View a markdown version of this page

Arquitetura de rede MALZ - Guia do usuário avançado do AMS
Sobre a arquitetura de rede de landing zone com várias contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Arquitetura de rede MALZ

Sobre a arquitetura de rede de landing zone com várias contas

Antes de iniciar o processo de integração na Multi-account landing zone (MALZ) do AWS Managed Services (AMS), é importante entender a arquitetura básica, ou zona de pouso, que o AMS cria em seu nome, seus componentes e funções.

O landing zone multiconta do AMS é uma arquitetura de várias contas, pré-configurada com a infraestrutura para facilitar a autenticação, a segurança, a rede e o registro.

nota

Para estimativas de custos, consulte os componentes básicos do ambiente de landing zone com várias contas do AMS.

O diagrama a seguir descreve em alto nível a estrutura da conta e como a infraestrutura é segregada em cada uma das contas:

AWS estrutura de várias contas mostrando contas de gerenciamento, serviços compartilhados, rede, segurança, arquivamento de registros e aplicativos com unidades organizacionais.

Região de serviço

Todos os recursos em uma landing zone multiconta do AMS são implantados em uma única região da AWS de sua escolha, devido à limitação atual entre regiões com o Active Directory e o Transit Gateway.

Unidades organizacionais

Uma landing zone típica de várias contas do AMS consiste em quatro unidades organizacionais (OUs) de alto nível:

  • A unidade organizacional principal (OU) (usada para agrupar contas para administrá-las como uma única unidade)

  • Os aplicativos OU

  • A OU gerenciada pelo cliente

  • A UO acelerada

AMS-managed O landing zone com várias contas também permite criar OUs personalizadas para agrupar e organizar contas da AWS e associar SCPs personalizados a elas; para exemplos de como fazer isso, consulte Conta de gerenciamento | Criar OUs personalizadas e conta de gerenciamento | Criar SCP personalizado (automação gerenciada), respectivamente. O AMS fornece quatro OUs existentes sob as quais novas OUs e contas podem ser solicitadas: accelerate, aplicativos > gerenciados, aplicativos > desenvolvimento e gerenciados pelo cliente.

  • acelere a OU:

    Esta é uma OU de alto nível na landing zone de várias contas do AMS (MALZ). As contas nesta OU são provisionadas pelo AMS com um RFC (Implantação | Landing zone gerenciada | Conta de gerenciamento | Crie uma conta Accelerate, altere o ID do tipo: ct-2p93tyd5angmi). Nessas contas de aplicativos acelerados, você pode se beneficiar de serviços operacionais acelerados, como monitoramento e alertas, gerenciamento de incidentes, gerenciamento de segurança e gerenciamento de backup. Para obter mais detalhes, consulte Contas do AMS Accelerate.

  • aplicativos > OU gerenciada:

    Nessa unidade suborganizacional da UO de Aplicativos, as contas são totalmente gerenciadas pelo AMS, incluindo todas as tarefas operacionais. As tarefas operacionais incluem gerenciamento de solicitações de serviços, gerenciamento de incidentes, gerenciamento de segurança, gerenciamento de continuidade, gerenciamento de patches, otimização de custos, monitoramento e gerenciamento de eventos. Essas tarefas são realizadas para o gerenciamento da sua infraestrutura. Várias OUs secundárias podem ser criadas conforme necessário, até que um limite máximo de OUs aninhadas seja atingido para as organizações da AWS. Para obter detalhes, consulte Cotas para AWS Organizations.

  • aplicações > desenvolvimento OU:

    Sob essa sub-OU da UO do aplicativo na AMS-managed landing zone, as contas são contas no modo Desenvolvedor que fornecem permissões elevadas para provisionar e atualizar recursos da AWS fora do processo de gerenciamento de alterações do AMS. Essa OU também apoia a criação de novas unidades organizacionais secundárias, conforme necessário.

  • OU gerenciada pelo cliente:

    Esta é uma OU de alto nível na landing zone de várias contas do AMS. As contas sob essa OU são provisionadas pelo AMS com uma RFC. Nessas contas, as operações das cargas de trabalho e dos recursos da AWS são de sua responsabilidade. Essa OU também apoia a criação de novas unidades organizacionais secundárias, conforme necessário.

Como prática recomendada, recomendamos que as contas nessas OUs e sub-OUs solicitadas de forma personalizada sejam agrupadas com base em suas funcionalidades e políticas.

Políticas de controle de serviços e organização da AWS

A AWS fornece políticas de controle de serviços (SCPs) para gerenciamento de permissões em uma organização da AWS. Os SCPs são usados para definir proteções adicionais para quais ações os usuários podem realizar em quais OUs. Por padrão, o AMS fornece um conjunto de SCPs implantados em contas de gerenciamento que fornecem proteções em diferentes níveis padrão de OU. Para restrições de SCP, entre em contato com seu CSDM.

Você também pode criar SCPs personalizados e anexá-los a OUs específicas. Eles podem ser solicitados na sua conta de gerenciamento usando o tipo de alteração ct-33ste5yc7hprs. Em seguida, o AMS analisa os SCPs personalizados solicitados antes de aplicá-los às OUs de destino. Por exemplo, consulte Conta de gerenciamento | Criar OUs personalizadas e conta de gerenciamento | Criar SCP personalizado (automação gerenciada).