Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einführung in das Onboarding von AWS Managed Services
Willkommen bei AWS Managed Services (AMS). AMS ist ein Unternehmensservice, der die kontinuierliche Verwaltung Ihrer AWS-Infrastruktur ermöglicht. Dieser Leitfaden soll Ihnen bei den ersten Schritten mit AMS helfen, einschließlich der Einrichtung eines neuen Kontos für AMS, der Einrichtung von Netzwerken und des Zugriffs auf AMS sowie der Validierung Ihres Onboarding-Setups.
Es richtet sich an IT-Administratoren, die mit der Vorbereitung und Durchführung der Aufgaben beauftragt sind, die für die Einbindung des AMS-Service in ein neues AWS-Konto erforderlich sind. Für das Onboarding des AMS-Service sind besondere Rechte erforderlich, um Active Directory-Vertrauensstellungen einzurichten und andere Aufgaben auf Netzwerkebene auszuführen. Hilfe bei der Entscheidung, ob du Landingzone-Konten mit mehreren Konten oder Landingzone-Konten mit einem Konto verwenden möchtest, findest du unter [Auswahl eines MALZ oder](https://docs.aws.amazon.com/managedservices/latest/userguide/malz-single-or-multi.html) mehrerer Konten. MALZs
**Wichtig**
Dieser Leitfaden ist nach dieser Einführung in zwei Teile gegliedert: Einen für Landingzone-Konten mit mehreren Konten und einen für Landingzone-Konten mit einem Konto. Das Onboarding ist für beide sehr unterschiedlich. Bitte gehen Sie weiter zu dem Abschnitt des Leitfadens, der auf Ihre Situation zutrifft.
**Topics**
+ [Erfahren Sie mehr über AMS](#learning-about-sent)
+ [Die wichtigsten Begriffe von AMS](key-terms.md)
+ [AMS-Modi](ams-modes-og.md)
+ [Präskriptive AMS-Leitlinien für die Zeit nach der Kontoeröffnung](ams-ob-prescriptive-guidance.md)
+ [Was wir tun, was wir nicht tun](ams-do-not-do.md)
+ [Verwaltung des Ausgangsverkehrs mit AMS](egress-traffic-mgmt.md)
+ [IAM-Benutzerrolle in AMS](defaults-user-role.md)
+ [Standard-Firewallregeln für den Zugriff](firewall-default-access-rules.md)
## Erfahren Sie mehr über AMS
Weitere Informationen zu AMS finden Sie in den folgenden Abschnitten [des AMS-Benutzerhandbuchs](https://docs.aws.amazon.com/managedservices/latest/userguide/index.html):
+ [Was ist AWS Managed Services](https://docs.aws.amazon.com/managedservices/latest/userguide/what-is-sent.html) stellt den AMS-Service vor und beschreibt die wichtigsten Funktionen, Abläufe und Schnittstellen sowie eine typische AMS-verwaltete Netzwerkarchitektur. Dieses Kapitel enthält auch Informationen zur Zugriffsverwaltung, einschließlich des Zugriffs auf Ihre von AMS verwalteten Ressourcen und der Verwendung von Bastions.
+ [Die wichtigsten Begriffe enthalten](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html) Definitionen und Erläuterungen zur AMS-Terminologie.
+ [Understanding AMS Defaults](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/understanding-sent-defaults.html) enthält die Standardwerte, die AMS verwendet, einschließlich der Standardwerte für grundlegende Umgebungskomponenten, IAM und, Proxys EC2, überwachte Metriken, Protokollierung, Endpunktsicherheit (EPS), Backups und Patches.
+ [Change Management](https://docs.aws.amazon.com/managedservices/latest/userguide/change-mgmt.html) bietet detaillierte Informationen zur Funktionsweise von Änderungsanforderungen (RFCs) und Änderungstypen (CTs) sowie Beispiele für die Verwendung von AMS. RFCs
+ In mehreren zusätzlichen Kapiteln werden der Zugriff auf die AWS-Konsole, die AMS-CLI, die Verwendung des AMS-Change-Management-Systems, das AMS SKMS, Sicherheit, Serviceanfragen, Vorfälle, Überwachung, Protokolle, EPS, Backups und Patch-Management behandelt.
Weitere Informationen zur AMS-Landingzone-Architektur mit mehreren Konten finden Sie unter Netzwerkarchitektur für [mehrere Konten](https://docs.aws.amazon.com/managedservices/latest/userguide/malz-net-arch.html)
Weitere Informationen zur Single-Account-Landingzone-Architektur von AMS finden Sie unter [Single-Account-Landingzone-Netzwerkarchitektur](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-net-arch.html)
# Die wichtigsten Begriffe von AMS
+ *AMS Advanced*: Die im Abschnitt „Servicebeschreibung“ der AMS Advanced-Dokumentation beschriebenen Dienste. Siehe [Servicebeschreibung](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html).
+ *AMS Advanced-Konten*: AWS Konten, die jederzeit alle Anforderungen der AMS Advanced Onboarding Requirements erfüllen. Informationen zu den Vorteilen von AMS Advanced, Fallstudien und zur Kontaktaufnahme mit einem Vertriebsmitarbeiter finden Sie unter [AWS Managed Services](https://aws.amazon.com/managed-services/).
+ *AMS Accelerate-Konten*: AWS Konten, die jederzeit alle Anforderungen der AMS Accelerate Onboarding-Anforderungen erfüllen. Siehe [Erste Schritte mit AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html).
+ *AWS Managed Services*: AMS und/oder AMS Accelerate.
+ *AWS Managed Services Services-Konten*: Die AMS-Konten und/oder AMS Accelerate-Konten.
+ *Kritische Empfehlung*: Eine Empfehlung, die im AWS Rahmen einer Serviceanfrage ausgesprochen wurde und Sie darüber informiert, dass Ihre Maßnahmen zum Schutz vor potenziellen Risiken oder Störungen Ihrer Ressourcen oder der AWS-Services Wenn Sie sich entscheiden, einer kritischen Empfehlung bis zum angegebenen Datum nicht zu folgen, tragen Sie die alleinige Verantwortung für alle Schäden, die sich aus Ihrer Entscheidung ergeben.
+ *Vom Kunden angeforderte Konfiguration*: Jede Software, Dienste oder andere Konfigurationen, die nicht identifiziert sind in:
+ Beschleunigen: [Unterstützte Konfigurationen](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html#supported-configs) oder [AMS Accelerate; Servicebeschreibung](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
+ AMS Advanced: [Unterstützte Konfigurationen](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#supported-configs) oder [AMS Advanced; Servicebeschreibung](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html).
+ *Kommunikation mit einem Vorfall*: AMS teilt Ihnen einen Incident mit oder Sie beantragen einen Incident bei AMS über einen Incident, der im Support Center für AMS Accelerate und in der AMS Console for AMS erstellt wurde. Die AMS Accelerate Console bietet eine Zusammenfassung der Vorfälle und Serviceanfragen auf dem Dashboard sowie Links zum Support Center für weitere Informationen.
+ *Verwaltete Umgebung*: Die AMS Advanced-Konten und/oder die AMS Accelerate-Konten, die von AMS betrieben werden.
Für AMS Advanced gehören dazu Multi-Account-Landingzone-Konten (MALZ) und Single-Account-Landingzone-Konten (SALZ).
+ *Startdatum der Abrechnung*: Der nächste Werktag nach Erhalt AWS der in der AWS Managed Services Onboarding-E-Mail angeforderten Informationen. Die AWS Managed Services Onboarding-E-Mail bezieht sich auf die E-Mail, die von Ihnen gesendet wird AWS , um die Informationen zu sammeln, die für die Aktivierung von AWS Managed Services auf Ihren Konten erforderlich sind.
Für Konten, die später von Ihnen registriert wurden, ist das Startdatum der Rechnungsstellung der nächste Tag, an dem AWS Managed Services eine Benachrichtigung über die Aktivierung von AWS Managed Services für das registrierte Konto gesendet hat. Eine Benachrichtigung zur Aktivierung von AWS Managed Services erfolgt in folgenden Fällen:
1. Sie gewähren Zugriff auf ein kompatibles AWS Konto und übergeben es an AWS Managed Services.
1. AWS Managed Services entwirft und erstellt das AWS Managed Services Services-Konto.
+ *Kündigung des Dienstes*: Sie können die AWS Managed Services für alle AWS Managed Services Services-Konten oder für ein bestimmtes AWS Managed Services Services-Konto aus beliebigem Grund kündigen, indem Sie eine Serviceanfrage mit einer Frist von AWS mindestens 30 Tagen angeben. Am Tag der Kündigung des Service können Sie entweder:
1. AWS übergibt Ihnen die Kontrolle über alle AWS Managed Services Services-Konten oder gegebenenfalls die angegebenen AWS Managed Services Services-Konten oder
1. Die Parteien entfernen die AWS Identity and Access Management Rollen, die AWS Zugriff gewähren, von allen AWS Managed Services Services-Konten oder den angegebenen AWS Managed Services Services-Konten, sofern zutreffend.
+ *Kündigungsdatum* des Dienstes: Das Kündigungsdatum des Dienstes ist der letzte Tag des Kalendermonats, der auf das Ende der 30-tägigen Kündigungsfrist folgt. Fällt das Ende der erforderlichen Kündigungsfrist nach dem 20. Tag des Kalendermonats, ist das Kündigungsdatum der letzte Tag des folgenden Kalendermonats. Im Folgenden finden Sie Beispielszenarien für Kündigungstermine.
+ Wenn die Kündigung am 12. April erfolgt, endet die Kündigungsfrist von 30 Tagen am 12. Mai. Das Kündigungsdatum des Dienstes ist der 31. Mai.
+ Wenn am 29. April eine Kündigungsfrist erteilt wird, endet die Kündigungsfrist von 30 Tagen am 29. Mai. Das Kündigungsdatum des Dienstes ist der 30. Juni.
+ *Bereitstellung von AWS Managed Services*: AWS stellt Ihnen die AWS Managed Services zur Verfügung und Sie können ab dem Startdatum des Services für jedes AWS Managed Services-Konto auf AWS Managed Services zugreifen und diese nutzen.
+ *Kündigung für bestimmte AWS Managed Services-Konten*: Sie können die AWS Managed Services für ein bestimmtes AWS Managed Services Services-Konto aus beliebigem Grund kündigen, indem AWS Sie dies durch eine Serviceanfrage („Anfrage zur Kündigung eines AMS-Kontos“) mitteilen.
**Bedingungen für das Incident-Management**:
+ *Ereignis*: Eine Änderung in Ihrer AMS-Umgebung.
+ *Warnung*: Immer wenn ein unterstütztes Ereignis einen Schwellenwert AWS-Service überschreitet und einen Alarm auslöst, wird eine Warnung erstellt und eine Benachrichtigung an Ihre Kontaktliste gesendet. Darüber hinaus wird ein Vorfall in Ihrer Incident-Liste erstellt.
+ *Vorfall*: Eine ungeplante Unterbrechung oder Leistungsverschlechterung Ihrer AMS-Umgebung oder AWS Managed Services, die zu einer von AWS Managed Services oder Ihnen gemeldeten Beeinträchtigung führt.
+ *Problem*: Eine gemeinsame Grundursache für einen oder mehrere Vorfälle.
+ *Lösung eines Vorfalls* oder *Lösung eines Vorfalls*:
+ AMS hat alle nicht verfügbaren AMS-Dienste oder -Ressourcen im Zusammenhang mit diesem Vorfall wieder in den verfügbaren Zustand versetzt, oder
+ AMS hat festgestellt, dass nicht verfügbare Stacks oder Ressourcen nicht auf einen verfügbaren Zustand zurückgesetzt werden können, oder
+ AMS hat eine von Ihnen autorisierte Wiederherstellung der Infrastruktur eingeleitet.
+ *Reaktionszeit bei Vorfällen*: Der Zeitunterschied zwischen dem Zeitpunkt, zu dem Sie einen Vorfall erstellen, und dem Zeitpunkt, zu dem AMS eine erste Antwort über die Konsole, E-Mail, das Service Center oder das Telefon bereitstellt.
+ *Zeit zur Behebung eines Vorfalls*: Der Zeitunterschied zwischen dem Zeitpunkt, zu dem entweder AMS oder Sie einen Vorfall auslösen, und dem Zeitpunkt, zu dem der Vorfall behoben wird.
+ *Priorität des Vorfalls*: Wie Vorfälle von AMS oder von Ihnen als „Niedrig“, „Mittel“ oder „Hoch“ priorisiert werden.
+ *Niedrig*: Ein unkritisches Problem mit Ihrem AMS-Service.
+ *Medium*: Ein AWS-Service in Ihrer verwalteten Umgebung ist verfügbar, funktioniert aber nicht wie vorgesehen (gemäß der entsprechenden Servicebeschreibung).
+ *Hoch*: Entweder (1) die AMS-Konsole oder ein oder mehrere AMS APIs in Ihrer verwalteten Umgebung sind nicht verfügbar; oder (2) ein oder mehrere AMS-Stacks oder Ressourcen in Ihrer verwalteten Umgebung sind nicht verfügbar und die Nichtverfügbarkeit verhindert, dass Ihre Anwendung ihre Funktion erfüllt.
AMS kann Vorfälle gemäß den oben genannten Richtlinien neu kategorisieren.
+ *Wiederherstellung der Infrastruktur*: Erneutes Bereitstellen vorhandener Stacks auf der Grundlage von Vorlagen der betroffenen Stacks und Initiierung einer Datenwiederherstellung auf der Grundlage des letzten bekannten Wiederherstellungspunkts, sofern von Ihnen nicht anders angegeben, wenn eine Behebung des Vorfalls nicht möglich ist.
Bedingungen für die **Infrastruktur**:
+ *Verwaltete Produktionsumgebung*: Ein Kundenkonto, in dem sich die Produktionsanwendungen des Kunden befinden.
+ *Verwaltete Nichtproduktionsumgebung*: Ein Kundenkonto, das nur Anwendungen enthält, die nicht zur Produktion gehören, z. B. Anwendungen für Entwicklung und Tests.
+ *AMS-Stack*: Eine Gruppe von einer oder mehreren AWS Ressourcen, die von AMS als eine Einheit verwaltet werden.
+ *Unveränderliche Infrastruktur*: Ein für Amazon EC2 Auto Scaling Scaling-Gruppen (ASGs) typisches Infrastrukturwartungsmodell, bei dem aktualisierte Infrastrukturkomponenten (im AWS AMI) bei jeder Bereitstellung ersetzt werden, anstatt direkt aktualisiert zu werden. Die Vorteile einer unveränderlichen Infrastruktur bestehen darin, dass alle Komponenten synchron bleiben, da sie immer auf derselben Basis generiert werden. Die Unveränderlichkeit ist unabhängig von einem Tool oder Workflow zum Erstellen des AMI.
+ *Veränderbare Infrastruktur*: Ein Infrastrukturwartungsmodell, das typisch für Stacks ist, die keine Amazon EC2 Auto Scaling Scaling-Gruppen sind und eine einzelne Instance oder nur wenige Instances enthalten. Dieses Modell entspricht am ehesten der traditionellen, hardwarebasierten Systembereitstellung, bei der ein System zu Beginn seines Lebenszyklus bereitgestellt wird und dann im Laufe der Zeit Updates auf dieses System übertragen werden. Alle Aktualisierungen des Systems werden einzeln auf die Instanzen angewendet und können aufgrund von Anwendungs- oder Systemneustarts zu Systemausfällen führen (abhängig von der Stack-Konfiguration).
+ *Sicherheitsgruppen*: Virtuelle Firewalls für Ihre Instance zur Steuerung des ein- und ausgehenden Datenverkehrs. Sicherheitsgruppen wirken auf der Instance-Ebene und nicht auf der Subnetzebene. Daher kann jeder Instance in einem Subnetz in Ihrer VPC ein anderer Satz von Sicherheitsgruppen zugewiesen werden.
+ *Service Level Agreements (SLAs)*: Teil der AMS-Verträge mit Ihnen, die das erwartete Serviceniveau definieren.
+ SLA *nicht verfügbar und *nicht* verfügbar*:
+ Eine von Ihnen eingereichte API-Anfrage, die zu einem Fehler führt.
+ Eine von Ihnen eingereichte Konsolenanfrage, die zu einer 5xx-HTTP-Antwort führt (der Server ist nicht in der Lage, die Anfrage auszuführen).
+ Alle AWS-Service Angebote, die Stacks oder Ressourcen in Ihrer von AMS verwalteten Infrastruktur bilden, befinden sich im Status „Serviceunterbrechung“, wie im [Service](https://status.aws.amazon.com/) Health Dashboard angezeigt.
+ Die Nichtverfügbarkeit, die direkt oder indirekt auf einen AMS-Ausschluss zurückzuführen ist, wird bei der Entscheidung über die Inanspruchnahme von Servicegutschriften nicht berücksichtigt. Dienste gelten als verfügbar, sofern sie nicht die Kriterien für die Nichtverfügbarkeit erfüllen.
+ *Servicelevel-Ziele (SLOs)*: Teil der AMS-Verträge mit Ihnen, in denen spezifische Serviceziele für AMS-Services definiert werden.
**Bedingungen für das Patchen**:
+ *Obligatorische Patches*: Wichtige Sicherheitsupdates zur Behebung von Problemen, die den Sicherheitsstatus Ihrer Umgebung oder Ihres Kontos gefährden könnten. Ein „Kritisches Sicherheitsupdate“ ist ein Sicherheitsupdate, das vom Hersteller eines AMS-unterstützten Betriebssystems als „Kritisch“ eingestuft wird.
+ *Angekündigte oder veröffentlichte Patches*: Patches werden in der Regel nach einem bestimmten Zeitplan angekündigt und veröffentlicht. Neue Patches werden angekündigt, wenn festgestellt wird, dass der Patch benötigt wird. In der Regel wird der Patch bald danach veröffentlicht.
+ *Patch-Add-on*: Tag-basiertes Patchen für AMS-Instances, das die AWS Systems Manager (SSM) -Funktionalität nutzt, sodass Sie Instances taggen und diese Instances mithilfe einer Baseline und eines von Ihnen konfigurierten Fensters patchen lassen können.
+ *Patch-Methoden*:
+ *In-Place-Patching*: Patchen, das durch Ändern vorhandener Instanzen erfolgt.
+ *AMI-Ersatz-Patching*: Patching, das durch Ändern des AMI-Referenzparameters einer vorhandenen EC2 Auto Scaling Scaling-Gruppenstartkonfiguration erfolgt.
+ *Patch-Anbieter* (Betriebssystemanbieter, Drittanbieter): Patches werden vom Anbieter oder vom zuständigen Gremium der Anwendung bereitgestellt.
+ *Patch-Typen*:
+ *Kritisches Sicherheitsupdate (CSU)*: Ein Sicherheitsupdate, das vom Hersteller eines unterstützten Betriebssystems als „Kritisch“ eingestuft wurde.
+ *Wichtiges Update (IU)*: Ein Sicherheitsupdate, das vom Hersteller eines unterstützten Betriebssystems als „wichtig“ eingestuft wurde, oder ein nicht sicherheitsrelevantes Update, das vom Hersteller eines unterstützten Betriebssystems als „Kritisch“ eingestuft wurde.
+ *Anderes Update (OU)*: Ein Update des Herstellers eines unterstützten Betriebssystems, bei dem es sich nicht um eine CSU oder eine IU handelt.
+ *Unterstützte Patches*: AMS unterstützt Patches auf Betriebssystemebene. Upgrades werden vom Anbieter veröffentlicht, um Sicherheitslücken oder andere Fehler zu beheben oder die Leistung zu verbessern. Eine Liste der derzeit unterstützten OSs Konfigurationen finden Sie unter [Support-Konfigurationen](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html#supported-configs).
**Sicherheitsbedingungen**:
+ *Detective Controls*: Eine Bibliothek mit von AMS erstellten oder aktivierten Monitoren, die einen kontinuierlichen Überblick über vom Kunden verwaltete Umgebungen und Workloads für Konfigurationen bieten, die nicht den Sicherheits-, Betriebs- oder Kundenkontrollen entsprechen, und Maßnahmen ergreifen, indem sie Eigentümer benachrichtigen, Ressourcen proaktiv ändern oder beenden.
Bedingungen für Serviceanfragen**:**
+ *Serviceanfrage*: Eine Anfrage von Ihnen nach einer Maßnahme, die AMS in Ihrem Namen ergreifen soll.
+ *Warnmeldung: Eine Benachrichtigung*, die von AMS auf Ihrer Seite mit der Liste der **Serviceanfragen** veröffentlicht wird, wenn eine AMS-Warnung ausgelöst wird. Der für Ihr Konto konfigurierte Kontakt wird ebenfalls über die konfigurierte Methode (z. B. E-Mail) benachrichtigt. Wenn Ihre Instanzen/Ressourcen Kontakt-Tags enthalten und Ihrem Cloud Service Delivery Manager (CSDM) Ihre Zustimmung für tagbasierte Benachrichtigungen erteilt haben, werden die Kontaktinformationen (Schlüsselwert) im Tag auch bei automatisierten AMS-Benachrichtigungen benachrichtigt.
+ *Servicebenachricht: Eine Mitteilung* **von AMS, die auf Ihrer Seite mit der Liste Ihrer Serviceanfragen veröffentlicht wird.**
**Verschiedene Bedingungen**:
+ *AWS Managed Services-Schnittstelle*: Für AMS: Die AWS Managed Services Advanced Console, AMS CM API und Support API. Für AMS Accelerate: Die Support Konsole und die Support API.
+ *Kundenzufriedenheit (CSAT)*: AMS CSAT verfügt über umfassende Analysen, darunter Bewertungen der Fallkorrespondenz zu jedem Fall oder jeder etwaigen Korrespondenz, vierteljährliche Umfragen usw.
+ *DevOps*: DevOps ist eine Entwicklungsmethodik, die sich nachdrücklich für Automatisierung und Überwachung aller Schritte einsetzt. DevOps zielt auf kürzere Entwicklungszyklen, eine höhere Bereitstellungshäufigkeit und zuverlässigere Releases ab, indem die traditionell getrennten Funktionen von Entwicklung und Betrieb auf einer Grundlage der Automatisierung zusammengeführt werden. Wenn Entwickler den Betrieb verwalten können und der Betrieb die Entwicklung beeinflusst, können Probleme und Probleme schneller entdeckt und gelöst werden, und Geschäftsziele lassen sich leichter erreichen.
+ *ITIL*: Die Information Technology Infrastructure Library (ITIL genannt) ist ein ITSM-Framework, mit dem der Lebenszyklus von IT-Services standardisiert werden soll. ITIL ist in fünf Phasen unterteilt, die den IT-Servicelebenszyklus abdecken: Servicestrategie, Servicedesign, Serviceübergang, Servicebetrieb und Serviceverbesserung.
+ *IT-Servicemanagement (ITSM)*: Eine Reihe von Praktiken, die IT-Services auf die Bedürfnisse Ihres Unternehmens abstimmen.
+ *Managed Monitoring Services (MMS)*: AMS betreibt sein eigenes Überwachungssystem, den Managed Monitoring Service (MMS), das AWS Gesundheitsereignisse verarbeitet und CloudWatch Amazon-Daten sowie Daten von anderen aggregiert und AMS-Betreiber (rund um die Uhr online) über alle Alarme informiert AWS-Services, die über ein Amazon Simple Notification Service (Amazon SNS) -Thema ausgelöst wurden.
+ *Namespace*: Wenn Sie IAM-Richtlinien erstellen oder mit Amazon Resource Names (ARNs) arbeiten, identifizieren Sie einen AWS-Service mithilfe eines Namespace. Sie verwenden Namespaces bei der Identifikation von Aktionen und Ressourcen.
# AMS-Modi
Verwenden Sie diese Option, um den geeigneten AWS Managed Services (AMS) -Modus für das Hosten Ihrer Anwendungen auszuwählen, der auf Ihrer gewünschten Kombination aus Flexibilität und präskriptiver Steuerung basiert, um Ihre Geschäftsergebnisse zu erzielen.
Die Zielgruppe für diese Informationen ist:
+ Kundenteams, die für die Strategie und Steuerung ihrer landing zone verantwortlich sind. Diese Informationen helfen dem Team dabei, den Grundstein für eine von AMS verwaltete landing zone mit den AMS-Modi zu legen, die es seinen internen und externen Kunden anbieten möchte.
+ Geschäfts- und Anwendungsinhaber, die mit der Migration ihrer Anwendung auf AMS beauftragt sind. Diese Informationen helfen bei der Planung der Anwendungsmigration mit dem passenden AMS-Modus für migrate/host ihre Anwendung. Beachten Sie, dass dieselbe Anwendung in verschiedenen Phasen ihres Software Development Life Cycle (SDLC) -Lebenszyklus in mehr als einem AMS-Modus gehostet werden kann.
+ AMS-Partner haben die Aufgabe, Kunden über die verschiedenen Optionen für die Entwicklung und Migration zu AMS zu informieren.
Bei diesen Informationen wird davon ausgegangen, dass Sie bereits die Entscheidung getroffen haben, AMS zu nutzen, um Ihren Weg in die Cloud zu beschleunigen. Lesen Sie dieses paper an zwei Stellen auf Ihrem Weg zur Cloud-Migration: Erstens in der Gründungsphase der Einrichtung der von AMS verwalteten Plattform. Zweitens, wenn Sie bei Ihrer Cloud-Einführung von der Gründungs- zur Migrationsphase übergehen, kurz nachdem die Einführung in AMS abgeschlossen ist und Sie sich auf die Anwendungs-Governance und den Betrieb konzentrieren.
# AMS-Modi und Anwendungen oder Workloads
Berücksichtigen Sie bei der Auswahl des richtigen Modus die Betriebs- und Governance-Anforderungen für Ihre Anwendungen, indem Sie entweder ein neues Anwendungskonto beantragen oder die Anwendung in einem vorhandenen Anwendungskonto hosten. Die Auswahl des geeigneten AMS-Modus für jede Anwendung oder jeden Workload hängt von den folgenden Faktoren ab:
+ Die Art der SDLC-Lebenszyklusfunktion, die die Umgebung bereitstellen wird (z. B. Sandbox mit unmoderierten Änderungen, UAT mit einigen häufigen Änderungen, Produktion mit minimalen Änderungen und stark reguliert)
+ Die erforderlichen Verwaltungsrichtlinien (die auf OU-Ebene durchgesetzt werden) SCPs
+ Betriebsmodell (wenn Sie die operative Verantwortung übernehmen oder diese an AMS auslagern möchten)
+ Die gewünschten Geschäftsergebnisse, wie die Zeit für den Betrieb in der Cloud und die Betriebskosten.
**Anmerkung**
Eine Beschreibung der Modustypen pro AMS-Dienst finden Sie unter [Modi- und Kontotypen in AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html).
Praktische Anwendungsfälle der verschiedenen Modi finden Sie unter [Anwendungsfälle aus der Praxis für AMS-Modi](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)
In der folgenden Tabelle sind die wichtigsten Überlegungen aufgeführt, die Anwendungsbesitzer bei der Entscheidung für den am besten geeigneten AMS-Modus berücksichtigen sollten. Anwendungsbesitzer sollten vor der Anwendungsmigration eine Bewertungsphase einplanen, um genau zu verstehen, welcher Modus für ihre spezifische Anwendung gilt. Beispiel: Für Anwendungen, die auf Cloud-nativen Diensten oder serverloser Architektur basieren, könnte die beste Option darin bestehen, im Entwicklermodus mit dem Aufbau und der Iteration zu beginnen und die endgültige Infrastruktur als Code mithilfe des AMS Managed — SSP-Modus bereitzustellen. In diesem Fall kann ein geringfügiges Refactoring erforderlich sein, um sicherzustellen, dass alle für die automatisierte Bereitstellung erstellten CloudFormation Vorlagen den von AMS festgelegten Ingest-Richtlinien entsprechen. Darüber hinaus müssen alle IAM-Berechtigungen von AMS Security genehmigt werden, um sicherzustellen, dass sie dem Modell der geringsten Rechte folgen.
Der AMS-Modus, der für das Hosten der Anwendung ausgewählt wurde, kann Ihnen dabei helfen, Ihr gewünschtes Cloud-Betriebsmodell umzusetzen.
**Anmerkung**
In einer einzigen AMS Managed Landing Zone kann mehr als ein Cloud-Betriebsmodell existieren, basierend auf den verschiedenen AMS-Modi, die für das Hosten der Anwendungen ausgewählt wurden.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/ams-modes-and-apps-og.html)
**\$1** Operations On Demand (OOD) bietet ein Angebot für Kunden, die den Standard-CM-Modus verwenden, um ihre Änderungen mithilfe spezieller Ressourcen zu verwalten. Weitere Informationen finden Sie im [Angebotskatalog für Operations on Demand](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) und wenden Sie sich an Ihren Cloud Service Delivery Manager (CSDM).
**Anmerkung**
Beim Preisvergleich zwischen SSP-Modus und Entwicklermodus wird davon ausgegangen, dass dieselben AWS-Services bereitgestellt werden.
Vergleich der AMS-Modi mit Geschäfts- und IT-Zielen
![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)
Wie gezeigt, sind die Modi AMS-Managed Standard Change, AWS Service Catalog oder Direct Change am besten geeignet, wenn Sie nach einem stark kontrollierten und standardisierten Governance-Modell für Ihre Anwendungen suchen. Wenn Sie ein maßgeschneidertes Governance-Modell benötigen, bei dem der Schwerpunkt auf Anwendungsinnovationen liegt, ohne dass Sie dafür betriebsbereit sein müssen, wählen Sie den Modus Customer Managed. Im vom Kunden verwalteten Modus kann die Operationalisierung Ihrer Anwendungen länger dauern, da Sie die Verantwortung für die Einrichtung von Mitarbeitern, Prozessen und Tools zur Unterstützung betrieblicher Funktionen wie Incident Management, Configuration Management, Provisioning Management, Security Management, Patch Management usw. tragen.
# Präskriptive AMS-Leitlinien für die Zeit nach der Kontoeröffnung
Da Unternehmen verteilte Abläufe und DevOps Praktiken einführen, gibt es eine Reihe zentraler betrieblicher Funktionen, die vor der Bereitstellung von Workloads auf jedes Konto angewendet werden sollten, um den Grundpfeilern von Well Architected gerecht zu werden.
Über diesen Link werden eine ZIP-Datei mit einem Word-Dokument und eine ZIP-Datei mit Skripten und Beispielen heruntergeladen. Bei der automatisierten Kontoeinrichtung handelt es sich um eine Reihe von Skripten, mit denen die Einrichtung eines neuen Anwendungskontos automatisiert oder als Bootstrap bezeichnet wird.
Sobald ein neues Konto verkauft ist und bevor irgendwelche Workloads bereitgestellt werden, richten Sie Standard-Backup-Pläne, Patch-Fenster und Verschlüsselung (und mehr) ein, um das Konto aus betrieblicher, sicherheitstechnischer und verwaltungstechnischer Sicht einsatzbereit zu machen. Um die Agilität, Konsistenz und Reaktionsfähigkeit bei der Einrichtung von Anwendungskonten zu verbessern, finden Sie die folgende Beispielanleitung als Referenz.
[Automatisierte Kontoeinrichtung](samples/automate-account-setup-Bash-Script.zip).
# Was wir tun, was wir nicht tun
AMS bietet Ihnen einen standardisierten Ansatz für die Bereitstellung der AWS-Infrastruktur und bietet das erforderliche kontinuierliche Betriebsmanagement. Eine vollständige Beschreibung der Rollen, Verantwortlichkeiten und unterstützten Services finden Sie in der [Servicebeschreibung](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html).
**Anmerkung**
Um AMS aufzufordern, einen zusätzlichen AWS-Service bereitzustellen, reichen Sie eine Serviceanfrage ein. Weitere Informationen finden Sie unter [Serviceanfragen stellen](https://docs.aws.amazon.com/managedservices/latest/userguide/mk-service-requests.html).
+ **Was wir tun**:
Nachdem Sie das Onboarding abgeschlossen haben, können Sie in der AMS-Umgebung Änderungsanfragen (RFCs), Incidents und Serviceanfragen entgegennehmen. Ihre Interaktion mit dem AMS-Service dreht sich um den Lebenszyklus eines Anwendungsstapels. Neue Stacks werden anhand einer vorkonfigurierten Liste von Vorlagen bestellt, in bestimmten Virtual Private Cloud (VPC) -Subnetzen gestartet, während ihrer Betriebsdauer durch Änderungsanforderungen (RFCs) geändert und rund um die Uhr auf Ereignisse und Vorfälle überwacht.
Aktive Anwendungs-Stacks werden von AMS überwacht und verwaltet, einschließlich Patches, und erfordern während der gesamten Lebensdauer des Stacks keine weiteren Maßnahmen, es sei denn, eine Änderung ist erforderlich oder der Stack wird außer Betrieb genommen. Von AMS festgestellte Vorfälle, die den Zustand und die Funktion des Stacks beeinträchtigen, wird eine Benachrichtigung generiert. Möglicherweise müssen Sie Maßnahmen ergreifen, um diese zu beheben oder zu überprüfen. Fragen zu Anleitungen und andere Anfragen können gestellt werden, indem Sie eine Serviceanfrage einreichen.
Darüber hinaus können Sie mit AMS kompatible AWS-Services aktivieren, die nicht von AMS verwaltet werden. Informationen zu AWS-AMS-kompatiblen Diensten finden Sie unter [Self-Service-Bereitstellungsmodus](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-up-compatible.html).
+ **Was wir NICHT tun**:
AMS vereinfacht zwar die Anwendungsbereitstellung durch die Bereitstellung einer Reihe manueller und automatisierter Optionen, Sie sind jedoch für die Entwicklung, das Testen, die Aktualisierung und das Management Ihrer Anwendung verantwortlich. AMS bietet Unterstützung bei der Behebung von Infrastrukturproblemen, die sich auf Anwendungen auswirken, AMS kann jedoch nicht auf Ihre Anwendungskonfigurationen zugreifen oder diese validieren.
# Verwaltung des Ausgangsverkehrs mit AMS
Standardmäßig hat die Route mit einem Ziel-CIDR von 0.0.0.0/0 für private AMS-Subnetze und Subnetze für Kundenanwendungen ein NAT-Gateway (Network Address Translation) als Ziel. AMS-Dienste TrendMicro und Patching sind Komponenten, die ausgehenden Zugriff auf das Internet haben müssen, damit AMS seinen Dienst bereitstellen kann und Betriebssysteme Updates abrufen können. TrendMicro
AMS unterstützt die Umleitung des ausgehenden Datenverkehrs über ein vom Kunden verwaltetes Ausgangsgerät in das Internet, sofern:
+ Es fungiert als impliziter (z. B. transparenter) Proxy.
and
+ Es ermöglicht AMS-HTTP- und HTTPS-Abhängigkeiten (in diesem Abschnitt aufgeführt), um das kontinuierliche Patchen und die Wartung der von AMS verwalteten Infrastruktur zu ermöglichen.
Einige Beispiele sind:
+ Das Transit Gateway (TGW) hat eine Standardroute, die über die AWS Direct Connect Connect-Verbindung im Multi-Account Landing Zone Networking-Konto auf die vom Kunden verwaltete, lokale Firewall verweist.
+ Der TGW hat eine Standardroute, die auf einen AWS-Endpunkt in der ausgehenden Multi-Account-Landingzone-VPC verweist, der AWS nutzt PrivateLink, und auf einen vom Kunden verwalteten Proxy in einem anderen AWS-Konto verweist.
+ Der TGW hat eine Standardroute, die auf eine vom Kunden verwaltete Firewall in einem anderen AWS-Konto verweist, mit einer site-to-site VPN-Verbindung als Anhang zur Multi-Account-Landing Zone TGW.
AMS hat die entsprechenden HTTP- und HTTPS-Abhängigkeiten von AMS identifiziert und entwickelt und verfeinert diese Abhängigkeiten kontinuierlich. Weitere Informationen finden Sie unter [egressMgmt.zip](samples/egressMgmt.zip). Zusammen mit der JSON-Datei enthält die ZIP-Datei eine README-Datei.
**Anmerkung**
Diese Informationen sind nicht vollständig — einige erforderliche externe Websites sind hier nicht aufgeführt.
Verwenden Sie diese Liste nicht im Rahmen einer Ablehnungsliste oder einer Blockierungsstrategie.
Diese Liste dient als Ausgangspunkt für einen Regelsatz zur Filterung ausgehender Zugriffe, wobei davon ausgegangen wird, dass mithilfe von Berichtstools genau ermittelt werden kann, wo der tatsächliche Datenverkehr von der Liste abweicht.
Wenn Sie Informationen zur Filterung des ausgehenden Datenverkehrs benötigen, senden Sie eine E-Mail an Ihren CSDM: ams-csdm@amazon.com.
# IAM-Benutzerrolle in AMS
Eine IAM-Rolle ähnelt einem IAM-Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun darf und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen.
Derzeit gibt es eine AMS-Standardbenutzerrolle für AMS-Standardkonten und eine zusätzliche Rolle `customer_managed_ad_user_role` für AMS-Konten mit Managed Active Directory. `Customer_ReadOnly_Role`
Die Rollenrichtlinien legen Berechtigungen für CloudWatch Amazon S3 S3-Protokollaktionen, AMS-Konsolenzugriff, Leseeinschränkungen für die meisten AWS-Services, eingeschränkten Zugriff auf die S3-Konsole des Kontos und AMS-Change-Typ-Zugriff fest.
Darüber hinaus `Customer_ReadOnly_Role` verfügt der über mutative Reserved-Instance-Berechtigungen, mit denen Sie Instances reservieren können. Es hat einige Kosteneinsparungswerte. Wenn Sie also wissen, dass Sie über einen längeren Zeitraum eine bestimmte Anzahl von Amazon EC2 EC2-Instances benötigen, können Sie diese aufrufen. APIs Weitere Informationen finden Sie unter [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**Anmerkung**
Das AMS Service Level Objective (SLO) für die Erstellung benutzerdefinierter IAM-Richtlinien für IAM-Benutzer beträgt vier Arbeitstage, sofern eine bestehende Richtlinie nicht wiederverwendet wird. Wenn Sie die bestehende IAM-Benutzerrolle ändern oder eine neue hinzufügen möchten, reichen Sie jeweils einen [IAM: Update Entity oder [IAM:](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html) Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) RFC ein.
Wenn Sie mit Amazon IAM-Rollen nicht vertraut sind, finden Sie wichtige Informationen unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Multi-Account-Landingzone (MALZ)**: Die standardmäßigen, nicht angepassten Benutzerrollenrichtlinien für mehrere Konten von AMS finden Sie unter Weiter. [MALZ: Standard-IAM-Benutzerrollen](#json-default-role-malz)
## MALZ: Standard-IAM-Benutzerrollen
JSON-Richtlinienerklärungen für die standardmäßigen AMS-Landingzone-Benutzerrollen mit mehreren Konten.
**Anmerkung**
Die Benutzerrollen sind anpassbar und können je nach Konto unterschiedlich sein. Anweisungen zur Suche nach Ihrer Rolle finden Sie hier.
Dies sind Beispiele für die standardmäßigen MALZ-Benutzerrollen. Um sicherzustellen, dass Sie die benötigten Richtlinien festgelegt haben, führen Sie den AWS-Befehl aus [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)oder melden Sie sich bei der AWS-Management -> [IAM-Konsole](https://console.aws.amazon.com/iam/) an und wählen Sie im Navigationsbereich **Rollen** aus.
### Rollen der wichtigsten OU-Konten
Ein Kernkonto ist ein von Malz verwaltetes Infrastrukturkonto. AMS-Landingzone mit mehreren Konten Zu den Kernkonten gehören ein Verwaltungskonto und ein Netzwerkkonto.
**Core-OU-Konto: Allgemeine Rollen und Richtlinien**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/defaults-user-role.html)
**OU-Hauptkonto: Rollen und Richtlinien für Verwaltungskonten**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/defaults-user-role.html)
**OU-Hauptkonto: Rollen und Richtlinien für Netzwerkkonten**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/defaults-user-role.html)
### Rollen von Anwendungskonten
Anwendungskontorollen werden auf Ihre anwendungsspezifischen Konten angewendet.
**Anwendungskonto: Rollen und Richtlinien**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/defaults-user-role.html)
### Beispiele für Richtlinien
Für die meisten verwendeten Richtlinien werden Beispiele bereitgestellt. Um die ReadOnlyAccess Richtlinie einzusehen (die Seiten lang ist, da sie nur Lesezugriff auf alle AWS Services bietet), können Sie diesen Link verwenden, wenn Sie ein aktives AWS-Konto haben:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Außerdem ist hier eine komprimierte Version enthalten.
#### AMSBillingRichtlinie
`AMSBillingPolicy`
Die neue Rolle „Abrechnung“ kann von Ihrer Buchhaltungsabteilung verwendet werden, um Rechnungsinformationen oder Kontoeinstellungen im Verwaltungskonto einzusehen und zu ändern. Sie verwenden diese Rolle, um auf Informationen wie alternative Kontakte zuzugreifen, die Nutzung der Kontoressourcen einzusehen, Ihre Abrechnung im Auge zu behalten oder sogar Ihre Zahlungsmethoden zu ändern. Diese neue Rolle umfasst alle Berechtigungen, die auf der [Webseite AWS Billing IAM-Aktionen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount) aufgeführt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Berechtigungen zum Anzeigen aller AMS-Änderungstypen und des Verlaufs der angeforderten Änderungstypen.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Berechtigungen zum Anfordern des Änderungstyps Deployment \$1 Verwaltete landing zone \$1 Verwaltungskonto \$1 Anwendungskonto erstellen (mit VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Berechtigungen zum Anfordern der Bereitstellung \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Änderungstyp der Anwendungsroutentabelle erstellen.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(für die Verwaltung \$1 Andere \$1 Andere CTs)
Berechtigungen zum Anfordern der Verwaltung \$1 Andere \$1 Andere \$1 Erstellung und Verwaltung \$1 Andere \$1 Andere \$1 Änderungstypen aktualisieren.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Berechtigungen zum Einsehen von passwords/hashes Geheimnissen, die von AMS geteilt wurden AWS Secrets Manager (z. B. Passwörter für die Infrastruktur zu Prüfungszwecken).
Berechtigungen zum Erstellen von password/hashes Geheimnissen zur Weitergabe an AMS. (zum Beispiel Lizenzschlüssel für Produkte, die bereitgestellt werden müssen).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Berechtigungen zum Anfordern und Anzeigen aller AMS-Änderungstypen sowie des Verlaufs der angeforderten Änderungstypen.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Berechtigungen zur Verwaltung von Amazon EC2 Reserved Instances; Preisinformationen finden Sie unter [Amazon EC2 Reserved](https://aws.amazon.com/ec2/pricing/reserved-instances/) Instances.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Richtlinie
`AMSS3Policy`
Berechtigungen zum Erstellen und Löschen von Dateien aus vorhandenen Amazon S3 S3-Buckets.
**Anmerkung**
Diese Berechtigungen gewähren nicht die Möglichkeit, S3-Buckets zu erstellen. Dies muss mit dem Änderungstyp Deployment \$1 Erweiterte Stack-Komponenten \$1 S3-Speicher \$1 Create erfolgen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportZugriff
`AWSSupportAccess`
Voller Zugriff auf Support. Weitere Informationen finden Sie unter [Erste Schritte mit Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Informationen zum Premium-Support finden Sie unter [Support](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Öffentlich AWS verwaltete Richtlinie)
Berechtigungen zum Abonnieren, Abbestellen und Ansehen von AWS Marketplace Abonnements.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Voller Zugriff auf AWS Certificate Manager. Weitere Informationen finden Sie unter [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)Informationen, (Öffentliche AWS-verwaltete Richtlinie).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullZugriff
`AWSWAFFullAccess`
Voller Zugriff auf AWS WAF. Weitere Informationen finden Sie unter [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)Informationen, (Öffentlich AWS verwaltete Richtlinie). Diese Richtlinie gewährt vollen Zugriff auf AWS WAF Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Schreibgeschützter Zugriff auf alle AWS Dienste und Ressourcen auf der AWS Konsole. Wenn ein neuer Dienst AWS gestartet wird, aktualisiert AMS die ReadOnlyAccess Richtlinie, um Nur-Lese-Berechtigungen für den neuen Dienst hinzuzufügen. Die aktualisierten Berechtigungen werden auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist.
Dies gewährt nicht die Möglichkeit, sich bei EC2-Hosts oder Datenbank-Hosts anzumelden.
Wenn Sie eine aktive Richtlinie haben AWS-Konto, können Sie diesen Link verwenden, [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)um die gesamte ReadOnlyAccess Richtlinie einzusehen. Die gesamte ReadOnlyAccess Richtlinie ist sehr lang, da sie nur Lesezugriff für alle bietet. AWS-Services Das Folgende ist ein teilweiser Auszug der Richtlinie. ReadOnlyAccess
**Single-Account-Landingzone (SALZ)**: Die standardmäßigen, unangepassten Benutzerrollenrichtlinien für einzelne Konten von AMS finden Sie unter [SALZ: Standard-IAM-Benutzerrolle](#json-default-role) Weiter.
## SALZ: Standard-IAM-Benutzerrolle
JSON-Richtlinienerklärungen für die standardmäßige AMS-Landingzone-Benutzerrolle mit einem Konto.
**Anmerkung**
Die SALZ-Standardbenutzerrolle ist anpassbar und kann je nach Konto unterschiedlich sein. Anweisungen zur Suche nach Ihrer Rolle finden Sie hier.
Im Folgenden finden Sie ein Beispiel für die standardmäßige SALZ-Benutzerrolle. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)Befehl aus, um sicherzustellen, dass Sie die Richtlinien für Sie festgelegt haben. Oder melden Sie sich bei der AWS Identity and Access Management Konsole unter an [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)und wählen Sie dann **Rollen** aus.
Die Rolle „Nur Lesen“ für den Kunden ist eine Kombination aus mehreren Richtlinien. Es folgt eine Aufschlüsselung der Rolle (JSON).
Audit-Richtlinie für Managed Services:
ReadOnly IAM-Richtlinie für Managed Services
Benutzerrichtlinie für Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Gemeinsame Richtlinie für Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Abonnementrichtlinie für Kunden-Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# Standard-Firewallregeln für den Zugriff
Dies sind die Standard-Firewallregeln, die für den Zugriff auf Ihre Instances erforderlich sind.
**Anmerkung**
Informationen zu Firewallregeln und Ports, die für die Einrichtung einer einseitigen AD-Vertrauensstellung erforderlich sind, finden Sie im AMS-Sicherheitsleitfaden, indem Sie zur AWS Artifact-Konsole -> Registerkarte Berichte gehen und nach AWS Managed Services suchen.
## Ports für Linux-Stack-Instances
Diese Regeln sind für Ihre Authentifizierung bei AMS Linux-Stacks erforderlich.
**Die Linux-Instance portiert Regeln VON: Linux-Stack-Instanz ZU: CORP-Domänencontroller**
| Port | Protocol (Protokoll) | Service | Richtung |
| --- | --- | --- | --- |
| 389 | TCP | LDAP | Ingress |
| 389 | UDP | LDAP | Ingress |
| 88 | TCP | Kerberos | Ingress |
| 88 | UDP | Kerberos | Ingress |
## Anschlüsse für Windows-Stack-Instanzen
Diese Regeln sind für Ihre Authentifizierung bei AMS Windows Stacks erforderlich.
**VON: Windows Stack-Instanz ZU: CORP Domain Controller**
| Port | Protocol (Protokoll) | Service | Richtung |
| --- | --- | --- | --- |
| 88 | TCP \$1 UDP | Kerberos | Eingang und Ausgang |
| 135 | TCP \$1 UDP | DCE/RPC-Locator-Dienst | Eingang und Ausgang |
| 389 | TCP \$1 UDP | LDAP | Eingang und Ausgang |
| 3268 | TCP \$1 UDP | msft-gc, Microsoft Global Catalog (LDAP-Dienst, der Daten aus Active Directory-Gesamtstrukturen enthält) | Eingang und Ausgang |
| 445 | TCP | Microsoft-DS Active Directory, Windows-Freigaben | Eingang und Ausgang |
| 49152–65535 | TCP | Dynamische oder private Ports, die nicht bei IANA registriert werden können. Dieser Bereich wird für private oder maßgeschneiderte Dienste oder temporäre Zwecke sowie für die automatische Zuweisung kurzlebiger Ports verwendet. | Eintritt und Austritt |