소스를 프로비저닝하고 업데이트할 수 있는 승격된 권한을 제공하는 개발자 모드 계정입니다. 또한이 OU는 필요에 따라 새 하위 OU 생성을 지원합니다.

  • 고객 관리형 OU:

    이는 AMS 다중 계정 랜딩 존의 최상위 OU입니다. 이 OU의 계정은 RFC가 있는 AMS에서 프로비저닝됩니다. 이러한 계정에서 워크로드 및 AWS 리소스의 운영은 사용자의 책임입니다. 또한이 OU는 필요에 따라 새 하위 OU 생성을 지원합니다.

가장 좋은 방법은 이러한 OUs 및 사용자 지정 요청 하위 OUs의 계정을 기능 및 정책에 따라 그룹화하는 것입니다.

서비스 제어 정책 및 AWS Organization

AWS는 AWS Organization에서 권한 관리를 위한 서비스 제어 정책(SCPs)을 제공합니다. SCPs는 사용자가 어떤 OUs에서 수행할 수 있는 작업에 대한 추가 가드레일을 정의하는 데 사용됩니다. 기본적으로 AMS는 서로 다른 기본 OU 수준에서 보호를 제공하는 관리 계정에 배포된 SCPs 세트를 제공합니다. SCP 제한에 대해서는 CSDM에 문의하십시오.

사용자 지정 SCPs 생성하여 특정 OUs. 변경 유형 ct-33ste5yc7hprs를 사용하여 관리 계정에서 요청할 수 있습니다. 그런 다음 AMS는 요청된 사용자 지정 SCPs 대상 OUs에 적용하기 전에 검토합니다. 예제는 관리 계정 | 사용자 지정 OUs. https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-scp-review-required.html