Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Architettura degli account di rete Il diagramma seguente illustra l'ambiente di landing zone multi-account AMS, mostra i flussi di traffico di rete tra gli account ed è un esempio di configurazione ad alta disponibilità.   ![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png) ![\[Diagram showing network traffic flow between Account AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png) AMS configura per te tutti gli aspetti del networking in base ai nostri modelli standard e alle opzioni selezionate fornite durante l'onboarding. Al tuo account AWS viene applicato un design di rete AWS standard e viene creato un VPC per te e connesso ad AMS tramite VPN o Direct Connect. Per ulteriori informazioni su Direct Connect, consulta [AWS Direct Connect](https://aws.amazon.com/directconnect/). Lo standard VPCs include la DMZ, i servizi condivisi e una sottorete di applicazioni. Durante il processo di onboarding, VPCs potrebbero essere richiesti e creati altri dati in base alle esigenze dell'utente (ad esempio, divisioni clienti, partner). Dopo l'onboarding, viene fornito un diagramma di rete: un documento ambientale che spiega come è stata configurata la rete. **Nota** Per informazioni sui limiti e i vincoli di servizio predefiniti per tutti i servizi attivi, consulta la documentazione di [AWS Service Limits](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html). Il design della nostra rete si basa sul [«Principio del minimo privilegio»](https://en.wikipedia.org/wiki/Principle_of_least_privilege) di Amazon. A tal fine, indirizziamo tutto il traffico, in ingresso e in uscita, attraverso una DMZ, ad eccezione del traffico proveniente da una rete affidabile. L'unica rete affidabile è quella configurata tra l'ambiente locale e il VPC tramite l'uso di una and/or VPN e AWS Direct Connect (DX). L'accesso è garantito tramite l'uso di istanze bastion, impedendo così l'accesso diretto a qualsiasi risorsa di produzione. Tutte le applicazioni e le risorse risiedono all'interno di sottoreti private raggiungibili tramite sistemi di bilanciamento del carico pubblici. Il traffico pubblico in uscita attraversa i gateway NAT nel VPC in uscita (nell'account di rete) verso l'Internet Gateway e quindi verso Internet. In alternativa, il traffico può fluire attraverso la tua VPN o Direct Connect verso il tuo ambiente locale.