

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Vom Kunden verwaltete Anwendungskonten
<a name="application-account-cust-man"></a>

Sie können Konten erstellen, die AMS nicht standardmäßig verwaltet. Diese Konten werden als vom Kunden verwaltete Konten bezeichnet und geben Ihnen die volle Kontrolle über den Eigenbetrieb der Infrastruktur innerhalb der Konten, während Sie gleichzeitig die Vorteile der zentralisierten Architektur nutzen können, die von AMS verwaltet wird. 

Kundenverwaltete Konten haben keinen Zugriff auf die AMS-Konsole oder einen der von uns angebotenen Dienste (Patch, Backup usw.).

Kundenverwaltete Konten können nur über Ihr AMS-Landingzone-Verwaltungskonto mit mehreren Konten bereitgestellt werden.

Verschiedene AMS-Modi funktionieren unterschiedlich mit Anwendungskonten. Weitere Informationen zu den Modi finden Sie unter [AWS Managed Services Services-Modi](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html).

Informationen zur Erstellung Ihres kundenverwalteten Anwendungskontos finden Sie unter [Verwaltungskonto \$1 Kundenverwaltetes Anwendungskonto erstellen](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html).

Um ein vom Kunden verwaltetes Anwendungskonto zu löschen, verwenden Sie [Verwaltungskonto \$1 Offboard-Anwendungskonto](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html). (Das [Confirm Offboarding](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) CT gilt nicht für vom Kunden verwaltete Anwendungskonten.)

# Zugriff auf Ihr vom Kunden verwaltetes Konto
<a name="application-account-cust-man-access"></a>

Nachdem Sie ein vom Kunden verwaltetes Konto (CMA) in der landing zone mit mehreren Konten (MALZ) bereitgestellt haben, befindet sich im Konto eine Administratorrolle`CustomerDefaultAdminRole`,, die Sie über den SAML-Verbund übernehmen müssen, um das Konto zu konfigurieren.

So greifen Sie auf die CMA zu:

1. Melden Sie sich bei der IAM-Konsole für das Verwaltungskonto mit der Rolle an **CustomerDefaultAssumeRole**.

1. Wählen Sie in der IAM-Konsole in der Navigationsleiste Ihren Benutzernamen aus.

1. Wählen Sie **Switch Role**. Wenn Sie diese Option erstmalig auswählen, wird eine Seite mit weiteren Informationen angezeigt. Lesen Sie sich diese Informationen durch und klicken Sie dann auf **Switch Role (Rolle wechseln)**. Wenn Sie die Cookies Ihres Browsers löschen, kann die Seite erneut angezeigt werden.

1. Geben Sie auf der Seite „**Rolle wechseln**“ die ID des vom Kunden verwalteten Kontos und den Namen der Rolle ein, die Sie übernehmen möchten: **CustomerDefaultAdminRole**.

Nachdem Sie nun Zugriff haben, können Sie neue IAM-Rollen erstellen, um weiterhin auf Ihre Umgebung zuzugreifen. Wenn Sie SAML Federation für Ihr CMA-Konto nutzen möchten, finden Sie weitere Informationen unter [Aktivieren des Zugriffs auf die AWS-Managementkonsole für SAML 2.0-Verbundbenutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).

# Verbinden Sie Ihre CMA mit Transit Gateway
<a name="application-account-cust-man-connect-tg"></a>

AMS verwaltet nicht die Netzwerkeinrichtung von vom Kunden verwalteten Konten (CMAs). Sie haben die Möglichkeit, Ihr eigenes Netzwerk mit AWS zu verwalten APIs (siehe [Networking Solutions](https://aws.amazon.com/solutionspace/networking/)) oder eine Verbindung zu dem von AMS verwalteten Mehrkonto-Landingzone-Netzwerk herzustellen, indem Sie das bestehende Transit Gateway (TGW) verwenden, das in AMS MALZ bereitgestellt wird.

**Anmerkung**  
Sie können nur dann eine VPC mit dem TGW verbinden, wenn sich die CMA in derselben AWS-Region befindet. [Weitere Informationen finden Sie unter Transit-Gateways.](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)

Um Ihre CMA zu Transit Gateway hinzuzufügen, fordern Sie eine neue Route mit dem Änderungstyp [Netzwerkkonto \$1 Statische Route hinzufügen (ct-3r2ckznmt0a59](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)) an und geben Sie folgende Informationen an:
+ **Blackhole**: True bedeutet, dass das Ziel der Route nicht verfügbar ist. Tun Sie dies, wenn der Verkehr für die statische Route vom Transit Gateway unterbrochen werden soll. False, um den Verkehr an die angegebene TGW-Anhangs-ID weiterzuleiten. Der Standardwert ist „false“.
+ **DestinationCidrBlock**: Der IPV4 CIDR-Bereich, der für Zielübereinstimmungen verwendet wird. Routing-Entscheidungen basieren auf der genauesten Übereinstimmung. Beispiel: `10.0.2.0/24`.
+ **TransitGatewayAttachmentId**: Die TGW-Anhangs-ID, die als Ziel für die Routentabelle dient. Wenn **Blackhole** den Wert false hat, ist dieser Parameter erforderlich, andernfalls lassen Sie diesen Parameter leer. Beispiel: `tgw-attach-04eb40d1e14ec7272`.
+ **TransitGatewayRouteTableId**: Die ID der TGW-Routentabelle. Beispiel: `tgw-rtb-06ddc751c0c0c881c`.

**Verbindung einer neuen kundenverwalteten VPC mit dem AMS Multi-Account Landing Zone-Netzwerk (Erstellen eines TGW-VPC-Anhangs**):

1. Öffnen Sie in Ihrem landing zone Networking-Konto mit mehreren Konten die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Transit** Gateways aus. Notieren Sie sich die TGW-ID des Transit-Gateways, das Sie sehen.

1. Öffnen Sie in Ihrem vom Kunden verwalteten Konto die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Transit Gateway Gateway-Anlagen** > **Transit Gateway Gateway-Anlage erstellen**. Treffen Sie diese Entscheidungen:

   1. Wählen Sie für die **Transit Gateway Gateway-ID** die Transit-Gateway-ID aus, die Sie in Schritt 2 aufgezeichnet haben.

   1. Wählen Sie bei **Attachment type (Anhangstyp)** die Option **VPC** aus.

   1. Geben Sie unter **VPC Attachment (VPC-Anfügung)** optional einen Namen für **Attachment name tag (Anfügungs-Namens-Tag)** ein.

   1. Wählen Sie aus, ob **DNS-Support und IPv6 Support** **aktiviert werden sollen**.

   1. Wählen Sie für **VPC ID** die VPC aus, die dem Transit-Gateway angefügt werden soll. Dieser VPC muss mindestens ein Subnetz zugeordnet sein.

   1. Wählen Sie unter **Subnetz** ein Subnetz für jede Availability Zone aus IDs, das vom Transit-Gateway zur Weiterleitung des Datenverkehrs verwendet werden soll. Sie müssen mindestens ein Subnetz auswählen. Sie können nur ein Subnetz pro Availability Zone auswählen.

1. Wählen Sie **Create attachment (Anhang erstellen)** aus. Notieren Sie sich die ID des neu erstellten TGW-Anhangs.

 

**Zuordnen des TGW-Anhangs zu einer Routentabelle**:

Entscheiden Sie, mit welcher TGW-Routentabelle Sie die VPC verknüpfen möchten. Wir empfehlen, eine neue Anwendungsroutentabelle für Customer Managed zu erstellen, VPCs indem Sie einen RFC für Bereitstellung \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Transit-Gateway-Routentabelle erstellen (ct-3dscwaeyi6cup) einreichen. Um die VPC- oder TGW-Anlage der ausgewählten Routing-Tabelle zuzuordnen, reichen Sie einen RFC Deployment \$1 Managed landing zone \$1 Networking Account \$1 Associate TGW Attachment (ct-3nmhh0qr338q6) für das Netzwerkkonto ein.

 

**Erstellen Sie Routen in den TGW-Routentabellen, um eine Verbindung zu dieser VPC** herzustellen:

1. Standardmäßig kann diese VPC mit keiner anderen VPCs in Ihrem Multi-Account-Landingzone-Netzwerk kommunizieren.

1. Entscheiden Sie mit Ihrem Lösungsarchitekten, mit was VPCs diese vom Kunden verwaltete VPC kommunizieren soll. Bereitstellung einreichen \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Fügen Sie statische Route (ct-3r2ckznmt0a59) RFC für das Netzwerkkonto hinzu, um die benötigten TGW-Routen zu erstellen.

**Anmerkung**  
Dieses CT (ct-3r2ckznmt0a59) erlaubt es nicht EgressRouteDomain, statische Routen zur Core-Routentabelle hinzuzufügen. Wenn Ihre CMA ausgehenden Verkehr zulassen muss, reichen Sie einen Management \$1 Other \$1 Other (MOO) -RFC mit ct-0xdawir96cy7k ein.

 

**Konfiguration Ihrer VPC-Routentabellen so, dass sie auf das AMS Multi-Account Landing Zone-Transit-Gateway verweisen**:

Entscheiden Sie gemeinsam mit Ihrem Lösungsarchitekten, welchen Verkehr Sie an das AMS Multi-Account Landing Zone-Transit-Gateway senden möchten. Aktualisieren Sie Ihre VPC-Routentabellen, um Traffic an den zuvor erstellten TGW-Anhang zu senden

# Holen Sie sich operative Hilfe mit Ihren vom Kunden verwalteten Konten
<a name="application-account-cust-man-op-help"></a>

AMS kann Ihnen helfen, die Workloads zu verwalten, die Sie in Ihren vom Kunden verwalteten Konten bereitgestellt haben, indem das Konto in AMS Accelerate integriert wird. Mit AMS Accelerate können Sie von operativen Services wie Überwachung und Alarmierung, Incident Management, Sicherheitsmanagement und Backup-Management profitieren, ohne eine neue Migration durchführen zu müssen, Ausfallzeiten zu haben oder Ihre Nutzung zu ändern. AWS AMS Accelerate bietet auch ein optionales Patch-Add-on für EC2 basierte Workloads, die regelmäßig gepatcht werden müssen. Mit AMS Accelerate nutzen, konfigurieren und implementieren Sie weiterhin alle AWS Dienste nativ oder mit Ihren bevorzugten Tools, wie Sie es mit AMS Advanced Customer Managed Accounts tun. Sie verwenden Ihre bevorzugten Zugriffs- und Änderungsmechanismen, während AMS bewährte Methoden anwendet, die Ihnen helfen, Ihr Team zu skalieren, Kosten zu optimieren, Sicherheit und Effizienz zu erhöhen und die Ausfallsicherheit zu verbessern. Weitere Informationen finden Sie in der [Leistungsbeschreibung von Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).

Um Ihr kundenverwaltetes Konto in Accelerate einzubinden, wenden Sie sich an Ihren CSDM und folgen Sie den Schritten unter [Erste Schritte mit AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html).

**Anmerkung**  
AMS Accelerate-Konten in AMS Advanced verfügen weder über das AMS-Änderungsmanagement (Änderungsanträge oder RFCs) noch über die AMS Advanced-Konsole. Stattdessen verfügen sie über die AMS Accelerate-Konsole und -Funktionalität.