ingest: CTP Topic 35 AWS Landing Zone Design Refresher (SaaS Labs)

- Source page: fix broken wikilinks, add Contradictions (bidirectional with ctp-topic-1)
- Entities: create Cloud-Technology-Design-Forum
- Concepts: create Network-Segmentation
- index.md: add date+summary to ctp-topic-35, add new Entity+Concept entries
- log.md: append ingest record

wiki/sources/ctp-topic-35-aws-landing-zone-design-refresher-saas-labs.md

@@ -1,8 +1,9 @@
 ---
 title: "CTP Topic 35 AWS Landing Zone Design Refresher (SaaS Labs)"
 type: source
-tags: []
-date: 2026-04-14
+tags: [AWS, Landing-Zone, SaaS, Labs, CTP, Multi-Account]
+sources: []
+last_updated: 2026-05-06
 ---
 
 ## Source File
@@ -11,7 +12,7 @@ date: 2026-04-14
 ## Summary（用中文描述）
 - 核心主题：AWS Landing Zone 设计复习，重点对比 SaaS（生产）与 Labs（开发）两种 Landing Zone 环境的架构差异与近期变更
 - 问题域：企业多账户 AWS 环境下的账户结构设计、共享服务架构、网络分段策略、以及 SaaS 与 Labs 的职责划分
-- 方法/机制：基于 Gruntwork Terraform 模板构建 Landing Zone IaC；通过 CCOEs CloudTrail 替代 Gruntworks CloudTrail 实现统一审计；网络账户 Checkpoint 重新路由入站流量；网络分段阻断 SaaS 工作负载的直接连通性
+- 方法/机制：基于 Gruntwork Terraform 模板构建 Landing Zone IaC；通过 CCOE CloudTrail 替代 Gruntworks CloudTrail 实现统一审计；网络账户 Checkpoint 重新路由入站流量；网络分段阻断 SaaS 工作负载的直接连通性
 - 结论/价值：明确 SaaS = 生产、Labs = 开发的核心定位；PoC Landing Zone 将并入 Labs 以最大化资源共享；Cloud Technology Design Forum 推动 Micro Focus 云交付标准化
 
 ## Key Claims（用中文描述）
@@ -19,7 +20,7 @@ date: 2026-04-14
 - SaaS Landing Zone 为每个产品区域提供客户专属的产品账户，通过共享服务账户实现安全、日志和网络互联
 - Gruntwork 账户跨所有账户管理 AMI、日志和安全策略
 - 网络分段策略将阻断对 SaaS 工作负载的直接连通性
-- CCOEs CloudTrail 取代 Gruntworks CloudTrail 实现统一云审计
+- CCOE CloudTrail 取代 Gruntworks CloudTrail 实现统一云审计
 - 入站流量拟通过 Network 账户的 Checkpoint 重新路由
 - 原生 AWS Backup 有望成为强制要求
 - 新账户可能取消 Management VPC
@@ -27,26 +28,32 @@ date: 2026-04-14
 
 ## Key Quotes
 > "Our AWS landing zones, they're built infrastructure as code as you'd expect on terraform templates using the grunt work framework." — Landing Zone 的 IaC 实现方式
+
 > "Basically, the only answer is that SAS is production, Labs is development." — SaaS 与 Labs 的本质区别
 
 ## Key Concepts
-- [[AWS-Landing-Zone]]：AWS 多账户架构的基础框架，通过账户隔离实现安全、合规和可管理性
+- [[Landing-Zone-Architecture]]：AWS 多账户架构的基础框架，通过账户隔离实现安全、合规和可管理性
 - [[Gruntwork]]：提供生产级 Terraform 模块的基础设施库，Micro Focus 基于此构建 Landing Zone
 - [[Shared-Services-Account]]：托管共享服务（Artifactory、Cyber Eupriva、ArcSight、监控等）的集中账户
 - [[Core-Accounts]]：包含 Active Directory、DNS 和 Network 账户，支持 IT 服务和 Micro Focus 基础设施
 - [[Product-Accounts]]：托管各产品线的 IT 产品、项目、应用程序及相关 AWS 资源，由各项目团队管理
 - [[Gruntwork-Accounts]]：跨所有账户管理 AMI、日志和安全策略的集中账户
-- [[CCOEs-CloudTrail]]：由 CCOE 团队管理的统一 CloudTrail，替代原有的 Gruntworks CloudTrail
 - [[Network-Segmentation]]：通过 Checkpoint 防火墙和网络分段策略阻断对 SaaS 工作负载的直接连通性
+- [[CloudTrail]]：AWS CloudTrail 日志服务，CCOE CloudTrail 替代原有 Gruntworks CloudTrail 实现统一审计
 
 ## Key Entities
 - [[Cloud-Technology-Design-Forum]]：Micro Focus 云技术设计论坛，致力于标准化和集中化云交付产品（包括 Landing Zone 设计）
+- [[Checkpoint]]：Network 账户中的防火墙设备，用于重新路由入站流量
 
 ## Connections
-- [[ctp-topic-1-gruntwork-landing-zone-architecture]] ← extends ← [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]
 - [[ctp-topic-7-saas-landing-zone-design]] ← related_to ← [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]
 - [[ctp-topic-25-labs-landing-zone-overview-itom-teams]] ← related_to ← [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]
-- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging]] ← related_to ← [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]
+- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← related_to ← [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]
+- [[ctp-topic-1-gruntwork-landing-zone-architecture]] ← extends ← [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]
 
 ## Contradictions
-- （暂无检测到与其他 Wiki 页面的明显冲突）
+- 与 [[ctp-topic-1-gruntwork-landing-zone-architecture]] 视角互补：
+  - 冲突点：Landing Zone 中产品定义粒度
+  - 当前观点（CTP Topic 35）：Landing Zone 产品定义由架构团队统一规划，强调 Cloud Technology Design Forum 推动标准化
+  - 对方观点（CTP Topic 1）：Landing Zone 由产品团队自行定义具体服务（ECS/RDS 等），产品团队有较大自主权
+  - 状态：视角互补而非直接矛盾——CTP Topic 35 强调集中治理与标准化，CTP Topic 1 强调灵活性与产品团队自主性；可能反映组织不同发展阶段或不同业务单元的差异