View a markdown version of this page

Arquitectura de red MALZ - Guía de usuario avanzada de AMS
Acerca de la arquitectura de red de landing zone multicuenta

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Arquitectura de red MALZ

Acerca de la arquitectura de red de landing zone multicuenta

Antes de iniciar el proceso de incorporación a la zona de Multi-account aterrizaje (MALZ) de AWS Managed Services (AMS), es importante que comprenda la arquitectura básica, o zona de aterrizaje, que AMS crea en su nombre, así como sus componentes y funciones.

La zona de aterrizaje multicuenta AMS es una arquitectura de varias cuentas, preconfigurada con la infraestructura necesaria para facilitar la autenticación, la seguridad, la creación de redes y el registro.

nota

Para obtener estimaciones de los costos, consulte los componentes básicos del entorno AMS multi-account landing zone.

El siguiente diagrama describe en detalle la estructura de las cuentas y cómo se segrega la infraestructura en cada una de las cuentas:

AWS estructura de cuentas múltiples que muestra las cuentas de administración, servicios compartidos, red, seguridad, archivo de registros y aplicaciones con unidades organizativas.

Región del servicio

Todos los recursos de una zona de aterrizaje multicuenta de AMS se implementan en la única región de AWS que elija, debido a la limitación actual entre regiones con Active Directory y Transit Gateway.

Unidades organizativas

Una típica zona de aterrizaje multicuenta de AMS consta de cuatro unidades organizativas (OU) de nivel superior:

  • La unidad organizativa (OU) principal (utilizada para agrupar cuentas y administrarlas como una sola unidad)

  • La unidad organizativa de la aplicación

  • La unidad organizativa gestionada por el cliente

  • La OU acelerada

AMS-managed La zona de aterrizaje multicuenta también le permite crear OU personalizadas para agrupar y organizar cuentas de AWS y asociarles SCP personalizados; para ver ejemplos de cómo hacerlo, consulte Cuenta de administración | Crear OU personalizadas y Cuenta de administración | Crear SCP personalizadas (automatización gestionada), respectivamente. AMS ofrece cuatro unidades organizativas existentes con las que se pueden solicitar nuevas unidades organizativas y cuentas: aceleradas, aplicaciones > gestionadas, aplicaciones > desarrollo y gestionadas por el cliente.

  • Acelere la OU:

    Se trata de una unidad organizativa de nivel superior en la zona de aterrizaje multicuenta (MALZ) de AMS. AMS aprovisiona las cuentas de esta OU con un RFC (Deployment | Managed landing zone | Management account | Create Accelerate Accelerate, ID de tipo de cambio: ct-2p93tyd5angmi). En estas cuentas de aplicaciones aceleradas, puede beneficiarse de servicios operativos acelerados, como la supervisión y las alertas, la gestión de incidentes, la gestión de la seguridad y la gestión de las copias de seguridad. Para obtener más información, consulte las cuentas de AMS Accelerate.

  • aplicaciones > OU gestionada:

    En esta subunidad organizativa de la OU de la aplicación, AMS administra en su totalidad las cuentas, incluidas todas las tareas operativas. Las tareas operativas incluyen la gestión de las solicitudes de servicio, la gestión de incidentes, la gestión de la seguridad, la gestión de la continuidad, la gestión de los parches, la optimización de costes, la supervisión y la gestión de eventos. Estas tareas se llevan a cabo para la gestión de su infraestructura. Se pueden crear varias unidades organizativas secundarias según sea necesario, hasta que se alcance un límite máximo de unidades organizativas anidadas para las organizaciones de AWS. Para obtener más información, consulte Quotas for AWS Organizations.

  • aplicaciones > OU de desarrollo:

    Según esta sub-OU de la OU de la aplicación en AMS-managed landing zone, las cuentas son cuentas en modo desarrollador que le proporcionan permisos elevados para aprovisionar y actualizar los recursos de AWS fuera del proceso de gestión de cambios de AMS. Esta unidad organizativa también permite la creación de nuevas unidades organizativas secundarias, según sea necesario.

  • OU gestionada por el cliente:

    Se trata de una unidad organizativa de nivel superior en la zona de aterrizaje multicuenta de AMS. AMS aprovisiona las cuentas incluidas en esta OU con una RFC. En estas cuentas, las operaciones de las cargas de trabajo y los recursos de AWS son su responsabilidad. Esta unidad organizativa también apoya la creación de nuevas unidades organizativas secundarias, según sea necesario.

Como práctica recomendada, recomendamos agrupar las cuentas incluidas en estas unidades organizativas y las subunidades organizativas solicitadas de forma personalizada en función de sus funcionalidades y políticas.

Políticas de control de servicios y AWS Organization

AWS proporciona políticas de control de servicios (SCP) para la administración de permisos en una organización de AWS. Los SCP se utilizan para definir barreras adicionales sobre qué acciones pueden realizar los usuarios y en qué unidades organizativas. De forma predeterminada, AMS proporciona un conjunto de SCP desplegados en las cuentas de administración que proporcionan protección en los diferentes niveles de unidad organizativa predeterminados. Para conocer las restricciones de SCP, póngase en contacto con su CSDM.

También puede crear SCP personalizados y adjuntarlos a unidades organizativas específicas. Se pueden solicitar desde su cuenta de administración mediante el tipo de cambio ct-33ste5yc7hprs. A continuación, AMS revisa los SCP personalizados solicitados antes de aplicarlos a las unidades organizativas de destino. Para ver ejemplos, consulte Cuenta de administración | Crear unidades organizativas personalizadas y una cuenta de administración | Crear SCP personalizados (automatización gestionada).