记录 AWS 登录区设计

Michael Daehnert、Florian Langer 和 Michael Lodemann，Amazon Web Services

Summary

登录区是一个架构完善的多账户环境，它基于安全性和合规性最佳实践。它是企业范围的容器，可容纳您的所有组织单位 (OUs) AWS 账户、用户和其他资源。landing zone 可以进行扩展，以满足任何规模的企业的需求。 AWS 有两种创建着陆区的选项：使用基于服务的着陆区AWS Control Tower或您构建的自定义着陆区。每个选项都需要不同的 AWS 知识水平。

AWS AWS Control Tower 旨在通过自动设置着陆区（Landing zone）来帮助您节省时间。 AWS Control Tower 由管理 AWS 并使用最佳实践和指南来帮助您创建基础环境。 AWS Control Tower 使用集成服务（例如AWS Service Catalog和）在您的 AWS Organizationslanding zone 中配置账户并管理对这些账户的访问权限。

AWS landing zone 项目的要求、实施细节和操作措施项目各不相同。每个登录区实施都需要处理一些自定义方面的问题，其中包括（但不限于）如何处理访问管理、使用哪个技术堆栈以及实现卓越运营的监控要求有哪些。此模式提供了一个模板，可帮助您记录登录区项目。通过使用此模板，您可以更快地记录项目，并帮助开发和运营团队了解您的登录区。

先决条件和限制

限制

此模式并未描述什么是登录区，也没有描述如何实施登录区。有关这些主题的更多信息，请参阅相关资源部分。

操作说明

Task	说明	所需技能
确定关键利益相关者。	确定与登录区关联的关键服务和团队经理。	项目经理
自定义模板。	下载附件部分中的模板，然后按如下方式更新模板：移除不适用于您所在组织的登录区或流程的任何部分。添加任何组织专属部分。	项目经理
完成模板。	在与利益相关者会面或使用 write-and-review流程时，按如下方式填写模板：使用蓝色方框中的指引和信息完成每个部分。使用组织的自定义值替换或移除任何黄色字段。使用自定义架构或流程图替换或移除任何图像字段。完成模板的修订历史记录和参与者部分。	项目经理
共享设计文档。	登录区和设计文档完成后，将其保存在所有利益攸关方均可访问的共享存储库或中心位置。我们建议您使用标准文档控制流程来记录和批准对设计文档的修订。	项目经理

附件

要访问与此文档相关联的其他内容，请解压以下文件：attachment.zip

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

自动创建基于标签的 CloudWatch 仪表板

使用 AWS CDK 在整个组织中启用 Amazon DevOps Guru