本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# MALZ 網路架構
<a name="malz-net-arch-section"></a>

## 關於多帳戶登陸區域網路架構
<a name="malz-net-arch-intro"></a>

在您開始 AWS Managed Services (AMS) 多帳戶登陸區域 (MALZ) 的加入程序之前，請務必了解 AMS 代表您建立的基準架構或登陸區域、其元件和函數。

AMS 多帳戶登陸區域是一種多帳戶架構，已預先設定基礎設施，以促進身分驗證、安全性、聯網和記錄。

**注意**  
如需成本的預估，請參閱 [AMS 多帳戶登陸區域環境基本元件](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#basic-components-malz)。

**Topics**
+ [服務區域](#service-region)
+ [組織單位](#malz-ous)
+ [服務控制政策和 AWS Organization](#malz-scps)

下圖以高層級概述帳戶結構，以及如何將基礎設施隔離到每個帳戶：

![](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/MALZ-high-level-Nov2022.png)


### 服務區域
<a name="service-region"></a>

由於 Active Directory 和 Transit Gateway 目前的跨區域限制，AMS 多帳戶登陸區域內的所有資源都會部署在您選擇的單一 AWS 區域中。

### 組織單位
<a name="malz-ous"></a>

典型的 AMS 多帳戶登陸區域由四個最上層組織單位 (OUs) 組成：
+ 核心組織單位 (OU) （用來將帳戶分組，以單一單位形式管理）
+ 應用程式 OU
+ 客戶管理的 OU
+ 加速 OU

AMS 受管多帳戶登陸區域也可讓您建立自訂 OUs以分組和組織 AWS 帳戶，並將自訂 SCPs 與其建立關聯；如需執行此操作的範例，請參閱[管理帳戶 \| 建立自訂 OUs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-ous.html)[和管理帳戶 \| 分別建立自訂 SCP （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-scp-review-required.html)。AMS 提供四個可請求新 OUs 和帳戶的現有 OUs：加速、應用程式 > 受管、應用程式 > 開發和客戶受管。
+ 加速 OU：

  這是 AMS 多帳戶登陸區域 (MALZ) 中最上層的 OU。此 OU 下的帳戶是由具有 RFC 的 AMS 佈建 （部署 \| 受管登陸區域 \| 管理帳戶 \| 建立加速帳戶，變更類型 ID：ct-2p93tyd5angmi)。在這些加速應用程式帳戶中，您可以受益於加速營運服務，例如監控和提醒、事件管理、安全管理和備份管理。如需詳細資訊，請參閱 [AMS Accelerate 帳戶](https://docs.aws.amazon.com/managedservices/latest/userguide/malz-accelerate-account.html)。
+ 應用程式 > 受管 OU：

  在 Application OU 的這個子組織單位中，帳戶完全由 AMS 管理，包括所有操作任務。操作任務包括服務請求管理、事件管理、安全管理、持續性管理、修補程式管理、成本最佳化、監控和事件管理。這些任務會針對您基礎設施的管理執行。您可以視需要建立多個子 OUs，直到達到 AWS 組織的巢狀 OUs 上限為止。如需詳細資訊，請參閱 [ AWS Organizations 的配額](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)。
+ 應用程式 > 開發 OU：

  在 AMS 受管登陸區域中應用程式 OU 的這個子 OU 下，帳戶是[開發人員模式](https://docs.aws.amazon.com/managedservices/latest/userguide/developer-mode-section.html)帳戶，可提供您在 AMS 變更管理程序之外佈建和更新 AWS 資源的更高許可。此 OU 也支援視需要建立新的子系 OU。
+ 客戶受管 OU：

  這是 AMS 多帳戶登陸區域中最上層的 OU。此 OU 下的帳戶是由 AMS 使用 RFC 佈建。在這些帳戶中，工作負載和 AWS 資源的操作是您的責任。此 OU 也支援視需要建立新的子系 OU。

根據最佳實務，我們建議這些 OUs 和自訂請求的子 OUs 下的帳戶根據其功能和政策進行分組。

### 服務控制政策和 AWS Organization
<a name="malz-scps"></a>

AWS 為 AWS Organization 中的許可管理提供服務控制政策 (SCPs)。SCPs用於為使用者可以在哪些 OUs 中執行的動作定義額外的護欄。根據預設，AMS 提供一組部署在管理帳戶中SCPs，可在不同的預設 OU 層級提供保護。如需 SCP 限制，請聯絡您的 CSDM。

您也可以建立自訂 SCPs並將其連接至特定 OUs。您可以使用變更類型 ct-33ste5yc7hprs 從您的 管理帳戶請求它們。然後，AMS 會檢閱請求SCPs，再將其套用至目標 OUs。如需範例，請參閱[管理帳戶 \| 建立自訂 OUs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-ous.html)[和管理帳戶 \| 建立自訂 SCP （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-scp-review-required.html)。