

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AMS Tools-Konto (Workloads migrieren)
<a name="tools-account"></a>

Ihr Konto für Landing Zone-Tools mit mehreren Konten (mit VPC) beschleunigt die Migration, verbessert Ihre Sicherheitsposition, reduziert Kosten und Komplexität und standardisiert Ihr Nutzungsmuster.

Ein Tools-Konto bietet Folgendes:
+ Eine klar definierte Grenze für den Zugriff auf Replikationsinstanzen für Systemintegratoren außerhalb Ihrer Produktions-Workloads.
+ Ermöglicht die Einrichtung einer isolierten Kammer, um einen Workload auf Malware oder unbekannte Netzwerkrouten zu überprüfen, bevor er einem Konto mit anderen Workloads zugeordnet wird.
+ Da es sich um ein definiertes Konto handelt, bietet es eine schnellere Einarbeitung und Einrichtung für die Migration von Workloads.
+ Isolierte Netzwerkrouten zur Sicherung des Datenverkehrs vor Ort -> -> Tools-Konto CloudEndure -> AMS-aufgenommenes Image. Sobald ein Image aufgenommen wurde, können Sie es über einen AMS Management \$1 Advanced Stack Components \$1 AMI \$1 Share (ct-1eiczxw8ihc18) -RFC für das Zielkonto freigeben.

Übergeordnetes Architekturdiagramm:

![\[AWS-Konto structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/high-level-diagram_v1.png)


Verwenden Sie den Änderungstyp Deployment \$1 Managed landing zone \$1 Management account \$1 Tools account (with VPC) erstellen (ct-2j7q1hgf26x5c), um schnell ein Tools-Konto bereitzustellen und einen Workload Ingestion-Prozess in einer Multi-Account-Landingzone-Umgebung zu instanziieren. Siehe [Verwaltungskonto, Tools-Konto: Erstellen (mit VPC)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html).

**Anmerkung**  
Wir empfehlen, zwei Verfügbarkeitszonen (AZs) einzurichten, da es sich um einen Migrationshub handelt.  
Standardmäßig erstellt AMS die folgenden zwei Sicherheitsgruppen (SGs) in jedem Konto. Vergewissern Sie sich, dass diese beiden vorhanden SGs sind. Wenn sie nicht vorhanden sind, öffnen Sie bitte eine neue Serviceanfrage beim AMS-Team, um sie anzufordern.  
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
Stellen Sie sicher, dass CloudEndure Replikationsinstanzen im privaten Subnetz erstellt werden, in dem es Routen zurück zum Standort gibt. Sie können dies überprüfen, indem Sie sicherstellen, dass die Routing-Tabellen für das private Subnetz über eine Standardroute zurück zu TGW verfügen. Bei einem CloudEndure Computer-Cutover sollte jedoch das „isolierte“ private Subnetz verwendet werden, in dem es keine Route zurück zum lokalen Standort gibt, sondern nur ausgehender Internetverkehr zulässig ist. Es ist wichtig sicherzustellen, dass die Umstellung im isolierten Subnetz erfolgt, um mögliche Probleme mit den Ressourcen vor Ort zu vermeiden.

Voraussetzungen:

1. Entweder **Plus** - oder **Premium-Supportstufe**.

1. Das Anwendungskonto IDs für den KMS-Schlüssel, auf dem AMIs sie bereitgestellt werden.

1. Das Tools-Konto, das wie zuvor beschrieben erstellt wurde.

# AWS Service zur Anwendungsmigration (AWS MGN)
<a name="tools-account-mgn"></a>

AWS Der [Application Migration Service](https://aws.amazon.com/application-migration-service/) (AWS MGN) kann in Ihrem MALZ Tools-Konto über die `AWSManagedServicesMigrationRole` IAM-Rolle verwendet werden, die bei der Bereitstellung des Tools-Kontos automatisch erstellt wird. [Sie können AWS MGN verwenden, um Anwendungen und Datenbanken zu migrieren, die auf unterstützten Versionen von Windows- und Linux-Betriebssystemen laufen.](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)

Die meisten up-to-date Informationen zum AWS-Region Support finden Sie in der [Liste der AWS regionalen Dienste](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

Falls Ihr bevorzugtes AWS-Region Produkt derzeit nicht von AWS MGN unterstützt wird oder das Betriebssystem, auf dem Ihre Anwendungen ausgeführt werden, derzeit nicht von AWS MGN unterstützt wird, sollten Sie in Erwägung ziehen, stattdessen die [CloudEndure Migration](https://console.cloudendure.com/#/register/register) in Ihrem Tools-Konto zu verwenden.

**Beantragen Sie die MGN-Initialisierung AWS **

AWS MGN muss vor der ersten Verwendung von AMS [initialisiert](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html) werden. Um dies für ein neues Tools-Konto zu beantragen, reichen Sie einen RFC Management \$1 Other \$1 Other aus dem Tools-Konto mit den folgenden Angaben ein:

```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here: 
    [ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values 
    to 'Create template' and complete the initialization process.
```

Sobald AMS den RFC erfolgreich abgeschlossen und AWS MGN in Ihrem Tools-Konto initialisiert hat, können Sie die Standardvorlage `AWSManagedServicesMigrationRole` für Ihre Anforderungen bearbeiten.

![\[AWS MGN, Dienst zur Anwendungsmigration einrichten.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/aws_mgn_firstrun.png)


# Zugriff auf das neue AMS Tools-Konto aktivieren
<a name="tools-account-enable"></a>

Sobald das Tools-Konto erstellt wurde, stellt AMS Ihnen eine Konto-ID zur Verfügung. Ihr nächster Schritt besteht darin, den Zugriff auf das neue Konto zu konfigurieren. Dazu gehen Sie wie folgt vor:

1. Aktualisieren Sie die entsprechenden Active Directory-Gruppen auf das entsprechende Konto IDs.

   Neuen, von AMS erstellten Konten wird die ReadOnly Rollenrichtlinie sowie eine Rolle zugewiesen, über die Benutzer Dateien ablegen können. RFCs

   Für das Tools-Konto stehen außerdem eine zusätzliche IAM-Rolle und ein zusätzlicher IAM-Benutzer zur Verfügung:
   + IAM-Rolle: `AWSManagedServicesMigrationRole`
   + IAM-Benutzer: `customer_cloud_endure_user`

1. Fordern Sie Richtlinien und Rollen an, damit die Mitglieder des Serviceintegrationsteams die Tools der nächsten Generation einrichten können.

   Navigieren Sie zur AMS-Konsole und legen Sie die folgenden Dateien ab RFCs:

   1. Erstellen Sie einen KMS-Schlüssel. Verwenden Sie entweder „[KMS-Schlüssel erstellen“ (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) oder „[KMS-Schlüssel erstellen“ (verwaltete Automatisierung)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html).

      Wenn Sie KMS zum Verschlüsseln aufgenommener Ressourcen verwenden, bietet die Verwendung eines einzigen KMS-Schlüssels, der mit den übrigen Landingzone-Anwendungskonten für mehrere Konten gemeinsam genutzt wird, Sicherheit für aufgenommene Bilder, sodass sie im Zielkonto entschlüsselt werden können. 

   1. Teilen Sie den KMS-Schlüssel.

      Verwenden Sie den Änderungstyp Management \$1 Advanced Stack Components \$1 KMS-Schlüssel \$1 Share (Managed Automation) (ct-05yb337abq3x5), um anzufordern, dass der neue KMS-Schlüssel mit Ihren Anwendungskonten geteilt wird, in denen sich der aufgenommene Schlüssel befinden wird. AMIs 

Beispielgrafik für die endgültige Kontoeinrichtung:

![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/WIGS_Account_ExpandedV1.png)


# Beispiel für eine vorab genehmigte IAM-Richtlinie von CloudEndure AMS
<a name="tools-account-ex-policy"></a>

Um eine vorab von AMS genehmigte CloudEndure IAM-Richtlinie einzusehen: Entpacken Sie die [WIGS Cloud Endure Landing Zone-Beispieldatei](samples/wigs-ce-lz-examples.zip) und öffnen Sie die. `customer_cloud_endure_policy.json`

# Testen der Konnektivität und end-to-end Einrichtung des AMS Tools-Kontos
<a name="tools-account-test"></a>

1. Beginnen Sie mit der Konfiguration CloudEndure und Installation des CloudEndure Agenten auf einem Server, der auf AMS repliziert wird.

1. Erstellen Sie ein Projekt in CloudEndure.

1. Geben Sie die AWS Anmeldeinformationen ein, die Sie bei der Erfüllung der Voraussetzungen über den Secrets Manager gemeinsam genutzt haben.

1. In den **Replikationseinstellungen**:

   1. Wählen Sie beide AMS „Sentinel“ -Sicherheitsgruppen (Nur privat und EgressAll) für die **Option Wählen Sie die Sicherheitsgruppen aus, die auf die Replikationsserver angewendet werden sollen**.

   1. Definieren Sie Umtauschoptionen für die Maschinen (Instanzen). Weitere Informationen finden Sie in [Schritt 5. Überschneiden](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)

   1. **Subnetz**: Privates Subnetz.

1. **Sicherheitsgruppe**:

   1. Wählen Sie beide AMS-Sicherheitsgruppen „Sentinel“ aus (Nur privat und EgressAll).

   1. Cutover-Instanzen müssen mit dem von AMS verwalteten Active Directory (MAD) und mit öffentlichen Endpunkten kommunizieren: AWS 

      1. **Elastische IP: Keine**

      1. **Öffentliche IP**: nein

      1. **IAM-Rolle**: customer-mc-ec 2-Instanzen-Profil

   1. Legen Sie Tags gemäß Ihrer internen Tagging-Konvention fest.

1. Installieren Sie den CloudEndure Agenten auf dem Computer und suchen Sie in der EC2-Konsole nach der Replikationsinstanz, die in Ihrem AMS-Konto angezeigt werden soll.

Der AMS-Aufnahmeprozess:

![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/Ingestion_Process_v1.png)


# AMS Tools Kontohygiene
<a name="tools-account-hygiene"></a>

Sie sollten aufräumen, nachdem Sie mit dem Konto fertig sind, das AMI gemeinsam genutzt haben und die replizierten Instances nicht mehr benötigen:
+ Nach der Inanspruchnahme der WIGs Instance:
  + Cutover-Instance: Stoppen oder beenden Sie diese Instanz mindestens, nachdem die Arbeit abgeschlossen ist, über die AWS-Konsole
  + AMI-Backups vor der Ingestion: Wird entfernt, sobald die Instance aufgenommen und die On-Premise-Instance beendet wurde
  + AMS-Ingested Instances: Schalten Sie den Stack aus oder beenden Sie ihn, sobald das AMI gemeinsam genutzt wurde
  + AMS-Ingested AMIs: Wird gelöscht, sobald die gemeinsame Nutzung mit dem Zielkonto abgeschlossen ist
+ Bereinigung am Ende der Migration: Dokumentieren Sie die Ressourcen, die im Entwicklermodus bereitgestellt wurden, um sicherzustellen, dass die Bereinigung regelmäßig erfolgt, zum Beispiel:
  + Sicherheitsgruppen
  + Ressourcen, die über Cloud-Formation erstellt wurden
  + Netzwerk ACK
  + Subnetz
  + VPC
  + Routing-Tabelle
  + Rollen
  + Benutzer und Konten

# Migration im großen Maßstab - Migration Factory
<a name="migration-factory"></a>

Weitere Informationen finden Sie unter [Einführung in die AWS CloudEndure Migration Factory-Lösung](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/).