本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
MALZ 网络架构
关于多账号 landing zone 网络架构
在开始登录 AWS Managed Services (AMS) Multi-account 着陆区 (MALZ) 之前,请务必了解 AMS 代表您创建的基准架构或着陆区、其组件和功能。
AMS multi-account landing zone 是一种多账户架构,预先配置了基础设施,以促进身份验证、安全、联网和日志记录。
注意
有关成本估算,请参阅 AMS 多账户 landing zone 环境基本组件。
下图概述了账户结构以及如何将基础设施划分到每个账户中:
服务区域
由于 Active Directory 和 Transit Gateway 当前的跨区域限制,AMS 多账户着陆区内的所有资源都部署在您选择的单个 AWS 区域内。
组织单元
典型的 AMS 多账户着陆区由四个顶级组织单位 (OU) 组成:
核心组织单位 (OU)(用于将账户组合在一起,作为一个单元进行管理)
应用程序 OU
客户管理的 OU
加速 OU
AMS-managed multi-account landing zone 还允许您创建用于分组和组织 AWS 账户的自定义 OU,并将自定义 SCP 与这些账户关联起来;有关执行此操作的示例,请分别参阅管理账户 | 创建自定义 OU 和管理账户 | 创建自定义 SCP(托管自动化)。AMS 提供了四个现有的 OU,可以在这些组织下申请新的 OU 和帐户:加速、应用程序 > 托管、应用程序 > 开发和客户管理。
加速 OU:
这是 AMS 多账户着陆区 (MALZ) 中的顶级组织单位。此 OU 下的账户由 AMS 提供 RFC(部署 | 托管着陆区 | 管理账户 | 创建加速账户,更改类型 ID:ct-2p93tyd5angmi)。在这些加速应用程序帐户中,您可以受益于加速运营服务,例如监控和警报、事件管理、安全管理和备份管理。有关更多详细信息,请参阅 AMS 加速账户。
应用程序 > 托管 OU:
在应用程序 OU 的这个子组织单元中,账户完全由 AMS 管理,包括所有操作任务。运营任务包括服务请求管理、事件管理、安全管理、连续性管理、补丁管理、成本优化、监控和事件管理。这些任务是为了管理您的基础架构而执行的。在 AWS 组织达到嵌套 OU 的最大限制之前,可以根据需要创建多个子 OU。有关详细信息,请参阅 AWS Organizations 的配额。
应用程序 > 开发 OU:
在 landing zone 中 AMS-managed 应用程序 OU 的子组织单位下,账户是开发者模式账户,可为您提供在 AMS 变更管理流程之外配置和更新 AWS 资源的高级权限。此 OU 还支持根据需要创建新的子项 OU。
客户管理的 OU:
这是 AMS 多账号 landing zone 中的顶级 OU。此 OU 下的账户由 AMS 提供 RFC。在这些账户中,工作负载和 AWS 资源的操作由您负责。此 OU 还支持根据需要创建新的子项 OU。
作为最佳实践,我们建议根据这些 OU 和自定义请求的子业务单元下的账户的功能和策略对其进行分组。
服务控制策略和 AWS 组织
AWS 为 AWS 组织中的权限管理提供服务控制策略 (SCP)。SCP 用于为用户在哪个 OU 中可以执行的操作定义额外的护栏。默认情况下,AMS 提供一组 SCP 部署在管理账户中,这些账户在不同的默认 OU 级别提供保护。如需了解 SCP 限制,请联系您的 CSDM。
您也可以创建自定义 SCP 并将其附加到特定的 OU。可以使用变更类型 ct-33ste5yc7hprs 向您的管理账户申请它们。然后,AMS 会审查所请求的自定义 SCP,然后再将其应用于目标 OU。有关示例,请参阅管理账户 | 创建自定义 OU 和管理账户 | 创建自定义 SCP(托管自动化)。