本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AMS 中的模式和账户类型
AWS Managed Services (AMS) 模式可以定义为在每种模式的特定管理框架下与 AMS 服务进行交互的方式。记录了着陆区的区别、多账户着陆区(MALZ)和单账户着陆区(SALZ)。
注意
有关应用程序部署和选择正确的 AMS 模式的详细信息,请参阅 AMS 模式和应用程序或工作负载。
有关不同模式的真实用例,请参阅 AMS 模式的真实世界用例
下表描述了每个 AMS 服务的模式。
| AMS 功能 | RFC 模式(以前是标准 CM 模式)/OOD * | 直接更改模式 | AWS Service Catalog | 自助服务配置/开发者模式 | 客户管理 |
|---|---|---|---|---|---|
| 着陆区配置 | MALZ 和 SALZ | MALZ 和 SALZ | MALZ 和 SALZ | ||
| 变更管理 | 变更计划、查看手动变更和变更记录 | 与 RFC 模式相同,适用于高风险更改,例如 IAM 或安全组 | 无 | ||
| 记录、监控、防护和事件管理 | 是(支持的资源) | 否 | |||
| 连续性管理 | 是(支持的资源) | 不适用/否 | 否 | ||
| 安全管理 | 实例级安全控制和账户级别控制 | 账户级别控制 | AWS 组织级别控制 | ||
| 补丁管理 | 是 | 不适用/否 | 否 | ||
| 事件和问题管理 | AMS 支持的资源的响应和解决方案 SLA | 对由此产生的资源做出响应 SLA | 否 | ||
| 报告 | 是 | 否 | |||
| 服务请求管理 | 是 | 仅限 Support 请求 | 否 | ||
* Operations On Demand (OOD) 为使用 RFC 模式的客户提供了通过专用资源管理变更的服务。有关更多详细信息,请参阅按需运营产品目录,并咨询您的云服务交付经理 (CSDM)。
注意
AMS 中的自助服务配置模式而且两者AMS 高级开发者模式似乎都适合具有植根于原生 AWS 服务的复杂架构的应用程序。在设计工作负载时,您需要根据业务环境在卓越运营和敏捷性之间进行权衡。这是考虑为应用程序选择 SSP 模式或开发者模式的好方法。选择也可能根据应用程序的 SDLC 阶段而变化。例如:当应用程序已做好生产准备时,SSP 模式可能更合适,因为该模式下的 AMS 护栏更加严格。防护措施以预防性控制的形式强制执行,例如基于 RFC 的 IAM 更新和 SCPs 应用程序 OU 级别的变更控制。这些业务决策可以推动您的工程优先事务。您可以进行优化,以提高处于 “预生产” 阶段的应用程序所有者的灵活性,但会牺牲治理和运营支持。
MALZ 架构和相关的 AMS 模式
AMS 多账户 landing zone (MALZ) 允许您选择在默认组织单位 (OU) 下自动配置应用程序帐户(或资源帐户):客户管理的 OU、托管 OU 或开发 OU。在每个账户下创建的应用程序账户中配置的基础架构受这些 OUs 基础 OUs架构提供的特定 AMS 模式的约束。通常在同一个应用程序帐户中混合使用两种或多种模式。例如:RFC 模式和 SSP 模式可以共存于 AMS 托管账户中,该账户托管管管道架构,包括用于触发函数的 API Gateway 和 Lambda EC2,以及用于摄取和编排的 S3 和 SQS。在这种情况下,SSP 模式将适用于 Lambda 和 API Gateway。
图 1 显示了 AMS OUs 中如何通过 “基础” 提供不同的模式。在 AMS 中申请新的应用程序账户时,必须为该账户选择 OU。
MALZ 架构和相关的 AMS 模式
.png)
AMS 利用 OUs 基于 AWS 最佳实践的基础知识,使用服务控制策略 () SCPs 对账户进行逻辑管理。这是在每个 AMS 模式下强制执行治理框架的一种方式。应用于基础的任何治理和安全护栏(以形式 SCPs) OUs 也会自动应用于基础。 custom/child OUs SCPs 可以要求为孩子提供额外服务 OUs。重要的是要明白,应用程序帐户与模式不同。模式适用于在账户中配置的基础设施,并定义了 AMS 和客户之间的运营责任。
图 1:MALZ 架构和相关的 AMS 模式
注意
“限制性” 意味着您可以为这些策略申请自定义策略 OUs,这些策略由AMS批准,以确保它们不会干扰AMS提供卓越运营的能力。 case-by-case有关 AMS 护栏的详细列表,请参阅用户指南中的 AMS Guardrail s。
