本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# MALZ 网络架构
<a name="malz-net-arch-section"></a>

## 关于多账号 landing zone 网络架构
<a name="malz-net-arch-intro"></a>

在开始登录 AWS Managed Services (AMS) 多账户着陆区 (MALZ) 之前，请务必了解 AMS 代表您创建的基准架构或着陆区、其组件和功能。

AMS multi-account landing zone 是一种多账户架构，预先配置了基础设施，以促进身份验证、安全、联网和日志记录。

**注意**  
有关成本估算，请参阅 [AMS 多账户 landing zone 环境基本组件](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#basic-components-malz)。

**Topics**
+ [服务区域](#service-region)
+ [组织单元](#malz-ous)
+ [服务控制策略和 AWS 组织](#malz-scps)

下图概述了账户结构以及如何将基础设施划分到每个账户中：

![](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/MALZ-high-level-Nov2022.png)


### 服务区域
<a name="service-region"></a>

由于 Active Directory 和 Transit Gateway 当前的跨区域限制，AMS 多账户着陆区内的所有资源都部署在您选择的单个 AWS 区域内。

### 组织单元
<a name="malz-ous"></a>

典型的 AMS 多账户登陆区由四个顶级组织单位 (OUs) 组成：
+ 核心组织单位 (OU)（用于将账户组合在一起，作为一个单元进行管理）
+ 应用程序 OU
+ 客户管理的 OU
+ 加速 OU

AMS 管理的多账户 landing zone 还允许您创建 OUs 用于分组和组织 AWS 账户的自定义账户，并将自定义账户 SCPs 与之关联；有关执行此操作的示例，请分别参阅[管理账户 \| 创建自定义](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-ous.html)[账户 OUs和管理账户 \| 创建自定义 SCP（托管自动化](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-scp-review-required.html)）。AMS 提供了四个现有账户，可以在这些账户 OUs 下申请新的 OUs 和账户：加速、应用程序 > 托管、应用程序 > 开发和客户管理。
+ 加速 OU：

  这是 AMS 多账户着陆区 (MALZ) 中的顶级组织单位。此 OU 下的账户由 AMS 提供 RFC（部署 \| 托管着陆区 \| 管理账户 \| 创建加速账户，更改类型 ID：ct-2p93tyd5angmi）。在这些加速应用程序帐户中，您可以受益于加速运营服务，例如监控和警报、事件管理、安全管理和备份管理。有关更多详细信息，请参阅 [AMS 加速账户](https://docs.aws.amazon.com/managedservices/latest/userguide/malz-accelerate-account.html)。
+ 应用程序 > 托管 OU：

  在应用程序 OU 的这个子组织单元中，账户完全由 AMS 管理，包括所有操作任务。运营任务包括服务请求管理、事件管理、安全管理、连续性管理、补丁管理、成本优化、监控和事件管理。这些任务是为了管理您的基础架构而执行的。在达到 AWS 组织的最大嵌套 OUs 限制之前， OUs 可以根据需要创建多个子项目。有关详细信息，请参阅 [AWS Organizations 的配额](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)。
+ 应用程序 > 开发 OU:

  在 AMS 管理的 landing zone 中应用程序 OU 的子组织单位下，账户是[开发者模式](https://docs.aws.amazon.com/managedservices/latest/userguide/developer-mode-section.html)账户，可为您提供在 AMS 变更管理流程之外配置和更新 AWS 资源的高级权限。此 OU 还支持根据需要创建新的子项 OU。
+ 客户管理的 OU：

  这是 AMS 多账号 landing zone 中的顶级 OU。此 OU 下的账户由 AMS 提供 RFC。在这些账户中，工作负载和 AWS 资源的操作由您负责。此 OU 还支持根据需要创建新的子项 OU。

作为最佳实践，我们建议根据其功能 OUs 和政策对这些账户和自定义请求的子账号OUs 进行分组。

### 服务控制策略和 AWS 组织
<a name="malz-scps"></a>

AWS 为 AWS 组织中的权限管理提供服务控制策略 (SCPs)。 SCPs 用于为用户在哪些操作中可以执行的操作定义额外的护栏。 OUs默认情况下，AMS 提供一组 SCPs 部署在管理账户中的账户，这些账户在不同的默认 OU 级别提供保护。如需了解 SCP 限制，请联系您的 CSDM。

您也可以创建自定义 SCPs 并将它们附加到特定的 OUs。可以使用变更类型 ct-33ste5yc7hprs 向您的管理账户申请它们。然后，AMS 会审核所 SCPs 请求的自定义，然后再将其应用于目标 OUs。有关示例，请参阅[管理账户 \| 创建自定义](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-ous.html)账户 OUs[和管理账户 \| 创建自定义 SCP（托管自动化）](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-scp-review-required.html)。