Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
MALZ Netzwerkarchitektur
Über die Landezone-Netzwerkarchitektur mit mehreren Konten
Bevor Sie mit dem Onboarding-Prozess in der AWS Managed Services (AMS) Multi-account landing zone (MALZ) beginnen, ist es wichtig, die Basisarchitektur oder landing zone, die AMS in Ihrem Namen erstellt, sowie deren Komponenten und Funktionen zu verstehen.
Bei der AMS Multi-Account-Landing Zone handelt es sich um eine Multi-Account-Architektur, die mit der Infrastruktur vorkonfiguriert ist, um Authentifizierung, Sicherheit, Vernetzung und Protokollierung zu erleichtern.
Anmerkung
Kostenschätzungen finden Sie unter Grundkomponenten der AMS-Landezonenumgebung mit mehreren Konten.
Das folgende Diagramm zeigt auf grober Ebene die Kontostruktur und die Aufteilung der Infrastruktur in die einzelnen Konten:
Service-Region
Alle Ressourcen innerhalb einer AMS-Landezone mit mehreren Konten werden aufgrund der aktuellen regionsübergreifenden Beschränkungen mit Active Directory und Transit Gateway in einer einzigen AWS-Region Ihrer Wahl bereitgestellt.
Organisationseinheiten
Eine typische AMS-Landezone mit mehreren Konten besteht aus vier Organisationseinheiten (OUs) der obersten Ebene:
Die zentrale Organisationseinheit (OU) (wird verwendet, um Konten zu gruppieren, um sie als eine einzige Einheit zu verwalten)
Die Organisationseinheit der Anwendungen
Die vom Kunden verwaltete Organisationseinheit
Sie beschleunigen die OU
AMS-managed In der landing zone für mehrere Konten können Sie auch benutzerdefinierte Organisationseinheiten für die Gruppierung und Organisation von AWS-Konten erstellen und ihnen benutzerdefinierte SCPs zuordnen. Beispiele hierfür finden Sie unter Verwaltungskonto | Benutzerdefinierte Organisationseinheiten erstellen bzw. Verwaltungskonto | Benutzerdefiniertes SCP (verwaltete Automatisierung) erstellen. AMS bietet vier bestehende Organisationseinheiten, unter denen neue Organisationseinheiten und Konten angefordert werden können: Accelerate, Applications > Managed, Applications > Development und Customer-managed.
OU beschleunigen:
Dies ist eine Organisationseinheit der obersten Ebene in der AMS Multi-Account-Landing landing zone (MALZ). Konten unter dieser Organisationseinheit werden von AMS mit einem RFC (Bereitstellung | Verwaltete landing zone | Verwaltungskonto | Accelerate-Konto erstellen, Typ-ID ändern: ct-2p93tyd5angmi) bereitgestellt. In diesen Accelerate-Anwendungskonten können Sie von beschleunigten Betriebsdiensten wie Überwachung und Warnmeldungen, Vorfallmanagement, Sicherheitsmanagement und Backup-Management profitieren. Weitere Informationen finden Sie unter AMS Accelerate-Konten.
Anwendungen > verwaltete Organisationseinheit:
In dieser untergeordneten Organisationseinheit der Anwendungs-OU werden die Konten vollständig von AMS verwaltet, einschließlich aller betrieblichen Aufgaben. Zu den operativen Aufgaben gehören die Verwaltung von Serviceanfragen, das Vorfallmanagement, das Sicherheitsmanagement, das Kontinuitätsmanagement, das Patch-Management, die Kostenoptimierung, die Überwachung und das Eventmanagement. Diese Aufgaben werden für das Management Ihrer Infrastruktur ausgeführt. Bei Bedarf können mehrere untergeordnete Organisationseinheiten erstellt werden, bis die maximale Anzahl verschachtelter Organisationseinheiten für AWS-Organisationen erreicht ist. Einzelheiten finden Sie unter Kontingente für AWS Organizations.
Anwendungen > OU für Entwicklung:
Unter dieser Unter-OU der Anwendungs-OU in der AMS-managed landing zone handelt es sich bei Konten um Konten im Entwicklermodus, die Ihnen erweiterte Berechtigungen zur Bereitstellung und Aktualisierung von AWS-Ressourcen außerhalb des AMS-Change-Management-Prozesses gewähren. Diese Organisationseinheit unterstützt bei Bedarf auch die Erstellung neuer untergeordneter Organisationseinheiten.
vom Kunden verwaltete Organisationseinheit:
Dies ist eine Organisationseinheit der obersten Ebene in der AMS-Landezone für mehrere Konten. Konten unter dieser Organisationseinheit werden von AMS mit einem RFC bereitgestellt. Bei diesen Konten sind Sie für den Betrieb von Workloads und AWS-Ressourcen verantwortlich. Diese Organisationseinheit unterstützt bei Bedarf auch die Einrichtung neuer untergeordneter Organisationseinheiten.
Als bewährte Methode empfehlen wir, Konten unter diesen Organisationseinheiten und individuell angeforderten Unter-Organisationseinheiten auf der Grundlage ihrer Funktionen und Richtlinien zu gruppieren.
Richtlinien zur Servicesteuerung und AWS-Organisation
AWS bietet Service Control Policies (SCPs) für das Berechtigungsmanagement in einer AWS-Organisation. SCPs werden verwendet, um zusätzliche Richtlinien dafür zu definieren, welche Aktionen Benutzer in welchen Organisationseinheiten ausführen können. Standardmäßig stellt AMS eine Reihe von SCPs bereit, die in Verwaltungskonten bereitgestellt werden und Schutz auf verschiedenen Standard-OU-Ebenen bieten. Für SCP-Einschränkungen wenden Sie sich bitte an Ihren CSDM.
Sie können auch benutzerdefinierte SCPs erstellen und diese an bestimmte Organisationseinheiten anhängen. Sie können von Ihrem Verwaltungskonto aus mit dem Änderungstyp ct-33ste5yc7hprs angefordert werden. AMS überprüft dann die angeforderten benutzerdefinierten SCPs, bevor sie auf die Ziel-Organisationseinheiten angewendet werden. Beispiele finden Sie unter Verwaltungskonto | Benutzerdefinierte Organisationseinheiten erstellen und Verwaltungskonto | Benutzerdefiniertes SCP (verwaltete Automatisierung) erstellen.