选择单个 MALZ 或多个 MALZs

基础成本

较低，经过优化，每月约为3,000美元。

更高，每个环境的额外成本约为 3,000 美元。

计费

单一账单，由于单一账单/管理账户。

每个多账号 landing zone 均需单独计费。目前，AWS Org 不支持使用单一账单的多管理账户。

现有预留实例的可移植性 () RIs

低。AWS RIs 目前无法在多个账单账户之间进行转换。你可以将现有资源重新 RIs 用于多账户 landing zone。

更低。您将重新调整用途并在 RIs 所有多账号 landing zone 上进行分发。

产品分层折扣

高。参见批量折扣。

低。参见批量折扣。

初始设置开销（按 project/migration 时间表计算）

低。Active Directory、联网和单点登录 (SSO) 集成仅限一次。

高。您将为每个着陆区执行 Active Directory、网络集成和 SSO 集成。这可能会导致任何迁移项目出现延迟。

常用服务可配置性

不费吹灰之力。您可以配置 DNS、备份、监控、日志记录等 common/shared 服务。

付出高昂的努力。需要进行额外的规划，以解决公共基础设施或服务的发展方向。在每个着陆区（landing zoneTGWs）中穿越多个公交网关 () 的流量可能会导致额外费用。

可扩展性

中等。AMS 目前的实际限制为每个多账号着陆区 150 个账户。在同一个账户中运行应用程序的多个团队或供应商可以访问不同团队拥有的堆栈。可以通过控制 ServiceNow 层对特定应用程序堆栈的访问来缓解这种限制（通过集成 AMS Conn ServiceNow ector 应用程序并使用标签）。询问 AMS 技术交付经理 (TDMs) 或云架构师 (CAs) 如何实现这一点。

高。能够利用多个多账户 landing zone 来分配账户，同时实现账户或应用程序的隔离级别。管理大量账户可能会导致运营或成本开销。

运营风险

（视情况而定）低。操作整合和准备就绪仅一次。流程漂移的可能性更小。

（视情况而定）低。多种整合和运营活动。在此期间，在多个着陆区漂移可能会导致操作风险。

多 AWS 区域

单个 AWS 区域。AMS 多账户 landing zone 仅限于单个 AWS 区域。要跨越多个 AWS 区域，请使用多个多账户 landing zone。

多 AWS 区域。借助多个多账户着陆区，您可以将每个 MALZ 部署在一个区域中，并使用公交网关 (TGW) 对等互连将它们互连。

账户迁移或可移植性

是。在同一 AWS 组织内将账户从一个 OU 转移到另一个 OU 是可能的。

不是。 AMS 不支持跨着陆区（即 AWS Organizations）迁移账户。工作负载可以通过传输网关 (TGW) 或 VPC 对等互连跨着陆区域传输。

变更管理

中等。对 TGW、Active Directory (AD) 或出站（出口）等常见组件进行破坏性更改可能会影响多账户着陆区中的所有工作负载。但是，对 AMS 管理的组件所做的更改需要在内部进行测试，并以滚动更新形式推送。

低。对 TGW、AD 或出站（出口）等常见组件进行破坏性更改只能影响该特定多账户 landing zone 中的工作负载。

数据和访问控制

（视情况而定）如果您想连接不同的本地 ADs 和网络来处理生产和非生产工作负载，则控制不足。SAML 联合、TGW 域和安全组 (SGs) 也可以帮助实现所需的控制。

（视情况而定）如果您想连接不同的本地 ADs 和网络以处理生产和非生产工作负载，则可以进行高度控制。使用单独的着陆区以满足严格的合规要求。

合规与安全

（视情况而定）如果有严格的合规要求将材料和非物质工作负荷完全分开，则为低。AMS 标准的预防和侦查控制措施已到位。

（视情况而定）High as multi-account landing zone可以通过将材料和非物质工作量完全隔离来帮助实现严格的合规要求。AMS 标准的预防和侦查控制措施已到位。