

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Architecture réseau MALZ
<a name="malz-net-arch-section"></a>

## À propos de l'architecture du réseau de zones d'atterrissage multi-comptes
<a name="malz-net-arch-intro"></a>

Avant de commencer le processus d'intégration à la zone d'accueil (MALZ) Multi-account d'AWS Managed Services (AMS), il est important de comprendre l'architecture de base, ou zone de destination, qu'AMS crée en votre nom, ses composants et ses fonctions. 

La zone de landing zone multi-comptes AMS est une architecture multi-comptes, préconfigurée avec l'infrastructure nécessaire pour faciliter l'authentification, la sécurité, la mise en réseau et la journalisation.

**Note**  
Pour les estimations des coûts, voir les [composants de base de l'environnement de zone d'atterrissage multi-comptes AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#basic-components-malz).

**Topics**
+ [Région de service](#service-region)
+ [Unités organisationnelles](#malz-ous)
+ [Politiques de contrôle des services et AWS Organization](#malz-scps)

Le schéma suivant décrit de manière générale la structure des comptes et la manière dont l'infrastructure est séparée dans chacun des comptes : 

![AWS structure multi-comptes indiquant les comptes de gestion, de services partagés, de réseau, de sécurité, d'archivage des journaux et d'applications avec les unités organisationnelles.](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/MALZ-high-level-Nov2022.png)


### Région de service
<a name="service-region"></a>

Toutes les ressources d'une zone de landing zone multi-comptes AMS sont déployées dans la seule région AWS de votre choix, en raison de la limitation interrégionale actuelle avec Active Directory et Transit Gateway.

### Unités organisationnelles
<a name="malz-ous"></a>

Une zone de landing zone multi-comptes AMS typique comprend quatre unités organisationnelles (UO) de haut niveau :
+ L'unité organisationnelle (UO) principale (utilisée pour regrouper les comptes afin de les administrer en tant qu'unité unique)
+ L'UO des applications
+ L'unité d'organisation gérée par le client
+ L'unité d'intégration accélérée

AMS-managed La zone de landing zone multi-comptes vous permet également de créer des unités d'organisation personnalisées pour regrouper et organiser des comptes AWS et de leur associer des SCP personnalisés ; pour des exemples à ce sujet, voir respectivement [compte de gestion \| Créer des unités d'organisation personnalisées](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-ous.html) et [compte de gestion \| Créer un SCP personnalisé (automatisation gérée)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-scp-review-required.html). AMS fournit quatre unités d'organisation existantes dans le cadre desquelles de nouvelles unités d'organisation et de nouveaux comptes peuvent être demandés : accélération, applications > gérées, applications > développement et gestion par le client.
+ accélérer l'UO :

  Il s'agit d'une unité d'organisation de haut niveau dans la zone d'atterrissage multi-comptes AMS (MALZ). Les comptes relevant de cette unité d'organisation sont approvisionnés par AMS à l'aide d'une RFC (déploiement \| zone d'atterrissage gérée \| Compte de gestion \| Création d'un compte Accelerate, modification de l'ID de type : ct-2p93tyd5angmi). Dans ces comptes d'applications accélérés, vous pouvez bénéficier de services opérationnels accélérés tels que la surveillance et les alertes, la gestion des incidents, la gestion de la sécurité et la gestion des sauvegardes. Pour plus de détails, consultez la section [Comptes AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/userguide/malz-accelerate-account.html).
+ applications > unité d'organisation gérée :

  Dans cette sous-unité organisationnelle de l'UO de l'application, les comptes sont entièrement gérés par AMS, y compris toutes les tâches opérationnelles. Les tâches opérationnelles incluent la gestion des demandes de service, la gestion des incidents, la gestion de la sécurité, la gestion de la continuité, la gestion des correctifs, l'optimisation des coûts, la surveillance et la gestion des événements. Ces tâches sont effectuées dans le cadre de la gestion de votre infrastructure. Plusieurs unités d'organisation enfants peuvent être créées selon les besoins, jusqu'à ce qu'une limite maximale d'unités d'organisation imbriquées soit atteinte pour les organisations AWS. Pour plus de détails, consultez la section [Quotas for AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html).
+ applications > UO de développement :

  Dans le cadre de cette sous-unité de l'unité d'organisation de l'application dans la zone de AMS-managed landing zone, les comptes sont des comptes [en mode développeur](https://docs.aws.amazon.com/managedservices/latest/userguide/developer-mode-section.html) qui vous fournissent des autorisations élevées pour fournir et mettre à jour des ressources AWS en dehors du processus de gestion des modifications d'AMS. Cette UO soutient également la création de nouvelles UO pour enfants selon les besoins.
+ UO gérée par le client :

  Il s'agit d'une unité d'organisation de haut niveau dans la zone de landing multi-comptes AMS. Les comptes relevant de cette UO sont approvisionnés par AMS à l'aide d'une RFC. Dans ces comptes, vous êtes responsable du fonctionnement des charges de travail et des ressources AWS. Cette UO soutient également la création de nouvelles UO pour enfants selon les besoins.

À titre de bonne pratique, nous recommandons de regrouper les comptes relevant de ces unités d'organisation et de sous-unités d'organisation personnalisées en fonction de leurs fonctionnalités et de leurs politiques.

### Politiques de contrôle des services et AWS Organization
<a name="malz-scps"></a>

AWS fournit des politiques de contrôle des services (SCP) pour la gestion des autorisations dans une organisation AWS. Les SCP sont utilisés pour définir des garde-fous supplémentaires indiquant les actions que les utilisateurs peuvent effectuer dans quelles unités d'organisation. Par défaut, AMS fournit un ensemble de SCP déployés dans des comptes de gestion qui fournissent des protections à différents niveaux d'unité d'organisation par défaut. Pour les restrictions relatives au SCP, veuillez contacter votre CSDM. 

Vous pouvez également créer des SCP personnalisés et les associer à des unités d'organisation spécifiques. Ils peuvent être demandés depuis votre compte de gestion en utilisant le type de modification ct-33ste5yc7hprs. AMS examine ensuite les SCP personnalisés demandés avant de les appliquer aux unités d'organisation cibles. Pour des exemples, voir [Compte de gestion \| Créer des unités d'organisation personnalisées](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-ous.html) et un [compte de gestion \| Créer un SCP personnalisé (automatisation gérée)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-scp-review-required.html).