Arquitetura de rede MALZ - Guia do usuário avançado do AMS
Sobre a arquitetura de rede de landing zone com várias contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Arquitetura de rede MALZ

Sobre a arquitetura de rede de landing zone com várias contas

Antes de iniciar o processo de integração na zona de pouso multiconta (MALZ) do AWS Managed Services (AMS), é importante entender a arquitetura básica, ou zona de aterrissagem, que o AMS cria em seu nome, seus componentes e funções.

O landing zone multiconta do AMS é uma arquitetura de várias contas, pré-configurada com a infraestrutura para facilitar a autenticação, a segurança, a rede e o registro.

nota

Para estimativas de custos, consulte os componentes básicos do ambiente de landing zone com várias contas do AMS.

O diagrama a seguir descreve em alto nível a estrutura da conta e como a infraestrutura é segregada em cada uma das contas:

Conta da AWS structure diagram showing management, shared services, network, security, and log archive accounts.

Região de serviço

Todos os recursos em uma landing zone multiconta do AMS são implantados em uma única região da AWS de sua escolha, devido à limitação atual entre regiões com o Active Directory e o Transit Gateway.

Unidades organizacionais

Uma landing zone típica de várias contas do AMS consiste em quatro unidades organizacionais de alto nível ()OUs:

  • A unidade organizacional principal (OU) (usada para agrupar contas para administrá-las como uma única unidade)

  • Os aplicativos OU

  • A OU gerenciada pelo cliente

  • A UO acelerada

A landing zone de várias contas gerenciada pela AMS também permite que você crie contas personalizadas OUs para agrupar e organizar contas da AWS e SCPs associá-las a elas. Para exemplos de como fazer isso, consulte Conta de gerenciamento | Criar conta personalizada OUs e de gerenciamento | Criar SCP personalizada (revisão obrigatória), respectivamente. O AMS fornece quatro contas existentes OUs sob OUs as quais novas contas podem ser solicitadas: accelerate, aplicativos > gerenciados, aplicativos > desenvolvimento e gerenciados pelo cliente.

  • acelere a OU:

    Esta é uma OU de alto nível na landing zone de várias contas do AMS (MALZ). As contas nesta OU são provisionadas pelo AMS com um RFC (Implantação | Landing zone gerenciada | Conta de gerenciamento | Crie uma conta Accelerate, altere o ID do tipo: ct-2p93tyd5angmi). Nessas contas de aplicativos acelerados, você pode se beneficiar de serviços operacionais acelerados, como monitoramento e alertas, gerenciamento de incidentes, gerenciamento de segurança e gerenciamento de backup. Para obter mais detalhes, consulte Contas do AMS Accelerate.

  • aplicativos > OU gerenciada:

    Nessa unidade suborganizacional da UO de Aplicativos, as contas são totalmente gerenciadas pelo AMS, incluindo todas as tarefas operacionais. As tarefas operacionais incluem gerenciamento de solicitações de serviços, gerenciamento de incidentes, gerenciamento de segurança, gerenciamento de continuidade, gerenciamento de patches, otimização de custos, monitoramento e gerenciamento de eventos. Essas tarefas são realizadas para o gerenciamento da sua infraestrutura. Vários filhos OUs podem ser criados conforme necessário, até que o limite máximo de aninhados OUs seja atingido para as organizações da AWS. Para obter detalhes, consulte Cotas para AWS Organizations.

  • aplicações > desenvolvimento OU:

    Sob essa sub-OU da UO do aplicativo na landing zone gerenciada pelo AMS, as contas são contas no modo Desenvolvedor que fornecem permissões elevadas para provisionar e atualizar recursos da AWS fora do processo de gerenciamento de alterações do AMS. Essa OU também apoia a criação de novas unidades organizacionais secundárias, conforme necessário.

  • OU gerenciada pelo cliente:

    Esta é uma OU de alto nível na landing zone de várias contas do AMS. As contas sob essa OU são provisionadas pelo AMS com uma RFC. Nessas contas, as operações das cargas de trabalho e dos recursos da AWS são de sua responsabilidade. Essa OU também apoia a criação de novas unidades organizacionais secundárias, conforme necessário.

Como prática recomendada, recomendamos que as contas sob essas OUs e as subcontas solicitadas de forma personalizada OUs sejam agrupadas com base em suas funcionalidades e políticas.

Políticas de controle de serviços e organização da AWS

A AWS fornece políticas de controle de serviços (SCPs) para gerenciamento de permissões em uma organização da AWS. SCPs são usados para definir grades de proteção adicionais para quais ações os usuários podem realizar em quais. OUs Por padrão, o AMS fornece um conjunto de contas de gerenciamento SCPs implantadas que fornecem proteções em diferentes níveis padrão de OU. Para restrições de SCP, entre em contato com seu CSDM.

Você também pode criar itens personalizados SCPs e anexá-los a itens específicos OUs. Eles podem ser solicitados na sua conta de gerenciamento usando o tipo de alteração ct-33ste5yc7hprs. Em seguida, o AMS analisa a SCPs solicitação personalizada antes de aplicá-la ao alvo OUs. Para exemplos, consulte Conta de gerenciamento | Criar conta personalizada OUs e de gerenciamento | Criar SCP personalizado (revisão obrigatória).