View a markdown version of this page

Architettura di rete MALZ - Guida per l'utente AMS Advanced
Informazioni sull'architettura di rete multi-account landing zone

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Architettura di rete MALZ

Informazioni sull'architettura di rete multi-account landing zone

Prima di iniziare il processo di onboarding verso la Multi-account landing zone (MALZ) di AWS Managed Services (AMS), è importante comprendere l'architettura di base, o landing zone, che AMS crea per tuo conto, i suoi componenti e le sue funzioni.

La landing zone multi-account AMS è un'architettura multi-account, preconfigurata con l'infrastruttura per facilitare l'autenticazione, la sicurezza, il networking e la registrazione.

Nota

Per le stime dei costi, consulta i componenti di base dell'ambiente di landing zone multi-account AMS.

Il diagramma seguente illustra a grandi linee la struttura dei conti e il modo in cui l'infrastruttura è suddivisa in ciascuno dei conti:

AWS struttura multiaccount che mostra gli account di gestione, di servizi condivisi, di rete, di sicurezza, di archiviazione dei log e delle applicazioni con unità organizzative.

Regione del servizio

Tutte le risorse all'interno di una landing zone con più account AMS vengono distribuite in un'unica regione AWS di tua scelta, a causa dell'attuale limitazione interregionale con Active Directory e Transit Gateway.

Unità organizzative

Una tipica landing zone con più account AMS è composta da quattro unità organizzative (OU) di primo livello:

  • L'unità organizzativa (OU) principale (utilizzata per raggruppare gli account da amministrare come unità singola)

  • L'unità organizzativa delle applicazioni

  • L'unità organizzativa gestita dal cliente

  • Accelerano l'unità organizzativa

AMS-managed la landing zone multi-account consente inoltre di creare unità organizzative personalizzate per il raggruppamento e l'organizzazione degli account AWS e di associare ad essi SCP personalizzati; per esempi su questa operazione, consulta rispettivamente Account di gestione | Creazione di unità organizzative personalizzate e Account di gestione | Creazione di SCP personalizzati (automazione gestita). AMS fornisce quattro unità organizzative esistenti in base alle quali è possibile richiedere nuove unità organizzative e account: accelerate, applicazioni > gestite, applicazioni > sviluppo e gestite dal cliente.

  • unità organizzativa accelerata:

    Si tratta di un'unità organizzativa di primo livello in AMS multi-account landing zone (MALZ). Gli account di questa unità organizzativa vengono forniti da AMS con un RFC (Deployment | Managed landing zone | Management account | Create Accelerate account, change type ID: ct-2p93tyd5angmi). In questi account Accelerate Application, puoi beneficiare di servizi operativi accelerati come monitoraggio e avvisi, gestione degli incidenti, gestione della sicurezza e gestione dei backup. Per maggiori dettagli, consulta Account AMS Accelerate.

  • applicazioni > unità organizzativa gestita:

    In questa unità organizzativa secondaria dell'Application OU, gli account sono completamente gestiti da AMS, comprese tutte le attività operative. Le attività operative comprendono la gestione delle richieste di assistenza, la gestione degli incidenti, la gestione della sicurezza, la gestione della continuità, la gestione delle patch, l'ottimizzazione dei costi, il monitoraggio e la gestione degli eventi. Queste attività vengono eseguite per la gestione dell'infrastruttura. È possibile creare più unità organizzative secondarie in base alle esigenze, fino a raggiungere un limite massimo di unità organizzative annidate per le organizzazioni AWS. Per i dettagli, consulta Quotas for AWS Organizations.

  • applicazioni > unità organizzativa di sviluppo:

    In questa unità organizzativa secondaria dell'unità organizzativa dell'applicazione nella AMS-managed landing zone, gli account sono account in modalità Sviluppatore che forniscono autorizzazioni elevate per il provisioning e l'aggiornamento delle risorse AWS al di fuori del processo di gestione delle modifiche AMS. Questa unità organizzativa supporta anche la creazione di nuove unità organizzative secondarie, se necessario.

  • OU gestita dal cliente:

    Si tratta di un'unità organizzativa di primo livello nella landing zone multi-account AMS. Gli account appartenenti a questa unità organizzativa vengono forniti da AMS con una RFC. In questi account, le operazioni dei carichi di lavoro e delle risorse AWS sono sotto la tua responsabilità. Questa unità organizzativa supporta anche la creazione di nuove unità organizzative secondarie, se necessario.

Come procedura ottimale, consigliamo di raggruppare gli account appartenenti a queste unità organizzative e a quelle secondarie richieste dall'utente in base alle relative funzionalità e politiche.

Policy di controllo dei servizi e AWS Organization

AWS fornisce policy di controllo dei servizi (SCP) per la gestione delle autorizzazioni in un'organizzazione AWS. Gli SCP vengono utilizzati per definire barriere aggiuntive per le azioni che gli utenti possono eseguire in quali unità organizzative. Per impostazione predefinita, AMS fornisce una serie di SCP distribuiti negli account di gestione che forniscono protezioni a diversi livelli di unità organizzative predefinite. Per le restrizioni SCP, contattate il vostro CSDM.

Puoi anche creare SCP personalizzati e collegarli a unità organizzative specifiche. Possono essere richiesti all'account di gestione utilizzando il tipo di modifica ct-33ste5yc7hprs. AMS esamina quindi gli SCP personalizzati richiesti prima di applicarli alle unità organizzative di destinazione. Ad esempio, vedi Account di gestione | Creazione di unità organizzative personalizzate e account di gestione | Creazione di SCP personalizzato (automazione gestita).