MALZ 网络架构

关于多账号 landing zone 网络架构

在开始登录 AWS Managed Services (AMS) 多账户着陆区 (MALZ) 之前，请务必了解 AMS 代表您创建的基准架构或着陆区、其组件和功能。

AMS multi-account landing zone 是一种多账户架构，预先配置了基础设施，以促进身份验证、安全、联网和日志记录。

注意

有关成本估算，请参阅 AMS 多账户 landing zone 环境基本组件。

主题

服务区域
组织部门
服务控制策略和 AWS 组织

下图概述了账户结构以及如何将基础设施划分到每个账户中：

AWS 账户 structure diagram showing management, shared services, network, security, and log archive accounts.

服务区域

由于 Active Directory 和 Transit Gateway 当前的跨区域限制，AMS 多账户着陆区内的所有资源都部署在您选择的单个 AWS 区域内。

组织部门

典型的 AMS 多账户登陆区由四个顶级组织单位 (OUs) 组成：

核心组织单位 (OU)（用于将账户组合在一起，作为一个单元进行管理）
应用程序 OU
客户管理的 OU
加速 OU

AMS 管理的多账户 landing zone 还允许您创建 OUs 用于分组和组织 AWS 账户的自定义账户，并将自定义账户 SCPs 与之关联；有关执行此操作的示例，请分别参阅管理账户 | 创建自定义账户 OUs和管理账户 | 创建自定义 SCP（需要审核）。AMS 提供了四个现有账户，可以在这些账户 OUs 下申请新的 OUs 和账户：加速、应用程序 > 托管、应用程序 > 开发和客户管理。

加速 OU：

这是 AMS 多账户着陆区 (MALZ) 中的顶级组织单位。此 OU 下的账户由 AMS 提供 RFC（部署 | 托管着陆区 | 管理账户 | 创建加速账户，更改类型 ID：ct-2p93tyd5angmi）。在这些加速应用程序帐户中，您可以受益于加速运营服务，例如监控和警报、事件管理、安全管理和备份管理。有关更多详细信息，请参阅 AMS 加速账户。
应用程序 > 托管 OU：

在应用程序 OU 的这个子组织单元中，账户完全由 AMS 管理，包括所有操作任务。运营任务包括服务请求管理、事件管理、安全管理、连续性管理、补丁管理、成本优化、监控和事件管理。这些任务是为了管理您的基础架构而执行的。在达到 AWS 组织的最大嵌套 OUs 限制之前， OUs 可以根据需要创建多个子项目。有关详细信息，请参阅 AWS Organizations 的配额。
应用程序 > 开发 OU:

在 AMS 管理的 landing zone 中应用程序 OU 的子组织单位下，账户是开发者模式账户，可为您提供在 AMS 变更管理流程之外配置和更新 AWS 资源的高级权限。此 OU 还支持根据需要创建新的子项 OU。
客户管理的 OU：

这是 AMS 多账号 landing zone 中的顶级 OU。此 OU 下的账户由 AMS 提供 RFC。在这些账户中，工作负载和 AWS 资源的操作由您负责。此 OU 还支持根据需要创建新的子项 OU。

作为最佳实践，我们建议根据其功能 OUs 和政策对这些账户和自定义请求的子账号OUs 进行分组。

服务控制策略和 AWS 组织

AWS 为 AWS 组织中的权限管理提供服务控制策略 (SCPs)。 SCPs 用于为用户在哪些操作中可以执行的操作定义额外的护栏。 OUs默认情况下，AMS 提供一组 SCPs 部署在管理账户中的账户，这些账户在不同的默认 OU 级别提供保护。如需了解 SCP 限制，请联系您的 CSDM。

您也可以创建自定义 SCPs 并将它们附加到特定的 OUs。可以使用变更类型 ct-33ste5yc7hprs 向您的管理账户申请它们。然后，AMS 会审核所 SCPs 请求的自定义，然后再将其应用于目标 OUs。有关示例，请参阅管理账户 | 创建自定义账户 OUs和管理账户 | 创建自定义 SCP（需要审阅）。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

网络架构

选择单个 MALZ 或多个 MALZs