本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AMS 中的模式和账户类型
<a name="ams-modes-types"></a>

AWS Managed Services (AMS) 模式可以定义为在每种模式的特定管理框架下与 AMS 服务进行交互的方式。记录了着陆区的区别、多账户着陆区（MALZ）和单账户着陆区（SALZ）。

**注意**  
有关应用程序部署和选择正确的 AMS 模式的详细信息，请参阅 [AMS 模式和应用程序或工作负载](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-apps-ug.html)。  
有关不同模式的真实用例，请参阅 [AMS 模式的真实世界用例](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-use-cases.html)

下表描述了每个 AMS 服务的模式。


<table>
<thead>
  <tr><th>AMS 功能</th><th>RFC 模式（以前是标准 CM 模式）/OOD \*</th><th>直接更改模式</th><th>AWS Service Catalog</th><th>Self-service 配置/开发者模式</th><th>客户管理</th></tr>
</thead>
<tbody>
  <tr><td>着陆区配置</td><td>MALZ 和 SALZ</td><td>MALZ 和 SALZ</td><td colspan="3">MALZ 和 SALZ</td></tr>
  <tr><td>变更管理</td><td>变更计划、查看手动变更和变更记录</td><td>与 RFC 模式相同，适用于高风险更改，例如 IAM 或安全组</td><td colspan="3">无</td></tr>
  <tr><td>记录、监控、防护和事件管理</td><td colspan="3">是（支持的资源）</td><td colspan="2">否</td></tr>
  <tr><td>连续性管理</td><td colspan="3">是（支持的资源）</td><td>不适用/否</td><td>否</td></tr>
  <tr><td>安全管理</td><td colspan="3">实例级安全控制和账户级别控制</td><td>账户级别控制</td><td>AWS 组织级别控制</td></tr>
  <tr><td>补丁管理</td><td colspan="3">是</td><td>不适用/否</td><td>否</td></tr>
  <tr><td>事件和问题管理</td><td colspan="3">AMS 支持的资源的响应和解决方案 SLA</td><td>对由此产生的资源做出响应 SLA</td><td>否</td></tr>
  <tr><td>报告</td><td colspan="3">是</td><td colspan="2">否</td></tr>
  <tr><td>服务请求管理</td><td colspan="3">是</td><td>仅限 Support 请求</td><td>否</td></tr>
</tbody>
</table>


**\*** Operations On Demand (OOD) 为使用 RFC 模式的客户提供了通过专用资源管理变更的服务。有关更多详细信息，请参阅按[需运营产品目录](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html)，并咨询您的云服务交付经理 (CSDM)。

**注意**  
[AMS 中的自助服务配置模式](self-service-provisioning-section.md)而且两者[AMS 高级开发者模式](developer-mode-section.md)似乎都适合具有植根于原生 AWS 服务的复杂架构的应用程序。在设计工作负载时，您需要根据业务环境在卓越运营和敏捷性之间进行权衡。这是考虑为应用程序选择 SSP 模式或开发者模式的好方法。选择也可能根据应用程序的 SDLC 阶段而变化。例如：当应用程序已做好生产准备时，SSP 模式可能更合适，因为该模式下的 AMS 护栏更加严格。防护措施以预防性控制的形式强制执行，例如 IAM 更新的 RFC-based 变更控制和应用程序 OU 级别的 SCP。这些业务决策可以推动您的工程优先事务。您可以进行优化，以提高处于 “预生产” 阶段的应用程序所有者的灵活性，但会牺牲治理和运营支持。

## MALZ 架构和相关的 AMS 模式
<a name="ams-modes-and-malz"></a>

AMS 多账户 landing zone (MALZ) 允许您选择在默认组织单位 (OU) 下自动配置应用程序帐户（或资源帐户）：客户管理的 OU、托管 OU 或开发 OU。在每个 OU 下创建的应用程序账户中配置的基础架构受这些基础 OU 提供的特定 AMS 模式的约束。通常在同一个应用程序帐户中混合使用两种或多种模式。例如：RFC 模式和 SSP 模式可以共存于 AMS 托管账户中，该账户托管管管道架构，包括用于触发函数的 API Gateway 和 Lambda，以及用于摄取和编排的 EC2、S3 和 SQS。在这种情况下，SSP 模式将适用于 Lambda 和 API Gateway。

图 1 显示了如何通过 AMS 中的基础 OU 提供不同的模式。在 AMS 中申请新的应用程序账户时，必须为该账户选择 OU。

MALZ 架构和相关的 AMS 模式

![组织结构在顶部显示管理帐户，中间显示四种账户类型，底部显示有客户堆栈的应用程序帐户。](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/MALZ-high-level-(Mar2021).png)


AMS 利用基于 AWS 最佳实践的基础 OU，通过服务控制策略 (SCP) 对账户进行逻辑管理。这是在每个 AMS 模式下强制执行治理框架的一种方式。应用于基础 OU 的任何治理和安全护栏（以 SCP 的形式）也会自动应用于 OU。 custom/child 可以为子OU申请其他 SCP。重要的是要明白，应用程序帐户与模式不同。模式适用于在账户中配置的基础设施，并定义了 AMS 和客户之间的运营责任。

图 1：MALZ 架构和相关的 AMS 模式

![该表显示了具有预防和侦查控制以及客户治理支持的 AMS 模式。](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/ams-modes-guardrails-dcm.png)


**注意**  
“限制性” 意味着您可以为这些 OU 申请自定义策略，它们由 AMS 根据具体情况进行批准，以确保它们不会干扰 AMS 提供卓越运营的能力。有关 AMS 护栏的详细列表，请参阅用户指南中的 [AMS Guardrail](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#detective-rules) s。