View a markdown version of this page

Arsitektur jaringan MALZ - Panduan Pengguna Tingkat Lanjut AMS
Tentang arsitektur jaringan landing zone multi-akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Arsitektur jaringan MALZ

Tentang arsitektur jaringan landing zone multi-akun

Sebelum Anda memulai proses orientasi ke Multi-account landing zone AWS Managed Services (AMS) (MALZ), penting untuk memahami arsitektur dasar, atau landing zone, yang dibuat AMS atas nama Anda, komponen, dan fungsinya.

AMS multi-account landing zone adalah arsitektur multi-akun, pra-konfigurasi dengan infrastruktur untuk memfasilitasi otentikasi, keamanan, jaringan, dan logging.

catatan

Untuk perkiraan biaya, lihat komponen dasar lingkungan landing zone multi-akun AMS.

Diagram berikut menguraikan pada tingkat tinggi struktur akun dan bagaimana infrastruktur dipisahkan ke dalam masing-masing akun:

AWS struktur multi-akun yang menunjukkan manajemen, layanan bersama, jaringan, keamanan, arsip log, dan akun aplikasi dengan unit organisasi.

Wilayah layanan

Semua sumber daya dalam landing zone multi-akun AMS digunakan dalam satu Wilayah AWS pilihan Anda, karena batasan lintas wilayah saat ini dengan Active Directory dan Transit Gateway.

Unit organisasi

Sebuah landing zone multi-akun AMS yang khas terdiri dari empat unit organisasi tingkat atas (OU):

  • Unit Organisasi inti (OU) (digunakan untuk mengelompokkan akun bersama untuk mengelola sebagai satu unit)

  • Aplikasi OU

  • OU yang dikelola pelanggan

  • Percepatan OU

AMS-managed multi-account landing zone juga memungkinkan Anda membuat OU kustom untuk mengelompokkan dan mengatur Akun AWS dan mengaitkan SCP kustom dengan mereka; untuk contoh dalam melakukan ini, lihat Akun manajemen | Membuat akun OU dan Manajemen Kustom | Buat SCP Kustom (otomatisasi terkelola), masing-masing. AMS menyediakan empat OU yang ada di mana OU dan akun baru dapat diminta: akselerasi, aplikasi> dikelola, aplikasi > pengembangan, dan dikelola pelanggan.

  • mempercepat OU:

    Ini adalah OU tingkat atas di AMS multi-account landing zone (MALZ). Akun di bawah OU ini disediakan oleh AMS dengan RFC (Deployment | Managed landing zone | Managed landing zone | Management account | Create Accelerate account, change type ID: ct-2p93tyd5angmi). Dalam akun aplikasi akselerasi ini, Anda bisa mendapatkan keuntungan dari mempercepat layanan operasional seperti pemantauan dan peringatan, manajemen insiden, manajemen keamanan, dan manajemen cadangan. Untuk detail selengkapnya, lihat akun AMS Accelerate.

  • aplikasi> OU terkelola:

    Dalam unit sub organisasi Aplikasi OU ini, akun dikelola sepenuhnya oleh AMS termasuk semua tugas operasional. Tugas operasional meliputi manajemen permintaan layanan, manajemen insiden, manajemen keamanan, manajemen kontinuitas, manajemen patch, optimalisasi biaya, pemantauan dan manajemen acara. Tugas-tugas ini dilakukan untuk manajemen infrastruktur Anda. Beberapa OU anak dapat dibuat sesuai kebutuhan, hingga batas maksimum OU bersarang tercapai untuk organisasi AWS. Untuk detailnya, lihat Kuota untuk AWS Organizations.

  • aplikasi> pengembangan OU:

    Di bawah Sub-OU aplikasi OU di AMS-managed landing zone ini, akun adalah akun mode Pengembang yang memberi Anda izin tinggi untuk menyediakan dan memperbarui sumber daya AWS di luar proses manajemen perubahan AMS. OU ini juga mendukung penciptaan anak-anak baru OU sesuai kebutuhan.

  • OU yang dikelola pelanggan:

    Ini adalah OU tingkat atas di landing zone multi-akun AMS. Akun di bawah OU ini disediakan oleh AMS dengan RFC. Di akun ini, pengoperasian beban kerja dan sumber daya AWS adalah tanggung jawab Anda. OU ini juga mendukung penciptaan anak-anak baru OU sesuai kebutuhan.

Sebagai praktik terbaik, kami menyarankan agar akun di bawah OU dan sub-OU yang diminta khusus ini dikelompokkan berdasarkan fungsi dan kebijakannya.

Kebijakan kontrol layanan dan AWS Organization

AWS menyediakan kebijakan kontrol layanan (SCP) untuk manajemen izin di Organisasi AWS. SCP digunakan untuk menentukan pagar pembatas tambahan untuk tindakan apa yang dapat dilakukan pengguna di mana OU. Secara default, AMS menyediakan serangkaian SCP yang digunakan di akun manajemen yang memberikan perlindungan pada tingkat OU default yang berbeda. Untuk pembatasan SCP, silakan hubungi CSDM Anda.

Anda juga dapat membuat SCP khusus dan melampirkannya ke OU tertentu. Mereka dapat diminta dari akun Manajemen Anda menggunakan jenis perubahan ct-33ste5yc7hprs. AMS kemudian meninjau SCP khusus yang diminta sebelum menerapkannya ke target OU. Untuk contoh, lihat Akun manajemen | Membuat akun OU dan Manajemen Kustom | Membuat SCP Kustom (otomatisasi terkelola).