Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltungsmodi ändern
AWS Managed Services (AMS) verwendet den Änderungsverwaltungsmodus, um Änderungen in AMS Advanced zu überwachen. Die Änderungsverwaltungsmodi helfen Ihnen dabei, hohe Betriebsstandards für die Umwelt aufrechtzuerhalten, Risiken zu kontrollieren und negative Auswirkungen zu vermeiden. AMS Advanced verfügt über verschiedene Modi, die unterschiedliche Kontroll- und Risikostufen bieten. Alle Modi, mit Ausnahme des vom Kunden verwalteten Modus, werden von AMS verwaltet. Im Folgenden sind die verfügbaren Änderungsverwaltungsmodi aufgeführt:
+ RFC-Modus (früher Standard-CM-Modus): Stellt ein RFC-System (Request for Change) und benutzerdefinierte AMS-Änderungstypen () bereit CTs
+ Direct Change-Modus: Entspricht dem RFC-Modus, plus Verwendung von AWS APIs und Konsolen zur Erstellung von AMS-verwalteten Ressourcen
+ AWS Service Catalog auf AMS: Ähnlich dem Direct Change-Modus, aber anstatt das AMS-Change-Management-System (RFCs) zu verwenden, verwenden Sie AWS Service Catalog, um Ressourcen zu erstellen, die AMS dann verwaltet.
+ Entwicklermodus: Wie im Direct Change-Modus werden nur die Ressourcen, die Sie mit AWS APIs und Konsolen erstellen, nicht von AMS verwaltet — Sie sind für deren Verwaltung verantwortlich.
+ Self Service Provisioning (SSP) -Modus: Entspricht dem Entwicklermodus, außer dass kein Zugriff auf das AMS-Change-Management-System besteht (nein) RFCs
+ Kundenverwalteter Modus: AMS bietet Ihnen eine landing zone mit mehreren Konten, aber die gesamte Ressourcenverwaltung liegt in Ihrer Verantwortung
Das Änderungsmanagementsystem AWS Managed Services (AMS), das die Change Management (CM) -API verwendet, bietet Operationen zur Erstellung und Verwaltung von Change (RFCs) -Anfragen sowohl für Multi-Account-Landingzone-Konten (MALZ) als auch für Single-Account-Landingzone-Konten (SALZ).
Eine Änderungsanforderung (RFC) ist eine Anfrage, die entweder von Ihnen oder AMS über die AMS-Schnittstelle erstellt wird, um eine Änderung an Ihrer verwalteten Umgebung vorzunehmen. Sie enthält eine Change Type (CT) -ID für einen bestimmten Vorgang.
Die AMS Change Management (CM) -API bietet Operationen zur Erstellung und Verwaltung von Change (RFCs) -Anfragen. Sie können sie erstellen, aktualisieren, einreichen, genehmigen, ablehnen und stornieren RFCs. Die AMS-Operatoren können Inhalte erstellen, aktualisieren, einreichen, genehmigen, zurückweisen, stornieren und RFCs als geschlossen markieren.
Eine Liste der reservierten AMS-Präfixe, die nicht in Tags oder anderen Namen verwendet werden dürfen, finden Sie unter [Reservierte Präfixe](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html).
Informationen zu den einzelnen Änderungstypen, einschließlich Schemas und Beispielen, finden Sie in der [AMS Change](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) Type Reference.
**Anmerkung**
Alle API-Aufrufe für das Änderungsmanagement werden in AWS aufgezeichnet CloudTrail. Weitere Informationen finden Sie unter [Zugreifen auf Ihre Protokolle](https://docs.aws.amazon.com/managedservices/latest/userguide/access-to-logs.html).
# Übersicht der Modi
Verwenden Sie diese Informationen, um den geeigneten AWS Managed Services (AMS) -Modus für das Hosten Ihrer Anwendungen auszuwählen, der auf Ihrer gewünschten Kombination aus Flexibilität und präskriptiver Steuerung basiert, um Ihre Geschäftsergebnisse zu erzielen.
Die Zielgruppe für diese Informationen ist:
+ Kundenteams, die für die Strategie und Steuerung ihrer landing zone verantwortlich sind. Diese Informationen helfen dem Team dabei, den Grundstein für eine von AMS verwaltete landing zone mit den AMS-Modi zu legen, die es seinen internen und externen Kunden anbieten möchte.
+ Geschäfts- und Anwendungsinhaber, die mit der Migration ihrer Anwendung auf AMS beauftragt sind. Diese Informationen helfen bei der Planung der Anwendungsmigration mit dem passenden AMS-Modus für migrate/host ihre Anwendung. Beachten Sie, dass dieselbe Anwendung in verschiedenen Phasen ihres Software Development Life Cycle (SDLC) -Lebenszyklus in mehr als einem AMS-Modus gehostet werden kann.
+ AMS-Partner haben die Aufgabe, Kunden über die verschiedenen Optionen für die Entwicklung und Migration zu AMS zu informieren.
Diese Informationen sind in der Gründungsphase der Einrichtung Ihrer AMS-verwalteten Plattform und beim Übergang von der Grundlagen- zur Migrationsphase Ihrer Cloud-Einführung äußerst nützlich, kurz nachdem die Einführung in AMS abgeschlossen ist und Sie sich auf die Anwendungssteuerung und den Betrieb konzentrieren.
# Arten von Modi und Konten in AMS
Die Modi von AWS Managed Services (AMS) können als die Art der Interaktion mit dem AMS-Service im Rahmen des spezifischen Governance-Frameworks für jeden Modus definiert werden. Die Unterschiede zwischen der landing zone, der landing zone mit mehreren Konten oder MALZ und der landing zone mit einem Konto oder SALZ, werden notiert.
**Anmerkung**
Einzelheiten zur Anwendungsbereitstellung und zur Auswahl des richtigen AMS-Modus finden Sie unter [AMS-Modi und Anwendungen](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-apps-ug.html) oder Workloads.
Praxisnahe Anwendungsfälle der verschiedenen Modi finden Sie unter [Anwendungsfälle aus der Praxis für](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-use-cases.html) AMS-Modi
Die folgende Tabelle enthält Beschreibungen der Modi pro AMS-Dienst.
| AMS-Funktion | **RFC-Modus (früher Standard-CM-Modus)/OOD \$1** | Direkter Änderungsmodus | AWS Service Catalog | Self-Service-Bereitstellung//Entwicklermodus | Vom Kunden verwaltet |
| --- | --- | --- | --- | --- | --- |
| Konfiguration der Landezone | MALZ und SALZ | MALZ und SALZ | MALZ und SALZ |
| Änderungsmanagement | Planung ändern, manuelle Änderungen überprüfen und Datensatz ändern | Entspricht dem RFC-Modus für Änderungen mit hohem Risiko wie IAM oder Sicherheitsgruppen | Keine |
| Protokollierung, Überwachung, Guardrails und Eventmanagement | Ja (unterstützte Ressourcen) | Nein |
| Kontinuitätsmanagement | Ja (unterstützte Ressourcen) | Nicht zutreffend/Nein | Nein |
| Sicherheitsmanagement | Sicherheitskontrollen auf Instanzebene und Kontrollen auf Kontoebene | Kontrollen auf Kontoebene | Kontrollen auf AWS-Organisationsebene |
| Patch-Management | Ja | Nicht zutreffend//Nein | Nein |
| Vorfall- und Problemmanagement | SLA für Reaktion und Lösung für Ressourcen, die von AMS unterstützt werden | Antwort-SLA für die daraus resultierenden Ressourcen | Nein |
| Berichterstellung | Ja | Nein |
| Verwaltung von Serviceanfragen | Ja | Nur Support-Anfragen | Nein |
**\$1** Operations On Demand (OOD) bietet ein Angebot für Kunden, die den RFC-Modus verwenden, um ihre Änderungen mithilfe spezieller Ressourcen zu verwalten. Weitere Informationen finden Sie im [Angebotskatalog für Operations on Demand](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) und wenden Sie sich an Ihren Cloud Service Delivery Manager (CSDM).
**Anmerkung**
[Self-Service-Bereitstellungsmodus in AMS](self-service-provisioning-section.md)und beide [AMS Advanced-Entwicklermodus](developer-mode-section.md) scheinen für eine Anwendung geeignet zu sein, deren komplexe Architektur auf nativen AWS-Services basiert. Bei der Architektur von Workloads gehen Sie je nach Ihrem Geschäftskontext Kompromisse zwischen betrieblicher Exzellenz und Agilität ein. Dies ist eine gute Möglichkeit, über die Auswahl des SSP-Modus oder des Entwicklermodus für Ihre Anwendung nachzudenken. Die Auswahl kann sich auch je nach der SDLC-Phase der Anwendung ändern. Beispiel: Wenn die Anwendung produktionsbereit ist, ist der SSP-Modus möglicherweise die geeignetere Option, da in diesem Modus strengere AMS-Richtlinien gelten. Die Schutzmaßnahmen werden in Form von präventiven Kontrollen wie der RFC-basierten Änderungssteuerung für IAM-Updates und auf der Ebene der Anwendungs-OU durchgesetzt. SCPs Diese Geschäftsentscheidungen können Ihre technischen Prioritäten beeinflussen. Sie könnten eine Optimierung vornehmen, um die Flexibilität der Anwendungseigentümer in der „Pre-Prod“ -Phase zu erhöhen, auf Kosten der Verwaltung und des betrieblichen Supports.
## MALZ-Architektur und zugehörige AMS-Modi
Die AMS Multi-Account-Landing Zone (MALZ) bietet Ihnen die Möglichkeit, Anwendungskonten (oder Ressourcenkonten) automatisch unter den standardmäßigen Organisationseinheiten (OU) bereitzustellen: vom Kunden verwaltete OU, Managed OU oder Development OU. Die Infrastruktur, die in den Anwendungskonten bereitgestellt wird, die unter jeder dieser Organisationseinheiten erstellt wurden, unterliegt dem spezifischen AMS-Modus, der von diesen grundlegenden Organisationseinheiten angeboten wird. Es ist üblich, in demselben Anwendungskonto eine Mischung aus zwei oder mehr Modi vorzufinden. Beispiel: RFC-Modus und SSP-Modus können in einem AMS-verwalteten Konto koexistieren, das eine Pipeline-Architektur hostet, die aus API Gateway und Lambda für Triggerfunktionen und EC2, S3 und SQS für Aufnahme und Orchestrierung besteht. In diesem Fall würde der SSP-Modus für Lambda und API Gateway gelten.
Abbildung 1 zeigt, wie verschiedene Modi im Rahmen der Grundversion in AMS angeboten werden. OUs Wenn Sie in AMS ein neues Anwendungskonto beantragen, müssen Sie die Organisationseinheit für das Konto auswählen.
MALZ-Architektur und zugehörige AMS-Modi
![\[Diagram showing AWS-Konto structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/MALZ-high-level-(Mar2021).png)
AMS nutzt die Grundlagen, die auf den bewährten Methoden von AWS OUs basieren, um Konten mithilfe von Service Control Policies () logisch zu verwalten. SCPs Auf diese Weise kann das Governance-Framework in jedem AMS-Modus durchgesetzt werden. Alle Governance- und Sicherheitsvorkehrungen (in Form von SCPs), die auf das Fundament angewendet werden, werden automatisch OUs auch auf das Fundament angewendet. custom/child OUs Zusätzliche SCPs können für das Kind angefordert werden. OUs Es ist wichtig zu verstehen, dass Anwendungskonten nicht dasselbe sind wie Modi. Modi werden auf die innerhalb der Konten bereitgestellte Infrastruktur angewendet und definieren die betrieblichen Verantwortlichkeiten zwischen AMS und den Kunden.
Abbildung 1: MALZ-Architektur und zugehörige AMS-Modi
![\[Table comparing AMS modes, default governance controls, and support for customer-added controls.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/ams-modes-guardrails-dcm.png)
**Anmerkung**
„Restriktiv“ bedeutet, dass Sie für diese Programme benutzerdefinierte Richtlinien anfordern können. Diese werden von AMS genehmigt OUs, damit sichergestellt ist, dass sie die Fähigkeit von AMS, optimale Betriebsabläufe zu gewährleisten, nicht beeinträchtigen. case-by-case Eine ausführliche Liste der AMS-Leitplanken finden Sie unter [AMS Guardrails im Benutzerhandbuch](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#detective-rules).
# AMS-Modi und Anwendungen oder Workloads
Berücksichtigen Sie bei der Auswahl des richtigen Modus die Betriebs- und Governance-Anforderungen für Ihre Anwendungen, indem Sie entweder ein neues Anwendungskonto beantragen oder die Anwendung in einem vorhandenen Anwendungskonto hosten. Die Auswahl des geeigneten AMS-Modus für jede Anwendung oder jeden Workload hängt von den folgenden Faktoren ab:
+ Die Art der SDLC-Lebenszyklusfunktion, die die Umgebung bereitstellen wird (z. B. Sandbox mit unmoderierten Änderungen, UAT mit einigen häufigen Änderungen, Produktion mit minimalen Änderungen und stark reguliert)
+ Die erforderlichen Verwaltungsrichtlinien (die auf OU-Ebene durchgesetzt werden) SCPs
+ Betriebsmodell (wenn Sie die operative Verantwortung übernehmen oder diese an AMS auslagern möchten)
+ Die gewünschten Geschäftsergebnisse, wie die Zeit für den Betrieb in der Cloud und die Betriebskosten.
**Anmerkung**
Eine Beschreibung der Modustypen pro AMS-Dienst finden Sie unter [Modi- und Kontotypen in AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html).
Praktische Anwendungsfälle der verschiedenen Modi finden Sie unter [Anwendungsfälle aus der Praxis für AMS-Modi](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)
In der folgenden Tabelle sind die wichtigsten Überlegungen aufgeführt, die Anwendungsbesitzer bei der Entscheidung für den am besten geeigneten AMS-Modus berücksichtigen sollten. Anwendungsbesitzer sollten vor der Anwendungsmigration eine Bewertungsphase einplanen, um genau zu verstehen, welcher Modus für ihre spezifische Anwendung gilt. Beispiel: Für Anwendungen, die auf Cloud-nativen Diensten oder serverloser Architektur basieren, könnte die beste Option darin bestehen, im Entwicklermodus mit dem Aufbau und der Iteration zu beginnen und die endgültige Infrastruktur als Code mithilfe des AMS Managed — SSP-Modus bereitzustellen. In diesem Fall kann ein geringfügiges Refactoring erforderlich sein, um sicherzustellen, dass alle für die automatisierte Bereitstellung erstellten CloudFormation Vorlagen den von AMS festgelegten Ingest-Richtlinien entsprechen. Darüber hinaus müssen alle IAM-Berechtigungen von AMS Security genehmigt werden, um sicherzustellen, dass sie dem Modell der geringsten Rechte folgen.
Der AMS-Modus, der für das Hosten der Anwendung ausgewählt wurde, kann Ihnen dabei helfen, Ihr gewünschtes Cloud-Betriebsmodell umzusetzen.
**Anmerkung**
In einer einzigen AMS Managed Landing Zone kann mehr als ein Cloud-Betriebsmodell existieren, basierend auf den verschiedenen AMS-Modi, die für das Hosten der Anwendungen ausgewählt wurden.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/ams-modes-and-apps-ug.html)
**\$1** Operations On Demand (OOD) bietet ein Angebot für Kunden, die den Standard-CM-Modus verwenden, um ihre Änderungen mithilfe spezieller Ressourcen zu verwalten. Weitere Informationen finden Sie im [Angebotskatalog für Operations on Demand](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) und wenden Sie sich an Ihren Cloud Service Delivery Manager (CSDM).
**Anmerkung**
Beim Preisvergleich zwischen SSP-Modus und Entwicklermodus wird davon ausgegangen, dass dieselben AWS-Services bereitgestellt werden.
Vergleich der AMS-Modi mit Geschäfts- und IT-Zielen
![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)
Wie gezeigt, sind die Modi AMS-Managed Standard Change, AWS Service Catalog oder Direct Change am besten geeignet, wenn Sie nach einem stark kontrollierten und standardisierten Governance-Modell für Ihre Anwendungen suchen. Wenn Sie ein maßgeschneidertes Governance-Modell benötigen, bei dem der Schwerpunkt auf Anwendungsinnovationen liegt, ohne dass Sie dafür betriebsbereit sein müssen, wählen Sie den Modus Customer Managed. Im vom Kunden verwalteten Modus kann die Operationalisierung Ihrer Anwendungen länger dauern, da Sie die Verantwortung für die Einrichtung von Mitarbeitern, Prozessen und Tools zur Unterstützung betrieblicher Funktionen wie Incident Management, Configuration Management, Provisioning Management, Security Management, Patch Management usw. tragen.
# Anwendungsfälle für AMS-Modi in der realen Welt
Untersuchen Sie diese, um herauszufinden, wie AMS-Modi verwendet werden können.
+ **Anwendungsfall 1: Geschäftliche Notwendigkeit zur Senkung der Kosten durch einen zeitkritischen Ausstieg aus dem Rechenzentrum**: Ein Unternehmen mit einem wichtigen Geschäftsereignis, wie einem Ausstieg aus dem Rechenzentrum, ist daran interessiert, seine lokalen Anwendungen in der Cloud neu zu hosten. Der Großteil des lokalen Inventars besteht aus Windows- und Linux-Servern mit einer Mischung aus Betriebssystemversionen. Dabei möchte der Kunde auch die Kosteneinsparungen nutzen, die der Umstieg auf die Cloud mit sich bringt, und die technische und sicherheitstechnische Situation seiner Anwendungen verbessern. Der Kunde möchte schnell handeln, verfügt aber noch nicht über das nötige Fachwissen im Bereich Cloud-Betrieb. Der Kunde muss ein ausgewogenes Verhältnis zwischen Refactoring finden. Zu viel Refactoring kann angesichts eines engen Zeitrahmens riskant sein. Mit einigen Refaktorierungen, wie der Aktualisierung von Betriebssystemversionen und der Optimierung von Datenbanken, können Anwendungen jedoch das nächste Leistungsniveau erreichen. In diesem Beispiel kann der Kunde den AMS-verwalteten RFC-Modus wählen, um die meisten seiner Anwendungen neu zu hosten. AMS bietet den Betrieb der Infrastruktur und berät die Betriebsteams des Kunden gleichzeitig in Bezug auf bewährte Verfahren für den sicheren Betrieb in der Cloud.
Der von AMS verwaltete AWS Service Catalog und der AMS-verwaltete Direct Change-Modus bieten dem Kunden zusätzliche Flexibilität und erreichen gleichzeitig dieselben Geschäftsergebnisse und Ziele. Darüber hinaus kann der Kunde das Angebot AMS Operations On Demand (OOD) nutzen, um über eigene AMS-Betriebstechniker zu verfügen, die die Ausführung von Änderungsanträgen priorisieren (). RFCs
Während der Kunde die undifferenzierten betrieblichen Aufgaben der Infrastruktur (Patching, Backups, Kontoverwaltung usw.) an AMS auslagern kann, kann er sich weiterhin auf die Optimierung seiner Anwendung konzentrieren und seine internen Teams auf den Cloud-Betrieb ausweiten. AMS stellt dem Kunden monatliche Berichte über Kosteneinsparungen zur Verfügung und gibt Empfehlungen zur Ressourcenoptimierung. In diesem Anwendungsfall können end-of-life Anwendungen, die auf älteren Betriebssystemversionen wie Windows 2003 und 2008 gehostet wurden und die der Kunde nicht umgestaltet hat, auch zu AMS migriert und in einem Konto gehostet werden, das den vom Kunden verwalteten Modus nutzt.
+ **Anwendungsfall 2, Aufbau eines Data Lake mit Lambda, Glue, Athena innerhalb der sicheren AMS-Grenzen**: Ein Unternehmen möchte einen Data Lake einrichten, um die Berichtsanforderungen für mehrere AMS-Anwendungen zu erfüllen. Der Kunde möchte S3-Buckets für die Speicherung von Datensätzen und AWS Athena verwenden, um den Datensatz für jeden Bericht abzufragen. S3 und AWS Athena werden in separaten AMS Managed Accounts bereitgestellt. Das Konto bei S3 verfügt auch über andere Dienste wie Glue, Lambda und Step Functions zum Aufbau einer Datenerfassungspipeline. Glue, Lambda, Athena und Step Functions gelten in diesem Fall als Self-Service Provisioning (SSP) -Services. Der Kunde hat außerdem eine EC2 Instanz in dem Konto bereitgestellt, die als Ad-hoc-Server fungiert. tooling/scripting Der Kunde fordert AMS zunächst auf, die SSP-Dienste in seinem AMS-verwalteten Konto zu aktivieren. AMS stellt für jeden Service eine IAM-Rolle bereit, die der Kunde übernehmen kann, sobald die Rolle in die Verbundlösung des Kunden integriert ist. Zur Vereinfachung der Verwaltung kann der Kunde auch die Richtlinien für die einzelnen IAM-Rollen in einer benutzerdefinierten Rolle zusammenfassen, sodass beim Arbeiten zwischen den AWS-Services keine Rollen mehr gewechselt werden müssen. Sobald die Rolle im Konto aktiviert ist, kann der Kunde die Services gemäß seinen Anforderungen konfigurieren. Der Kunde muss jedoch mit dem AMS-Change-Management-System zusammenarbeiten, um je nach Anwendungsfall zusätzliche Berechtigungen anzufordern.
Für den Zugriff auf Glue Crawlers benötigt Glue beispielsweise zusätzliche Berechtigungen. Zusätzliche Berechtigungen sind auch erforderlich, um Ereignisquellen für Lambda zu erstellen. Der Kunde wird mit AMS zusammenarbeiten, um die IAM-Rollen zu aktualisieren, sodass Athena kontenübergreifenden Zugriff hat, um S3-Buckets abzufragen. Aktualisierungen von Servicerollen oder serviceverknüpften Rollen werden ebenfalls über das AMS Change Management benötigt, damit Lambda den Step Functions Functions-Dienst aufruft, und Glue, um in alle S3-Buckets zu lesen und in sie zu schreiben. AMS arbeitet mit Kunden zusammen, um sicherzustellen, dass das Zugriffsmodell mit den geringsten Rechten eingehalten wird und die angeforderten IAM-Änderungen nicht zu freizügig sind und die Umgebung nicht unnötigen Risiken aussetzen. Das Data Lake-Team des Kunden verbringt Zeit damit, alle IAM-Berechtigungen zu planen, die für die spezifische Architektur des Kunden erforderlich sind, und bittet AMS, diese zu aktivieren. Dies liegt daran, dass alle IAM-Änderungen manuell verarbeitet und vom AMS-Sicherheitsteam überprüft werden. Die Zeit für die Bearbeitung dieser Anfragen sollte im Zeitplan für die Anwendungsbereitstellung berücksichtigt werden.
Da die SSP-Dienste innerhalb des Accounts betriebsbereit sind, kann der Kunde über das AMS Incident Management und die Serviceanfragen Support anfordern und Probleme melden. AMS überwacht jedoch nicht aktiv die Leistungs- und Parallelitätskennzahlen für Lambda oder Job-Metriken für Glue. Es liegt in der Verantwortung des Kunden, sicherzustellen, dass für SSP-Dienste eine angemessene Protokollierung und Überwachung aktiviert ist. Die EC2 Instance und der S3-Bucket im Konto werden vollständig von AMS verwaltet.
+ **Anwendungsfall 3, schnelle und flexible Einrichtung einer CICD-Bereitstellungspipeline in AMS**: Ein Kunde möchte eine Jenkins-basierte CICD-Pipeline einrichten, um die Code-Pipeline für alle Anwendungskonten in AMS bereitzustellen. Für den Kunden ist es möglicherweise am geeignetsten, diese CICD-Pipeline im AMS-Managed Direct Change Mode (DCM) oder im AMS-Managed Developer-Modus zu hosten, da er so flexibel den Jenkins-Server mit der erforderlichen benutzerdefinierten Konfiguration einrichten kann EC2, mit den gewünschten IAM-Zugriffsberechtigungen CloudFormation und S3-Buckets, die das Artefakt-Repository hosten. Dies ist zwar auch im AMS-verwalteten RFC-Modus möglich, das Kundenteam müsste jedoch mehrere Handbücher RFCs für IAM-Rollen erstellen, um anhand der am wenigsten zulässigen Genehmigungen zu iterieren, die manuell von AMS überprüft werden. DCM ermöglicht es den Kunden, ihre betrieblichen Ziele auf AWS zu erreichen und gleichzeitig die Notwendigkeit zu vermeiden, mehrere Handbücher RFCs für IAM-Rollen zu erstellen, wenn der vom AMS verwaltete RFC-Modus verwendet wird, um die am wenigsten zulässigen Genehmigungen zu verwenden, die manuell von AMS überprüft werden. Dies würde sowohl Zeit als auch Schulung seitens des Kunden erfordern, um die AMS-Prozesse und -Tools auf den neuesten Stand zu bringen. Im Entwicklermodus kann der Kunde mit einer „Entwicklerrolle“ beginnen, um die Infrastruktur mithilfe von nativem AWS bereitzustellen APIs. Der schnellste und flexibelste Weg, diese Pipeline einzurichten, wäre die Verwendung des AMS Managed-Developer-Modus. Der Entwicklermodus bietet den schnellsten und einfachsten Weg, wobei er Kompromisse bei der Betriebsintegration eingeht, während DCM weniger flexibel ist, aber das gleiche Maß an Betriebsunterstützung bietet wie der RFC-Modus.
+ **Anwendungsfall 4, maßgeschneidertes Betriebsmodell innerhalb der AMS-Stiftung**: Ein Kunde steht vor einem terminbedingten Verlassen des Rechenzentrums und eine seiner Unternehmensanwendungen wird vollständig von einem Drittanbieter-MSP verwaltet, einschließlich Anwendungsbetrieb und Infrastrukturbetrieb. Unter der Annahme, dass der Kunde im Zeitplan keine Zeit hat, diese Anwendung so umzugestalten, dass sie von AMS betrieben werden kann, ist der Modus „Kundenverwaltung“ eine geeignete Option. Der Kunde kann die Vorteile der automatisierten und schnellen Einrichtung der von AMS verwalteten Landing Zone nutzen. Sie können die zentralisierte Kontoverwaltung nutzen, die den Verkauf und die Konnektivität der Konten über das zentrale Netzwerkkonto steuert. Es vereinfacht auch ihre Abrechnung, indem die Gebühren für alle vom Kunden verwalteten Konten über das AMS Payer-Konto konsolidiert werden. Der Kunde hat die Flexibilität, sein maßgeschneidertes Zugangsmanagementmodell einzurichten, wobei der MSP von der für AMS Managed Accounts verwendeten Standardzugriffsverwaltung getrennt ist. Auf diese Weise kann der Kunde im Modus „Kundenverwaltung“ eine von AMS verwaltete Umgebung einrichten und gleichzeitig seine Geschäftsanforderungen erfüllen, die sich aus der lokalen Umgebung ergeben. In diesem Fall ist der Kunde für die Erstellung eines Cloud-Betriebsmodells verantwortlich, wenn der Kunde auch über Windows-basierte Anwendungen verfügt, die er in die Cloud migriert, und diese in ein vom Kunden verwaltetes Konto verschieben möchte. Dies kann komplex, teuer und zeitaufwändig sein, je nachdem, ob der Kunde in der Lage ist, traditionelle IT-Prozesse zu transformieren und Mitarbeiter zu schulen. Der Kunde kann Zeit und Kosten sparen, indem er solche Workloads auf ein von AMS verwaltetes Konto überträgt und den Infrastrukturbetrieb an AMS auslagert.
**Anmerkung**
Kunden haben manchmal das Bedürfnis, Anwendungskonten zwischen dem Governance-Framework des RFC- oder SSP-Modus und dem Entwicklermodus zu verschieben. Beispielsweise können Kunden im Rahmen der ersten Lift-and-Shift-Migration eine Anwendung im AMS-verwalteten Modus hosten, möchten die Anwendung aber im Laufe der Zeit neu schreiben, um sie für Cloud-native AWS-Services zu optimieren. Sie könnten den Modus des Pre-Prod-Kontos von AMS-verwaltetem RFC in den AMS-verwalteten Entwicklermodus ändern, was ihnen die Flexibilität und Agilität für die Bereitstellung der Infrastruktur gibt. Sobald jedoch Änderungen an der Bereitstellung der Infrastruktur mithilfe der „Entwicklerrolle“ vorgenommen wurden, kann dieselbe Infrastruktur nicht mehr in den AMS-verwalteten RFC-Modus zurückversetzt werden. Dies liegt daran, dass AMS den Betrieb der Infrastruktur, die außerhalb des AMS-Change-Management-Systems bereitgestellt wurde, nicht garantieren kann. Kunden müssen möglicherweise ein neues Anwendungskonto erstellen, das den AMS-verwalteten RFC-Modus bietet, und dann die „optimierte“ Infrastrukturkonfiguration mithilfe von CloudFormation Vorlagen oder benutzerdefinierter Daten, die in ein von AMS verwaltetes Konto AMIs aufgenommen wurden, erneut bereitstellen. Dies ist eine saubere Methode, um eine produktionsbereite Konfiguration bereitzustellen. Nach der Bereitstellung unterliegt die Anwendung der vorgeschriebenen AMS-Verwaltung und dem Betrieb. Das Gleiche gilt für den Wechsel zwischen dem vom Kunden verwalteten Modus und dem AMS-verwalteten Modus.
# RFC-Modus
Der RFC-Modus ist der Standardmodus für Kunden mit AMS Advanced Operations Plan. Er umfasst ein Change-Management-System mit Änderungsanträgen oder RFCs einen Katalog von Änderungstypen, anhand derer Sie die gewünschten Ergänzungen oder Änderungen an Ihren Konten beantragen können. Dieses Change-Management-System bietet ein gewisses Maß an Sicherheit, indem es einschränkt, wer Änderungen an Ihren Konten vornehmen kann.
Einzelheiten zu den Änderungstypen von AMS Advanced finden Sie unter [Was sind AMS-Änderungstypen?](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) .
Einzelheiten zum Onboarding bei AMS Advanced finden Sie unter Einführung in [AWS Managed Services Onboarding](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html).
Exemplarische Anleitungen zum Änderungstyp finden Sie im Abschnitt „Zusätzliche Informationen“ für den entsprechenden Änderungstyp im Abschnitt *AMS Advanced Change Type Reference — [Änderungstypen](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)* nach Klassifizierung.
**Anmerkung**
Der RFC-Modus wurde zuvor als „Change Management-Modus“ oder „Standard-CM-Modus“ bezeichnet.
**Topics**
+ [Erfahre mehr über RFCs](ex-rfc-works.md)
+ [Was sind Änderungstypen?](understanding-cts.md)
+ [Behebung von RFC-Fehlern in AMS](rfc-troubleshoot.md)
# Erfahre mehr über RFCs
Änderungsanträge, oder RFCs, funktionieren auf zweierlei Weise. Erstens sind Parameter für den RFC selbst erforderlich. Dies sind die Optionen in der `CreateRfc` API. Und zweitens gibt es Parameter, die für die Aktion des RFC erforderlich sind (die Ausführungsparameter). Weitere Informationen zu den `CreateRfc` Optionen finden Sie im [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)Abschnitt der *AMS-API-Referenz.* Diese Optionen werden normalerweise im Bereich **Zusätzliche Konfigurationen** der Seiten „RFC erstellen“ angezeigt.
Sie können einen RFC mit der `CreateRfc` API, `aws amscm create-rfc` CLI oder mithilfe der AMS-Konsole RFC-Seiten erstellen erstellen und einreichen. Ein Tutorial zur Erstellung eines RFC finden Sie unter. [Erstellen Sie einen RFC](ex-rfc-create-col.md)
**Topics**
+ [Was sind RFCs?](what-r-rfcs.md)
+ [Authentifizieren Sie sich, wenn Sie die AMS API/CLI CLI](ex-rfc-authentication.md)
+ [RFC-Sicherheitsüberprüfungen verstehen](rfc-security.md)
+ [Verstehen Sie die Klassifizierungen von RFC-Änderungstypen](ex-rfc-csio.md)
+ [RFC-Aktionen und Aktivitätsstatus verstehen](ex-rfc-action-state.md)
+ [RFC-Statuscodes verstehen](ex-rfc-status-codes.md)
+ [RFC-Update CTs und Erkennung von CloudFormation Template-Drift verstehen](ex-rfc-updates-and-dd.md)
+ [Zeitplan RFCs](ex-rfc-scheduling.md)
+ [Genehmigen oder Ablehnen RFCs](ex-rfc-approvals.md)
+ [RFC-eingeschränkte Laufzeiten anfordern](ex-rfc-restrict-execute.md)
+ [Erstellen, Klonen, Aktualisieren, Suchen und Stornieren RFCs](ex-rfc-use-examples.md)
+ [Verwenden Sie die AMS-Konsole mit RFCs](ex-rfc-gui.md)
+ [Erfahren Sie mehr über gängige RFC-Parameter](rfc-common-params.md)
+ [Melden Sie sich für die tägliche RFC-E-Mail an](rfc-digest.md)
# Was sind RFCs?
Mit einem Änderungsantrag (RFC) nehmen Sie eine Änderung in Ihrer von AMS verwalteten Umgebung vor oder bitten AMS, in Ihrem Namen eine Änderung vorzunehmen. Um einen RFC zu erstellen, wählen Sie aus AMS-Änderungstypen, wählen RFC-Parameter (z. B. Zeitplan) und reichen die Anfrage dann entweder über die AMS-Konsole oder die API-Befehle und ein. [CreateRfc[SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html)](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)
Ein RFC enthält zwei Spezifikationen, eine für den RFC selbst und eine für die Change Type (CT) -Parameter. In der Befehlszeile können Sie einen Inline-RFC-Befehl oder eine CreateRfc Standardvorlage im JSON-Format verwenden, die Sie zusammen mit der von Ihnen erstellten CT-JSON-Schemadatei ausfüllen und einreichen (basierend auf den CT-Parametern). Der CT-Name ist eine informelle Beschreibung des CT. Ein CSIO (Kategorie, Unterkategorie, Gegenstand, Operation) ist eine formellere Beschreibung eines CT. Bei der Erstellung eines RFC muss nur die CT-ID angegeben werden.
RFCs durchläuft zwei wichtige Phasen: Validierung und Ausführung.
1. In der Validierungsphase überprüft AMS die RFC-Anfrage auf Vollständigkeit und Richtigkeit. AMS bewertet die Sicherheitsanfrage auch gemäß unseren [technischen Sicherheitsstandards](rfc-security.md#rfc-security.title). AMS bestätigt, dass die angeforderte Änderung gültig und ausführbar ist.
1. In der Ausführungsphase versucht AMS, die angeforderten Änderungen an Ihrem Konto vorzunehmen.
AMS wickelt beide Phasen durch einen automatisierten Prozess, einen manuellen Prozess oder eine Kombination aus beiden ab. Der manuelle Prozess wird vom AMS Operations Team abgewickelt. Weitere Informationen finden Sie unter [Automatisiert und manuell CTs](ug-automated-or-manual.md).
AMS bietet drei Ausführungsmodi für die Bearbeitung von Anfragen:
+ **(AMS empfohlen) Ausführungsmodus: Automatisiert**. Diese CTs verwenden Automatisierung für RFC-Validierungen und -Ausführungen. Dies ist der schnellste Weg, um Ihre Geschäftsergebnisse zu erzielen.
+ **(Von AMS empfohlen) Ausführungsmodus: Manuell und Bezeichnung: Verwaltete Automatisierung**. Diese CTs verwenden eine Kombination aus automatisierten und manuellen Prozessen für RFC-Validierungen und -Ausführungen. Wenn die Automatisierung Ihre angeforderte Änderung nicht ausführen kann, wird der RFC (entweder durch automatisiertes Routing oder durch die Erstellung eines Ersatz-RFC) zur manuellen Bearbeitung an das AMS Operations Team übertragen. Ihre Übermittlung CTs ermöglicht eine strukturiertere Bearbeitung Ihrer Anfrage, ergänzt durch AMS-Automatisierung, um die Bearbeitung und den Zeitrahmen für das Ausführungsergebnis zu verbessern.
+ **Ausführungsmodus: Manuell und Bezeichnung: Überprüfung erforderlich**. Änderungen wurden über [ct-1e1xtak34nx76 Management \$1 Andere \$1 Andere \$1 Update (Überprüfung erforderlich) oder [ct-0xdawir96cy7k](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-create-review-required.html) Management \$1 Andere \$1 Andere \$1 Erstellen (Überprüfung erforderlich)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-update-review-required.html) angefordert. CTs Diese basieren auf manueller Handhabung für Validierungen und Ausführungen. Diese CTs hängen von der manuellen Interpretation der Änderungsanforderung ab.
AMS benachrichtigt Sie, wenn die Änderung erfolgreich (Success) oder erfolglos (Failure) abgeschlossen wurde.
**Anmerkung**
Informationen zur Behebung von RFC-Fehlern finden Sie unter. [Behebung von RFC-Fehlern in AMS](rfc-troubleshoot.md)
Die folgende Grafik zeigt den Arbeitsablauf eines von Ihnen eingereichten RFC.
![\[Der Workflow eines vom Kunden eingereichten RFC.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/requestForChange-v5g.png)
# Authentifizieren Sie sich, wenn Sie die AMS API/CLI CLI
Wenn Sie die AMS-API/CLI verwenden, müssen Sie sich mit temporären Anmeldeinformationen authentifizieren. Um temporäre Sicherheitsanmeldedaten für Verbundbenutzer anzufordern [ GetFederationToken](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html), rufen Sie [AssumeRole](https://docs.aws.amazon.com/STS/latest/UsingSTS/sts_delegate.html), [AssumeRoleWithSAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithsaml) oder [ AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithwebidentity)AWS Security Token Service (STS) an. APIs
Eine gängige Wahl ist SAML. Nach der Einrichtung fügen Sie jeder Operation, die Sie aufrufen, ein Argument hinzu. Beispiel: `aws --profile saml amscm list-change-type-categories`.
Eine Abkürzung für SAML 2.0-Profile besteht darin, die Profilvariable am Anfang jedes API/CLI mit zu setzen `set AWS_DEFAULT_PROFILE=saml` (für Windows; für Linux wäre das der Fall`export AWS_DEFAULT_PROFILE=saml`). Informationen zur Einstellung von CLI-Umgebungsvariablen finden Sie unter [Konfiguration der AWS-Befehlszeilenschnittstelle, Umgebungsvariablen](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-environment).
# RFC-Sicherheitsüberprüfungen verstehen
Das Genehmigungsverfahren für das Änderungsmanagement von AWS Managed Services (AMS) stellt sicher, dass wir eine Sicherheitsüberprüfung der Änderungen durchführen, die wir an Ihren Konten vornehmen.
AMS bewertet alle Änderungsanträge (RFCs) anhand der technischen Standards von AMS. Jede Änderung, die die Sicherheitslage Ihres Kontos aufgrund einer Abweichung von den technischen Standards beeinträchtigen könnte, wird einer Sicherheitsüberprüfung unterzogen. Während der Sicherheitsüberprüfung weist AMS auf relevante Risiken hin, und in Fällen mit hohem oder sehr hohem Sicherheitsrisiko akzeptiert oder lehnt Ihr autorisiertes Sicherheitspersonal den RFC ab. Alle Änderungen werden auch daraufhin bewertet, ob sie sich negativ auf die Betriebsfähigkeit von AMS auswirken. Wenn potenzielle nachteilige Auswirkungen festgestellt werden, sind zusätzliche Prüfungen und Genehmigungen innerhalb von AMS erforderlich.
## Technische Standards von AMS
Die technischen Standards von AMS definieren die Mindestsicherheitskriterien, Konfigurationen und Prozesse, um die grundlegende Sicherheit Ihrer Konten zu gewährleisten. Diese Standards müssen sowohl von AMS als auch von Ihnen befolgt werden.
Jede Änderung, die die Sicherheitslage Ihres Kontos aufgrund einer Abweichung von den technischen Standards potenziell beeinträchtigen könnte, wird einem Risikoakzeptanzprozess unterzogen, bei dem das relevante Risiko von AMS hervorgehoben und vom autorisierten Sicherheitspersonal von Ihrer Seite akzeptiert oder abgelehnt wird. All diese Änderungen werden auch bewertet, um zu beurteilen, ob sie sich negativ auf die Fähigkeit von AMS auswirken würden, das Konto zu führen. Falls ja, sind zusätzliche Prüfungen und Genehmigungen innerhalb von AMS erforderlich.
## RFC-Prozess für das Kundensicherheitsrisikomanagement (CSRM)
Wenn jemand aus Ihrem Unternehmen eine Änderung an Ihrer verwalteten Umgebung anfordert, überprüft AMS die Änderung, um festzustellen, ob die Anfrage die Sicherheitslage Ihres Kontos verschlechtern könnte, weil sie nicht den technischen Standards entspricht. Wenn die Anfrage die Sicherheitslage des Kontos beeinträchtigt, informiert AMS Ihren Ansprechpartner für das Sicherheitsteam über das entsprechende Risiko und führt die Änderung durch. Oder, wenn die Änderung ein hohes oder sehr hohes Sicherheitsrisiko für die Umgebung mit sich bringt, bittet AMS um die ausdrückliche Zustimmung Ihres Ansprechpartners im Sicherheitsteam in Form einer Risikoakzeptanz (siehe unten). Der AMS-Prozess zur Risikoakzeptanz bei Kunden ist darauf ausgerichtet:
+ Stellen Sie sicher, dass Risiken klar identifiziert und den richtigen Eigentümern mitgeteilt werden
+ Minimieren Sie die identifizierten Risiken für Ihre Umgebung
+ Lassen Sie sich von den zuständigen Sicherheitskontakten, die mit dem Risikoprofil Ihres Unternehmens vertraut sind, die Genehmigung einholen und dokumentieren
+ Reduzieren Sie den laufenden Betriebsaufwand für identifizierte Risiken
## Wie kann man auf technische Standards und hohe oder sehr hohe Risiken zugreifen
Wir haben die Dokumentation zu den technischen Standards von AMS als Bericht für Sie [https://console.aws.amazon.com/artifact/](https://console.aws.amazon.com/artifact/)als Referenz zur Verfügung gestellt. Anhand der Dokumentation zu den technischen Standards von AMS können Sie herausfinden, ob für eine Änderung die Risikobereitschaft Ihres autorisierten Sicherheitskontakts erforderlich ist, bevor Sie einen Änderungsantrag (RFC) einreichen.
Suchen Sie den Bericht über technische Standards, indem Sie in der Suchleiste der Registerkarte AWS Artifact **Berichte** nach „AWS Managed Services (AMS) Technical Standards“ suchen, nachdem Sie sich mit der Standardeinstellung angemeldet haben **AWSManagedServicesChangeManagementRole**.
**Anmerkung**
Das technische Standarddokument von AMS ist für die Kunden\$1 ReadOnly \$1Rolle in der landing zone mit einem Konto zugänglich. In der landing zone mit mehreren Konten, die AWSManaged ServicesAdminRole von Sicherheitsadministratoren und von Anwendungsteams AWSManaged ServicesChangeManagementRole verwendet wird, kann für den Zugriff auf das Dokument verwendet werden. Wenn Ihr Team eine benutzerdefinierte Rolle verwendet, erstellen Sie einen RFC „Andere“ \$1 „Andere“, um Zugriff zu beantragen. Wir aktualisieren dann die angegebene benutzerdefinierte Rolle.
# Verstehen Sie die Klassifizierungen von RFC-Änderungstypen
Die Änderungstypen, die Sie beim Einreichen eines RFC verwenden, sind in zwei große Kategorien unterteilt:
+ **Bereitstellung**: Diese Klassifizierung dient der Erstellung von Ressourcen.
+ **Verwaltung**: Diese Klassifizierung dient zum Aktualisieren oder Löschen von Ressourcen. Die Kategorie **Verwaltung** enthält auch Änderungstypen für den Zugriff auf Instanzen, das Verschlüsseln oder Teilen sowie das Starten AMIs, Stoppen, Neustarten oder Löschen von Stacks.
# RFC-Aktionen und Aktivitätsstatus verstehen
`RfcActionState`(API)/**Activity State** (Konsole) helfen Ihnen dabei, den Status menschlicher Eingriffe oder Aktionen in einem RFC zu verstehen. Wird hauptsächlich für manuelle Zwecke verwendet und `RfcActionState` hilft Ihnen zu verstehen RFCs, wann entweder Sie oder AMS Operations Maßnahmen ergreifen müssen, und zeigt Ihnen, wann AMS Operations aktiv an Ihrem RFC arbeitet. Dies sorgt für mehr Transparenz in Bezug auf die Aktionen, die während des Lebenszyklus eines RFC ergriffen werden.
`RfcActionState`Definitionen für (API) **/Aktivitätsstatus** (Konsole):
+ **AwsOperatorAssigned**: Ein AWS-Betreiber arbeitet aktiv an Ihrem RFC.
+ **AwsActionPending**: Eine Antwort oder Aktion von AWS wird erwartet.
+ **CustomerActionPending**: Eine Antwort oder Aktion des Kunden wird erwartet.
+ **NoActionPending**: Weder von AWS noch vom Kunden sind Maßnahmen erforderlich.
+ **NotApplicable**: Dieser Status kann nicht von AWS-Betreibern oder -Kunden festgelegt werden und wird nur für diejenigen verwendet RFCs , die vor der Veröffentlichung dieser Funktion erstellt wurden.
Der Status der RFC-Aktionen hängt davon ab, ob für den eingereichten Änderungstyp eine manuelle Überprüfung erforderlich ist und ob die Planung auf „**ASAP**“ gesetzt ist oder nicht.
+ **ActionState**RFC-Änderungen während der Prüfung, Genehmigung und des Starts eines manuellen Änderungstyps mit verzögerter Planung:
+ Nachdem Sie einen manuellen, geplanten RFC eingereicht haben, ändert sich dieser **ActionState**automatisch **AwsActionPending**zu dem Hinweis, dass ein Operator den RFC überprüfen und genehmigen muss.
+ Wenn ein Operator beginnt, Ihren RFC aktiv zu überprüfen, ändert sich der **ActionState**AwsOperatorAssigned****
+ Wenn der Operator Ihren RFC genehmigt, ändert sich der RFC-Status in Geplant und der **ActionState**automatisch in. **NoActionPending**
+ Wenn die geplante Startzeit des RFC erreicht ist, ändert sich der RFC-Status auf und der **ActionState**automatische Wechsel wird in angezeigt **InProgress**, dass ein Operator für die Überprüfung des RFC zugewiesen werden muss. **AwsActionPending**
+ Wenn ein Operator anfängt, den RFC aktiv auszuführen, ändert er den Wert in. **ActionState**AwsOperatorAssigned****
+ Sobald der Vorgang abgeschlossen ist, schließt der Operator den RFC. Dadurch wird der Wert automatisch **ActionState**auf **NoActionPending**geändert.
![\[ActionStateRFC-Änderungen während der Prüfung, Genehmigung und des Starts eines manuellen Änderungstyps mit verzögerter Planung\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/actionStateRfc.png)
**Wichtig**
Aktionsstatus können nicht von Ihnen festgelegt werden. Sie werden entweder automatisch auf der Grundlage von Änderungen im RFC oder manuell von AMS-Operatoren festgelegt.
Wenn Sie einem RFC Korrespondenz hinzufügen, **ActionState**wird dieser automatisch auf gesetzt. **AwsActionPending**
Wenn ein RFC erstellt wird, **ActionState**wird der automatisch auf gesetzt. **NoActionPending**
Wenn ein RFC gesendet wird, **ActionState**wird der automatisch auf gesetzt. **AwsActionPending**
Wenn ein RFC abgelehnt, storniert oder mit dem Status Erfolgreich oder Fehlgeschlagen abgeschlossen wird, **ActionState**wird er automatisch auf zurückgesetzt. **NoActionPending**
Aktionsstatus sind sowohl für automatisierte als auch für manuelle Aktionen aktiviert RFCs, sind jedoch hauptsächlich für manuelle Aktionen von Bedeutung, RFCs da für diese Art von Aktionen RFCs häufig eine Kommunikation erforderlich ist.
# Sehen Sie sich die Anwendungsfallbeispiele für RFC-Aktionsstatus an
**Anwendungsfall: Sichtbarkeit bei manuellen RFC-Prozessen**
+ Sobald Sie einen manuellen RFC eingereicht haben, ändert sich der Status der RFC-Aktion automatisch in, `AwsActionPending` um anzuzeigen, dass ein Operator den RFC überprüfen und genehmigen muss. Wenn ein Operator beginnt, Ihren RFC aktiv zu überprüfen, ändert sich der RFC-Aktionsstatus auf. `AwsOperatorAssigned`
+ Stellen Sie sich einen manuellen RFC vor, der genehmigt und geplant wurde und bereit ist, mit der Ausführung zu beginnen. Sobald sich der RFC-Status auf ändert`InProgress`, ändert sich der RFC-Aktionsstatus automatisch auf. `AwsActionPending` Er ändert sich wieder auf, `AwsOperatorAssigned` sobald ein Operator den RFC aktiv ausführt.
+ Wenn ein manueller RFC abgeschlossen ist (als „Erfolg“ oder „Fehlschlag“ geschlossen), ändert sich der Status der RFC-Aktion in, `NoActionPending` um anzuzeigen, dass weder vom Kunden noch vom Betreiber weitere Aktionen erforderlich sind.
**Anwendungsfall: RFC-Korrespondenz**
+ Wenn es sich um einen manuellen RFC handelt`Pending Approval`, benötigt ein AMS-Operator möglicherweise weitere Informationen von Ihnen. Die Operatoren senden eine Nachricht an den RFC und ändern den RFC-Aktionsstatus auf. `CustomerActionPending` Wenn Sie antworten, indem Sie eine neue RFC-Korrespondenz hinzufügen, ändert sich der RFC-Aktionsstatus automatisch auf. `AwsActionPending`
+ Wenn ein automatisierter oder manueller RFC ausgefallen ist, können Sie den RFC-Details eine Korrespondenz hinzufügen und den AMS-Operator fragen, warum der RFC fehlgeschlagen ist. Wenn Ihre Korrespondenz hinzugefügt wird, wird der RFC-Aktionsstatus automatisch auf gesetzt. `AwsActionPending` Wenn der AMS-Operator den RFC abruft, um Ihre Korrespondenz einzusehen, ändert sich der RFC-Aktionsstatus auf. `AwsOperatorAssigned` Wenn der Operator antwortet, indem er eine neue RFC-Korrespondenz hinzufügt, kann der RFC-Aktionsstatus auf gesetzt werden`CustomerActionPending`, was bedeutet, dass eine weitere Antwort vom Kunden erwartet wird, oder auf, was bedeutet`NoActionPending`, dass keine Antwort vom Kunden erforderlich oder erwartet wird.
# RFC-Statuscodes verstehen
RFC-Statuscodes helfen Ihnen dabei, Ihre Anfragen zu verfolgen. Sie können diese Statuscodes während eines RFC-Laufs in der CLI-Ausgabe oder durch Aktualisieren der RFC-Listenseite in der Konsole beobachten.
Sie können die Codes für einen RFC auch auf der Detailseite für diesen RFC sehen, die so aussehen könnte:
![\[RFC-Statuscodes.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/guiRfcStatusCodes.png)
Möglicherweise finden Sie in Ihrer Liste einen RFC, den Sie nicht eingereicht haben. Wenn AMS-Operatoren einen CT verwenden, der nur intern verwendet wird, reichen sie ihn in einem RFC ein und er wird in Ihrer RFC-Liste angezeigt. Weitere Informationen finden Sie unter [Nur interne Änderungstypen](ct-internals.md).
**Wichtig**
Sie können Benachrichtigungen über RFC-Statusänderungen anfordern. Einzelheiten finden Sie unter Benachrichtigungen über [RFC-Statusänderungen](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html).
**RFC-Statuscodes**
| Herzlichen Glückwunsch | Fehler |
| --- | --- |
| Bearbeitung: Der RFC wurde erstellt, aber nicht eingereicht PendingApproval /Eingereicht: Der RFC wurde eingereicht und das System ermittelt, ob er genehmigt werden muss, und holt diese Genehmigung, falls erforderlich, ein Genehmigt von AWS//Genehmigt vom Kunden: Der RFC wurde genehmigt. Automatisierte Geräte RFCs werden von AWS genehmigt, manuelle RFCs werden von Betreibern und manchmal auch von Kunden genehmigt Geplant: Der RFC hat die Syntax- und Anforderungsprüfungen bestanden und ist für die Ausführung geplant InProgress: Der RFC wird gerade ausgeführt. Beachten Sie, RFCs dass das Bereitstellen mehrerer Ressourcen oder die Ausführung mit langer Laufzeit UserData länger dauert Ausgeführt: Der RFC wurde ausgeführt Erfolgreich//Erfolgreich: Der RFC wurde erfolgreich abgeschlossen | Abgelehnt: RFCs werden in der Regel zurückgewiesen, weil sie nicht validiert werden können. Beispielsweise wurde eine unbrauchbare Ressource, d. h. ein Subnetz, angegeben Storniert: RFCs werden in der Regel storniert, weil sie die Validierung nicht bestehen, bevor die konfigurierte Startzeit abgelaufen ist Fehlgeschlagen: Der RFC ist ausgefallen. Die Gründe für den Fehler finden Sie StatusReason in der Ausgabe, und AMS Operations erstellt automatisch ein Trouble-Ticket und kommuniziert bei Bedarf mit Ihnen |
**Anmerkung**
Storniert oder abgelehnt RFCs können Sie erneut einreichen mit [UpdateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRfc.html); siehe auch. [Aktualisierung RFCs](ex-update-rfcs.md)
Wenn der RFC alle erforderlichen Bedingungen erfüllt (z. B. wenn alle erforderlichen Parameter angegeben sind), ändert sich der Status in `PendingApproval` (auch bei automatisierter Ausführung ist CTs eine Genehmigung erforderlich, was automatisch geschieht, wenn Syntax- und Parameterprüfungen erfolgreich sind). Wenn er nicht erfolgreich ist, ändert sich der Status zu`Rejected`. Das `StatusReason` enthält Informationen zu Ablehnungen; die `ExecutionOutput` Felder enthalten Informationen zur Genehmigung und zum Abschluss. Zu den Fehlercodes gehören:
+ InvalidRfcStateException: Der RFC befindet sich in einem Status, der die aufgerufene Operation nicht zulässt. Wenn der RFC beispielsweise in den Status Eingereicht übergegangen ist, kann er nicht mehr geändert werden.
+ InvalidRfcScheduleException: Die TimeoutInMinutes Parameter StartTime EndTime, oder wurden verletzt.
+ InternalServerError: Es ist ein Problem mit dem System aufgetreten.
+ InvalidArgumentException: Ein Parameter ist falsch angegeben. Beispielsweise wird ein inakzeptabler Wert verwendet.
+ ResourceNotFoundException: Ein Wert, z. B. die Stack-ID, kann nicht gefunden werden.
Wenn die geplanten angeforderten Start- und Endzeiten (auch bekannt als das Änderungslauffenster) vor der Genehmigung der Änderung liegen, ändert sich der RFC-Status auf`Canceled`. Wenn die Änderung genehmigt wurde, ändert sich der RFC-Status auf. `Scheduled` Das Fenster für die Ausführung von Änderungen bei ASAP RFCs besteht aus der Zeit der Übermittlung zuzüglich des `ExpectedExecutionDuration` Werts für den CT.
Eine geplante Änderung (mit einem `RequestedStartTime` in der CLI eingereicht) kann jederzeit vor dem Eintreffen des Fensters für die Ausführung von Änderungen geändert oder storniert werden. Wenn die geplante Änderung geändert wird, muss sie erneut eingereicht werden.
Wenn die Startzeit der Änderung eintrifft (geplant oder so schnell wie möglich) und die Genehmigungen abgeschlossen sind, ändert sich der Status auf `InProgress` und es können keine Änderungen vorgenommen werden. Wenn die Änderung innerhalb des angegebenen Zeitfensters für die Ausführung von Änderungen abgeschlossen ist, ändert sich der Status in. `Success` Schlägt ein Teil der Änderung fehl oder ist die Änderung am Ende des Fensters für den Änderungslauf noch in Bearbeitung, ändert sich der Status in`Failure`.
**Anmerkung**
Während des Status „`InProgress``Success`,“ oder „`Failure`Change“ kann der RFC nicht geändert oder abgebrochen werden.
Das folgende Diagramm zeigt den RFC-Status vom CreateRFC-Aufruf bis zur Auflösung.
![\[Die RFC-Status vom CreateRFC-Aufruf bis zur Auflösung.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/RfcStateFlow2.png)
# RFC-Update CTs und Erkennung von CloudFormation Template-Drift verstehen
In AMS bereitgestellte Ressourcen verwenden eine modifizierte CloudFormation Vorlage. Wenn bei einer Ressource ein Parameter direkt über die AWS Management Console eines Dienstes geändert wurde, ist der CloudFormation Erstellungsdatensatz dieser Ressource nicht mehr synchron. Wenn dies passiert und Sie versuchen, einen AMS-Aktualisierungsänderungstyp zu verwenden, um die Ressource in AMS zu aktualisieren, verweist AMS auf die ursprüngliche Ressourcenkonfiguration und setzt möglicherweise geänderte Parameter zurück. Dieser Reset kann schädlich sein, weshalb AMS die Verwendung von RFCs Update-Änderungstypen nicht zulässt, wenn zusätzliche AMS-Konfigurationsänderungen erkannt werden.
Verwenden Sie den Konsolenfilter, um eine Liste der Arten von Update-Änderungen zu erhalten.
## Behebung von Abweichungen FAQs
Fragen und Antworten zur Behebung von AMS-Abweichungen. Es gibt zwei Arten von Änderungen, mit denen Sie die Behebung von Abweichungen einleiten können: Der eine ist Ausführungsmodus=manuell oder „verwaltete Automatisierung“, der andere ist Ausführungsmodus=automatisiert.
### Unterstützte Ressourcen zur Drift-Korrektur (ct-3kinq0u4l33zf)
Dies sind die Ressourcen, die vom Änderungstyp zur Behebung von Abweichungen (ct-3kinq0u4l33zf) unterstützt werden. Verwenden Sie zur Behebung von Ressourcen stattdessen den Änderungstyp „Managed Automation“ (ct-34sxfo53yuzah).
```
AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm
```
### Änderungstypen für Drift-Korrektur
Fragen und Antworten zur Verwendung der Änderungstypen für die AMS-Driftkorrektur.
Eine Liste der unterstützten Ressourcen für die Drift-Korrekturfunktion finden Sie unter. [Unterstützte Ressourcen zur Drift-Korrektur (ct-3kinq0u4l33zf)](#drift-remeditate-faqs-sr)
**Wichtig**
Bei der Drift-Korrektur werden die and/or Parameter der Stack-Vorlagen geändert, und es ist zwingend erforderlich, dass Sie Ihre lokalen Template-Repositorys oder alle Automatisierungen, die diese Stacks aktualisieren, aktualisieren, sodass sie die neuesten Stack-Vorlagen und -Parameter verwenden. Die Verwendung alter and/or Vorlagenparameter ohne Synchronisierung kann zu schädlichen Änderungen an den zugrunde liegenden Ressourcen führen.
Das nicht verwaltete automatisierte CT (ct-3kinq0u4l33zf) unterstützt die Wiederherstellung von nur 10 Ressourcen pro RFC. Um die verbleibenden Ressourcen in Batches von 10 zu korrigieren, erstellen Sie neue, bis alle Ressourcen behoben sind. RFCs
Welchen Änderungstyp für Drift Remediation sollte ich verwenden?
Wir empfehlen die Verwendung des automatisierten CT-Systems **ohne verwaltete Automatisierung** (ct-3kinq0u4l33zf) in folgenden Fällen:
+ Sie versuchen, eine Aktualisierung einer vorhandenen Stack-Ressource mithilfe eines automatisierten CT durchzuführen, und der RFC wird unverändert zurückgewiesen. `DRIFTED`
+ Sie haben in der Vergangenheit ein Update CT verwendet und es ist fehlgeschlagen, weil der Stack DRIFTED wurde. Sie müssen nicht erneut versuchen, ein Update durchzuführen, sondern können stattdessen das automatische, manuelle Update verwenden.
Wir empfehlen die Verwendung von **Managed Automation, Managed Automation**, Managed CT (ct-34sxfo53yuzah) nur dann, wenn veränderte Ressourcentypen von Drift Remediation nicht unterstützt werden, keine verwaltete Automatisierung, automatisiert, CT (ct-3kinq0u4l33zf), oder wenn die Drift Remediation no managed automation, automated, CT fehlschlägt.
Welche Änderungen werden während der Problembehebung am Stack vorgenommen?
Für die Wiederherstellung sind Aktualisierungen der and/or Parameter der Stack-Vorlage erforderlich, je nachdem, welche Eigenschaften verändert wurden. Bei der Wiederherstellung wird auch die Stack-Richtlinie des Stacks während der Wiederherstellung aktualisiert und die Stack-Richtlinie nach Abschluss der Wiederherstellung auf ihren vorherigen Wert zurückgesetzt.
Wie können wir sehen, welche Änderungen an den Parametern der Stack-Vorlage vorgenommen wurden? and/or
In der Antwort auf den RFC wird eine Zusammenfassung der Änderungen mit den folgenden Informationen bereitgestellt:
+ `ChangeSummaryJson`: Enthält eine Zusammenfassung der Änderungen der and/or Stack-Vorlagenparameter als Teil der Drift-Korrektur. Die Sanierung wird in mehreren Phasen durchgeführt. Diese Änderungsübersicht besteht aus Änderungen für einzelne Phasen. Wenn die Korrektur erfolgreich ist, überprüfen Sie die Änderungen der letzten Phase. ExecutionPlan In der JSON-Datei finden Sie die Phasen, die der Reihe nach ausgeführt wurden. Beispielsweise wird ein RestoreReferences Abschnitt, wenn er vorhanden ist, immer am Ende ausgeführt und enthält JSON für Änderungen nach der Korrektur. Wenn die Wiederherstellung im DryRun Modus ausgeführt würde, wäre keine dieser Änderungen auf den Stack angewendet worden.
+ `PreRemediationStackTemplateAndConfigurationJson`: Enthält einen Konfigurations-Snapshot des CloudFormation Stacks, einschließlich Vorlage, Parametern und Ausgaben, StackPolicyBody bevor die Korrektur auf dem Stack ausgelöst wurde.
Was muss ich tun, nachdem die Korrektur durchgeführt wurde?
Sie müssen Ihre lokalen Vorlagen-Repositorys oder jegliche Automatisierung, die den Stack mit den Korrigierungen aktualisieren würde, mit den neuesten Vorlagen und Parametern aktualisieren, die in der RFC-Zusammenfassung enthalten sind. Dies ist sehr wichtig, da die Verwendung der alten and/or Vorlagenparameter zu weiteren zerstörerischen Änderungen an den Stack-Ressourcen führen kann.
Wird meine Anwendung während dieser Sanierung beeinträchtigt?
Die Wiederherstellung ist ein Offline-Prozess, der nur für die CloudFormation Stack-Konfiguration ausgeführt wird. An der zugrunde liegenden Ressource werden keine Aktualisierungen durchgeführt.
Kann ich weiterhin Verwaltung \$1 Andere \$1 Andere verwenden RFCs , um nach der Wiederherstellung Aktualisierungen an Ressourcen durchzuführen?
Wir empfehlen, dass Sie Aktualisierungen der Stack-Ressourcen immer mithilfe des verfügbaren automatisierten Updates CTs durchführen. Wenn das verfügbare Update Ihren Anwendungsfall CTs nicht unterstützt, verwenden Sie Verwaltung \$1 Andere \$1 Andere Anfragen.
Werden durch die Problembehebung neue Ressourcen im Stack erstellt?
Durch die Behebung werden keine neuen Ressourcen im Stack erstellt. Bei der Behebung werden jedoch neue Ausgaben erstellt und der Abschnitt mit den [Metadaten](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/metadata-section-structure.html) der Stack-Vorlage aktualisiert, sodass die Zusammenfassung der Problembehebung als Referenz gespeichert wird.
Wird die Behebung immer erfolgreich sein?
Die Behebung erfordert eine sorgfältige Analyse und Validierung der Vorlagenkonfiguration, um festzustellen, ob sie durchgeführt werden kann. In Szenarien, in denen diese Validierungen fehlschlagen, wird der Behebungsprozess gestoppt und es werden keine Änderungen an der Stack-Vorlage oder den Parametern vorgenommen. Außerdem kann die Korrektur nur für unterstützte Ressourcentypen durchgeführt werden.
Wie kann ich Aktualisierungen an Stack-Ressourcen durchführen, wenn die Behebung nicht erfolgreich ist?
Sie können das Update Management \$1 Other \$1 Other \$1 Update CT (ct-0xdawir96cy7k) verwenden, um Änderungen anzufordern. AMS überwacht solche Szenarien und arbeitet an der Verbesserung der Behebungslösung.
Kann ich Stacks korrigieren, die sowohl unterstützte als auch nicht unterstützte Ressourcentypen haben?
Ja. Die Wiederherstellung wird jedoch nur durchgeführt, wenn die unterstützten Ressourcentypen im Stack DRIFTED gefunden werden. Wenn nicht unterstützte Ressourcentypen DRIFTED sind, wird die Behebung nicht fortgesetzt.
Kann ich eine Problembehebung für Stacks beantragen, die durch Ingest außerhalb von CFN erstellt wurden? CTs
Ja. Die Korrektur kann für Stacks unabhängig vom Änderungstyp durchgeführt werden, der für die Erstellung des Stacks verwendet wurde.
Kann ich vor der Behebung wissen, welche Änderungen am Stack vorgenommen werden würden?
Ja. Beide Änderungstypen bieten eine **DryRun**Option, mit der Sie Änderungen anfordern können, die bei einer Korrektur des Stacks vorgenommen würden. Die endgültigen Korrekturänderungen können jedoch je nach der Abweichung, die zum Zeitpunkt der Korrektur auf dem Stack vorhanden war, unterschiedlich sein.
# Zeitplan RFCs
Mit der **Planungsfunktion** können Sie eine Startzeit für RFCs auswählen. Die folgenden Optionen sind in der **Planungsfunktion** verfügbar:
+ **Führen Sie diese Änderung so schnell wie möglich** aus: AMS führt den RFC aus, sobald er genehmigt wurde. Die meisten CTs werden automatisch genehmigt. Verwenden Sie diese Option, wenn der RFC nicht zu einem bestimmten Zeitpunkt starten soll.
+ **Diese Änderung planen**: Legen Sie einen Tag, eine Uhrzeit und eine Zeitzone für die Ausführung des RFC fest. Bei automatisierten Änderungstypen empfiehlt es sich, eine Startzeit anzufordern, die mindestens 10 Minuten nach der geplanten Einreichung des RFC liegt. Für Typen von Änderungen mit verwalteter Automatisierung ist es erforderlich, dass Sie eine Startzeit beantragen, die mindestens 24 Stunden nach der geplanten Einreichung des RFC liegt. Wenn der RFC bis zur konfigurierten Startzeit nicht genehmigt wird, wird der RFC abgelehnt.
## Legen Sie einen RFC-Zeitplan fest
Verwenden Sie eine der folgenden Methoden, um einen RFC zu planen:
**Führen Sie diese Änderung so schnell wie** möglich aus:
+ Konsole: Nichts tun. Dabei wird der Standard-RFC-Zeitplan verwendet.
+ API oder CLI: Entfernen Sie die `RequestedEndTime` Optionen `RequestedStartTime` und im Vorgang Create RFC.
„Managed Automation“ von **ASAP** RFCs werden automatisch abgelehnt, wenn sie nicht innerhalb von dreißig Tagen nach der Einreichung genehmigt werden.
**Planen Sie diese Änderung** ein:
+ Konsole: Wählen Sie das Optionsfeld **Diese Änderung planen** aus. Ein Bereich mit der **Startzeit** wird geöffnet. Geben Sie manuell einen Tag ein oder verwenden Sie das Kalender-Widget, um einen Tag auszuwählen. Geben Sie eine Uhrzeit in UTC ein, ausgedrückt im Format ISO 8601, und verwenden Sie die Dropdownliste, um einen Ort auszuwählen. Standardmäßig verwendet AMS das ISO 8601-Format YYYYMMDDThhmmss Z YYYY-MM-DDThh oder:MM:SSZ. Beide Formate werden akzeptiert.
**Anmerkung**
**Die **Standard-Endzeit** liegt 4 Stunden nach der von Ihnen eingegebenen Startzeit.** Um die **Endzeit** Ihrer geplanten Änderung auf mehr als 4 Stunden festzulegen, verwenden Sie die API oder CLI, um die Änderung auszuführen.
+ API oder CLI: Senden Sie Werte für die `RequestedEndTime` Parameter `RequestedStartTime` und im Vorgang Create RFC. Durch die Übergabe einer Konfiguration `RequestedEndTime` wird die Ausführung eines automatisierten Änderungstyps, der bereits gestartet wurde, nicht gestoppt. Wenn bei einem Änderungstyp „verwaltete Automatisierung“ der erreicht `RequestedEndTime` wird, während die AMS Operations Recherche noch nicht abgeschlossen ist und Sie mit AMS kommunizieren, können Sie eine Verlängerung beantragen, oder Sie werden möglicherweise aufgefordert, den RFC erneut einzureichen.
**Tipp**
Ein Beispiel für eine Anzeige der UTC-Zeit finden Sie unter [UTC](https://time.is/UTC) auf der Time-IS-Website. ****Beispiel für ein ISO 8601-Format für den date/time Wert 2016-12-05 um 14:20 Uhr: 2016-12-05T 14:20:00 Z oder 20161205T142000Z.****
Wenn Sie angeben...
+ nur a`RequestedStartTime`, der RFC gilt als geplant und der `RequestedEndTime` wird mit dem `ExecutionDurationInMinutes` Wert gefüllt.
+ nur a`RequestedEndTime`, wir werfen eine InvalidArgumentException.
+ `RequestedStartTime`sowohl als auch`RequestedEndTime`, wir überschreiben die `RequestedEndTime` mit der angegebenen Startzeit plus dem `ExecutionDurationInMinutes` Wert.
+ `RequestedStartTime`weder noch`RequestedEndTime`, wir behalten diese Werte bei Null und der RFC wird als ASAP-RFC behandelt.
**Anmerkung**
Für alle geplanten Änderungen wird eine nicht spezifizierte Endzeit angegeben RFCs, die aus der Uhrzeit der angegebenen Änderung `RequestedStartTime` plus dem `ExpectedExecutionDurationInMinutes` Attribut des übermittelten Änderungstyps besteht. Wenn der beispielsweise „60“ (Minuten) `ExpectedExecutionDurationInMinutes` ist und der angegebene Wert `2016-12-05T14:20:00Z` (5. Dezember 2016 um 4:20 Uhr) `RequestedStartTime` ist, würde die tatsächliche Endzeit auf den 5. Dezember 2016 um 5:20 Uhr festgelegt. Um den `ExpectedExecutionDurationInMinutes` für einen bestimmten Änderungstyp zu finden, führen Sie diesen Befehl aus:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
## Verwenden Sie die Option RFC-Priorität
Verwenden Sie die Option **Priorität** in `execution mode = manual` Änderungstypen, um AMS Operations auf die Dringlichkeit der Anfrage hinzuweisen.
Option **Priorität** in`execution mode = manual`:
Geben Sie die Priorität eines manuellen RFC als **Hoch**, **Mittel** oder **Niedrig** an. RFCs Als **hoch** eingestuft werden, werden geprüft und genehmigt, bevor sie als **Mittel RFCs ** eingestuft werden. Dabei gelten die RFC-Servicelevel-Ziele (SLOs) und deren Einreichungszeiten. RFCs mit **niedriger** Priorität oder ohne angegebene Priorität werden in der Reihenfolge verarbeitet, in der sie eingereicht wurden.
# Genehmigen oder Ablehnen RFCs
RFCs die mit der erforderlichen Genehmigung (manuell) eingereichten Unterlagen CTs müssen von Ihnen oder AMS genehmigt werden. Vorab genehmigte Daten werden automatisch verarbeitet CTs . Weitere Informationen finden Sie unter [Anforderungen an die CT-Zulassung](constrained-unconstrained-ctis.md).
**Anmerkung**
Bei manueller Verwendung empfiehlt AMS CTs, die Option ASAP **Scheduling** zu verwenden (wählen Sie **ASAP** in der Konsole, lassen Sie Start- und Endzeit leer in der API/CLI), da diese einen AMS-Operator CTs erfordern, der den RFC untersucht und möglicherweise mit Ihnen kommuniziert, bevor er genehmigt und ausgeführt werden kann. Wenn Sie diese einplanen, achten Sie darauf RFCs, dass Sie mindestens 24 Stunden einplanen. Wenn die Genehmigung nicht vor der geplanten Startzeit erfolgt, wird der RFC automatisch abgelehnt.
Wenn ein für eine Genehmigung erforderlicher RFC erfolgreich von AMS eingereicht wurde, muss er von Ihnen ausdrücklich genehmigt werden. Oder wenn Sie einen RFC einreichen, für den eine Genehmigung erforderlich ist, muss dieser von AMS genehmigt werden. Wenn Sie einen von AMS eingereichten RFC genehmigen müssen, erhalten Sie eine E-Mail oder eine andere vorab festgelegte Mitteilung mit der Bitte um Genehmigung. Die Kommunikation beinhaltet die RFC-ID. Nachdem die Kommunikation gesendet wurde, führen Sie einen der folgenden Schritte aus:
+ Konsole Genehmigen oder Ablehnen: Verwenden Sie die RFC-Detailseite für den entsprechenden RFC:
![\[RFC-Detailseite.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/AMS_Console-App-Rej.png)
+ API//CLI Approve: [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html)markiert eine Änderung als genehmigt. Die Maßnahme muss sowohl vom Eigentümer als auch vom Betreiber ergriffen werden, falls beide erforderlich sind. Im Folgenden finden Sie ein Beispiel für einen CLI-Genehmigungsbefehl. Ersetzen Sie im folgenden Beispiel RFC\$1ID durch die entsprechende RFC-ID.
```
aws amscm approve-rfc --rfc-id RFC_ID
```
+ API//CLI Reject: [RejectRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_RejectRfc.html)markiert eine Änderung als abgelehnt. Im Folgenden finden Sie ein Beispiel für einen CLI-Ablehnungsbefehl. Ersetzen Sie im folgenden Beispiel RFC\$1ID durch die entsprechende RFC-ID.
```
aws amscm reject-rfc --rfc-id RFC_ID --reason "no longer relevant"
```
# RFC-eingeschränkte Laufzeiten anfordern
Früher als Sperrtage bezeichnet, können Sie die Einschränkung bestimmter Zeiträume beantragen. Während dieser Zeiten können keine Änderungen vorgenommen werden.
Um einen eingeschränkten Ausführungszeitraum festzulegen, verwenden Sie die [UpdateRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRestrictedExecutionTimes.html)API-Operation und legen Sie einen bestimmten Zeitraum in UTC fest. Der von Ihnen angegebene Zeitraum hat Vorrang vor allen zuvor angegebenen Zeiträumen. Wenn Sie einen RFC während der angegebenen eingeschränkten Laufzeit einreichen, schlägt die Übermittlung fehl und es wird der Fehler Ungültiger RFC-Zeitplan angezeigt. Sie können bis zu 200 eingeschränkte Zeiträume angeben. Standardmäßig ist kein eingeschränkter Zeitraum festgelegt. Im Folgenden finden Sie ein Beispiel für einen Anforderungsbefehl (mit konfigurierter SAML-Authentifizierung):
```
aws amscm --profile saml update-restricted-execution-times --restricted-execution-times="[{\"TimeRange\":{\"StartTime\":\"2018-01-01T12:00:00Z\",\"EndTime\":\"2018-01-01T12:00:01Z\"}}]"
```
Sie können Ihre aktuelle RestrictedExecutionTimes Einstellung auch anzeigen, indem Sie den [ListRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRestrictedExecutionTimes.html)API-Vorgang ausführen. Beispiel:
```
aws amscm --profile saml list-restricted-execution-times
```
Wenn Sie einen RFC während einer bestimmten eingeschränkten Ausführungszeit einreichen möchten, fügen Sie den **RestrictedExecutionTimesOverrideId**mit dem Wert von **OverrideRestrictedTimeRanges**hinzu und senden Sie den RFC dann wie gewohnt weiter. Es hat sich bewährt, diese Methode nur für kritische RFCs oder Notfall-RFCs zu verwenden. Weitere Informationen finden Sie in der API-Referenz für [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html).
# Erstellen, Klonen, Aktualisieren, Suchen und Stornieren RFCs
Die folgenden Beispiele führen Sie durch verschiedene RFC-Operationen.
**Topics**
+ [Erstellen Sie einen RFC](ex-rfc-create-col.md)
+ [Mit der AMS-Konsole klonen RFCs (neu erstellen)](ex-clone-rfcs.md)
+ [Aktualisierung RFCs](ex-update-rfcs.md)
+ [Finden RFCs](ex-rfc-find-col.md)
+ [Stornieren RFCs](ex-cancel-rfcs.md)
# Erstellen Sie einen RFC
## Einen RFC mit der Konsole erstellen
Im Folgenden finden Sie die erste Seite des RFC-Erstellungsprozesses in der AMS-Konsole, auf der **Quick Cards** geöffnet und **Browse-Änderungstypen aktiv** sind:
![\[Quick create section with options for common AWS stack operations and access management.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/quickCreate1.png)
Im Folgenden finden Sie die erste Seite des RFC-Erstellungsprozesses in der AMS-Konsole, auf der die **Option Nach Kategorie auswählen aktiviert** ist:
![\[Create RFC page with change type categorization options for managed services environment.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/guiRfcCreate1-2.png)
Funktionsweise
1. Navigieren Sie zur Seite „**RFC erstellen**“: Klicken Sie im linken Navigationsbereich der AMS-Konsole, um die RFCs Listenseite **RFCs**zu öffnen, und klicken Sie dann auf RFC **erstellen**.
1. Wählen Sie in der Standardansicht „**Änderungstypen durchsuchen“ einen beliebten Änderungstyp** (CT) oder wählen Sie in der Ansicht „**Nach Kategorie auswählen**“ einen CT aus.
+ **Nach Änderungstyp suchen**: Sie können im Bereich **Schnellerstellung** auf ein beliebtes CT klicken, um sofort die Seite **RFC ausführen** zu öffnen. Beachten Sie, dass Sie mit Quick Create keine ältere CT-Version auswählen können.
Verwenden Sie zum Sortieren CTs den Bereich **Alle Änderungstypen** in der **Karten** - oder **Tabellenansicht**. Wählen Sie in einer der Ansichten einen CT aus und klicken Sie dann auf **RFC erstellen**, um die Seite **RFC ausführen** zu öffnen. Falls zutreffend, wird neben der Schaltfläche „**RFC **erstellen“ die Option Mit älterer Version** erstellen** angezeigt.
+ **Nach Kategorie auswählen**: Wählen Sie eine Kategorie, eine Unterkategorie, einen Artikel und einen Vorgang aus. Daraufhin wird das Feld mit den CT-Details geöffnet. Dort können Sie gegebenenfalls die Option „**Mit älterer Version erstellen**“ auswählen. Klicken Sie auf **RFC erstellen**, um die Seite **RFC ausführen** zu öffnen.
1. Öffnen Sie auf der Seite **RFC ausführen** den Bereich CT-Name, um das Feld mit den CT-Details zu sehen. Ein **Betreff** ist erforderlich (dieser wird für Sie ausgefüllt, wenn Sie Ihr CT in der Ansicht „**Änderungstypen durchsuchen**“ auswählen). Öffnen Sie den Bereich **Zusätzliche Konfiguration**, um Informationen zum RFC hinzuzufügen.
Verwenden Sie im Bereich **Ausführungskonfiguration** die verfügbaren Dropdownlisten oder geben Sie Werte für die erforderlichen Parameter ein. Um optionale Ausführungsparameter zu konfigurieren, öffnen Sie den Bereich **Zusätzliche Konfiguration**.
1. Wenn Sie fertig sind, klicken Sie auf **Ausführen**. Wenn keine Fehler vorliegen, wird die Seite mit dem **RFC erfolgreich erstellt** mit den übermittelten RFC-Details und der ersten **Run-Ausgabe** angezeigt.
1. Öffnen Sie den Bereich **Run-Parameter**, um die von Ihnen eingereichten Konfigurationen zu sehen. Aktualisieren Sie die Seite, um den RFC-Ausführungsstatus zu aktualisieren. Brechen Sie optional den RFC ab oder erstellen Sie eine Kopie davon mit den Optionen oben auf der Seite.
## Einen RFC mit der CLI erstellen
Funktionsweise
1. Verwenden Sie entweder Inline Create (Sie geben einen `create-rfc` Befehl mit allen RFC- und Ausführungsparametern aus) oder Template Create (Sie erstellen zwei JSON-Dateien, eine für die RFC-Parameter und eine für die Ausführungsparameter) und geben Sie den `create-rfc` Befehl mit den beiden Dateien als Eingabe aus. Beide Methoden werden hier beschrieben.
1. Reichen Sie den `aws amscm submit-rfc --rfc-id ID` Befehl RFC: mit der zurückgegebenen RFC-ID ein.
Überwachen Sie den RFC: -Befehl. `aws amscm get-rfc --rfc-id ID`
Verwenden Sie diesen Befehl, um die Version des Änderungstyps zu überprüfen:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**Anmerkung**
Sie können alle `CreateRfc` Parameter mit jedem RFC verwenden, unabhängig davon, ob sie Teil des Schemas für den Änderungstyp sind oder nicht. Um beispielsweise Benachrichtigungen zu erhalten, wenn sich der RFC-Status ändert, fügen Sie diese Zeile dem RFC-Parameter-Teil der Anfrage hinzu (nicht den Ausführungsparametern). `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` Eine Liste aller CreateRfc Parameter finden Sie in der [AMS Change Management API-Referenz](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html).
*INLINE-ERSTELLUNG*:
Geben Sie den Befehl create RFC mit den direkt angegebenen Ausführungsparametern aus (vermeiden Sie Anführungszeichen, wenn Sie die Ausführungsparameter inline angeben), und senden Sie dann die zurückgegebene RFC-ID. Sie können den Inhalt beispielsweise durch etwas Ähnliches ersetzen:
```
aws amscm create-rfc --change-type-id "CT_ID" --change-type-version "VERSION" --title "TITLE" --execution-parameters "{\"Description\": \"example\"}"
```
*VORLAGE ERSTELLEN*:
**Anmerkung**
In diesem Beispiel für die Erstellung eines RFC wird der Stack-Änderungstyp Load Balancer (ELB) verwendet.
1. Suchen Sie das entsprechende CT. Der folgende Befehl durchsucht CT-Klassifikationszusammenfassungen nach solchen, die „ELB“ im **Artikelnamen** enthalten, und erstellt eine Ausgabe der Kategorie, des Artikels, der Operation und der ChangeType ID in Tabellenform (Unterkategorie für beide ist`Advanced stack components`).
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries[?contains(Item,'ELB')].[Category,Item,Operation,ChangeTypeId]" --output table
```
```
---------------------------------------------------------------------
| CtSummaries |
+-----------+---------------------------+---------------------------+
| Deployment| Load balancer (ELB) stack | Create | ct-123h45t6uz7jl |
| Management| Load balancer (ELB) stack | Update | ct-0ltm873rsebx9 |
+-----------+---------------------------+---------------------------+
```
1. Finden Sie die aktuellste Version des CT:
`ChangeTypeId`und`ChangeTypeVersion`: Die Änderungstyp-ID für diese exemplarische Vorgehensweise lautet `ct-123h45t6uz7jl` (create ELB). Um die neueste Version herauszufinden, führen Sie diesen Befehl aus:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=ct-123h45t6uz7jl
```
1. Machen Sie sich mit den Optionen und Anforderungen vertraut. Der folgende Befehl gibt das Schema in eine JSON-Datei namens CreateElbParams .json aus.
```
aws amscm get-change-type-version --change-type-id "ct-123h45t6uz7jl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateElbParams.json
```
1. Ändern und speichern Sie die JSON-Datei mit den Ausführungsparametern. In diesem Beispiel wird die Datei „ CreateElbParams.json“ genannt.
Bei einem Bereitstellungs-CT StackTemplateId ist das im Schema enthalten und muss in den Ausführungsparametern eingereicht werden.
Für die Angabe TimeoutInMinutes, wie viele Minuten für die Erstellung des Stacks vorgesehen sind, bevor der RFC fehlschlägt, verzögert diese Einstellung die RFC-Ausführung nicht, aber Sie müssen genügend Zeit einplanen (geben Sie beispielsweise nicht „5" an). Gültige Werte sind „60" bis „360" für CTs mit langer Laufzeit UserData: Create EC2 und Create ASG. Wir empfehlen für alle anderen Bereitstellungen den zulässigen Höchstwert von „60“. CTs
Geben Sie die ID der VPC an, in der der Stack erstellt werden soll. Sie können die VPC-ID mit dem CLI-Befehl abrufen. `aws amsskms list-vpc-summaries`
```
{
"Description": "ELB-Create-RFC",
"VpcId": "VPC_ID",
"StackTemplateId": "stm-sdhopv00000000000",
"Name": "MyElbInstance",
"TimeoutInMinutes": 60,
"Parameters": {
"ELBSubnetIds": ["SUBNET_ID"],
"ELBHealthCheckHealthyThreshold": 4,
"ELBHealthCheckInterval": 5,
"ELBHealthCheckTarget": "HTTP:80/",
"ELBHealthCheckTimeout": 60,
"ELBHealthCheckUnhealthyThreshold": 5,
"ELBScheme": false
}
}
```
1. Geben Sie die RFC-JSON-Vorlage in eine Datei in Ihrem aktuellen Ordner namens .json aus: CreateElbRfc
```
aws amscm create-rfc --generate-cli-skeleton > CreateElbRfc.json
```
1. Ändern und speichern Sie die CreateElbRfc JSON-Datei. Da Sie die Ausführungsparameter in einer separaten Datei erstellt haben, entfernen Sie die `ExecutionParameters` Zeile. Sie können den Inhalt beispielsweise durch etwas Ähnliches ersetzen:
```
{
"ChangeTypeVersion": "2.0",
"ChangeTypeId": "ct-123h45t6uz7jl",
"Title": "Create ELB"
}
```
1. Erstellen Sie den RFC. Der folgende Befehl spezifiziert die Ausführungsparameterdatei und die RFC-Vorlagendatei:
```
aws amscm create-rfc --cli-input-json file://CreateElbRfc.json --execution-parameters file://CreateElbParams.json
```
Sie erhalten die ID des neuen RFC in der Antwort und können sie verwenden, um den RFC zu senden und zu überwachen. Bis Sie ihn abschicken, verbleibt der RFC im Bearbeitungszustand und startet nicht.
## Tipps
**Anmerkung**
Sie können das AMS verwenden, um einen RFC API/CLI zu erstellen, ohne eine RFC-JSON-Datei oder eine JSON-Datei mit CT-Ausführungsparametern zu erstellen. Dazu verwenden Sie den `create-rfc` Befehl und fügen dem Befehl die erforderlichen RFC- und Ausführungsparameter hinzu. Dies wird als „Inline Create“ bezeichnet. Beachten Sie, dass alle Bereitstellungen CTs innerhalb des `execution-parameters` Blocks ein `Parameters` Array mit den Parametern für die Ressource enthielten. Die Parameter müssen Anführungszeichen enthalten, die mit einem umgekehrten Schrägstrich (\$1) maskiert werden.
Die andere dokumentierte Methode zur Erstellung eines RFC heißt „Template Create“. Hier erstellen Sie eine JSON-Datei für die RFC-Parameter und eine weitere JSON-Datei für die Ausführungsparameter und senden die beiden Dateien mit dem `create-rfc` Befehl ab. Diese Dateien können als Vorlagen dienen und für die future wiederverwendet werden. RFCs
Bei der Erstellung RFCs mit Vorlagen können Sie einen Befehl verwenden, um die JSON-Datei mit dem gewünschten Inhalt zu erstellen, indem Sie einen Befehl wie in der Abbildung gezeigt ausführen. Die Befehle erstellen eine Datei mit dem Namen „parameters.json“ mit dem angezeigten Inhalt. Sie können diese Befehle auch verwenden, um die RFC-JSON-Datei zu erstellen.
# Mit der AMS-Konsole klonen RFCs (neu erstellen)
Sie können die AMS-Konsole verwenden, um einen vorhandenen RFC zu klonen.
Gehen Sie folgendermaßen vor, um einen RFC mithilfe der AMS-Konsole zu klonen oder neu zu erstellen:
1. Suchen Sie den entsprechenden RFC. Klicken Sie in der linken Navigationsleiste auf **RFCs**.
Das RFCs Dashboard wird geöffnet.
1. Scrollen Sie durch die Seiten, bis Sie den RFC gefunden haben, den Sie klonen möchten. Verwenden Sie die Option **Filter**, um die Liste einzugrenzen. Wählen Sie den RFC aus, den Sie klonen möchten.
Die RFC-Detailseite wird geöffnet.
1. Klicken Sie auf **Kopie erstellen**.
Die Seite „**Änderungsantrag erstellen**“ wird geöffnet, auf der alle Optionen wie im ursprünglichen RFC festgelegt sind.
1. Nehmen Sie die gewünschten Änderungen vor. Um zusätzliche Optionen festzulegen, ändern Sie die Option **Basic** in **Advanced**. Nachdem Sie alle Optionen festgelegt haben, wählen Sie **Absenden**.
Die aktive RFC-Detailseite wird mit einer neuen RFC-ID für den geklonten RFC geöffnet, und der geklonte RFC wird im RFC-Dashboard angezeigt.
# Aktualisierung RFCs
Sie können einen zurückgewiesenen oder noch nicht eingereichten RFC erneut einreichen, indem Sie den RFC aktualisieren und ihn dann einreichen oder erneut einreichen. Beachten Sie, dass die meisten abgelehnt RFCs werden, weil der angegebene Wert vor der Einreichung bestanden `RequestedStartTime` wurde oder der angegebene Wert für die Ausführung des RFC nicht TimeoutInMinutes ausreicht (da ein erfolgreicher RFC TimeoutInMinutes nicht verlängert wird, empfehlen wir, diesen Wert immer auf mindestens „60" und bis zu „360" für eine Amazon- EC2 oder Amazon EC2 Auto Scaling Scaling-Gruppe mit langer Laufzeit zu setzen). UserData In diesem Abschnitt wird beschrieben, wie Sie die CLI-Version des `UpdateRfc` Befehls verwenden, um einen RFC mit einem neuen RFC-Parameter oder mit neuen Parametern zu aktualisieren, die entweder stringifiziertes JSON oder eine aktualisierte Parameterdatei verwenden.
Dieses Beispiel beschreibt die Verwendung der CLI-Version der UpdateRfc AMS-API (siehe [Update RFC](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/update-rfc.html)). Es gibt zwar Änderungstypen für die Aktualisierung einiger Ressourcen (DNS privat und öffentlich, Load Balancer-Stacks und Stack-Patching-Konfiguration), aber es gibt kein CT zur Aktualisierung eines RFC.
Wir empfehlen, dass Sie jeweils einen UpdateRfc Vorgang einreichen. Wenn Sie mehrere Updates einreichen, z. B. für einen DNS-Stack, schlagen die Aktualisierungen möglicherweise fehl, wenn versucht wird, den DNS gleichzeitig zu aktualisieren.
ERFORDERLICHE DATEN`RfcId`: Der RFC, den Sie aktualisieren.
OPTIONALE DATEN`ExecutionParameters`: Sofern Sie kein nicht erforderliches Feld aktualisieren, würden Sie beispielsweise geänderte Ausführungsparameter angeben`Description`, um die Probleme zu beheben, die dazu geführt haben, dass der RFC abgelehnt oder storniert wurde. Alle übermittelten Werte, die nicht Null sind, überschreiben diese Werte im ursprünglichen RFC.
1. Suchen Sie den entsprechenden abgelehnten oder stornierten RFC. Sie können diesen Befehl verwenden (Sie können den Wert durch ersetzen): `Canceled`
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Rejected
```
1. Sie können jeden der folgenden RFC-Parameter ändern:
```
{
"Description": "string",
"ExecutionParameters": "string",
"ExpectedOutcome": "string",
"ImplementationPlan": "string",
"RequestedEndTime": "string",
"RequestedStartTime": "string",
"RfcId": "string",
"RollbackPlan": "string",
"Title": "string",
"WorstCaseScenario": "string"}
```
Beispielbefehl zur Aktualisierung des Felds Beschreibung:
```
aws amscm update-rfc --description "AMSTestNoOpsActionRequired" --rfc-id "RFC_ID" --region us-east-1
```
Beispielbefehl zur Aktualisierung des ExecutionParameters VpcId Felds:
```
aws amscm update-rfc --execution-parameters "{\"VpcId\":\"VPC_ID\"}" --rfc-id "RFC_ID" --region us-east-1
```
Beispielbefehl, der den RFC mit einer Ausführungsparameterdatei aktualisiert, die die Aktualisierungen enthält; siehe Beispiel für eine Ausführungsparameterdatei in Schritt 2 von: [EC2 stack \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ec2-stack-create.html):
```
aws amscm update-rfc --execution-parameters file://CreateEc2ParamsUpdate.json --rfc-id "RFC_ID" --region us-east-1
```
1. Reichen Sie den RFC erneut ein `submit-rfc` und verwenden Sie dabei dieselbe RFC-ID, die Sie bei der ersten Erstellung des RFC haben:
```
aws amscm submit-rfc --rfc-id RFC_ID
```
Wenn der RFC erfolgreich ist, erhalten Sie in der Befehlszeile keine Bestätigungs- oder Fehlermeldungen.
1. Führen Sie den folgenden Befehl aus, um den Status der Anforderung zu überwachen und die Ausführungsausgabe anzuzeigen.
```
aws amscm get-rfc --rfc-id RFC_ID
```
# Finden RFCs
## Suchen Sie mit der Konsole nach einer Änderungsanforderung (RFC)
Gehen Sie folgendermaßen vor, um mithilfe der AMS-Konsole nach einem RFC zu suchen.
**Anmerkung**
Dieses Verfahren gilt nur für geplante RFCs Benutzer, die RFCs die **ASAP-Option** nicht verwendet haben.
1. Klicken Sie in der linken Navigationsleiste auf **RFCs**.
Das RFCs Dashboard wird geöffnet.
1. Scrollen Sie durch die Liste oder verwenden Sie die Option **Filter**, um die Liste zu verfeinern.
Die RFC-Liste ändert sich je nach Filterkriterium.
1. Wählen Sie den Betreff-Link für den gewünschten RFC.
Die RFC-Detailseite für diesen RFC wird mit Informationen wie der RFC-ID geöffnet.
1. Wenn das Dashboard viele enthält RFCs , können Sie die Option **Filter verwenden, um nach RFC** zu suchen:
+ **Betreff**: Die Betreffzeile oder der Titel (in der API/CLI), der dem RFC bei seiner Erstellung gegeben wurde.
+ **RFC-ID: Die Kennung für den RFC**.
+ **Aktivitätsstatus**: Wenn Sie den RFC-Status kennen, können Sie wählen, ob ein Operator gerade den RFC betrachtet, **AwsOperatorAssigned**was **AwsActionPending**bedeutet, dass ein AMS-Operator etwas ausführen muss, bevor die RFC-Ausführung fortgesetzt werden kann, oder **CustomerActionPending**ob Sie eine Aktion ausführen müssen, bevor die RFC-Ausführung fortgesetzt werden kann.
+ **Status**: Wenn Sie den RFC-Status kennen, können Sie wählen zwischen:
+ **Geplant**: RFCs die geplant waren.
+ **Abgesagt**: RFCs die wurden storniert.
+ **In Bearbeitung**: RFCs In Bearbeitung.
+ **Erfolgreich**: RFCs Das wurde erfolgreich ausgeführt.
+ **Abgelehnt**: RFCs die wurden abgelehnt.
+ **Bearbeitung**: RFCs die gerade bearbeitet werden.
+ **Fehlschlag**: RFCs das ist fehlgeschlagen.
+ **Ausstehende Genehmigung**: RFCs Dies kann erst fortgesetzt werden, wenn AMS oder Sie die Genehmigung erteilt haben. In der Regel bedeutet dies, dass Sie den RFC genehmigen müssen. Sie werden in Ihrer Liste der Serviceanfragen eine entsprechende Servicebenachrichtigung erhalten haben.
+ **Typ ändern**: Wählen Sie die **Kategorie**, **Unterkategorie**, **Artikel** und **Vorgang** aus, und die ID des Änderungstyps wird für Sie abgerufen.
+ **Angeforderte Startzeit** **oder **Angeforderte Endzeit**: Mit dieser Filteroption können Sie „**Vorher**“ oder „Nachher“ wählen und dann ein **Datum** und optional eine **Uhrzeit** (hh:mm und Zeitzone) eingeben.** Dieser Filter funktioniert nur nach Zeitplan erfolgreich RFCs (nicht so schnell wie RFCs möglich).
+ **Status**: Entweder **geplant**, **Storniert**, **In Bearbeitung**, **Erfolgreich**, **Abgelehnt**, **Bearbeitung** oder **Fehlgeschlagen**.
+ **Betreff**: Der Betreff (oder Titel, wenn der RFC mit der API/CLI erstellt wurde), den Sie dem RFC gegeben haben.
+ **Typ-ID ändern**: Verwenden Sie die Kennung für den mit dem RFC übermittelten Änderungstyp.
Mit der Suche können Sie die Filter hinzufügen, wie im folgenden Screenshot gezeigt.
![\[Search or filter options including Subject, RFC ID, Activity state, and various time-related fields.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/filterRfcAllOptions3.png)
1. Klicken Sie auf den Betreff-Link für den gewünschten RFC.
Die RFC-Detailseite für diesen RFC mit Informationen, einschließlich der RFC-ID, wird geöffnet.
## Einen Änderungsantrag (RFC) mit der CLI finden
Sie können mehrere Filter verwenden, um einen RFC zu finden.
Verwenden Sie diesen Befehl, um die Version des Änderungstyps zu überprüfen:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**Anmerkung**
Sie können alle `CreateRfc` Parameter mit jedem RFC verwenden, unabhängig davon, ob sie Teil des Schemas für den Änderungstyp sind oder nicht. Um beispielsweise Benachrichtigungen zu erhalten, wenn sich der RFC-Status ändert, fügen Sie diese Zeile dem RFC-Parameter-Teil der Anfrage hinzu (nicht den Ausführungsparametern). `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` Eine Liste aller CreateRfc Parameter finden Sie in der [AMS Change Management API-Referenz](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html).
Wenn Sie sich die RFC-ID nicht notieren und sie später finden müssen, können Sie das AMS Change Management (CM) -System verwenden, um danach zu suchen und die Ergebnisse mit einem Filter oder einer Abfrage einzugrenzen.
1. Der [ListRfcSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRfcSummaries.html)CM-API-Vorgang verfügt über Filter. Sie können Ergebnisse auf der Grundlage einer `Value` Kombination aus `Attribute` und in einer logischen UND-Operation oder basierend auf einem `Attribute``Condition`, einem und [filtern](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_Filter.html)`Values`.
**RFC-Filterung**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/ex-rfc-find-col.html)
Beispiele:
Um alle Informationen IDs zu finden, die sich auf SQS RFCs beziehen (wobei SQS im Artikelbereich des CT enthalten ist), können Sie diesen Befehl verwenden:
```
list-rfc-summaries --query 'RfcSummaries[?contains(Item.Name,`SQS`)].[Category.Id,Subcategory.Id,Type.Id,Item.Id,RfcId]' --output table
```
Was ungefähr das Folgende zurückgibt:
```
----------------------------------------------------------------------------
| ListRfcSummaries |
+----------+--------------------------------+-------+-------+----------------+
|Deployment| Advanced Stack Components |SQS |Create |ct-123h45t6uz7jl|
|Management| Monitoring & Notification |SQS |Update |ct-123h45t6uz7jl|
+----------+--------------------------------+-------+-------+----------------+
```
Ein weiterer verfügbarer Filter `list-rfc-summaries` ist`AutomationStatusId`, um nach RFCs automatisierten oder manuellen Filtern zu suchen:
```
aws amscm list-rfc-summaries --filter Attribute=AutomationStatusId,Value=Automated
```
Ein weiterer verfügbarer Filter für `list-rfc-summaries` ist `Title` (**Betreff** in der Konsole):
```
Attribute=Title,Value=RFC-TITLE
```
Beispiel für die neue Anforderungsstruktur in JSON, die Folgendes zurückgibt RFCs :
+ (Der Titel ENTHÄLT den Ausdruck „Windows 2012" ODER „Amazon Linux“) UND
+ (RfcStatusId ENTSPRICHT „Erfolg“ ODER "InProgress„) UND
+ (20170101T000000Z <= <= 20170103T000000Z) UND (<= RequestedStartTime 20170103T000000Z) ActualEndTime
```
{
"Filters": [
{
"Attribute": "Title",
"Values": ["Windows 2012", "Amazon Linux"],
"Condition": "Contains"
},
{
"Attribute": "RfcStatusId",
"Values": ["Success", "InProgress"],
"Condition": "Equals"
},
{
"Attribute": "RequestedStartTime",
"Values": ["20170101T000000Z", "20170103T000000Z"],
"Condition": "Between"
},
{
"Attribute": "ActualEndTime",
"Values": ["20170103T000000Z"],
"Condition": "Before"
}
]
}
```
**Anmerkung**
Mit der Weiterentwicklung beabsichtigt AMS, `Filters` die folgenden Felder in einer kommenden Version nicht mehr zu unterstützen:
Wert: Das Feld Wert ist Teil des Felds Filter. Verwenden Sie das Wertefeld, das erweiterte Funktionen unterstützt.
RequestedEndTimeRange: Verwenden Sie das Feld RequestedEndTime innerhalb des Filters, das erweiterte Funktionen unterstützt
RequestedStartTimeRange: Verwenden Sie das Feld RequestedStartTime innerhalb des Filters, das erweiterte Funktionen unterstützt.
Informationen zur Verwendung von CLI-Abfragen finden Sie unter [So filtern Sie die Ausgabe mit der Option --query](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) und in der Referenz zur Abfragesprache, [JMESPath Spezifikation](http://jmespath.org/specification.html).
1. Wenn Sie die AMS-Konsole verwenden:
Gehen Sie zur **RFCs**Listenseite. Bei Bedarf können Sie nach dem **RFC-Betreff** filtern, den Sie `Title` bei der Erstellung als RFC eingegeben haben.
## Tipps
**Anmerkung**
Dieses Verfahren gilt nur für geplante RFCs Benutzer, die die RFCs **ASAP-Option** nicht verwendet haben.
# Stornieren RFCs
Sie können einen RFC mit der Konsole oder der AMS API/CLI stornieren.
**Um einen RFC mit der Konsole zu stornieren, suchen Sie den RFC in Ihrer RFC-Liste, öffnen Sie ihn und klicken Sie auf Abbrechen.**
Erforderliche Daten:
+ `Reason`: Warum kündigen Sie den RFC.
+ `RfcId`: Der RFC, den Sie stornieren.
1. Normalerweise würden Sie einen RFC direkt nach dem Absenden stornieren (daher sollte die RFC-ID griffbereit sein). Andernfalls können Sie ihn nur stornieren, wenn Sie ihn geplant haben und er vor der angegebenen Startzeit liegt. Wenn Sie die RFC-ID suchen müssen, können Sie diesen Befehl verwenden (Sie können den durch einen manuell `Value` `PendingApproval` genehmigten RFC ersetzen):
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Scheduled
```
1. Beispielbefehl zum Stornieren eines RFC:
```
aws amscm cancel-rfc --reason "Bad Stack ID" --rfc-id "RFC_ID" --profile saml --region us-east-1
```
# Verwenden Sie die AMS-Konsole mit RFCs
Die AMS-Konsole bietet Funktionen, die Ihnen beim erfolgreichen Erstellen und Einreichen helfen RFCs.
## Verwenden Sie die RFC-Listenseite (Konsole)
Die **RFCs**Listenseite der AMS-Konsole bietet Ihnen die folgenden Optionen:
+ Erweiterte RFC-Suche mithilfe eines **Filters**. Weitere Informationen finden Sie unter [Finden RFCs](ex-rfc-find-col.md).
+ **Finden Sie heraus, wann der RFC das letzte Mal geändert wurde.** Dieser Wert steht für das letzte Mal, als der RFC-Status geändert wurde.
+ **RFC-Details mit dem RFC-Betreff anzeigen.** Wenn Sie diesen Link wählen, wird die Detailseite für diesen RFC geöffnet.
+ RFC-Status anzeigen. Weitere Informationen finden Sie unter [RFC-Statuscodes verstehen](ex-rfc-status-codes.md)
![\[RFC-Listenseite.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/guiRfcListTable.png)
## Verwenden Sie RFC Quick Create (Konsole)
Verwenden Sie die RFC-Schnellerstellungskarten oder die Listentabelle oder wählen Sie die Änderungstypen RFCs nach Klassifizierung aus.
Weitere Informationen hierzu finden Sie unter [Erstellen Sie einen RFC](ex-rfc-create-col.md).
## Fügen Sie RFC-Korrespondenz und Anlagen hinzu (Konsole)
Sie können einem RFC Korrespondenz hinzufügen, nachdem er eingereicht wurde und bevor er genehmigt wurde, z. B. solange er sich im Status "" PendingApproval befindet. Nachdem ein RFC genehmigt wurde (im Status „Geplant“ oder "InProgress„), kann keine Korrespondenz hinzugefügt werden, da dies als Änderung der Anfrage interpretiert werden könnte. Nachdem ein RFC abgeschlossen ist (im Status „Storniert“, „Abgelehnt“, „Erfolgreich“ oder „Fehlgeschlagen“), wird die Korrespondenz wieder aktiviert, obwohl die Korrespondenz deaktiviert wird, sobald ein RFC für mehr als 30 Tage geschlossen ist.
**Anmerkung**
Jede Korrespondenz ist auf 5.000 Zeichen begrenzt.
**Einschränkungen für Anlagen:**
+ Nur drei Anlagen pro Korrespondenz.
+ Beschränken Sie sich auf fünfzig Anhänge pro RFC.
+ Jeder Anhang muss weniger als 5 MB groß sein.
+ Es werden nur Textdateien wie Klartext (`.txt`), kommagetrennte Werte (`.csv`), JSON () oder YAML (`.json`) akzeptiert. `.yaml` Im Fall des YAML-Formats muss die Datei mit der Dateierweiterung angehängt werden. `.yaml`
**Anmerkung**
Textdateien mit XML-Inhalt sind verboten. Wenn Sie XML-Inhalte mit AMS teilen möchten, verwenden Sie eine Serviceanfrage.
+ Dateinamen sind auf 255 Zeichen begrenzt und enthalten nur Zahlen, Buchstaben, Leerzeichen, Bindestriche (-), Unterstriche (\$1) und Punkte (.).
+ Das Aktualisieren und Löschen von Anhängen in einem RFC wird derzeit nicht unterstützt.
Gehen Sie folgendermaßen vor, um einem RFC Korrespondenz und Anlagen hinzuzufügen:
1. Suchen Sie in der AMS-Konsole auf der RFC-Detailseite für einen RFC unten auf der Seite nach dem Abschnitt **Korrespondenz**.
Vor jeder Korrespondenz:
![\[Leerer Korrespondenzbereich.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/correspondence-rfc-detail-new.png)
Nach einiger Korrespondenz:
![\[Abschnitt „Korrespondenz“ mit dem Antwortformular und der eingegangenen Korrespondenz.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/correspondence-reply-form2.png)
1. Um eine neue Korrespondenz hinzuzufügen, geben Sie Ihre Nachricht in das Textfeld **Antwort** ein. Um Dateien anzuhängen, die sich auf die Korrespondenz beziehen, wählen **Sie Anlage hinzufügen** und wählen Sie dann die gewünschten Dateien aus.
![\[Abschnitt „Korrespondenz“ mit Kommentarfeld und Anlagen.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/correspondence-add-attachments.png)
1. Wenn Sie fertig sind, wählen Sie **Senden**.
Die neue Korrespondenz wird zusammen mit den Links zu den angehängten Dateien in der Korrespondenzliste auf der RFC-Detailseite angezeigt.
![\[Liste der eingegangenen Korrespondenz.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/correspondence-list2.png)
# RFC-E-Mail-Benachrichtigungen konfigurieren (Konsole)
Auf der Seite **zum Erstellen von Änderungsanträgen in der AMS-Konsole haben Sie die Möglichkeit, E-Mail-Adressen hinzuzufügen, um Benachrichtigungen über RFC-Statusänderungen** zu erhalten:
![\[Fügen Sie E-Mail-Adressen hinzu, um Benachrichtigungen über RFC-Statusänderungen zu erhalten.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/emailNoticeOption2.png)
Darüber hinaus können Sie E-Mail-Adressen für Benachrichtigungen zu beliebigen Änderungstypen hinzufügen, zum Beispiel:
```
aws amscm create-rfc --change-type-id
--change-type-version 1.0 --title "TITLE"
--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"
```
Fügen Sie jeder Inline- oder Template-Anfrage vom Typ Change eine ähnliche Zeile (`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`) im RFC-Parameter-Teil der Anfrage hinzu, nicht im Parameter-Teil.
# Erfahren Sie mehr über gängige RFC-Parameter
Im Folgenden sind die RFC-Parameter aufgeführt, die Sie einreichen müssen, sowie die Parameter, die häufig in folgenden Bereichen verwendet werden: RFCs
+ Typinformationen ändern: ChangeTypeId und ChangeTypeVersion. Eine Liste der Änderungstypen IDs und Versionsnummern finden Sie unter [Referenz zum Änderungstyp](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html).
Führen Sie `list-change-type-classification-summaries` in der CLI mit dem `query` Argument aus, um die Ergebnisse einzugrenzen. Grenzen Sie beispielsweise die Ergebnisse ein, um Typen zu ändern, die „Access“ im `Item` Namen enthalten.
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains (Item, 'access')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
Führen Sie den `get-change-type-version` Befehl aus und geben Sie die ID des Änderungstyps an. Der folgende Befehl ruft die CT-Version für ct-2tylseo8rxfsc ab.
```
aws amscm get-change-type-version --change-type-id ct-2tylseo8rxfsc
```
+ Titel: Ein Name für den RFC; dieser wird zum **Betreff** des RFC in der RFC-Liste der AMS-Konsole, und Sie können danach suchen, indem Sie den Befehl und einen Filter auf `GetRfc` `Title`
+ Planung: Wenn Sie einen geplanten RFC wünschen, müssen Sie die `RequestedEndTime` Parameter `RequestedStartTime` und angeben oder die Konsolenoption „**Diese Änderung planen**“ verwenden. Bei einem **ASAP-RFC** (der ausgeführt wird, sobald er genehmigt wurde), wenn Sie die CLI verwenden, lassen Sie den Wert leer `RequestedStartTime` und `RequestedEndTime` null. Wenn Sie die Konsole verwenden, akzeptieren Sie die **ASAP-Option**.
Wenn das `RequestedStartTime` fehlt, wird der RFC zurückgewiesen.
+ Bereitstellung CTs: Die Ausführungsparameter oder `Parameters` die spezifischen Einstellungen, die für die Bereitstellung der Ressource erforderlich sind. Sie sind je nach CT sehr unterschiedlich.
+ Nichtbereitstellung CTs: Ressourcen CTs , die keine Ressource bereitstellen, z. B. Zugriff CTs oder Andere \$1 Andere, oder Stapel löschen, haben nur minimale Ausführungsparameter und keinen `Parameters` Block.
+ Manche verlangen RFCs auch, dass Sie angeben`TimeoutInMinutes`, wie viele Minuten für die Erstellung des Stacks vorgesehen sind, bevor der RFC fehlschlägt. Gültige Werte liegen zwischen 60 (Minuten) und 360 (bei langer UserData Laufzeit). Wenn die Ausführung nicht abgeschlossen werden kann, bevor der Wert überschritten `TimeoutInMinutes` wird, schlägt der RFC fehl. Diese Einstellung verzögert jedoch nicht die Ausführung des RFC.
+ RFCs die Instanzen erstellen, wie z. B. einen S3-Bucket oder einen ELB, stellen im Allgemeinen ein Schema bereit, mit dem Sie bis zu sieben Tags (Schlüssel/Wert-Paare) hinzufügen können. Sie können Ihrem S3-Bucket weitere Tags hinzufügen, indem Sie über Deployment \$1 Advanced stack components \$1 Tag \$1 Create change type (ct-3cx7we852p3af) einen RFC einreichen. EC2, EFS, RDS und die mehrstufigen Schemas (HA Two-Tiered und HA One-Tiered) ermöglichen bis zu fünfzig Tags. Tags werden im Teil des Schemas angegeben. `ExecutionParameters` Die Bereitstellung von Tags kann von großem Wert sein. Weitere Informationen finden Sie unter [Tagging Your Amazon EC2 Resources](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
Wenn Sie die AMS-Konsole verwenden, müssen Sie den Bereich **Zusätzliche Konfiguration** öffnen, um Tags hinzuzufügen.
**Tipp**
Viele CT-Schemas haben ein `Description` `Name` UND-Feld am oberen Rand des Schemas. Diese Felder werden verwendet, um den Stack oder die Stack-Komponente zu benennen, sie benennen nicht die Ressource, die Sie erstellen. Einige Schemas bieten einen Parameter zum Benennen der Ressource, die Sie erstellen, andere nicht. Das CT-Schema für Create EC2 Stack bietet beispielsweise keinen Parameter zum Benennen der EC2 Instanz. Dazu müssen Sie ein Tag mit dem Schlüssel „Name“ und dem Wert, den der Name haben soll, erstellen. Wenn Sie kein solches Tag erstellen, wird Ihre EC2 Instanz in der EC2 Konsole ohne ein Namensattribut angezeigt.
## Verwenden Sie die Option AWS RFC-Region
Die AMS-API und die CLI-Endpunkte (`amscm`und`amsskms`) sind da. `us-east-1` Wenn Sie sich mit Security Assertion Markup Language (SAML) verbünden, werden Ihnen beim Onboarding Skripte zur Verfügung gestellt, die Ihre Region auf us-east-1 setzen. AWS Wenn Sie SAML verwenden, müssen Sie die Option nicht angeben, wenn Sie einen Befehl ausgeben. `--region` Wenn Ihre SAML für die Verwendung von us-east-1 konfiguriert ist, sich Ihr Konto jedoch nicht in dieser AWS Region befindet, müssen Sie Ihre kontointegrierte Region angeben, wenn Sie andere AWS Befehle ausführen (z. B.). `aws s3`
**Anmerkung**
Die meisten Befehlsbeispiele in diesem Handbuch enthalten diese Option nicht. `--region`
# Melden Sie sich für die tägliche RFC-E-Mail an
Mit der RFC-Digest-Funktion können Sie sich für eine tägliche E-Mail anmelden, in der die RFC-Aktivitäten in Ihrem Konto in den letzten 24 Stunden zusammengefasst werden. Die RFC-Digest-Funktion ist ein optimierter Prozess, der die Anzahl der E-Mail-Benachrichtigungen reduziert, die Sie zu Ihrem Konto erhalten. RFCs Der RFC-Digest kann die Wahrscheinlichkeit verringern, dass Sie Aktionen verpassen, für die Ihre Antwort noch aussteht.
Um die RFC-Digest-Funktion zu aktivieren, wenden Sie sich an Ihren AMS Cloud Service Delivery Manager (CSDM). Der CSDM abonniert Sie. Sie können bis zu 20 E-Mail-Adressen (oder Aliase) anfordern, die in Ihre RFC-Digest-E-Mail-Liste aufgenommen werden sollen. Der aktuelle E-Mail-Zeitplan ist auf 09:00 Uhr UTC-8 festgelegt.
Um die RFC-Digest-Funktion zu deaktivieren, wenden Sie sich mit Ihrer Anfrage an Ihren CSDM.
Wenn Sie den RFC-Digest nicht einrichten und Benachrichtigungen zu Ihrem wünschen RFCs, oder wenn Sie detailliertere Informationen zu Ihrem wünschen, RFCs als der RFC-Digest bietet, verwenden Sie das Change Management System, um CloudWatch Ereignisbenachrichtigungen oder E-Mail-Benachrichtigungen für jeden einzelnen RFC einzurichten, zu dem Sie Informationen wünschen. [Informationen zum Einrichten von RFC-Benachrichtigungen finden Sie unter Benachrichtigungen über RFC-Statusänderungen.](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)
Der RFC-Digest enthält unter anderem folgende Themen:
+ Ausstehende Genehmigung durch den Kunden: Listen RFCs , die sich im **PendingApproval**Status befinden und auf Ihre Genehmigung warten
+ Ausstehende Kundenantwort: Listen RFCs , die auf Ihre Antwort zur RFC-Korrespondenz warten
+ Ausstehende AWS-Genehmigung oder -Antwort: Listen RFCs , die bei AMS auf eine Antwort oder Genehmigung warten
+ **Abgeschlossen: Listen mit Status „ RFCs Erfolgreich“, „**Fehlgeschlagen**“, „**Storniert**“ und „**Abgelehnt****
Im Folgenden finden Sie ein Beispiel für einen RFC-Digest:
![\[Beispiel für einen RFC-Digest\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/RFCDigestExample.png)
# Was sind Änderungstypen?
Der Änderungstyp bezieht sich auf die Aktion, die eine Änderungsanforderung (RFC) von AWS Managed Services (AMS) ausführt, und umfasst die Änderungsaktion selbst sowie die Art der Änderung — manuell oder automatisiert. AMS verfügt über eine große Sammlung von Änderungstypen, die von anderen Amazon-Webservices nicht verwendet werden. Sie verwenden diese Änderungstypen, wenn Sie einen Änderungsantrag (RFC) einreichen, um Ressourcen bereitzustellen oder zu verwalten oder Zugriff darauf zu erhalten.
**Topics**
+ [Automatisiert und manuell CTs](ug-automated-or-manual.md)
+ [Anforderungen an die CT-Zulassung](constrained-unconstrained-ctis.md)
+ [Typversionen ändern](ct-versions.md)
+ [Änderungstypen erstellen](ct-creates.md)
+ [Änderungstypen aktualisieren](ct-updates.md)
+ [Nur interne Änderungstypen](ct-internals.md)
+ [Typschemas ändern](ct-schemas.md)
+ [Verwaltung von Berechtigungen für Änderungstypen](ct-permissions.md)
+ [Sensible Informationen aus Änderungstypen redigieren](ct-redaction.md)
+ [Finden eines Änderungstyps mithilfe der Abfrageoption](ug-find-ct-ex-section.md)
# Automatisiert und manuell CTs
Eine Einschränkung für Änderungstypen besteht darin, ob sie automatisiert oder manuell sind. Dies ist das `AutomationStatusId` Änderungstypattribut, das in der AMS-Konsole als **Ausführungsmodus** bezeichnet wird.
Automatisierte Änderungstypen haben erwartete Ergebnisse und Ausführungszeiten und durchlaufen das automatisierte AMS-System, in der Regel innerhalb einer Stunde oder weniger (dies hängt weitgehend davon ab, welche Ressourcen der CT bereitstellt). Manuelle Änderungstypen sind ungewöhnlich, werden aber unterschiedlich behandelt, da sie erfordern, dass ein AMS-Operator auf den RFC reagiert, bevor er ausgeführt werden kann. Das bedeutet manchmal, dass Sie mit dem RFC-Absender kommunizieren müssen, sodass manuelle Änderungen unterschiedlich lange dauern, bis sie abgeschlossen sind.
Für alle geplanten Änderungen RFCs wird eine nicht spezifizierte Endzeit als Uhrzeit des angegebenen Änderungstyps `RequestedStartTime` plus das `ExpectedExecutionDurationInMinutes` Attribut des übermittelten Änderungstyps angegeben. Wenn der beispielsweise „60“ (Minuten) `ExpectedExecutionDurationInMinutes` ist und der angegebene Wert `2016-12-05T14:20:00Z` (5. Dezember 2016 um 4:20 Uhr) `RequestedStartTime` ist, würde die tatsächliche Endzeit auf den 5. Dezember 2016 um 5:20 Uhr festgelegt. Um den `ExpectedExecutionDurationInMinutes` für einen bestimmten Änderungstyp zu finden, führen Sie diesen Befehl aus:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
**Anmerkung**
Geplant RFCs mit **Ausführungsmodus** = Manuell muss in der Konsole so eingestellt sein, dass sie mindestens 24 Stunden in der future ausgeführt wird.
**Anmerkung**
Bei manueller Verwendung empfiehlt AMS CTs, die Option ASAP **Scheduling** zu verwenden (wählen Sie **ASAP** in der Konsole, lassen Sie Start- und Endzeit leer in der API/CLI), da diese einen AMS-Operator CTs erfordern, der den RFC untersucht und möglicherweise mit Ihnen kommuniziert, bevor er genehmigt und ausgeführt werden kann. Wenn Sie diese einplanen, achten Sie darauf RFCs, dass Sie mindestens 24 Stunden einplanen. Wenn die Genehmigung nicht vor der geplanten Startzeit erfolgt, wird der RFC automatisch abgelehnt.
AMS ist bestrebt, auf ein manuelles CT innerhalb von vier Stunden zu antworten und wird sich so schnell wie möglich mit Ihnen in Verbindung setzen. Es könnte jedoch viel länger dauern, bis der RFC tatsächlich ausgeführt wird.
Eine Liste der Dateien CTs , die manuell sind und eine Überprüfung durch AMS erfordern, finden Sie in der CSV-Datei „Change Type“, die auf der Seite **„Entwicklerressourcen“ der Konsole verfügbar ist**.
**YouTube Video**: [Wie finde ich automatisierte Änderungstypen für AMS RFCs?](https://www.youtube.com/watch?v=sOzDuCCOduI&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=2&t=1s)
Um den **Ausführungsmodus** für einen CT in der AMS-Konsole zu finden, müssen Sie die Suchoption **Änderungstypen durchsuchen** verwenden. Die Ergebnisse zeigen den Ausführungsmodus des entsprechenden Änderungstyps oder der entsprechenden Änderungstypen.
Führen Sie diesen Befehl aus, um die `AutomationStatus` für einen bestimmten Änderungstyp mithilfe der AMS-CLI zu finden:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
Sie können die Änderungstypen auch in der [AMS Change Type Reference nachschlagen](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html), die Informationen zu allen AMS-Änderungstypen enthält.
**Anmerkung**
Die AMS API/CLI sind derzeit nicht Teil von AWSAPI/CLI. To access the AMS API/CLI. Sie laden das AMS-SDK über die AMS-Konsole herunter.
# Anforderungen an die CT-Zulassung
Für AMS gelten CTs immer zwei Genehmigungsbedingungen, **AwsApprovalId**CustomerApprovalId****die angeben, ob der RFC von AMS oder von Ihnen oder einer anderen Person verlangt, die Ausführung zu genehmigen.
Die Genehmigungsbedingung hängt in gewisser Weise mit dem Ausführungsmodus zusammen. Einzelheiten finden Sie unter[Automatisiert und manuell CTs](ug-automated-or-manual.md).
Um die Genehmigungsbedingung für ein CT herauszufinden, können Sie in der [AMS Change Type Reference](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) nachschauen oder den Befehl ausführen [GetChangeTypeVersion](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_GetChangeTypeVersion.html). In beiden Fällen erhalten Sie auch den CT `AutomationStatusId` - oder **Ausführungsmodus**.
Sie können die RFCs Genehmigung über die AMS-Konsole oder mit dem folgenden Befehl genehmigen:
```
aws amscm approve-rfc --rfc-id RFC_ID
```
**Bedingung für die CT-Zulassung**
| Wenn die Bedingung für die CT-Zulassung | Es bedarf der Genehmigung von | And |
| --- | --- | --- |
| `AwsApprovalId: Required` | Das AMS-System vom Typ Change, | Es ist keine Aktion erforderlich. Dieser Zustand ist typisch für automatisierte Systeme CTs. |
| `AwsApprovalId: NotRequiredIfSubmitter` | Das AMS-System ändert den Typ und sonst niemand, wenn der eingereichte RFC für das Konto gilt, für das er eingereicht wurde, | Es ist keine Aktion erforderlich. Dieser Zustand ist typisch für manuelle Geräte CTs , da sie stets von den AMS-Mitarbeitern überprüft werden. |
| `CustomerApprovalId: NotRequired` | Das AMS-System zur Änderung des Typs, | Wenn der RFC Syntax- und Parameterprüfungen besteht, wird er auto genehmigt. |
| `CustomerApprovalId: Required` | Das AMS-Change-Typsystem und Sie | Sie erhalten eine Benachrichtigung, und Sie müssen den RFC ausdrücklich genehmigen, indem Sie entweder auf die Benachrichtigung antworten oder den [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html)Vorgang ausführen. |
| `CustomerApprovalId: NotRequiredIfSubmitter` | Das AMS-System ändert den Typ und sonst niemand, wenn Sie den RFC eingereicht haben. | Wenn der RFC Syntax- und Parameterprüfungen besteht, wird er auto genehmigt. |
| Dringender Sicherheitsvorfall oder Patch | AMS | Wird auto genehmigt und implementiert. |
# Typversionen ändern
Die Änderungstypen werden versioniert und die Version ändert sich, wenn eine größere Aktualisierung des Änderungstyps vorgenommen wird.
Nachdem Sie in der AMS-Konsole einen Änderungstyp ausgewählt haben, haben Sie die Möglichkeit, den Bereich **Zusätzliche Konfiguration** zu öffnen und eine Version des Änderungstyps auszuwählen. Sie können auch in der API/CLI Befehlszeile eine Version vom Typ „Change Type“ angeben. Möglicherweise möchten Sie dies aus verschiedenen Gründen tun, darunter:
+ Sie wissen, dass die Version des **Änderungstyps Update**, die Sie möchten, mit der Version des Änderungstyps **Erstellen** übereinstimmen muss, mit der Sie die Ressource erstellt haben, die Sie jetzt aktualisieren möchten. Angenommen, Sie haben eine Elastic Load Balancer (ELB) -Instance, die Sie mit ELB Create Change Type Version 1 erstellt haben. Um sie zu aktualisieren, wählen Sie ELB Update Version 1.
+ Sie möchten eine Version des Änderungstyps verwenden, die andere Optionen enthält als der letzte Änderungstyp. Wir empfehlen dies nicht, da AMS-Updates ihre Typen hauptsächlich aus Sicherheitsgründen ändern und wir empfehlen, dass Sie immer die neueste Version wählen.
# Änderungstypen erstellen
Die Änderungstypen von Create werden version-to-version den Änderungstypen vom Typ Update zugeordnet. Das heißt, die Version des Änderungstyps, die Sie für die Bereitstellung einer Ressource verwenden, muss mit der Version des Änderungstyps Update übereinstimmen, den Sie später zum Ändern dieser Ressource verwenden würden. Wenn Sie beispielsweise einen S3-Bucket mit dem Änderungstyp Create S3 Bucket, Version 2.0, erstellen und später einen RFC zur Änderung dieses S3-Buckets einreichen möchten, müssen Sie auch den Änderungstyp Update S3-Bucket, Version 2.0, verwenden, auch wenn es einen Änderungstyp Update S3-Bucket mit Version 3.0 gibt.
Wir empfehlen, die Änderungstyp-ID und die Version aufzuzeichnen, die Sie verwenden, wenn Sie eine Ressource mit dem Änderungstyp Create bereitstellen, falls Sie später den Änderungstyp Update verwenden möchten, um sie zu ändern.
# Änderungstypen aktualisieren
AMS bietet Änderungstypen aktualisieren, um Ressourcen zu aktualisieren, die mit Create Change Types erstellt wurden. Die Änderungstypen aktualisieren müssen version-to-version mit dem Änderungstyp Create übereinstimmen, der ursprünglich für die Bereitstellung der Ressource verwendet wurde.
Es wird empfohlen, die ID und Version des Änderungstyps, die Sie bei der Bereitstellung einer Ressource verwenden, aufzuzeichnen, um deren Aktualisierung zu vereinfachen.
**YouTube Video**: [Wie verwende ich Update CTs , um Ressourcen in einem AWS Managed Services (AMS) -Konto zu ändern?](https://www.youtube.com/watch?v=dqb31yaAXhc&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=8&t=30s)
# Nur interne Änderungstypen
Sie können Änderungstypen sehen, die nur für den internen Gebrauch bestimmt sind. Auf diese Weise wissen Sie, welche Maßnahmen AMS ergreifen kann oder tut. Wenn es einen ausschließlich internen Änderungstyp gibt, den Sie für Ihre Nutzung zur Verfügung haben möchten, reichen Sie eine Serviceanfrage ein.
Beispielsweise gibt es ein CT-System für Verwaltung \$1 Überwachung und Benachrichtigung \$1 CloudWatch Alarmunterdrückung \$1 Update, das nur intern ist. AMS verwendet es, um Infrastruktur-Updates (wie Patches) bereitzustellen, um Alarmbenachrichtigungen zu deaktivieren, die durch die Updates fälschlicherweise ausgelöst werden könnten. Wenn dieses CT eingereicht wird, werden Sie den RFC für das CT in Ihrer RFC-Liste finden. Alle rein internen CTs, die in einem RFC bereitgestellt werden, werden in Ihrer RFC-Liste angezeigt.
# Typschemas ändern
Alle Änderungstypen stellen ein JSON-Schema für Ihre Eingaben bei der Erstellung, Änderung oder dem Zugriff auf Ressourcen bereit. Das Schema stellt die Parameter und ihre Beschreibungen bereit, mit denen Sie einen Änderungsantrag (RFC) erstellen können.
Die erfolgreiche Ausführung eines RFC führt zu einer Ausführungsausgabe. Für die Bereitstellung RFCs enthält die Ausführungsausgabe eine „stack\$1id“, die den Stack darstellt CloudFormation und in der Konsole gesucht werden kann. CloudFormation Die Ausführungsausgabe beinhaltet manchmal die Ausgabe der ID der erstellten Instance, und diese ID kann verwendet werden, um in der entsprechenden AWS-Konsole nach der Instance zu suchen. Die Ausführungsausgabe „Create ELB CT“ enthält beispielsweise eine „stack\$1id“, in der gesucht werden kann, CloudFormation und gibt einen Key=ELB-Wert= aus, der in der Amazon-Konsole für Elastic Load Balancing durchsucht werden kann. EC2
Lassen Sie uns ein CT-Schema untersuchen. Dies ist das Schema für CodeDeploy Application Create, ein ziemlich kleines Schema. Einige Schemas haben sehr große `Parameter` Bereiche.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/ct-schemas.html)
**Anmerkung**
Dieses Schema erlaubt bis zu sieben Tags; EFS EC2, RDS und die mehrstufigen Erstellungsschemas erlauben jedoch bis zu 50 Tags.
# Verwaltung von Berechtigungen für Änderungstypen
Sie können eine benutzerdefinierte Richtlinie verwenden, um einzuschränken, welche Änderungstypen (CTs) für verschiedene Gruppen oder Benutzer verfügbar sind.
Weitere Informationen dazu finden Sie im AMS-Benutzerhandbuch im Abschnitt [Berechtigungen einrichten](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-permissions.html).
# Sensible Informationen aus Änderungstypen redigieren
AMS-Schemas für den Änderungstyp bieten ein Parameterattribut, `"metadata":"ams:sensitive":"true"` das für Parameter verwendet wird, die vertrauliche Informationen enthalten würden, z. B. ein Passwort. Wenn dieses Attribut gesetzt ist, ist die bereitgestellte Eingabe verdeckt. Beachten Sie, dass Sie dieses Parameterattribut nicht festlegen können. Wenn Sie jedoch mit AMS arbeiten, um einen Änderungstyp zu erstellen und einen Parameter haben, den Sie bei der Eingabe verdecken möchten, können Sie dies anfordern.
# Finden eines Änderungstyps mithilfe der Abfrageoption
Dieses Beispiel zeigt, wie Sie mithilfe der AMS-Konsole den geeigneten Änderungstyp für den RFC finden, den Sie einreichen möchten.
Sie können die Konsole oder die verwenden API/CLI , um nach einer Änderungstyp-ID (CT) oder Version zu suchen. Es gibt zwei Methoden: entweder eine Suche oder die Auswahl der Klassifizierung. Für beide Auswahltypen können Sie die Suche sortieren, indem Sie entweder „**Am häufigsten verwendet“, „**Zuletzt verwendet****“ oder „**Alphabetisch**“ auswählen.
**YouTube Video**: [Wie erstelle ich einen RFC mit der AWS Managed Services CLI und wo finde ich das CT-Schema](https://www.youtube.com/watch?v=IluDFwnJJFU&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=3&t=150s)?
Gehen Sie in der AMS-Konsole auf der Seite **RFCs**-> **RFC erstellen** wie folgt vor:
+ Wenn „**Nach Änderungstyp suchen**“ ausgewählt ist (Standardeinstellung), können Sie entweder:
+ Verwenden Sie den Bereich **Schnellerstellung**, um aus den beliebtesten AMS-Programmen auszuwählen CTs. Klicken Sie auf ein Label und die Seite **RFC ausführen** wird geöffnet, auf der die Option **Betreff** automatisch für Sie ausgefüllt wird. Füllen Sie die verbleibenden Optionen nach Bedarf aus und klicken Sie auf **Ausführen**, um den RFC einzureichen.
+ Oder scrollen Sie nach unten zum Bereich **Alle Änderungstypen** und beginnen Sie, einen CT-Namen in das Optionsfeld einzugeben. Sie müssen nicht den genauen oder vollständigen Namen des Änderungstyps haben. Sie können auch anhand der ID des Änderungstyps, der Klassifizierung oder des Ausführungsmodus (automatisiert oder manuell) nach einem CT suchen, indem Sie die entsprechenden Wörter eingeben.
Wenn die standardmäßige **Kartenansicht** ausgewählt ist, werden während der Eingabe passende CT-Karten angezeigt. Wählen Sie eine Karte aus und klicken Sie auf **RFC erstellen**. Wählen Sie bei ausgewählter **Tabellenansicht** das entsprechende CT aus und klicken Sie auf **RFC erstellen**. Bei beiden Methoden wird die Seite **RFC ausführen** geöffnet.
+ Klicken Sie alternativ oben auf der Seite auf **Nach Kategorie auswählen, um eine Reihe von** Drop-down-Optionsfeldern zu öffnen, um eine Reihe von Auswahlmöglichkeiten für den Änderungstyp zu öffnen.
+ Wählen Sie eine **Kategorie**, eine **Unterkategorie**, einen **Artikel** und einen **Vorgang** aus. Das Informationsfeld für diesen Änderungstyp wird angezeigt. Unten auf der Seite wird ein Bereich angezeigt.
+ Wenn Sie bereit sind, drücken Sie die **EINGABETASTE**. Daraufhin wird eine Liste der passenden Änderungstypen angezeigt.
+ Wählen Sie einen Änderungstyp aus der Liste aus. Das Informationsfeld für diesen Änderungstyp wird unten auf der Seite angezeigt.
+ Wenn Sie den richtigen Änderungstyp gefunden haben, wählen Sie **Create RFC**.
**Anmerkung**
Die AMS-CLI muss installiert sein, damit diese Befehle funktionieren. Um die AMS-API oder CLI zu installieren, rufen Sie die Seite **Entwicklerressourcen** der AMS-Konsole auf. Referenzmaterial zur AMS CM API oder AMS SKMS API finden Sie im Abschnitt AMS-Informationsressourcen im Benutzerhandbuch. Möglicherweise müssen Sie eine `--profile` Option für die Authentifizierung hinzufügen, `aws amsskms ams-cli-command --profile SAML` z. B. Möglicherweise müssen Sie die `--region` Option auch hinzufügen, da allen AMS-Befehlen beispielsweise us-east-1 ausgeht. `aws amscm ams-cli-command --region=us-east-1`
**Anmerkung**
Die AMS-Endpunkte API/CLI (amscm und amsskms) befinden sich in der AWS-Region Nord-Virginia,. `us-east-1` Je nachdem, wie Ihre Authentifizierung eingerichtet ist und in welcher AWS-Region sich Ihr Konto und Ihre Ressourcen befinden, müssen Sie `--region us-east-1` bei der Ausgabe von Befehlen möglicherweise zusätzliche Informationen hinzufügen. Möglicherweise müssen Sie auch angeben`--profile saml`, ob dies Ihre Authentifizierungsmethode ist.
So suchen Sie mit der AMS CM API (siehe [ListChangeTypeClassificationSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html)) oder CLI nach einem Änderungstyp:
Sie können einen Filter oder eine Abfrage für die Suche verwenden. Der ListChangeTypeClassificationSummaries Vorgang verfügt über [Filteroptionen](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html#amscm-ListChangeTypeClassificationSummaries-request-Filters) für `Category``Subcategory`,`Item`, und`Operation`, aber die Werte müssen exakt mit den vorhandenen Werten übereinstimmen. Für flexiblere Ergebnisse bei der Verwendung der CLI können Sie die `--query` Option verwenden.
**Ändern Sie die Typfilterung mit der AMS CM API/CLI**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/ug-find-ct-ex-section.html)
1. Hier sind einige Beispiele für Klassifizierungen nach der Art der Angebotsänderung:
Der folgende Befehl listet alle Kategorien von Änderungstypen auf.
```
aws amscm list-change-type-categories
```
Der folgende Befehl listet die Unterkategorien auf, die zu einer bestimmten Kategorie gehören.
```
aws amscm list-change-type-subcategories --category CATEGORY
```
Der folgende Befehl listet die Elemente auf, die zu einer bestimmten Kategorie und Unterkategorie gehören.
```
aws amscm list-change-type-items --category CATEGORY --subcategory SUBCATEGORY
```
1. Hier sind einige Beispiele für die Suche nach Änderungstypen mit CLI-Abfragen:
Der folgende Befehl durchsucht CT-Klassifikationszusammenfassungen nach solchen, die „S3" im Elementnamen enthalten, und erstellt eine Ausgabe der Kategorie-, Unterkategorie-, Element-, Vorgangs- und Änderungstyp-ID in Tabellenform.
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains(Item, 'S3')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
```
+---------------------------------------------------------------+
| ListChangeTypeClassificationSummaries |
+----------+-------------------------+--+------+----------------+
|Deployment|Advanced Stack Components|S3|Create|ct-1a68ck03fn98r|
+----------+-------------------------+--+------+----------------+
```
1. Anschließend können Sie die Änderungstyp-ID verwenden, um das CT-Schema abzurufen und die Parameter zu untersuchen. Mit dem folgenden Befehl wird das Schema in eine JSON-Datei mit dem Namen CreateS3Params.schema.json ausgegeben.
```
aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateS3Params.schema.json
```
Informationen zur Verwendung von CLI-Abfragen finden Sie unter [So filtern Sie die Ausgabe mit der Option --query](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) und in der Referenz zur Abfragesprache, [JMESPath Spezifikation](http://jmespath.org/specification.html).
1. Nachdem Sie die Änderungstyp-ID erhalten haben, empfehlen wir, die Version für den Änderungstyp zu überprüfen, um sicherzustellen, dass es sich um die neueste Version handelt. Verwenden Sie diesen Befehl, um die Version für einen bestimmten Änderungstyp zu finden:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CHANGE_TYPE_ID
```
Um die `AutomationStatus` für einen bestimmten Änderungstyp zu finden, führen Sie diesen Befehl aus:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
Führen Sie diesen Befehl aus, um `ExpectedExecutionDurationInMinutes` nach dem für einen bestimmten Änderungstyp zu suchen:
```
aws amscm --profile saml get-change-type-version --change-type-id ct-14027q0sjyt1h --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
# Behebung von RFC-Fehlern in AMS
Viele RFC-Fehler bei der AMS-Bereitstellung können anhand der Dokumentation untersucht werden. CloudFormation Weitere Informationen finden Sie unter [AWS-Fehlerbehebung CloudFormation: Fehlerbehebung](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors)
In den folgenden Abschnitten finden Sie weitere Vorschläge zur Fehlerbehebung.
## RFC-Fehler im Bereich „Verwaltung“ in AMS
Mit den AMS-Kategorieänderungstypen (CTs) können Sie Zugriff auf Ressourcen beantragen und vorhandene Ressourcen verwalten. In diesem Abschnitt werden einige häufig auftretende Probleme beschrieben.
### RFC-Zugriffsfehler
+ Stellen Sie sicher, dass der Benutzername und der FQDN, die Sie im RFC angegeben haben, korrekt sind und in der Domäne vorhanden sind. Hilfe bei der Suche nach Ihrem FQDN finden Sie unter [Finden](https://docs.aws.amazon.com/managedservices/latest/userguide/find-FQDN.html) Ihres FQDN.
+ Stellen Sie sicher, dass es sich bei der Stack-ID, die Sie für den Zugriff angegeben haben, um einen EC2-bezogenen Stack handelt. Stacks wie ELB und Amazon Simple Storage Service (S3) sind keine RFCs Zugriffskandidaten. Verwenden Sie stattdessen Ihre Nur-Lese-Zugriffsrolle, um auf diese Stack-Ressourcen zuzugreifen. [Hilfe bei der Suche nach einer Stack-ID finden Sie unter Stack suchen IDs](https://docs.aws.amazon.com/managedservices/latest/userguide/find-stack.html)
+ Stellen Sie sicher, dass die von Ihnen angegebene Stack-ID korrekt ist und zum entsprechenden Konto gehört.
Hilfe bei anderen RFC-Zugriffsausfällen finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/managedservices/latest/userguide/access-mgmt.html).
**YouTube Video**: [Wie stelle ich einen Request for Change (RFC) richtig ein, um Ablehnungen und Ausfälle zu vermeiden](https://www.youtube.com/watch?v=IFOn4Q-5Cas&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=5&t=242s)?
### RFC (manuell) CT-Planungsfehler
Die meisten Änderungstypen sind ExecutionMode =Automatisiert, aber einige sind ExecutionMode =Manuell, was sich darauf auswirkt, wie Sie sie planen sollten, um RFC-Fehler zu vermeiden.
Geplant RFCs mit ExecutionMode =Manual, muss so eingestellt sein, dass es mindestens 24 Stunden in der future ausgeführt wird, wenn Sie die AMS-Konsole zur Erstellung des RFC verwenden.
AMS ist bestrebt, auf ein manuelles CT innerhalb von acht Stunden zu antworten und wird so schnell wie möglich antworten, aber es könnte viel länger dauern, bis der RFC tatsächlich ausgeführt wird.
### Verwendung RFCs mit manuellem Update CTs
AMS Operations lehnt Management \$1 Andere \$1 Andere RFCs für Aktualisierungen von Stacks ab, wenn es für den Stacktyp, den Sie aktualisieren möchten, einen Aktualisierungstyp gibt.
### RFC-Fehler beim Löschen des Stacks
RFC-Fehler beim Löschen von Stacks: Wenn Sie das CT Management \$1 Standard Stacks \$1 Stack \$1 Delete verwenden, werden Ihnen in der CloudFormation Konsole die detaillierten Ereignisse für den Stack mit dem AMS-Stack-Namen angezeigt. Sie können Ihren Stack identifizieren, indem Sie ihn mit dem Namen vergleichen, den er in der AMS-Konsole hat. Die CloudFormation Konsole bietet weitere Informationen zu den Fehlerursachen.
Bevor Sie einen Stapel löschen, sollten Sie sich überlegen, wie der Stack erstellt wurde. Wenn Sie den Stack mit einem AMS-CT erstellt und die Stack-Ressourcen nicht hinzugefügt oder bearbeitet haben, können Sie davon ausgehen, dass Sie ihn problemlos löschen können. Es ist jedoch eine gute Idee, alle manuell hinzugefügten Ressourcen aus einem Stack zu entfernen, bevor Sie einen Löschstapel-RFC für diesen Stack einreichen. Wenn Sie beispielsweise einen Stack mit dem Full-Stack-CT (HA Two Tier) erstellen, enthält er eine Sicherheitsgruppe -. SG1 Wenn Sie dann AMS verwenden, um eine weitere Sicherheitsgruppe zu erstellen - und auf die neue SG2 Sicherheitsgruppe verweisen SG2, die als Teil des gesamten Stacks SG1 erstellt wurde, und dann den Löschstapel-CT verwenden, um den Stack zu löschen, SG1 wird der nicht gelöscht, da er von referenziert wird SG2.
**Wichtig**
Das Löschen von Stacks kann unerwünschte und unerwartete Folgen haben. Aus diesem Grund zieht es AMS vor, Stacks oder Stack-Ressourcen nicht im Namen von Kunden zu löschen. Beachten Sie, dass AMS in Ihrem Namen nur Ressourcen löscht (über einen eingereichten Änderungstyp Verwaltung \$1 Andere \$1 Andere \$1 Aktualisierung), die nicht mit dem entsprechenden, automatisierten Änderungstyp gelöscht werden können. Weitere Überlegungen:
Wenn die Ressourcen für den Löschschutz aktiviert sind, kann AMS helfen, diesen zu entsperren, indem Sie den Änderungstyp Verwaltung \$1 Andere \$1 Andere \$1 Aktualisierung einreichen. Nachdem der Löschschutz aufgehoben wurde, können Sie diese Ressource mit dem automatisierten CT löschen.
Wenn ein Stack mehrere Ressourcen enthält und Sie nur eine Teilmenge der Stack-Ressourcen löschen möchten, verwenden Sie den Änderungstyp CloudFormation Update (siehe [CloudFormation Ingest Stack](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html): Aktualisierung). Sie können auch den Änderungstyp Verwaltung \$1 Andere \$1 Andere \$1 Aktualisierung angeben. Die AMS-Techniker können Ihnen bei Bedarf bei der Erstellung des Changesets helfen.
Falls aufgrund von Abweichungen Probleme bei der Verwendung des CloudFormation Update CT auftreten, kann AMS helfen, indem Sie ein Management \$1 Other \$1 Other \$1 Other \$1 Update zur Behebung des Fehlers einreichen (sofern vom CloudFormation AWS-Service unterstützt) und ein Update bereitstellen ChangeSet , das Sie dann mit den automatisierten CT, Management/Custom Stack/Stack From CloudFormation Template/Approve Changeset und Update validieren und ausführen können.
AMS hält sich an die oben genannten Einschränkungen, um sicherzustellen, dass es nicht zu unerwarteten oder unerwarteten Löschungen von Ressourcen kommt.
Weitere Informationen finden Sie unter [Fehlerbehebung bei AWS CloudFormation: Stack löschen schlägt fehl](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails).
### DNS-Fehler beim RFC-Update
Es kann RFCs vorkommen, dass mehrere Aktualisierungen einer DNS-Hosting-Zone fehlschlagen, manchmal auch ohne Grund. Das RFCs gleichzeitige Erstellen mehrerer Zonen zur Aktualisierung von DNS-Hosting-Zonen (privat oder öffentlich) kann dazu führen RFCs , dass einige fehlschlagen, weil sie versuchen, denselben Stack gleichzeitig zu aktualisieren. AMS Change Management lehnt ab oder schlägt fehl RFCs , wenn ein Stack nicht aktualisiert werden kann, weil der Stack bereits von einem anderen RFC aktualisiert wird. AMS empfiehlt, dass Sie jeweils einen RFC erstellen und warten, bis der RFC erfolgreich ist, bevor Sie einen neuen für denselben Stack starten.
### Fehler bei RFC-IAM-Entitäten
AMS stellt eine Reihe von Standard-IAM-Rollen und -Profilen für AMS-Konten bereit, die auf Ihre Bedürfnisse zugeschnitten sind. Möglicherweise müssen Sie jedoch gelegentlich zusätzliche IAM-Ressourcen anfordern.
Das Verfahren zur Einreichung von RFCs Anfragen für benutzerdefinierte IAM-Ressourcen folgt dem Standardablauf für manuelle Anwendungen. Der Genehmigungsprozess umfasst jedoch auch eine Sicherheitsüberprüfung RFCs, um sicherzustellen, dass angemessene Sicherheitskontrollen vorhanden sind. Daher dauert der Vorgang in der Regel länger als bei anderen manuellen RFCs Vorgängen. Um die Zykluszeit bei diesen zu reduzieren RFCs, befolgen Sie bitte die folgenden Richtlinien.
Informationen darüber, was wir unter einer IAM-Überprüfung verstehen und wie sie unseren technischen Standards und unserem Prozess zur Risikoakzeptanz entspricht, finden Sie unter[RFC-Sicherheitsüberprüfungen verstehen](rfc-security.md).
Häufig gestellte Anfragen zu IAM-Ressourcen:
+ Wenn Sie nach einer Richtlinie für eine wichtige Cloud-kompatible Anwendung fragen, wie z. B. CloudEndure, schauen Sie sich die vorab genehmigte CloudEndure IAM-Richtlinie von AMS an: Entpacken Sie die [WIGs Cloud Endure Landing Zone-Beispieldatei](samples/wigs-ce-lz-examples.zip) und öffnen Sie `customer_cloud_endure_policy.json`
**Anmerkung**
Wenn Sie eine restriktivere Richtlinie wünschen, besprechen Sie Ihre Bedürfnisse mit Ihrem Unternehmen und lassen Sie sich, falls erforderlich, eine AMS-Sicherheitsüberprüfung CloudArchitect/CSDM und -genehmigung einholen, bevor Sie einen RFC zur Implementierung der Richtlinie einreichen.
+ Wenn Sie eine von AMS standardmäßig in Ihrem Konto bereitgestellte Ressource ändern möchten, empfehlen wir Ihnen, anstelle von Änderungen an der vorhandenen eine modifizierte Kopie dieser Ressource anzufordern.
+ Wenn Sie Berechtigungen für einen menschlichen Benutzer anfordern (anstatt die Berechtigungen dem Benutzer zuzuweisen), ordnen Sie die Berechtigungen einer Rolle zu und gewähren Sie dem Benutzer dann die Erlaubnis, diese Rolle anzunehmen. Einzelheiten dazu finden Sie unter [Temporärer Zugriff auf die AMS Advanced-Konsole](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html).
+ Wenn Sie außergewöhnliche Berechtigungen für eine temporäre Migration oder einen temporären Workflow benötigen, geben Sie in Ihrer Anfrage ein Enddatum für diese Berechtigungen an.
+ Wenn Sie den Gegenstand Ihrer Anfrage bereits mit Ihrem Sicherheitsteam besprochen haben, legen Sie Ihrem CSDM so detailliert wie möglich einen Nachweis über deren Genehmigung vor.
Wenn AMS einen IAM-RFC ablehnt, geben wir einen klaren Grund für die Ablehnung an. Beispielsweise könnten wir eine Anfrage zur Erstellung einer IAM-Richtlinie ablehnen und erklären, was an der Richtlinie unangemessen ist. In diesem Fall können Sie die identifizierten Änderungen vornehmen und die Anfrage erneut einreichen. Wenn weitere Informationen zum Status einer Anfrage erforderlich sind, reichen Sie eine Serviceanfrage ein oder wenden Sie sich an Ihren CSDM.
In der folgenden Liste werden die typischen Risiken beschrieben, die AMS bei der Überprüfung Ihres IAM zu minimieren versucht. RFCs Wenn Ihr IAM-RFC eines dieser Risiken birgt, kann dies zur Ablehnung des RFC führen. In Fällen, in denen Sie eine Ausnahme benötigen, bittet AMS Ihr Sicherheitsteam um die Genehmigung. Um eine solche Ausnahme zu beantragen, stimmen Sie sich mit Ihrem CSDM ab.
**Anmerkung**
AMS kann aus beliebigem Grund jegliche Änderung der IAM-Ressourcen innerhalb eines Kontos ablehnen. Wenn Sie Bedenken bezüglich einer RFC-Ablehnung haben, wenden Sie sich über eine Serviceanfrage an AMS Operations oder wenden Sie sich an Ihren CSDM.
+ Eskalation von Rechten, z. B. Berechtigungen, die es Ihnen ermöglichen, Ihre eigenen Berechtigungen oder die Berechtigungen anderer Ressourcen innerhalb des Kontos zu ändern. Beispiele:
+ Die Verwendung `iam:PassRole` mit einer anderen, privilegierteren Rolle.
+ Zugriff auf attach/detach IAM-Richtlinien durch eine Rolle oder einen Benutzer.
+ Die Änderung der IAM-Richtlinien im Konto.
+ Die Fähigkeit, API-Aufrufe im Kontext der Verwaltungsinfrastruktur zu tätigen.
+ Berechtigungen zum Ändern von Ressourcen oder Anwendungen, die für die Bereitstellung von AMS-Diensten für Sie erforderlich sind. Beispiele:
+ Änderung der AMS-Infrastruktur wie der Bastions-, Management-Host- oder EPS-Infrastruktur.
+ Löschen von Protokollverwaltungsfunktionen, AWS Lambda Lambda-Funktionen oder Protokollstreams.
+ Das Löschen oder Ändern der CloudTrail Standard-Überwachungsanwendung.
+ Die Änderung des Active Directory (AD) der Verzeichnisdienste.
+ Deaktivierung CloudWatch (CW) von Alarmen.
+ Die Änderung der Principals, Richtlinien und Namespaces, die im Konto als Teil der landing zone bereitgestellt werden.
+ Bereitstellung von Infrastruktur außerhalb von bewährten Verfahren, wie z. B. Genehmigungen, die den Aufbau einer Infrastruktur in einem Zustand ermöglichen, der Ihre Informationssicherheit gefährdet. Beispiele:
+ Die Erstellung von öffentlichen oder unverschlüsselten S3-Buckets oder die öffentliche gemeinsame Nutzung von EBS-Volumes.
+ Die Bereitstellung öffentlicher IP-Adressen.
+ Die Änderung von Sicherheitsgruppen, um einen breiten Zugriff zu ermöglichen.
+ Zu weit gefasste Berechtigungen können Auswirkungen auf Anwendungen haben, z. B. Berechtigungen, die zu Datenverlust, Integritätsverlust, unangemessener Konfiguration oder Betriebsunterbrechungen für Ihre Infrastruktur und die Anwendungen innerhalb des Kontos führen können. Beispiele:
+ Deaktivierung oder Umleitung von Netzwerkverkehr über ähnliche oder. APIs `ModifyNetworkInterfaceAttribute` `UpdateRouteTable`
+ Deaktivierung der verwalteten Infrastruktur durch Trennen von Volumes von verwalteten Hosts.
+ Berechtigungen für Dienste, die nicht Teil der AMS-Servicebeschreibung sind und von AMS nicht unterstützt werden.
Dienste, die nicht in der AMS-Servicebeschreibung aufgeführt sind, können nicht in AMS-Konten verwendet werden. Wenn Sie Support für eine Funktion oder einen Dienst anfordern möchten, wenden Sie sich bitte an Ihren CSDM.
+ Genehmigungen, die Ihr erklärtes Ziel nicht erfüllen, da sie entweder zu großzügig oder zu konservativ sind oder auf die falschen Ressourcen angewendet werden. Beispiele:
+ Eine Anfrage nach `s3:PutObject` Berechtigungen für einen S3-Bucket mit obligatorischer KMS-Verschlüsselung ohne `KMS:Encrypt` Berechtigungen für den entsprechenden Schlüssel.
+ Berechtigungen, die sich auf Ressourcen beziehen, die im Konto nicht vorhanden sind.
+ IAM RFCs , bei dem die Beschreibung des RFC nicht mit der Anfrage übereinstimmt.
## RFC-Fehler bei der „Bereitstellung“
Mit den Änderungstypen für die Kategorie „Einsatz“ (CTs) von AMS können Sie beantragen, dass Ihrem Konto verschiedene AMS-unterstützte Ressourcen hinzugefügt werden.
Die meisten AMS CTs , die eine Ressource erstellen, basieren auf CloudFormation Vorlagen. Als Kunde haben Sie Lesezugriff auf alle AWS-Services CloudFormation, einschließlich, Sie können anhand der CloudFormation Stack-Beschreibung mithilfe der Konsole schnell den Stack identifizieren, der Ihren Stack darstellt. CloudFormation Der ausgefallene Stack wird sich wahrscheinlich im Status DELETE\$1COMPLETE befinden. Sobald Sie den CloudFormation Stack identifiziert haben, zeigen Ihnen die Ereignisse, welche spezifische Ressource nicht erstellt werden konnte und warum.
### Verwenden Sie die CloudFormation Dokumentation zur Fehlerbehebung
Die meisten AMS-Bereitstellungen RFCs verwenden eine CloudFormation Vorlage, und diese Dokumentation kann bei der Fehlerbehebung hilfreich sein. In der Dokumentation zu dieser CloudFormation Vorlage finden Sie:
+ Fehler beim Erstellen des Application Load Balancers: [ AWS::ElasticLoadBalancingV2::LoadBalancer (Application Load Balancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html))
+ Auto Scaling Scaling-Gruppe erstellen: [ AWS::AutoScaling::AutoScalingGroup (Auto Scaling-Gruppe)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-group.html)
+ Memcache-Cache erstellen: [ AWS::ElastiCache::CacheCluster (Cache-Cluster)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ Redis-Cache erstellen: [ AWS::ElastiCache::CacheCluster (Cache-Cluster)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ DNS-Hosted Zone erstellen (wird zusammen mit Create DNS private/public verwendet): [ AWS::Route53::HostedZone (](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html)R53 Hosted Zone)
+ [DNS-Datensatzsatz erstellen (wird zusammen mit Create DNS private/public verwendet): (Ressourcendatensätze) AWS::Route53::RecordSet ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-route53-recordset.html)
+ EC2-Stack erstellen: [ AWS::EC2::Instance (Elastic Compute Cloud)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html)
+ Elastisches Dateisystem (EFS) erstellen: [ AWS::EFS::FileSystem (Elastisches Dateisystem)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-efs-filesystem.html)
+ Load Balancer erstellen: [ AWS::ElasticLoadBalancing::LoadBalancer (Elastic Load Balancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html))
+ RDS-Datenbank erstellen: [ AWS::RDS::DBInstance (Relationale](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-rds-database-instance.html) Datenbank)
+ Erstellen Sie Amazon S3: [ AWS::S3::Bucket (Simple Storage Service)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket.html)
+ Warteschlange erstellen: [ AWS::SQS::Queue (Einfacher Warteschlangendienst)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sqs-queues.html)
### Fehler beim Erstellen von AMIs RFC
Ein Amazon Machine Image (AMI) ist eine Vorlage, die eine Softwarekonfiguration enthält (z. B. ein Betriebssystem, einen Anwendungsserver und Anwendungen). Über ein AMI starten Sie eine *Instance*. Hierbei handelt es sich um eine Kopie des AMI, die als virtueller Server in der Cloud ausgeführt wird. AMIs sind sehr nützlich und erforderlich, um EC2-Instances oder Auto Scaling Scaling-Gruppen zu erstellen. Sie müssen jedoch einige Anforderungen beachten:
+ Die Instance, für die Sie angeben, `Ec2InstanceId` muss sich in einem gestoppten Zustand befinden, damit der RFC erfolgreich ist. Verwenden Sie für diesen Parameter keine Auto Scaling Scaling-Gruppeninstanzen (ASG), da die ASG eine gestoppte Instance beendet.
+ Um ein AMS Amazon Machine Image (AMI) zu erstellen, müssen Sie mit einer AMS-Instance beginnen. Bevor Sie die Instance zum Erstellen des AMI verwenden können, müssen Sie sie vorbereiten, indem Sie sicherstellen, dass sie gestoppt und von ihrer Domäne getrennt ist. Einzelheiten finden Sie unter [Erstellen eines standardmäßigen Amazon-Computerabbilds mithilfe von Sysprep](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html#23ami-create-standard)
+ Der Name, den Sie für das neue AMI angeben, muss innerhalb des Kontos eindeutig sein, sonst schlägt der RFC fehl. Wie das geht, ist unter [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html) beschrieben. Weitere Informationen finden Sie unter [AWS AMI Design](https://aws.amazon.com/answers/configuration-management/aws-ami-design/).
**Anmerkung**
Weitere Informationen zur Vorbereitung der AMI-Erstellung finden Sie unter [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html).
### RFCs Erstellen EC2s oder Fehler ASGs
Bei EC2- oder ASG-Ausfällen mit Timeouts empfiehlt AMS, zu überprüfen, ob das verwendete AMI angepasst ist. Falls ja, lesen Sie bitte die Schritte zur AMI-Erstellung in diesem Handbuch (siehe [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)), um sicherzustellen, dass das AMI korrekt erstellt wurde. Ein häufiger Fehler beim Erstellen eines benutzerdefinierten AMI besteht darin, die Schritte im Handbuch zum Umbenennen oder Aufrufen von Sysprep nicht zu befolgen.
### RFCs Erstellen von RDS-Fehlern
Fehler im Amazon Relational Database Service (RDS) können aus vielen verschiedenen Gründen auftreten, da Sie bei der Erstellung des RDS viele verschiedene Engines verwenden können und jede Engine ihre eigenen Anforderungen und Einschränkungen hat. Bevor Sie versuchen, einen AMS-RDS-Stack zu erstellen, überprüfen Sie die AWS-RDS-Parameterwerte sorgfältig, siehe [Erstellen DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html).
Weitere Informationen zu Amazon RDS im Allgemeinen, einschließlich Größenempfehlungen, finden Sie in der [Dokumentation zu Amazon Relational Database Service](https://aws.amazon.com/documentation/rds/).
### RFCs Amazon S3-Fehler erstellen
Ein häufiger Fehler beim Erstellen eines S3-Speicher-Buckets besteht darin, dass kein eindeutiger Name für den Bucket verwendet wird. Wenn Sie einen S3-Bucket Create CT mit demselben Namen wie einen zuvor eingereichten eingereicht haben, würde dies fehlschlagen, da bereits ein S3-Bucket mit diesem Bucket vorhanden wäre BucketName. Dies wird in der CloudFormation Konsole detailliert beschrieben, wo Sie sehen werden, dass das Stack-Ereignis anzeigt, dass der Bucket-Name bereits verwendet wird.
## RFC-Validierung versus Ausführungsfehler
RFC-Fehler und zugehörige Meldungen unterscheiden sich in den Ausgabemeldungen auf der RFC-Detailseite der AMS-Konsole für einen ausgewählten RFC:
+ Die Gründe für Validierungsfehler sind nur im Statusfeld verfügbar
+ Die Gründe für Ausführungsfehler sind sowohl in den Feldern Ausführungsausgabe als auch in den Statusfeldern verfügbar.
![\[Request for change details showing rejected status due to no domain trust found.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/rfcReason.png)
## RFC-Fehlermeldungen
Wenn Sie bei den aufgelisteten Änderungstypen (CTs) auf den folgenden Fehler stoßen, können Sie diese Lösungen verwenden, um die Ursache der Probleme zu finden und sie zu beheben.
`{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}`
Wenn Sie weitere Unterstützung benötigen, nachdem Sie sich mit den folgenden Optionen zur Fehlerbehebung befasst haben, wenden Sie sich über die RFC-Korrespondenz an AMS. Weitere Informationen finden Sie unter [RFC-Korrespondenz und Anhang (Konsole)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence).
### Fehler bei der Workload-Aufnahme (WIGS)
**Anmerkung**
Validierungstools für Windows und Linux können heruntergeladen und direkt auf Ihren lokalen Servern sowie auf EC2-Instances in AWS ausgeführt werden. [Diese finden Sie im *AMS Advanced Application Developer's Guide*[Migrating workloads: Linux pre-ingestion validation und Migrating workloads: Windows pre-ingestion validation](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-linux-validation.html).](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-win-validation.html)
+ Stellen Sie sicher, dass die EC2-Instance im AMS-Zielkonto vorhanden ist. Wenn Sie beispielsweise Ihr AMI von einem Nicht-AMS-Konto für ein AMS-Konto freigegeben haben, müssen Sie in Ihrem AMS-Konto eine EC2-Instance mit dem gemeinsam genutzten AMI erstellen, bevor Sie einen Workload Ingest RFC einreichen können.
+ Prüfen Sie, ob für die mit der Instance verbundenen Sicherheitsgruppen ausgehender Datenverkehr zulässig ist. Der SSM-Agent muss in der Lage sein, eine Verbindung zu seinem öffentlichen Endpunkt herzustellen.
+ Überprüfen Sie, ob die Instanz über die richtigen Berechtigungen verfügt, um eine Verbindung mit dem SSM-Agenten herzustellen. Diese Berechtigungen sind im Lieferumfang enthalten`customer-mc-ec2-instance-profile`. Sie können dies in der EC2-Konsole überprüfen:
![\[EC2 instance details showing IAM role set to customer-mc-ec2-instance-profile.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/ec2ConsoleWCircle.png)
### Fehler beim Stoppen des EC2-Instance-Stacks
+ Prüfen Sie, ob sich die Instance bereits in einem gestoppten oder beendeten Zustand befindet.
+ Wenn die EC2-Instance online ist und Ihnen der `InternalError` Fehler angezeigt wird, senden Sie eine Serviceanfrage an AMS zur Untersuchung.
+ Beachten Sie, dass Sie den Änderungstyp Management \$1 Advanced stack components \$1 EC2 instance stack \$1 Stop ct-3mvvt2zkyveqj nicht verwenden können, um eine Auto Scaling Group (ASG) -Instance zu stoppen. Wenn Sie eine ASG-Instance beenden müssen, reichen Sie eine Serviceanfrage ein.
### Fehler beim Erstellen des EC2-Instanzstapels
Die `InternalError` Nachricht stammt von CloudFormation; ein CREATION\$1FAILED-Statusgrund. Einzelheiten zum Stack-Fehler finden Sie in CloudWatch Stack-Ereignissen, indem Sie die folgenden Schritte ausführen:
+ In der AWS-Managementkonsole können Sie eine Liste von Stack-Ereignissen anzeigen, während Ihr Stack erstellt, aktualisiert oder gelöscht wird. Finden Sie das Fehlerereignis in dieser Liste und sehen dann den Statusgrund für dieses Ereignis an.
Der Statusgrund kann eine Fehlermeldung von AWS CloudFormation oder von einem bestimmten Service enthalten, die Ihnen helfen kann, das Problem zu verstehen.
+ Weitere Informationen zum Anzeigen von Stack-Ereignissen finden Sie unter [ CloudFormation AWS-Stack-Daten und -Ressourcen in der AWS-Managementkonsole anzeigen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html).
### Fehler bei der Wiederherstellung des EC2-Instance-Volumes
AMS erstellt einen internen RFC zur Fehlerbehebung, wenn die Wiederherstellung des EC2-Instance-Volumes fehlschlägt. Dies geschieht, weil die Wiederherstellung des EC2-Instance-Volumes ein wichtiger Bestandteil der Notfallwiederherstellung (DR) ist und AMS diesen internen RFC zur Fehlerbehebung automatisch für Sie erstellt.
Wenn der interne RFC zur Fehlerbehebung erstellt wurde, wird ein Banner mit Links zum RFC angezeigt. Dieser interne RFC zur Fehlerbehebung bietet Ihnen mehr Einblick in RFC-Fehler. Anstatt Wiederholungsversuche zu senden, die zu denselben Fehlern RFCs führen, oder Sie müssen sich wegen dieses Fehlers manuell an AMS wenden, können Sie Ihre Änderungen verfolgen und wissen, dass AMS an dem Fehler arbeitet. Dadurch wird auch die time-to-recovery (TTR) -Metrik für ihre Änderung reduziert, da AMS-Operatoren proaktiv an dem RFC-Fehler arbeiten, anstatt auf Ihre Anfrage zu warten.
## Wie erhalte ich Hilfe bei einem RFC
Sie können sich an AMS wenden, um die Ursache Ihres Fehlers zu ermitteln. Die AMS-Geschäftszeiten sind 24 Stunden am Tag, 7 Tage die Woche, 365 Tage im Jahr.
AMS bietet Ihnen verschiedene Möglichkeiten, um Hilfe zu bitten.
+ Wenn Sie Hilfe bei einem offenen RFC oder einem RFC benötigen, der zwar abgeschlossen, aber falsch war, wenden Sie sich über die bidirektionale RFC-Korrespondenz an AMS. Weitere Informationen finden Sie unter [RFC-Korrespondenz und](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence) Anhang (Konsole).
+ Um ein Leistungsproblem mit dem AWS- oder AMS-Service zu melden, das sich auf Ihre verwaltete Umgebung auswirkt, verwenden Sie die AMS-Konsole und reichen Sie einen Vorfallbericht ein. Einzelheiten finden Sie unter [Einen Vorfall melden](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-report-incident.html). Allgemeine Informationen zum AMS Incident Management finden Sie unter [Reaktion auf Vorfälle](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html).
+ Wenn Sie spezielle Fragen dazu haben, wie Sie oder Ihre Ressourcen oder Anwendungen mit AMS zusammenarbeiten, oder um einen Vorfall zu eskalieren, senden Sie eine E-Mail an eine oder mehrere der folgenden Adressen:
1. Wenn Sie mit der Serviceanfrage oder der Antwort auf den Vorfallbericht nicht zufrieden sind, senden Sie zunächst eine E-Mail an Ihren CSDM: ams-csdm@amazon.com
1. Als Nächstes können Sie, falls eine Eskalation erforderlich ist, eine E-Mail an den AMS Operations Manager senden (aber Ihr CSDM wird das wahrscheinlich tun): ams-opsmanager@amazon.com
1. Eine weitere Eskalation erfolgt an den AMS-Direktor: ams-director@amazon.com
1. Schließlich können Sie den AMS VP immer erreichen: ams-vp@amazon.com
# Direkter Änderungsmodus in AMS
**Topics**
+ [Erste Schritte mit dem Direct Change-Modus](dcm-get-started.md)
+ [Sicherheit und Compliance](dcm-security-n-compliance.md)
+ [Änderungsmanagement im Direct Change-Modus](dcm-change-mgmt.md)
+ [Stapel im Direct Change-Modus erstellen](dcm-creating-stacks.md)
+ [Anwendungsfälle für den Direct Change Mode](dcm-use-cases.md)
Der Direct Change Mode (DCM) von AWS Managed Services (AMS) erweitert das AMS Advanced Change Management um systemeigenen AWS Zugriff auf AMS Advanced Plus- und Premium-Konten zur Bereitstellung und Aktualisierung von AWS Ressourcen. Mit DCM haben Sie die Möglichkeit, native AWS API (Konsole oder CLI/SDK) oder AMS Advanced Change Management Requests for change (RFCs) zu verwenden. In beiden Fällen werden die Ressourcen und Änderungen daran vollständig von AMS unterstützt, einschließlich Überwachung, Patch, Backup und Incident Response Management. Über DCM bereitgestellte Ressourcen werden im AMS Service Knowledge Management System (SKMS) registriert, der von AMS verwalteten Active Directory-Domäne (falls zutreffend) hinzugefügt und führen AMS-Management-Agenten aus. Verwenden Sie vorhandene Tools (z. B. AWS SDK und CDK) CloudFormation, um AMS-verwaltete Stacks zu entwickeln und bereitzustellen. CloudFormation
**Anmerkung**
Durch den Direct Change-Modus wird das AMS-Änderungsmanagement nicht entfernt. RFCs RFCs Mit DCM haben Sie vollen Zugriff auf AMS.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob)
# Erste Schritte mit dem Direct Change-Modus
Überprüfen Sie zunächst die Voraussetzungen und reichen Sie dann einen Änderungsantrag (RFC) in Ihrem berechtigten AMS Advanced-Konto ein.
1. Vergewissern Sie sich, dass das Konto, das Sie mit DCM verwenden möchten, die Anforderungen erfüllt:
+ Das Konto ist AMS Advanced Plus oder Premium.
+ Für das Konto ist Service Catalog nicht aktiviert. Wir unterstützen derzeit nicht das gleichzeitige Onboarding von Konten für DCM und Service Catalog. Wenn Sie bereits bei Service Catalog angemeldet sind, aber an DCM interessiert sind, besprechen Sie Ihre Anforderungen mit Ihrem Cloud Service Delivery Manager (CSDM). Wenn Sie sich dazu entschließen, von Service Catalog zu DCM, Offboard Service Catalog, zu wechseln, fügen Sie die Anfrage in die unten stehende Änderungsanfrage ein. Einzelheiten zum Service Catalog in AMS finden Sie unter [AMS und Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html).
1. Senden Sie eine Änderungsanforderung (RFC) über die Optionen Verwaltung \$1 Verwaltetes Konto \$1 Direkter Änderungsmodus \$1 Änderungstyp aktivieren (ct-3rd4781c2nnhp). [Ein Beispiel für eine exemplarische Vorgehensweise finden Sie unter Direkter Änderungsmodus \$1 Aktivieren.](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)
Nach der Verarbeitung des CT werden die vordefinierten IAM-Rollen `AWSManagedServicesCloudFormationAdminRole` und `AWSManagedServicesUpdateRole` E im angegebenen Konto bereitgestellt.
1. Weisen Sie den Benutzern, die DCM-Zugriff benötigen, mithilfe Ihres internen Verbundprozesses die entsprechende Rolle zu.
**Anmerkung**
Sie können eine beliebige Anzahl von SAMLIdentity Anbietern, AWS Diensten und IAM-Entitäten (Rollen, Benutzer usw.) angeben, um die Rollen zu übernehmen. Sie müssen mindestens ein: `SAMLIdentityProviderARNs``IAMEntityARNs`, oder `AWSServicePrincipals` angeben. Weitere Informationen erhalten Sie von der IAM-Abteilung Ihres Unternehmens oder von Ihrem AMS Cloud Architect (CA).
## IAM-Rollen und -Richtlinien im Direktänderungsmodus
Wenn der Direct Change-Modus in einem Konto aktiviert ist, werden diese neuen IAM-Entitäten bereitgestellt:
`AWSManagedServicesCloudFormationAdminRole`: Diese Rolle gewährt Zugriff auf die CloudFormation Konsole, das Erstellen und Aktualisieren von CloudFormation Stacks, das Anzeigen von Drift-Berichten sowie das Erstellen und Ausführen. CloudFormation ChangeSets Der Zugriff auf diese Rolle wird über Ihren SAML-Anbieter verwaltet.
Folgende verwaltete Richtlinien werden bereitgestellt und der Rolle `AWSManagedServicesCloudFormationAdminRole` zugewiesen:
+ AMS Advanced-Anwendungskonto für mehrere Konten (MALZ)
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ Diese Richtlinie stellt die Berechtigungen dar, die dem gewährt wurden. `AWSManagedServicesCloudFormationAdminRole` Sie und Ihre Partner verwenden diese Richtlinie, um Zugriff auf eine bestehende Rolle im Konto zu gewähren und dieser Rolle das Starten und Aktualisieren von CloudFormation Stacks im Konto zu ermöglichen. Dies kann zusätzliche Aktualisierungen der AMS Service Control Policy (SCP) erfordern, damit andere IAM-Entitäten Stacks starten können. CloudFormation
+ AMS Advanced-Landingzone-Konto (SALZ) mit einem Konto
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ cdk-legacy-mode-s[Inline-Richtlinie] mit 3 Zugriffen
+ AWS ReadOnlyAccess Richtlinie
`AWSManagedServicesUpdateRole`: Diese Rolle gewährt eingeschränkten Zugriff auf nachgelagerte AWS Dienste APIs. Die Rolle wird mit verwalteten Richtlinien bereitgestellt, die mutierende und nicht mutierende API-Operationen bereitstellen, aber im Allgemeinen mutierende Operationen (wieCreate/Delete/PUT) für bestimmte Dienste wie IAM, KMS, VPC, AMS-Infrastrukturressourcen und -konfiguration usw. einschränken. GuardDuty Der Zugriff auf diese Rolle wird über Ihren SAML-Anbieter verwaltet.
Folgende verwaltete Richtlinien werden bereitgestellt und der Rolle `AWSManagedServicesUpdateRole` zugewiesen:
+ AMS Advanced landing zone Anwendungskonto für mehrere Konten
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyPolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2Und RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitik
+ AMS Advanced-Landingzone-Konto mit einem Konto
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2Und RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraRichtlinie 1
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraRichtlinie 2
Darüber hinaus ist der `AWSManagedServicesUpdateRole` Rolle „Verwaltete Richtlinie“ auch die AWS verwaltete Richtlinie `ViewOnlyAccess` zugeordnet.
# Sicherheit und Compliance
Für Sicherheit und Compliance sind AMS Advanced und Sie als unser Kunde gemeinsam verantwortlich. Der AMS Advanced Direct Change-Modus ändert nichts an dieser gemeinsamen Verantwortung.
## Sicherheit im Direct Change-Modus
AMS Advanced bietet zusätzlichen Mehrwert mit einer präskriptiven landing zone, einem Change-Management-System und einer Zugriffsverwaltung. Bei Verwendung des Direct Change-Modus ändert sich dieses Verantwortungsmodell nicht. Sie sollten sich jedoch zusätzlicher Risiken bewusst sein.
Die Rolle „Update“ im Direktänderungsmodus (siehe[IAM-Rollen und -Richtlinien im Direktänderungsmodus](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) bietet erweiterte Berechtigungen, sodass die Entität, die Zugriff darauf hat, Änderungen an den Infrastrukturressourcen der von AMS unterstützten Dienste in Ihrem Konto vornehmen kann. Bei erhöhten Berechtigungen bestehen je nach Ressource, Service und Aktion unterschiedliche Risiken, insbesondere in Situationen, in denen aufgrund eines Versehens, eines Fehlers oder der mangelnden Einhaltung Ihres internen Prozess- und Kontrollrahmens eine falsche Änderung vorgenommen wird.
Gemäß den technischen Standards von AMS wurden die folgenden Risiken identifiziert, und es werden folgende Empfehlungen ausgesprochen. Detaillierte Informationen zu den technischen Standards von AMS finden Sie unter AWS Artifact. Um darauf zuzugreifen AWS Artifact, wenden Sie sich an Ihren CSDM, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS Artifact](https://aws.amazon.com/artifact/getting-started).
**AMS-STD-001: Taggen**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-002: Identity and Access Management (IAM)**
| Normen | Geht es kaputt | Risiken | Empfehlungen |
| --- | --- | --- | --- |
| 4.7 Aktionen, die den Change Management Process (RFC) umgehen, dürfen nicht erlaubt sein, wie z. B. das Starten oder Stoppen einer Instance, das Erstellen von S3-Buckets oder RDS-Instances usw. Konten im Entwicklermodus und Dienste im Self-Service Provisioned Mode (SSPS) sind ausgenommen, solange die Aktionen innerhalb der Grenzen der zugewiesenen Rolle ausgeführt werden. | Ja. Der Zweck von Self-Service-Aktionen ermöglicht es Ihnen, Aktionen unter Umgehung des AMS-RFC-Systems durchzuführen. | Das Modell des sicheren Zugriffs ist ein zentraler technischer Aspekt von AMS, und ein IAM-Benutzer für Konsolen- oder programmatischen Zugriff umgeht diese Zugriffskontrolle. Der Zugriff der IAM-Benutzer wird nicht vom AMS Change Management überwacht. Der Zugriff ist CloudTrail nur angemeldet. | Der IAM-Benutzer sollte zeitlich begrenzt sein und ihm sollten Berechtigungen auf der Grundlage der geringsten Rechte und erteilt werden. need-to-know |
**AMS-STD-003: Netzwerksicherheit**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-007: Protokollierung**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
Arbeiten Sie mit Ihrem internen Autorisierungs- und Authentifizierungsteam zusammen, um die Berechtigungen für die Rollen im Direct Change-Modus entsprechend zu kontrollieren.
## Einhaltung der Vorschriften im Modus „Direkter Wandel“
Der Direct Change-Modus ist sowohl mit produktiven als auch mit produktionsfremden Workloads kompatibel. Es liegt in Ihrer Verantwortung, die Einhaltung aller Compliance-Standards (z. B. PHI, HIPAA, PCI) sicherzustellen und sicherzustellen, dass die Verwendung des Direct Change-Modus Ihren internen Kontrollrahmen und Standards entspricht.
# Änderungsmanagement im Direct Change-Modus
Das Änderungsmanagement ist der Prozess, den AMS Advanced verwendet, um Änderungsanträge zu implementieren. Eine Änderungsanforderung (RFC) ist eine Anfrage, die entweder von Ihnen oder AMS Advanced über die AMS Advanced-Schnittstelle erstellt wird, um eine Änderung an Ihrer verwalteten Umgebung vorzunehmen. Sie enthält eine AMS Advanced-Änderungstyp-ID (CT) für einen bestimmten Vorgang. Weitere Informationen finden Sie unter [Change Management](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html).
**Anmerkung**
Durch den Direct Change-Modus wird das AMS-Änderungsmanagement RFCs nicht entfernt. RFCs Mit DCM haben Sie weiterhin vollen Zugriff auf AMS.
Der AMS Direct Change-Modus (DCM) erweitert das AMS Advanced Change Management, indem er systemeigenen AWS Zugriff auf AMS Advanced Plus- und Premium-Konten ermöglicht, um Ressourcen bereitzustellen und zu aktualisieren AWS . Benutzer, denen über die IAM-Rollen die Berechtigung zum Direct Change-Modus erteilt wurde, können den systemeigenen AWS API-Zugriff verwenden, um Ressourcen in ihren AMS Advanced-Konten bereitzustellen und zu ändern. Die Benutzer können AMS Advanced Change Management weiterhin RFCs mit denselben IAM-Rollen verwenden. In beiden Fällen werden die Ressourcen und deren Änderungen vollständig von AMS unterstützt, einschließlich Überwachung, Patch, Backup und Incident Response Management. Benutzer, die nicht über die entsprechende Rolle in diesen Konten verfügen, müssen den RFC-Prozess AMS Advanced Change Management verwenden, um Änderungen vorzunehmen.
## Anwendungsfälle des Change-Managements
Aus Sicherheitsgründen können einige Änderungen in AMS Advanced nur über den RFC-Prozess (Change Management Request for Change) vorgenommen werden. Der `AWSManagedServicesCloudFormationAdminRole` ist auf Aktionen beschränkt, die durch CloudFormation (CFN) ergriffen wurden. Weitere Informationen zum Erstellen von Stacks mit DCM finden Sie unter [Erstellen von Stacks im Direct Change-Modus](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html). Der `AWSManagedServicesUpdateRole` ist auf die folgenden Aktionen beschränkt.
[Exemplarische Vorgehensweisen für jeden Änderungstyp, einschließlich des Änderungstyps Verwaltung \$1 Verwaltetes Konto \$1 Direkter Änderungsmodus \$1 Aktivieren (ct-3rd4781c2nnhp), finden Sie im Abschnitt „Zusätzliche Informationen“ für den entsprechenden Änderungstyp im Abschnitt *AMS* Advanced Change Type Reference — Änderungstypen nach Klassifizierung.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/dcm-change-mgmt.html)
# Stapel im Direct Change-Modus erstellen
Beim Starten von Stacks CloudFormation mit dem müssen zwei Voraussetzungen erfüllt sein`AWSManagedServicesCloudFormationAdminRole`, damit der Stack von AMS verwaltet werden kann:
+ Die Vorlage muss eine `AmsStackTransform` enthalten.
+ Der Stackname muss mit dem Präfix beginnen, `stack-` gefolgt von einer 17-stelligen alphanumerischen Zeichenfolge.
**Anmerkung**
Um den erfolgreich verwenden zu können`AmsStackTransform`, müssen Sie bestätigen, dass Ihre Stack-Vorlage die `CAPABILITY_AUTO_EXPAND` Fähigkeit enthält, mit der CloudFormation (CFN) den Stack erstellen oder aktualisieren kann. Sie tun dies, indem Sie das `CAPABILITY_AUTO_EXPAND` als Teil Ihrer Create-Stack-Anfrage übergeben. CFN lehnt die Anfrage ab, wenn diese Funktion nicht bestätigt wird, wenn sie in der Vorlage enthalten `AmsStackTransform` ist. Die CFN-Konsole stellt sicher, dass Sie diese Funktion übergeben, wenn Sie die Transformation in Ihrer Vorlage haben. Dies kann jedoch übersehen werden, wenn Sie über deren Funktion mit CFN interagieren. APIs
Sie müssen diese Funktion immer dann weitergeben, wenn Sie die folgenden CFN-API-Aufrufe verwenden:
[CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html)
[ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters)
[UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html)
Beim Erstellen oder Aktualisieren eines Stacks mit DCM werden dieselben Validierungen und Erweiterungen von CFN Ingest und Stack Update CTs auf dem Stack durchgeführt. Weitere Informationen finden Sie unter [CloudFormation Ingest-Richtlinien](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html), bewährte Methoden und Einschränkungen. Die Ausnahme besteht darin, dass die AMS-Standardsicherheitsgruppen (SGs) nicht an eigenständige EC2 Instances oder EC2 Instances in Auto Scaling Scaling-Gruppen (ASGs) angehängt werden. Wenn Sie Ihre CloudFormation Vorlage mit eigenständigen EC2 Instances oder erstellen ASGs, können Sie die Standardinstanz anhängen. SGs
**Anmerkung**
IAM-Rollen können jetzt mit dem erstellt und verwaltet werden. `AWSManagedServicesCloudFormationAdminRole`
Die AMS-Standardeinstellungen SGs verfügen über Eingangs- und Ausgangsregeln, die es ermöglichen, dass die Instances erfolgreich gestartet werden und dass AMS-Operationen und Sie später über SSH oder RDP darauf zugreifen können. Wenn Sie der Meinung sind, dass die AMS-Standardsicherheitsgruppen zu freizügig sind, können Sie Ihre eigenen Regeln SGs mit restriktiveren Regeln erstellen und diese an Ihre Instance anhängen, sofern Sie und AMS-Operationen dadurch weiterhin bei Vorfällen auf die Instance zugreifen können.
Die AMS-Standardsicherheitsgruppen sind die folgenden:
+ SentinelDefaultSecurityGroupPrivateOnly: Kann in der CFN-Vorlage über diesen SSM-Parameter aufgerufen werden `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly`
+ SentinelDefaultSecurityGroupPrivateOnlyEgressAll: Kann in der CFN-Vorlage über diesen SSM-Parameter aufgerufen werden `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll`
## AMS-Transformation
Fügen Sie Ihrer CloudFormation Vorlage eine `Transform` Erklärung hinzu. Dadurch wird ein CloudFormation Makro hinzugefügt, das den Stack beim Start validiert und bei AMS registriert.
**JSON-Beispiel**
```
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
}
```
**YAML-Beispiel**
```
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
```
Fügen Sie die `Transform` Anweisung auch hinzu, wenn Sie die Vorlage eines vorhandenen Stacks aktualisieren.
**JSON-Beispiel**
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Description" : "Create an SNS Topic",
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
},
"Parameters": {
"TopicName": {
"Type": "String",
"Default": "HelloWorldTopic"
}
},
"Resources": {
"SnsTopic": {
"Type": "AWS::SNS::Topic",
"Properties": {
"TopicName": {"Ref": "TopicName"}
}
}
}
}
```
**YAML-Beispiel**
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Create an SNS Topic
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
Parameters:
TopicName:
Type: String
Default: HelloWorldTopic
Resources:
SnsTopic:
Type: AWS::SNS::Topic
Properties:
TopicName: !Ref TopicName
```
## Stack name
Der Stackname muss mit dem Präfix beginnen, `stack-` gefolgt von einer 17-stelligen alphanumerischen Zeichenfolge. Dies dient der Aufrechterhaltung der Kompatibilität mit anderen AMS-Systemen, die auf dem AMS-Stack IDs arbeiten.
Im Folgenden finden Sie Beispiele für Möglichkeiten, einen kompatiblen Stack zu generieren IDs:
Bash:
```
echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)"
```
Python:
```
import string
import random
'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17))
```
Powershell:
```
"stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) )
```
# Anwendungsfälle für den Direct Change Mode
Im Folgenden sind Anwendungsfälle für den Direct Change Mode aufgeführt:
**Bereitstellung und Verwaltung von Ressourcen durch CloudFormation**
+ Integrieren CloudFormation Sie bestehende Tools und Prozesse.
**Kontinuierliches Ressourcenmanagement und Updates**
+ Kleine atomare Veränderungen mit geringem Risiko.
+ Änderungen, die sonst über einen manuellen oder automatisierten RFC laufen würden.
+ Tools, für die systemeigener AWS API-Zugriff erforderlich ist.
+ Die DCM-Rolle kann verwendet werden, wenn Sie sich in der Migrationsphase befinden. Migrationsteams nutzen die Berechtigungen auf dem DCM, um Stacks zu erstellen oder zu ändern.
+ DCM-Rollen können in der CI/CD Pipeline verwendet werden, um neue Aufgaben zu erstellen AMIs, Amazon ECS-Aufgaben zu erstellen usw.
# AMS Advanced-Entwicklermodus
**Topics**
+ [Erste Schritte mit dem AMS Advanced Developer Mode](developer-mode-implement.md)
+ [Sicherheit und Compliance im Entwicklermodus](developer-mode-security-and-compliance.md)
+ [Änderungsmanagement im Entwicklermodus](developer-mode-change-management.md)
+ [Infrastruktur im AMS-Entwicklermodus bereitstellen](developer-mode-provisioning.md)
+ [Detective Controls im AMS-Entwicklermodus](developer-mode-detective-controls.md)
+ [Protokollierung, Überwachung und Ereignisverwaltung im AMS-Entwicklermodus](developer-mode-logging.md)
+ [Vorfallmanagement im AMS-Entwicklermodus](developer-mode-incident-management.md)
+ [Patch-Management im AMS-Entwicklermodus](developer-mode-patch-management.md)
+ [Kontinuitätsmanagement im AMS-Entwicklermodus](developer-mode-continuity.md)
+ [Sicherheits- und Zugriffsmanagement im AMS-Entwicklermodus](developer-mode-security-and-access.md)
Der Entwicklermodus von AWS Managed Services (AMS) verwendet erhöhte Berechtigungen in AMS Advanced Plus- und Premium-Konten, um AWS-Ressourcen außerhalb des AMS Advanced-Change-Management-Prozesses bereitzustellen und zu aktualisieren. Im AMS Advanced Developer-Modus werden dazu native AWS-API-Aufrufe innerhalb der AMS Advanced Virtual Private Cloud (VPC) genutzt, sodass Sie Infrastruktur und Anwendungen in Ihrer verwalteten Umgebung entwerfen und implementieren können.
Wenn Sie ein Konto verwenden, für das der Entwicklermodus aktiviert ist, werden Continuity Management, Patch Management und Change Management für Ressourcen bereitgestellt, die über den AMS Advanced Change Management-Prozess oder mithilfe eines AMS Amazon Machine Image (AMI) bereitgestellt wurden. Diese AMS-Verwaltungsfunktionen werden jedoch nicht für Ressourcen angeboten, die über native Ressourcen bereitgestellt werden. AWS APIs
Sie sind für die Überwachung der Infrastrukturressourcen verantwortlich, die außerhalb des AMS Advanced Change Management-Prozesses bereitgestellt werden. Der Entwicklermodus ist sowohl mit Produktionsworkloads als auch mit Workloads außerhalb der Produktion kompatibel. Mit erweiterten Berechtigungen tragen Sie eine größere Verantwortung dafür, dass die internen Kontrollen eingehalten werden.
**Wichtig**
Ressourcen, die Sie im Entwicklermodus erstellen, können nur dann von AMS Advanced verwaltet werden, wenn sie mithilfe von AMS Advanced-Change-Management-Prozessen erstellt wurden.
Der Entwicklermodus ist einer der AMS-Advanced-Modi, die Sie verwenden können. Weitere Informationen finden Sie unter [Übersicht der Modi](ams-modes-ug.md).
# Erste Schritte mit dem AMS Advanced Developer Mode
Lernen Sie die verschiedenen AMS Advanced-Konten im AMS Advanced-Entwicklermodus kennen und erfahren Sie, wie Sie den Entwicklermodus erfolgreich implementieren.
**Topics**
+ [Bevor Sie beginnen](developer-mode-faqs.md)
+ [Voraussetzungen für den Entwicklermodus](#developer-mode-implement-prerequisites)
+ [Wie implementiert man den Entwicklermodus](#developer-mode-implement-steps)
+ [Berechtigungen für den Entwicklermodus](#developer-mode-role)
# Bevor Sie mit dem AMS-Entwicklermodus beginnen
Bevor Sie den Entwicklermodus implementieren, sollten Sie einige Dinge wissen.
AMS Advanced kann keine vorhandenen Stacks oder Ressourcen in einem DevMode Konto verwalten, die außerhalb des AMS Advanced-Änderungsverwaltungsprozesses durch Änderungsanforderungen (RFCs) erstellt wurden. Solange das Konto aktiv ist, verwaltet AMS Advanced jedoch weiterhin die Ressourcen DevMode, die im Rahmen des AMS Advanced-Change-Management-Prozesses mit bereitgestellt wurden. RFCs
Sie können nicht mit einem DevMode Konto beginnen und es später in ein von AMS Advanced verwaltetes Anwendungskonto umwandeln.
## Voraussetzungen für den AMS-Entwicklermodus
Im Folgenden sind die Voraussetzungen für die Implementierung des Entwicklermodus aufgeführt:
+ Sie müssen ein AMS Advanced-Kunde mit mindestens einem integrierten AMS Advanced Plus- oder Premium-Konto sein.
+ Bei jedem Konto, das Sie verwenden, muss es sich um ein AMS Advanced Plus- oder Premium-Konto handeln.
+ **Multi-Account Landing Zone (MALZ)**: Sie müssen die `AWSManagedServicesDevelopmentRole` vordefinierte Rolle AWS Identity and Access Management (IAM) verwenden. Sie fordern diese Rolle an. Im nächsten Abschnitt wird beschrieben, wie Sie Berechtigungen für den Entwicklermodus erwerben.
+ **Single-Account Landing Zone (SALZ)**: Sie müssen die `customer_developer_role` vordefinierte Rolle AWS Identity and Access Management (IAM) verwenden. Sie fordern diese Rolle an. Im nächsten Abschnitt wird beschrieben, wie Sie Berechtigungen für den Entwicklermodus erwerben.
## Wie implementiert man den AMS Advanced Developer-Modus
Sie implementieren den Entwicklermodus, indem Sie beantragen, dass Ihrem berechtigten AMS Advanced-Konto die vordefinierte IAM-Rolle zugewiesen wird:
+ **MALZ:** `AWSManagedServicesDevelopmentRole`
+ **SALZ**: `customer_developer_role`
Anschließend weisen Sie die Rolle den entsprechenden Benutzern in Ihrem Verbundnetzwerk zu.
AMS Advanced empfiehlt, dass Sie sicherstellen, dass Ihre Verwendung des Entwicklermodus Ihren internen Kontrollrahmen und Standards entspricht, da der Entwicklermodus zwei Arten von Änderungen bewirkt: AMS Advanced Change Management für von AMS Advanced verwaltete Ressourcen und kundenverwalteter Rollenverbund für Ressourcen, die Sie als unser Kunde verwalten. Die Prozesse von AMS Advanced entsprechen zwar weiterhin unseren Erklärungen, aber die Kundenprozesse und Kontrollrahmen müssen möglicherweise aktualisiert werden.
**Um den Entwicklermodus in Ihrem AMS Advanced-Konto zu implementieren**
1. Vergewissern Sie sich, dass das Konto, das Sie im Entwicklermodus verwenden möchten, die unter aufgeführten Anforderungen erfüllt[Voraussetzungen für den AMS-Entwicklermodus](#developer-mode-implement-prerequisites).
1. Senden Sie eine Änderungsanforderung (RFC) mit dem Änderungstyp (CT) Management \$1 Verwaltetes Konto \$1 Entwicklermodus \$1 Aktivieren (verwaltete Automatisierung). Ein Beispiel für die Verwendung dieses CT finden Sie unter [Entwicklermodus \$1 Aktivieren (Managed Automation)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html).
Nach der Verarbeitung des CT wird die vordefinierte IAM-Rolle (`AWSManagedServicesDevelopmentRole`für **MALZ**, `customer_developer_role` für **SALZ**) im angeforderten Konto bereitgestellt.
1. Weisen Sie den Benutzern, die Zugriff auf den Entwicklermodus benötigen, mithilfe Ihres internen Verbundprozesses die entsprechende Rolle zu.
AMS Advanced empfiehlt, den Zugriff einzuschränken, um eine ungewollte oder nicht genehmigte Bereitstellung oder Änderung von Ressourcen zu verhindern.
## Berechtigungen für den AMS Advanced-Entwicklermodus
Die vordefinierte Rolle (`AWSManagedServicesDevelopmentRole`für **MALZ**, `customer_developer_role` für **SALZ**) gewährt die Berechtigung zur Erstellung von Anwendungsinfrastrukturressourcen innerhalb der AMS Advanced VPC, einschließlich IAM-Rollen, und schränkt gleichzeitig den Zugriff auf *Shared Service-Komponenten* ein, die von AMS Advanced betrieben werden (z. B. Management-Hosts, Domain-Controller, Trend Micro EPS, Bastions und nicht unterstützte AWS-Services). Die Rolle schränkt auch den Zugriff auf Folgendes ein AWS-Services: Amazon- GuardDuty, AWS Organizations AWS Directory Service APIs, und AMS Advanced-Protokolle.
Mit der Rolle können Sie zwar zusätzliche IAM-Rollen erstellen, aber die gleichen Berechtigungsgrenzen, die im Zugriff im Entwicklermodus enthalten sind, gelten auch für alle IAM-Rollen, die von der erstellt wurden. `AWSManagedServicesDevelopmentRole`
# Sicherheit und Compliance im Entwicklermodus
Für Sicherheit und Compliance sind AMS Advanced und Sie als Kunde gemeinsam verantwortlich. Im erweiterten Entwicklermodus von AMS wird Ihnen die gemeinsame Verantwortung für Ressourcen übertragen, die außerhalb des Change-Management-Prozesses oder im Rahmen des Change-Managements bereitgestellt, aber mit den Berechtigungen im Entwicklermodus aktualisiert wurden. Weitere Informationen zur gemeinsamen Verantwortung finden Sie unter [AWS Managed Services](https://aws.amazon.com/managed-services/).
**Vorsichtsmaßnahmen:**
+ DevMode ermöglicht es Ihnen und Ihrem autorisierten Team, die deny-by-default Prinzipien zu umgehen, die den Kern der AMS-Sicherheit bilden. Die Vorteile, Self-Service und weniger Wartezeit auf AMS, müssen gegen die Nachteile abgewogen werden. Jeder kann unerwartete und zerstörerische Aktionen durchführen, ohne das Wissen seines Sicherheitsteams zu haben. Automatisierte Änderungstypen zur Aktivierung des Dev-Modus und des Direct Change-Modus sind verfügbar, und jede autorisierte Person in Ihrer Organisation kann diese Änderungen ausführen CTs und diese Modi aktivieren.
+ Sie sind dafür verantwortlich, die Berechtigungen für die CT-Ausführung von Ihrer Benutzerbasis aus zu verwalten.
+ AMS verwaltet keine CT-Ausführungsberechtigungen
**Empfehlungen:**
+ **Schützen**
+ Kunden können den Zugriff auf dieses CT mithilfe von Zugriffsberechtigungen verhindern. Weitere Informationen finden Sie unter [Einschränken von Berechtigungen mithilfe von IAM-Rollenrichtlinienerklärungen](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ Verhindern Sie den Zugriff auf dieses CT, indem Sie einen Proxy, z. B. ein ITSM-System, implementieren
+ Verwenden Sie Richtlinien zur Servicesteuerung (SCPs), die bei Bedarf Richtlinien und Verhaltensweisen verhindern, siehe [AMS Preventative and Detective Controls Library](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)
+ **Erkennen**
+ Überwachen Sie Ihre RFCs darauf, dass diese ausgeführt werden CTs (Entwicklermodus aktivieren ct-1opjmhuddw194 und Direktänderungsmodus, Aktivieren Sie ct-3rd4781c2nnhp) und reagieren Sie entsprechend
+ Prüfen Sie, überprüfen Sie Ihre Konten auf das Vorhandensein der and/or IAM-Ressourcen, um die Konten zu identifizieren, für die der Entwicklermodus oder der Direktänderungsmodus bereitgestellt wurden
+ **Reagieren Sie**
+ Entfernen Sie nach Bedarf Konten im Entwicklermodus
## Sicherheit im Entwicklermodus
AMS Advanced bietet zusätzlichen Mehrwert mit einer präskriptiven landing zone, einem Change-Management-System und einer Zugriffsverwaltung. Bei Verwendung des Entwicklermodus wird der Sicherheitswert von AMS Advanced beibehalten, indem dieselbe Kontokonfiguration wie die standardmäßigen AMS Advanced-Konten verwendet wird, mit der das standardmäßige, sicherheitsverstärkte AMS Advanced-Netzwerk eingerichtet wird. Das Netzwerk ist durch die in der Rolle festgelegten Berechtigungsgrenzen geschützt (`AWSManagedServicesDevelopmentRole`für **MALZ**, `customer_developer_role` für **SALZ**). Dadurch wird verhindert, dass der Benutzer den bei der Einrichtung des Kontos festgelegten Parameterschutz aufhebt.
Benutzer mit dieser Rolle können beispielsweise auf Amazon Route 53 zugreifen, aber die interne Hosting-Zone von AMS Advanced ist eingeschränkt. Dieselben Berechtigungsgrenzen werden für eine IAM-Rolle durchgesetzt`AWSManagedServicesDevelopmentRole`, die von der erstellt wurde. Dadurch wird verhindert, `AWSManagedServicesDevelopmentRole` dass der Benutzer den Parameterschutz aufhebt, der beim Onboarding des Kontos in AMS Advanced eingerichtet wurde.
## Einhaltung von Vorschriften im Entwicklermodus
Der Entwicklermodus ist sowohl mit Produktionsworkloads als auch mit Workloads außerhalb der Produktion kompatibel. Es liegt in Ihrer Verantwortung, die Einhaltung aller Compliance-Standards (z. B. PHI, HIPAA, PCI) sicherzustellen und sicherzustellen, dass die Verwendung des Entwicklermodus Ihren internen Kontrollrahmen und Standards entspricht.
# Änderungsmanagement im Entwicklermodus
Change Management ist der Prozess, den der AMS Advanced-Service verwendet, um Änderungsanforderungen zu implementieren. Eine Änderungsanforderung (RFC) ist eine Anfrage, die entweder von Ihnen oder AMS Advanced über die AMS Advanced-Schnittstelle erstellt wird, um eine Änderung an Ihrer verwalteten Umgebung vorzunehmen. Sie enthält eine Change Type (CT) -ID für einen bestimmten Vorgang. Weitere Informationen finden Sie unter [Verwaltungsmodi ändern](using-change-management.md).
Die Änderungsverwaltung wird bei AMS Advanced-Konten, für die Berechtigungen im Entwicklermodus gewährt werden, nicht durchgesetzt. Benutzer, denen die Berechtigung für den Entwicklermodus mit der IAM-Rolle (`AWSManagedServicesDevelopmentRole`für **MALZ**, `customer_developer_role` für **SALZ**) erteilt wurde, können den systemeigenen AWS API-Zugriff verwenden, um Ressourcen in ihren AMS Advanced-Konten bereitzustellen und zu ändern. Benutzer, die nicht über die entsprechende Rolle in diesen Konten verfügen, müssen den AMS-Advanced-Change-Management-Prozess verwenden, um Änderungen vorzunehmen.
**Wichtig**
Ressourcen, die Sie im Entwicklermodus erstellen, können nur dann von AMS Advanced verwaltet werden, wenn sie mithilfe von AMS Advanced-Change-Management-Prozessen erstellt wurden. An AMS Advanced eingereichte Änderungsanträge für Ressourcen, die außerhalb des AMS Advanced-Change-Management-Prozesses erstellt wurden, werden von AMS Advanced abgelehnt, da sie von Ihnen bearbeitet werden müssen.
## API-Einschränkungen für Self-Service-Bereitstellungsdienste
Alle selbst bereitgestellten AMS Advanced-Dienste werden im Entwicklermodus unterstützt. Der Zugriff auf selbst bereitgestellte Dienste unterliegt den Einschränkungen, die in den jeweiligen Abschnitten des Benutzerhandbuchs beschrieben sind. Wenn ein selbst bereitgestellter Dienst mit Ihrer Rolle im Entwicklermodus nicht verfügbar ist, können Sie über den Änderungstyp Entwicklermodus eine aktualisierte Rolle anfordern.
Die folgenden Dienste bieten keinen vollen Zugriff auf den Dienst: APIs
**Self-Provisioned Services: Eingeschränkt im Entwicklermodus**
| Service | Hinweise |
| --- | --- |
| Amazon API Gateway | Alle APIs Gateway-Aufrufe sind zulässig, außer `SetWebACL` |
| Application Auto Scaling | Es können nur skalierbare Ziele registriert oder deregistriert und eine Skalierungsrichtlinie hinzugefügt oder gelöscht werden. |
| AWS CloudFormation | Es kann nicht auf CloudFormation Stacks zugegriffen oder diese geändert werden, denen ein Name als Präfix vorangestellt ist. `mc-` |
| AWS CloudTrail | Es kann nicht auf CloudTrail Ressourcen zugegriffen oder diese geändert werden, denen ein Name als Präfix vorangestellt ist. `ams-` and/or `mc-` |
| Amazon Cognito (Benutzerpools) | Softwaretoken können nicht verknüpft werden. Benutzerpools, Benutzerimportaufträge, Ressourcenserver oder Identitätsanbieter können nicht erstellt werden. |
| AWS Directory Service | Nur die folgenden Directory Service Aktionen sind für die `Connect` `WorkSpaces` Dienste erforderlich. Alle anderen Verzeichnisdienst-Aktionen werden durch die Berechtigungsgrenzrichtlinie für den Entwicklermodus verweigert: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/developer-mode-change-management.html) Bei landing zone Zone-Konten mit einem Konto verweigert die Boundary-Policy ausdrücklich den Zugriff auf das verwaltete AMS Advanced-Verzeichnis, das von AMS Advanced zur Aufrechterhaltung des Zugriffs auf Konten mit aktiviertem Dev-Modus verwendet wird. |
| Amazon Elastic Compute Cloud | Es kann nicht auf Amazon EC2 APIs zugegriffen werden, die die Zeichenfolge: `DhcpOptions``Gateway`,`Subnet`,`VPC`, und enthalten`VPN`. Es kann nicht auf EC2 Amazon-Ressourcen zugegriffen oder diese geändert werden, denen ein Tag mit dem Präfix`AMS`,, `mc``ManagementHostASG`, and/or `sentinel` vorangestellt ist. |
| Amazon EC2 (Berichte) | Es wird nur Lesezugriff gewährt (kann nicht geändert werden). Hinweis: Amazon EC2 Reports zieht um. Der Menüpunkt **Berichte** wird aus dem Navigationsmenü der EC2 Amazon-Konsole entfernt. Um Ihre EC2 Amazon-Nutzungsberichte nach der Entfernung einzusehen, verwenden Sie die AWS Billing und Cost Management-Konsole. |
| AWS Identity and Access Management (IAM) | Bestehende Berechtigungsgrenzen können nicht gelöscht oder die Kennwortrichtlinien für IAM-Benutzer geändert werden. **IAM-Ressourcen können nur erstellt oder geändert werden, wenn Sie die richtige IAM-Rolle (`AWSManagedServicesDevelopmentRole`für **MALZ, `customer_developer_role` für SALZ**) verwenden.** IAM-Ressourcen mit dem Präfix:,,, können nicht geändert werden. `ams` `mc` `customer_deny_policy` and/or `sentinel` Beim Erstellen einer neuen IAM-Ressource (Rolle, Benutzer oder Gruppe) muss die Berechtigungsgrenze (**MALZ**:`AWSManagedServicesDevelopmentRolePermissionsBoundary`, **SALZ**:`ams-app-infra-permissions-boundary`) angehängt werden. |
| AWS Key Management Service (AWS KMS) | Auf von AMS Advanced verwaltete KMS-Schlüssel kann nicht zugegriffen oder diese geändert werden. |
| AWS Lambda | Es kann nicht auf AWS Lambda Funktionen zugegriffen oder diese geändert werden, denen das Präfix vorangestellt ist. `AMS` |
| CloudWatch Logs | Auf CloudWatch Protokollstreams mit dem Präfix:,`mc`, `aws``lambda`, and/or `AMS` kann nicht zugegriffen werden. |
| Amazon Relational Database Service (Amazon RDS) | Auf Amazon Relational Database Service (Amazon RDS) -Datenbanken (DBs) mit dem Präfix: kann nicht zugegriffen oder diese geändert werden. `mc-` |
| AWS -Ressourcengruppen | Kann nur auf `Get` API-Aktionen `List` und `Search` Resource Group zugreifen. |
| Amazon Route 53 | Auf die von Route53 AMS Advanced verwalteten Ressourcen kann nicht zugegriffen oder diese geändert werden. |
| Amazon S3 | Es kann nicht auf Amazon S3 S3-Buckets zugegriffen werden, denen ein Name mit dem Präfix:`ams-*`, `ams``ms-a`, oder vorangestellt ist. `mc-a` |
| AWS -Security-Token-Service | Die einzige zulässige Sicherheitstoken-Dienst-API ist. `DecodeAuthorizationMessage` |
| Amazon SNS | Es kann nicht auf SNS-Themen zugegriffen werden, denen ein Name mit dem Präfix: `AMS-``Energon-Topic`, oder vorangestellt ist. `MMS-Topic` |
| AWS Systems Manager Manager (SSM) | SSM-Parameter mit `ams` dem Präfix, oder können nicht geändert werden. `mc` `svc` Die SSM-API `SendCommand` kann nicht für EC2 Amazon-Instances verwendet werden, denen ein Tag mit `ams` dem Präfix oder vorangestellt ist. `mc` |
| AWS Taggen | Sie haben nur Zugriff auf AWS Tagging-API-Aktionen, denen das Präfix vorangestellt ist. `Get` |
| AWS Lake Formation | Die folgenden AWS Lake Formation API-Aktionen werden verweigert: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | Sie können nur die Elastic Inference API-Aktion `elastic-inference:Connect` aufrufen. Diese Berechtigung ist in der Datei enthalten`customer_sagemaker_admin_policy`, die dem `customer_sagemaker_admin_role` beigefügt ist. Mit dieser Aktion erhalten Sie Zugriff auf den Elastic Inference Accelerator. |
| AWS Shield | Kein Zugriff auf einen dieser Dienste APIs oder Konsolen. |
| Amazon Simple Workflow Service | Kein Zugriff auf diese Dienste APIs oder Konsolen. |
# Infrastruktur im AMS-Entwicklermodus bereitstellen
Benutzer, die nicht über die IAM-Rolle im Entwicklermodus verfügen, müssen in Konten`AWSManagedServicesDevelopmentRole`, in denen der Entwicklermodus aktiviert ist, den AMS-Advanced-Change-Management-Prozess befolgen, der AMS Advanced nutzt. AMIs Benutzer mit der richtigen Rolle (**MALZ**:`AWSManagedServicesDevelopmentRole`, **SALZ**:`customer_developer_role`) können das AMS Advanced Change Management System und AMS Advanced verwenden, sind AMIs aber nicht dazu verpflichtet.
**Anmerkung**
Ein AWS AMI, das nicht über AMS Advanced Workload Ingestion verarbeitet oder in einem AMS Advanced-Konto erstellt wurde, enthält keine für AMS Advanced erforderlichen Konfigurationen.
# Detective Controls im AMS-Entwicklermodus
Dieser Abschnitt wurde redigiert, da er sensible sicherheitsrelevante AMS-Informationen enthält. **Diese Informationen sind in der AMS-Konsolendokumentation verfügbar.** Um auf AWS Artifact zuzugreifen, können Sie sich an Ihren CSDM wenden, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Protokollierung, Überwachung und Ereignisverwaltung im AMS-Entwicklermodus
Protokollierung, Überwachung und Ereignisverwaltung sind nicht für Ressourcen verfügbar, die außerhalb des AMS Advanced Change Management-Prozesses bereitgestellt wurden, oder für Ressourcen, die über das Änderungsmanagement bereitgestellt und dann von einem Konto mit Berechtigungen im Entwicklermodus geändert wurden.
# Vorfallmanagement im AMS-Entwicklermodus
Keine Änderung der Reaktionszeiten bei Vorfällen. Für Ressourcen, die außerhalb des Change-Management-Prozesses bereitgestellt wurden, oder für Ressourcen, die über das Änderungsmanagement bereitgestellt und dann von einem Konto mit den Berechtigungen im Entwicklermodus geändert wurden, ist die Lösung eines Vorfalls nach bestem Wissen möglich.
**Anmerkung**
Das AMS Service Level Agreement (SLA) gilt nicht für Ressourcen, die außerhalb des AMS-Change-Management-Systems erstellt oder aktualisiert wurden (Änderungsanforderungen oder RFCs), einschließlich des Entwicklermodus. Daher werden Ressourcen, die im Entwicklermodus aktualisiert oder erstellt wurden, automatisch auf P3 heruntergestuft, und AMS-Support ist nach bestem Bemühen möglich.
# Patch-Management im AMS-Entwicklermodus
Patch-Management ist nicht für Ressourcen verfügbar, die außerhalb des AMS Advanced-Change-Management-Prozesses bereitgestellt wurden, oder für Ressourcen, die über das Änderungsmanagement bereitgestellt und dann von einem Konto mit Berechtigungen im Entwicklermodus geändert wurden. Zeiten für Patches:
+ Für ein wichtiges Sicherheitsupdate: Innerhalb von 10 Werktagen nach der Veröffentlichung durch den Anbieter für Ressourcen, die über das Änderungsmanagement bereitgestellt und dann von einem Konto mit Berechtigungen im Entwicklermodus geändert wurden.
+ Für ein wichtiges Update: Innerhalb von 2 Monaten nach der Veröffentlichung durch den Anbieter für Ressourcen, die über das Änderungsmanagement bereitgestellt und dann über ein Konto mit Berechtigungen im Entwicklermodus geändert wurden.
# Kontinuitätsmanagement im AMS-Entwicklermodus
Continuity Management ist nicht für Ressourcen verfügbar, die außerhalb des AMS Advanced-Change-Management-Prozesses bereitgestellt wurden, oder für Ressourcen, die über das Änderungsmanagement bereitgestellt und dann von einem Konto mit Berechtigungen im Entwicklermodus geändert wurden.
Bei Ressourcen, die außerhalb des AMS Advanced-Change-Management-Prozesses bereitgestellt wurden, oder bei Ressourcen, die über das Änderungsmanagement bereitgestellt und dann von einem Konto mit Berechtigungen im Entwicklermodus geändert wurden, kann die Initiierungszeit für die Wiederherstellung der Umgebung bis zu 12 Stunden in Anspruch nehmen.
# Sicherheits- und Zugriffsmanagement im AMS-Entwicklermodus
Für den Schutz vor Schadsoftware sind Sie für Ressourcen verantwortlich, die außerhalb des AMS Advanced-Change-Management-Prozesses bereitgestellt wurden, oder für Ressourcen, die über das Änderungsmanagement bereitgestellt und dann von einem Konto mit Berechtigungen im Entwicklermodus geändert wurden. Der Zugriff auf Amazon Elastic Compute Cloud (Amazon EC2) -Instances, die nicht über AMS Advanced Change Management bereitgestellt werden, kann durch Schlüsselpaare gesteuert werden, anstatt einen Verbundzugriff bereitzustellen.
# Self-Service-Bereitstellungsmodus in AMS
Der Self-Service Provisioning (SSP) -Modus von AWS Managed Services (AMS) bietet vollen Zugriff auf native AWS Service- und API-Funktionen in AMS-verwalteten Konten. Sie greifen über standardisierte, auf bestimmte Bereiche zugeschnittene Rollen auf Services zu. AWS Identity and Access Management AMS bietet Serviceanfragen und das Management von Vorfällen. Warnmeldungen, Überwachung, Protokollierung, Patches, Backups und Änderungsmanagement liegen in Ihrer Verantwortung. In vielen Fällen werden Self-Service Provisioning Services (SSPS) selbst oder serverlos verwaltet und erfordern keine Verwaltung bestimmter betrieblicher Aufgaben wie das Patchen. Sie profitieren von der Nutzung dieser Services innerhalb der durch AMS-Guardrails definierten Umgebungsgrenzen. Alle IAM-Änderungen (einschließlich serviceverknüpfter Rollen, Servicerollen, kontoübergreifender Rollen oder Richtlinienaktualisierungen) müssen von AMS Operations genehmigt werden, um die grundlegende Sicherheit der Plattform aufrechtzuerhalten. Sie können CloudFormation Vorlagen verwenden, um die Bereitstellung dieser Dienste zu automatisieren. Dies wird jedoch nicht für alle SSP-Dienste unterstützt.
**Wichtig**
Verwenden Sie den SSP-Modus in Ihren AWS Managed Services (AMS) -Konten, um auf AWS Services zuzugreifen und diese zu nutzen, mit den angegebenen Einschränkungen.
Es gibt einige AWS-Services , die Sie ohne AMS-Verwaltung in Ihrem AMS-Konto verwenden können. Die Dienste im Self-Service Provisioning-Modus, kurz SSPS, werden im Abschnitt beschrieben, wie Sie sie zu Ihrem AMS-Konto hinzufügen können und FAQs für welche Dienste.
Self-Service Provisioning Services werden so angeboten, wie sie sind, und Sie sind für deren Verwaltung verantwortlich. AMS bietet keine Benachrichtigungen, Überwachungs-, Protokollierungs- oder Patching-Funktionen für die Ressourcen, die mit diesen Diensten verknüpft sind. AMS bietet IAM-Rollen, mit denen Sie den Dienst in Ihrem AMS-Konto sicher nutzen können. AMS gelten SLAs nicht.
Für Ressourcen, die Sie über Self-Service bereitstellen, bietet AMS Vorfallmanagement, detektive Kontrollen und Leitplanken, Berichterstattung, zugewiesene Ressourcen (Cloud Service Delivery Manager und Cloud Architect), Sicherheit und Zugriff sowie technischen Support bei Serviceanfragen. Darüber hinaus übernehmen Sie gegebenenfalls die Verantwortung für das Kontinuitätsmanagement, das Patch-Management, die Infrastrukturüberwachung und das Änderungsmanagement für Ressourcen, die außerhalb des AMS-Change-Management-Systems bereitgestellt oder konfiguriert wurden.
# Erste Schritte mit dem SSP-Modus in AMS
Self-Service Provisioning ist einer der AMS-Modi für die Multi-Account-Landing landing zone (MALZ), die Sie verwenden können. Weitere Informationen finden Sie unter [Übersicht der Modi](ams-modes-ug.md).
Um Funktionen zur Self-Service-Bereitstellung bereitzustellen, hat AMS erweiterte IAM-Rollen mit Rechtegrenzen eingerichtet, um unbeabsichtigte Änderungen durch direkten Zugriff zu verhindern. AWS-Service Die Rollen verhindern nicht alle Änderungen, und Sie müssen Ihre internen Kontrollen und Compliance-Richtlinien einhalten und sicherstellen, dass alle AWS-Services verwendeten Rollen die erforderlichen Zertifizierungen erfüllen. Dies ist der Self-Service-Bereitstellungsmodus. [Einzelheiten zu den AWS Compliance-Anforderungen finden Sie unter AWS Compliance.](https://aws.amazon.com/compliance/)
Um Ihrem Landingzone-Anwendungskonto mit mehreren Konten einen Self-Service Provisioning Service hinzuzufügen, verwenden Sie den Befehl **Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Änderungstyp hinzufügen** (CT), entweder den für die Prüfung erforderlichen CT oder den automatisierten CT, wie für den Service angegeben.
**Anmerkung**
Um zu beantragen, dass AMS einen zusätzlichen Self-Service-Bereitstellungsservice anbietet, reichen Sie eine Serviceanfrage ein.
# Verwenden Sie AMS SSP, um Amazon API Gateway in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon API Gateway zuzugreifen. [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) ist ein vollständig verwalteter Service, der Entwicklern die Erstellung, Veröffentlichung, Wartung, Überwachung und Sicherung APIs in jeder Größenordnung erleichtert. Mithilfe von können AWS-Managementkonsole Sie REST erstellen WebSocket APIs , die als Eingangstür für Anwendungen dienen, um auf Daten, Geschäftslogik oder Funktionen aus Ihren Back-End-Services zuzugreifen, z. B. Workloads, die auf Amazon Elastic Compute Cloud ([Amazon EC2](https://aws.amazon.com/ec2/)) ausgeführt werden, Code, der auf [AWS Lambda](https://aws.amazon.com/lambda/)beliebigen Webanwendungen ausgeführt wird, oder Echtzeitkommunikationsanwendungen.
API Gateway übernimmt alle Aufgaben, die mit der Annahme und Verarbeitung von bis zu Hunderttausenden von gleichzeitigen API-Aufrufen verbunden sind, einschließlich Verkehrsmanagement, Autorisierung und Zugriffskontrolle, Überwachung und API-Versionsverwaltung. Für API Gateway fallen keine Mindestgebühren oder Startkosten an. Sie zahlen nur für die API-Aufrufe, die Sie erhalten, und die Menge der übertragenen Daten. Mit dem gestaffelten Preismodell von API Gateway können Sie Ihre Kosten senken, wenn Ihre API-Nutzung steigt. Weitere Informationen finden Sie unter [Amazon API Gateway](https://aws.amazon.com/api-gateway/).
## Häufig gestellte Fragen: API Gateway in AMS
**F: Wie beantrage ich Zugriff auf Amazon API Gateway in meinem AMS-Konto?**
Fordern Sie Zugriff auf API Gateway an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_apigateway_author_role` `customer_apigateway_cloudwatch_role` Konto die folgenden IAM-Rollen zur Verfügung: und. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rollen in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon API Gateway in meinem AMS-Konto?**
+ Die API-Gateway-Konfiguration ist auf Ressourcen ohne `AMS-` `MC-` Präfixe beschränkt, um Änderungen an der AMS-Infrastruktur zu verhindern.
+ `CREATE`Die Rechte für VPCLink sind deaktiviert, um die unregulierte Erstellung von Elastic Load Balancers zu verhindern. Falls VPCLinks erforderlich, finden Sie weitere Informationen unter [Application Load Balancer \$1 Erstellen](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-application-load-balancer-create.html).
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon API Gateway in meinem AMS-Konto?**
Dies hängt von der Art des API Gateway ab, das Sie bereitstellen möchten. Es kann sich um einen eigenständigen Dienst handeln, er kann aber auch Zugriff auf bestehende Dienste (z. B. Network Load Balancer) anfordern.
# Verwenden Sie AMS SSP, um Alexa for Business in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf Funktionen von Alexa for Business zuzugreifen. Alexa for Business ist ein Dienst, der es Ihrem Unternehmen und Ihren Mitarbeitern ermöglicht, Alexa zu verwenden, um mehr Arbeit zu erledigen. Mit Alexa for Business können Sie Alexa als intelligenten Assistenten verwenden, um in Besprechungsräumen, an Ihrem Schreibtisch und sogar mit den Alexa-Geräten, die Sie bereits zu Hause oder unterwegs verwenden, produktiver zu sein. IT- und Facility-Manager können Alexa for Business verwenden, um die Auslastung der vorhandenen Besprechungsräume an ihrem Arbeitsplatz zu messen und zu erhöhen.
Weitere Informationen finden Sie unter [Alexa for Business](https://aws.amazon.com/alexaforbusiness/).
## Häufig gestellte Fragen zu Alexa for Business in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Alexa for Business in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Dienst \$1 Selbst bereitgestellter Dienst \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_alexa_console_role` Konto die folgende IAM-Rolle zur Verfügung:. A `customer_alexa_device_setup_user` wird auch für das von Alexa for Business bereitgestellte Device Setup Tool erstellt. Dieses Device Setup Tool kann dann zur Einrichtung Ihrer Geräte verwendet werden. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rollen in Ihre Verbundlösung integrieren.
Mit dem Alexa for Business-Gateway können Sie Alexa for Business mit Ihren Endpunkten der Cisco Webex- und Poly Group-Serie verbinden, um Besprechungen mit Ihrer Stimme zu steuern. Die Gateway-Software läuft auf Ihrer lokalen Hardware und leitet Konferenzanweisungen von Alexa for Business sicher an Ihren Cisco-Endpunkt weiter. Das Gateway benötigt zwei Paare von AWS Anmeldeinformationen, um mit Alexa for Business zu kommunizieren. Wir bieten zwei IAM-Benutzer mit beschränktem Zugriff: `customer_alexa_gateway_installer_user` und `customer_alexa_gateway_execution_user` für Ihre Alexa for Business-Gateways einen für die Installation des Gateways und einen für den Betrieb des Gateways. Diese können angefordert werden, indem Sie einen RFC mit dem Änderungstyp Deployment \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 Create Entity or Policy (Managed Automation) einreichen (ct-3dpd8mdd9jn1r).
**Anmerkung**
Um Nutzungsberichte zu generieren und an Amazon S3 zu senden, geben Sie den Amazon S3 S3-Bucket-Namen im RFC für den selbst bereitgestellten Service an.
**F: Welche Einschränkungen gelten für die Nutzung von Alexa for Business in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Alexa for Business ist mit der selbst bereitgestellten Servicerolle Alexa for Business verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Alexa for Business in meinem AMS-Konto?**
+ Wenn Sie WPA2 Enterprise Wi-Fi verwenden möchten, um Ihre gemeinsam genutzten Geräte einzurichten, geben Sie diesen Netzwerksicherheitstyp im Geräte-Setup-Tool an, wofür ein erforderlich AWS Private Certificate Authority ist.
+ AMS erstellt nur geheime Schlüssel, die mit dem Namespace „A4B“ beginnen. Dies ist nur auf diesen Namespace beschränkt.
**F: Welche Funktionen von Alexa for Business sind separat erforderlich RFCs?**
Um ein Alexa Voice Service (AVS) -Gerät bei Alexa for Business zu registrieren, gewähren Sie Zugriff auf den integrierten Gerätehersteller von Alexa. Dazu muss in der Alexa for Business Business-Konsole eine IAM-Rolle erstellt werden, die mit dem Änderungstyp Management \$1 Other \$1 Other bereitgestellt werden kann. Auf diese Weise kann der AVS-Gerätehersteller Geräte in Ihrem Namen bei Alexa for Business registrieren und verwalten.
# Verwenden Sie AMS SSP, um WorkSpaces Amazon-Anwendungen in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten WorkSpaces Konto auf Funktionen von Amazon WorkSpaces Applications (Applications) zuzugreifen. WorkSpaces Mit Applications können Sie Ihre Desktop-Anwendungen dorthin verschieben AWS, ohne sie neu schreiben zu müssen. Sie können Ihre Anwendungen unter WorkSpaces Anwendungen installieren, Startkonfigurationen festlegen und Ihre Anwendungen Benutzern zur Verfügung stellen. WorkSpaces Applications bietet eine große Auswahl an Optionen für virtuelle Maschinen, sodass Sie den Instanztyp auswählen können, der Ihren Anwendungsanforderungen am besten entspricht, und die Parameter für die automatische Skalierung so einstellen können, dass Sie die Anforderungen Ihrer Endbenutzer problemlos erfüllen können. WorkSpaces Mit Applications können Sie Anwendungen in Ihrem eigenen Netzwerk starten, was bedeutet, dass Ihre Anwendungen mit Ihren vorhandenen AWS Ressourcen interagieren können.
Mit Amazon WorkSpaces Applications können Sie Ihre Anwendungen mit dem Image Builder schnell und einfach installieren, testen und aktualisieren. Jede Anwendung, die auf Microsoft Windows Server 2012 R2, Windows Server 2016 oder Windows Server 2019 ausgeführt wird, wird unterstützt, und Sie müssen keine Änderungen vornehmen. Wenn Ihre Tests abgeschlossen sind, können Sie Konfigurationen für den Anwendungsstart und Standardbenutzereinstellungen festlegen und Ihr Image veröffentlichen, damit Benutzer darauf zugreifen können.
Weitere Informationen finden Sie unter [WorkSpaces Anwendungen](https://aws.amazon.com/appstream2/).
## WorkSpaces Häufig gestellte Fragen zu Anwendungen in AWS Managed Services
**F: Wie beantrage ich Zugriff auf WorkSpaces Anwendungen in meinem AMS-Konto?**
Beantragen Sie Zugriff auf WorkSpaces Anwendungen, indem Sie einen RFC mit dem Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt `customer_appstream_console_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:.
A `customer_appstream_stream_role` wird auch zum Streamen von Anwendungen eingesetzt, bei denen Benutzer mit ihren Active Directory-Anmeldeinformationen authentifiziert werden müssen.
Nach der Bereitstellung in Ihrem Konto müssen Sie die Rollen in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Nutzung von WorkSpaces Anwendungen in meinem AMS-Konto?**
+ Die folgenden Funktionen müssen vom AMS-Supportteam konfiguriert werden und erfordern spezielle Funktionen RFCs. Anweisungen zur Anforderung zusätzlicher Funktionen finden Sie in Abschnitt 4.
+ Erstellen und Streamen von Schnittstellen-VPC-Endpunkten.
+ Support für Amazon S3 S3-Endpunkte für Basisordner und Persistenz von Anwendungseinstellungen in einem privaten Netzwerk.
+ Erstellung und Auswahl der IAM-Rolle, die auf allen Fleet-Streaming-Instances verfügbar sein wird.
+ Zusammenführung von WorkSpaces Anwendungsflotten und Image Builder-Microsoft Active Directory-Domänen.
+ Erstellung benutzerdefinierter Nutzungsberichte für WorkSpaces Anwendungen.
+ Benutzerdefiniertes Branding wird derzeit nicht unterstützt.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von WorkSpaces Anwendungen in meinem AMS-Konto?**
Geben Sie bei der Übermittlung des RFC an integrierte WorkSpaces Anwendungen den Namen des Amazon S3 S3-Buckets an, der für den WorkSpaces Anwendungsnutzungsbericht verwendet werden soll. Der Bucket-Name wird dem hinzugefügt`customer-appstream-usagereports-policy`, der beim Onboarding von WorkSpaces Applications erstellt wird.
**F: Für welche WorkSpaces Anwendungsfunktionen sind separate Funktionen erforderlich? RFCs**
+ Um einen VPC-Schnittstellen-Endpunkt für WorkSpaces Anwendungen auszuwählen, reichen Sie den RFC Management \$1 Other \$1 Other \$1 Other \$1 Update Change Type ein, um einen VPC-Endpunkt in Ihrem Konto zu erstellen. Schritte zum Erstellen benutzerdefinierter Endpoints für WorkSpaces Anwendungen finden Sie unter [Creating and Streaming from Interface VPC Endpoints](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html) im WorkSpaces Anwendungen-Benutzerhandbuch.
+ Die Support von Amazon S3 S3-Endpunkten für Basisordner und die Persistenz von Anwendungseinstellungen in einem privaten Netzwerk kann konfiguriert werden, indem Amazon S3 S3-VPC-Endpunkte mit einem RFC vom Typ Management \$1 Other \$1 Other \$1 Create change type angefordert werden. Der RFC muss den Amazon S3 S3-Ziel-Bucket, der den Inhalt des Home-Ordners hostet, bzw. die Amazon S3 S3-Buckets für Anwendungseinstellungen enthalten. Dieser RFC gewährt WorkSpaces Anwendungen die Berechtigungen, die sie für den Zugriff auf Amazon S3 S3-VPC-Endpunkte benötigen. Schritte zum Erstellen benutzerdefinierter Endpunkte für Streams finden Sie unter [Verwenden von Amazon S3 S3-VPC-Endpunkten für Basisordner und Persistenz von Anwendungseinstellungen](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html) im WorkSpaces Anwendungen-Benutzerhandbuch.
+ Um eine IAM-Rolle zu erstellen und auszuwählen, die auf allen Fleet-Streaming-Instances verfügbar sein wird, reichen Sie einen RFC vom Typ Deployment \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 Entität oder Richtlinie erstellen (verwaltete Automatisierung) (ct-3dpd8mdd9jn1r) ein und fordern Sie die IAM-Rolle mit der erforderlichen Richtlinie an. Der Name der IAM-Rolle sollte immer mit dem Präfix „customer\$1appstream“ beginnen.
+ Flotten und Image Builder von Amazon WorkSpaces Applications können mit Domains in Microsoft Active Directory verknüpft werden, indem ein RFC vom Typ Management \$1 Other \$1 Other \$1 Update für die Erstellung eines Servicekontos in Active Directory (AD) eingereicht wird. Die Mindestberechtigungen, die für den Beitritt zu Microsoft Active Directory erforderlich sind, sind in der WorkSpaces Anwendungsdokumentation unter [Erteilen von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten](https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions) definiert.
+ Um benutzerdefinierte Berichte über die Nutzung von WorkSpaces Anwendungen zu erstellen, reichen Sie einen RFC-RFC vom Typ Management \$1 Other \$1 Other \$1 Create Change Type ein und fordern Sie Folgendes an:
+ "AppStreamUsageReports" Erstellung eines CFN-Stacks
+ „customer\$1appstream\$1usagereports\$1role“ muss im Konto bereitgestellt werden
+ Geben Sie außerdem die folgenden Details an:
+ Geben Sie den CRON-Ausdruck an, um die Ausführung des Crawlers zu planen. Standardmäßig ist es jeden Tag 23:00 UTC.
+ Amazon S3 S3-Bucket-ARN, der für Athena-Abfrageergebnisse verwendet werden soll. Dieser Bucket sollte das Präfix haben: `aws-athena-query-results`
+ Protokolle der Amazon S3 S3-Bucket ARN für WorkSpaces Anwendungsnutzungsberichte.
Nachdem die Rolle bereitgestellt wurde, integrieren Sie die Rolle in Ihre Verbundlösung und melden Sie sich an. Greifen Sie dann auf AWS GlueAWS Glue Athena zu, um mithilfe der Nutzungsbericht-Rolle benutzerdefinierte Berichte zu generieren. Einzelheiten zur Verwendung von WorkSpaces Anwendungsnutzungsberichten finden Sie in der Anwendungsdokumentation unter [Benutzerdefinierte Berichte erstellen und WorkSpaces Anwendungsnutzungsdaten analysieren](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-custom-reports-analyze-usage-data.html). WorkSpaces
# Verwenden Sie AMS SSP, um Amazon Athena in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Athena (Athena) zuzugreifen. Athena ist ein interaktiver Abfrageservice, mit dem Sie Daten in Amazon S3 mithilfe von Standard-SQL analysieren können. Athena ist Serverless, weshalb auch keine Infrastruktur eingerichtet oder verwaltet werden muss – und Sie zahlen nur für tatsächlich ausgeführte Abfragen. Sie verweisen auf Ihre Daten in Amazon S3, definieren das Schema und beginnen mit der Abfrage mithilfe von Standard-SQL. Die meisten Ergebnisse werden innerhalb von Sekunden geliefert. Mit Athena sind keine komplexen extract-transform-load (ETL-) Jobs erforderlich, um Ihre Daten für die Analyse vorzubereiten. Dies macht es für jeden mit SQL-Kenntnissen einfach, große Datensätze schnell zu analysieren. Weitere Informationen finden Sie unter [Amazon Athena](https://aws.amazon.com/athena/).
## Häufig gestellte Fragen: Athena in AMS
**F: Wie beantrage ich Zugriff auf Amazon Athena in meinem AMS-Konto?**
Beantragen Sie Zugriff auf Athena, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_athena_console_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Athena in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Amazon Athena ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon Athena in meinem AMS-Konto?**
Athena ist stark vom AWS Glue Dienst abhängig, da er die mit catalog/metastore AWS Glue erstellten Daten verwendet. Daher sind AWS Glue Berechtigungen im erfolgreichen Athena RFC enthalten.
Die Rolle `customer_athena_console_role` ist Voraussetzung für einen Amazon S3 S3-Bucket. Verwenden Sie das automatisierte CT `ct-1a68ck03fn98r` (Deployment \$1 Advanced Stack Components \$1 S3 storage \$1 Create), um einen neuen Bucket zu erstellen. Wenn Sie dieses automatisierte CT verwenden, um einen S3-Bucket für Athena zu erstellen, muss der Bucket-Name mit einem Präfix `athena-query-results-*` beginnen.
# Verwenden Sie AMS SSP, um Amazon Bedrock in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Bedrock zuzugreifen. Amazon Bedrock ist ein vollständig verwalteter Service, der leistungsstarke Basismodelle (FMs) von führenden KI-Startups bereitstellt und AWS Ihnen über eine einheitliche API zur Verfügung stellt. Sie können aus einer Vielzahl von Basismodellen wählen, um das Modell zu finden, das für Ihren Anwendungsfall am besten geeignet ist. Amazon Bedrock bietet außerdem eine breite Palette von Funktionen zur Entwicklung generativer KI-Anwendungen mit Sicherheits- und Datenschutzfunktionen und verantwortungsvoller KI. Mit Amazon Bedrock können Sie auf einfache Weise mit den wichtigsten Basismodellen für Ihre Anwendungsfälle experimentieren und diese evaluieren, sie mithilfe von Techniken wie Feinabstimmung und Retrieval Augmented Generation (RAG) privat an Ihre Daten anpassen und Agenten erstellen, die Aufgaben mithilfe Ihrer Unternehmenssysteme und Datenquellen ausführen.
Mit der serverlosen Erfahrung von Amazon Bedrock können Sie schnell loslegen, Foundation-Modelle privat mit Ihren eigenen Daten anpassen und sie mithilfe von AWS-Tools einfach und sicher in Ihre Anwendungen integrieren und bereitstellen, ohne eine Infrastruktur verwalten zu müssen. Weitere Informationen finden Sie unter [Amazon Bedrock](https://aws.amazon.com/bedrock/).
## Häufig gestellte Fragen: Amazon Bedrock in AMS
**F: Wie beantrage ich Zugriff auf Amazon Bedrock in meinem AMS-Konto?**
Um Zugriff auf Amazon Bedrock zu beantragen, reichen Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) ein. Dieser RFC stellt `customer_bedrock_console_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Bedrock in meinem AMS-Konto?**
+ Amazon Bedrock Knowledge Bases werden standardmäßig nicht als Teil der SSPS-Rolle unterstützt, da sie von Amazon OpenSearch Service Serverless abhängig sind, das derzeit nicht von AMS unterstützt wird.
+ Bedrock Studio wird nicht unterstützt, da es von nicht unterstützten Diensten wie Amazon abhängig ist. DataZone
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon Bedrock in meinem AMS-Konto?**
+ Modellabonnements von Drittanbietern, für die AWS Marketplace Berechtigungen erforderlich sind, müssen über die Standardrolle (`AWSManagedServicesAdminRole`auf MALZ und `Customer_ReadOnly_Role` auf SALZ) ausgeführt werden. Das liegt daran, dass die Standardrolle AWS Marketplace Berechtigungen beinhaltet.
+ Wenn Datenverschlüsselung verwendet wird, müssen Sie den AWS KMS Schlüssel-ARN angeben, wenn Sie die Erstellung der Konsolenrolle anfordern. Außerdem muss der Amazon S3 S3-Bucket „Bedrock“ im Namen haben.
# Verwenden Sie AMS SSP, um Amazon CloudSearch in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf CloudSearch Amazon-Funktionen zuzugreifen. Amazon CloudSearch ist ein verwalteter Service in der AWS Cloud, mit dem Sie kostengünstig eine Suchlösung für Ihre Website oder Anwendung einrichten, verwalten und skalieren können. Amazon CloudSearch unterstützt 34 Sprachen und beliebte Suchfunktionen wie Hervorhebung, automatische Vervollständigung und Geodatensuche. Weitere Informationen finden Sie auf [Amazon CloudSearch](https://aws.amazon.com/cloudsearch/).
**Anmerkung**
AWS hat mit Wirkung zum 25. Juli 2024 den Zugang für Neukunden zu Amazon CloudSearch geschlossen. CloudSearch Amazon-Bestandskunden können den Service weiterhin wie gewohnt nutzen. AWS investiert weiterhin in Sicherheits-, Verfügbarkeits- und Leistungsverbesserungen für Amazon CloudSearch, aber wir planen nicht, neue Funktionen einzuführen.
Um mehr über die Unterschiede zwischen Amazon CloudSearch und Amazon OpenSearch Service zu erfahren und zu erfahren, wie Sie zu OpenSearch Service wechseln können, wenden Sie sich an Ihren Cloud-Architekten (CA). Weitere Informationen zur Umstellung auf OpenSearch Service finden Sie unter [Übergang von Amazon CloudSearch zu Amazon OpenSearch Service](https://aws.amazon.com/blogs/big-data/transition-from-amazon-cloudsearch-to-amazon-opensearch-service/).
## Häufig gestellte Fragen zu Amazon CloudSearch in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon CloudSearch in meinem AMS-Konto?**
Beantragen Sie Zugriff auf Amazon, CloudSearch indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_csearch_admin_role` Konto `customer_csearch_dev_role` die folgenden IAM-Rollen zur Verfügung: und. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon CloudSearch in meinem AMS-Konto?**
Die volle Funktionalität von Amazon CloudSearch ist in Ihrem AMS-Konto verfügbar. Alle von AMS unterstützten Datenbanklösungen werden derzeit auf Amazon unterstützt. CloudSearch Beachten Sie, dass DynamoDB derzeit die einzige verwaltete AWS Datenbanklösung ist, die nicht indexiert werden kann.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon CloudSearch in meinem AMS-Konto?**
Amazon ist CloudSearch darauf angewiesen, dass Amazon S3 mit Identitätsanbietern zusammenarbeitet, um Eingabedaten automatisch zu analysieren und die Tabellenfelder zu bestimmen. Der Zugriff auf Amazon S3 ist in diesem RFC nicht enthalten und muss separat in einer Serviceanfrage angefordert werden.
# Verwenden Sie AMS SSP, um Amazon CloudWatch Synthetics in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon CloudWatch Synthetics zuzugreifen. Sie können Amazon CloudWatch Synthetics verwenden, um „Kanarien“ zur Überwachung Ihrer Endgeräte zu erstellen und. APIs
Canaries sind konfigurierbare Skripte, die in Node.js oder Python geschrieben sind und nach einem Zeitplan ausgeführt werden. Sie legen Lambda-Funktionen in Ihrem Konto an, die Node.js oder Python als Framework verwenden. Canarys arbeiten über HTTP- und HTTPS-Protokolle. Canaries überprüfen die Verfügbarkeit und Latenz Ihrer Endgeräte und können Ladezeitdaten und UI-Screenshots speichern. Sie überwachen Ihre REST APIs - und Website-Inhalte und können nach unbefugten Änderungen durch Phishing, Code-Injection und Cross-Site-Scripting suchen. URLs
Canaries verfolgen dieselben Wege und führen dieselben Aktionen aus wie ein Kunde, sodass Sie Ihr Kundenerlebnis kontinuierlich überprüfen können, auch wenn Sie keinen Kundenverkehr mit Ihren Anwendungen haben. Durch den Einsatz von Canarys können Sie Probleme entdecken, bevor Ihre Kunden sie entdecken. Weitere Informationen finden Sie unter [Amazon CloudWatch: Synthetisches Monitoring verwenden](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html).
## Häufig gestellte Fragen zu Amazon CloudWatch Synthetics in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon CloudWatch Synthetics in meinem AMS-Konto?**
Fordern Sie Zugriff auf Amazon CloudWatch Synthetics an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto die folgende IAM-Rolle zur Verfügung: „customer\$1cw\$1synthetics\$1console\$1role“ und „customer\$1cw\$1synthetics\$1canary\$1lambda\$1role“. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle „customer\$1cw\$1synthetics\$1console\$1role“ in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon CloudWatch Synthetics in meinem AMS-Konto?**
Es gibt keine Einschränkungen für die Verwendung von Amazon CloudWatch Synthetics in Ihrem AMS-Konto. Das Erstellen von Rollen für Canaries außerhalb der von AMS bereitgestellten Servicerolle 'customer\$1cw\$1synthetics\$1canary\$1lambda\$1role' ist verboten.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon CloudWatch Synthetics in meinem AMS-Konto?**
Die Kanaren erstellen und verwenden einen standardmäßigen Amazon CloudWatch Synthetics S3-Bucket: "cw-syn-results- -*\$1\$1accountnumber\$1*“ *\$1\$1default-region\$1*
# Verwenden Sie AMS SSP, um Amazon Cognito Cognito-Benutzerpools in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Cognito Cognito-Benutzerpools zuzugreifen. Amazon Cognito Cognito-Benutzerpools bieten ein sicheres Benutzerverzeichnis, das auf Hunderte von Millionen von Benutzern skaliert werden kann. Als vollständig verwalteter Service können Amazon Cognito Cognito-Benutzerpools eingerichtet werden, ohne sich Gedanken über die Einrichtung der Serverinfrastruktur machen zu müssen. Mit diesem Service können Sie einen Pool von Endbenutzern verwalten, den Sie für die Integration in Ihre internen Anwendungen verwenden können. Dieser Service bietet Ihnen eine Alternative zu einer benutzerdefinierten Datenbank oder einem Verzeichnis von Endbenutzern für Web- oder Mobilanwendungen. Gleichzeitig bieten Amazon Cognito Cognito-Benutzerpools den vollen Funktionsumfang eines Verzeichnisdienstes wie Kennwortrichtlinien, Multi-Faktor-Authentifizierung, Kennwortwiederherstellung und Selbstanmeldung bei Diensten. Es ermöglicht der Anwendung auch, den Zugriff in anderen beliebten öffentlichen Diensten wie OpenID, Facebook, Amazon oder Google zu bündeln.
Amazon Cognito ist in zwei Hauptprodukte unterteilt. Amazon Cognito-Benutzerpools und Amazon Cognito Identity Provider. Dieser Abschnitt konzentriert sich auf Amazon Cognito Cognito-Benutzerpools, die Zugriff auf andere AWS Dienste wie Amazon S3 oder DynamoDB bieten. Mit diesem Service können Sie Amazon Cognito Cognito-Benutzerpools oder einen externen Identitätsanbieter verwenden, um Zugriff auf AWS Dienste zu gewähren. Er ermöglicht auch den Zugriff auf AWS Dienste mithilfe eines anonymen Gastzugriffs. Aufgrund der Leistungsfähigkeit von Amazon Cognito Cognito-Benutzerpools würden sie manuell als Service case-by-case für Betriebsanleitungen verwaltet werden, um mögliche Sicherheitslücken im Konto zu vermeiden. Weitere Informationen finden Sie unter [Amazon Cognito User Pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html).
## Häufig gestellte Fragen zu Amazon Cognito Cognito-Benutzerpools in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon Cognito Cognito-Benutzerpools in meinem AMS-Konto?**
Die Implementierung von Amazon Cognito Cognito-Benutzerpools in AMS erfolgt in zwei Schritten:
1. Reichen Sie den Änderungstyp Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) ein und fordern Sie die Erstellung der Amazon Cognito Cognito-Benutzerpools in Ihrem AMS-Konto an. Schließen Sie die folgenden Informationen ein:
+ AWS Region.
+ Name für den Cognito-Benutzerpool.
+ Wenn Sie anstelle des standardmäßigen internen Cognito-Mail-Service den Amazon Simple Email Service (Amazon SES) zum Senden von Nachrichten und Benachrichtigungen verwenden möchten, sollte der Kunde im Konto eine bereits validierte E-Mail-Adresse für den Amazon SES-Service angeben. Diese Adresse wird für die Felder „Von“ und „ANTWORT-TO“ der Nachricht verwendet. Sie müssen auch die Region angeben, in der Amazon SES aktiviert wurde (us-east-1, eu-west-1 oder us-west-2).
+ Wenn Sie SMS-Nachrichten für Einmalpasswörter und zur Bestätigung verwenden möchten, sollte der Kunde dies angeben.
1. Fordern Sie den Benutzerzugriff an, indem Sie Folgendes einreichen: Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct). Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen zur Verfügung: und. `customer_cognito_admin_role` `customer_cognito_importjob_role` Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren. Mit diesen Rollen können Sie die Amazon Cognito Cognito-Benutzerpools verwalten, Ihre Benutzer und Gruppen im Pool verwalten, Importjobs für Benutzer erstellen, die Benachrichtigungen und Abonnementnachrichten ändern, Anwendungen dem Benutzerpool zuordnen, das Hinzufügen von Verbunddiensten zum Pool selbst verwalten und bereits erstellte Pools löschen.
**F: Was sind die Einschränkungen bei der Verwendung von Amazon Cognito Cognito-Benutzerpools in meinem AMS-Konto?**
Sie können die Amazon Cognito Cognito-Benutzerpools nicht erstellen. Diese Aktion erfordert die Erstellung von IAM-Rollen, um die von Amazon Cognito verwendeten Dienste wie Amazon SES und Amazon Simple Notification Service (Amazon SNS) nutzen zu können.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Cognito Cognito-Benutzerpools in meinem AMS-Konto?**
Wenn Sie Amazon SES verwenden möchten, um Nachrichten und Benachrichtigungen per E-Mail an Ihre Benutzerpools zu senden, sollten diese den Amazon SES SES-Service bereits im Konto aktivieren und die E-Mail-Adresse, die in den Feldern „FROM“ und „REPLY-TO“ der gesendeten E-Mails verwendet werden soll, bereits validieren. Weitere Informationen zur Validierung von E-Mail-Adressen mit Amazon SES finden Sie unter [Verifizieren von E-Mail-Adressen in Amazon](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-email-addresses.html) SES.
# Verwenden Sie AMS SSP, um Amazon Comprehend in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Comprehend zuzugreifen. Amazon Comprehend ist ein Service zur Verarbeitung natürlicher Sprache (NLP), der maschinelles Lernen nutzt, um Erkenntnisse und Zusammenhänge im Text zu finden. Es sind keine Erfahrungen mit maschinellem Lernen erforderlich. Amazon Comprehend verwendet maschinelles Lernen, um Ihnen zu helfen, die Erkenntnisse und Zusammenhänge in Ihren unstrukturierten Daten aufzudecken. Der Service identifiziert die Sprache des Textes, extrahiert wichtige Phrasen, Orte, Personen, Marken oder Ereignisse, versteht, wie positiv oder negativ der Text ist, analysiert Text mithilfe von Tokenisierung und Wortarten und organisiert automatisch eine Sammlung von Textdateien nach Themen. Sie können auch die AutoML-Funktionen in Amazon Comprehend verwenden, um einen benutzerdefinierten Satz von Entitäten oder Textklassifizierungsmodellen zu erstellen, die speziell auf die Bedürfnisse Ihres Unternehmens zugeschnitten sind. Weitere Informationen finden Sie unter [Amazon Comprehend](https://aws.amazon.com/comprehend/).
## Häufig gestellte Fragen zu Amazon Comprehend in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon Comprehend in meinem AMS-Konto?**
Die Konsolen- und Datenzugriffsrollen von Amazon Comprehend können durch Einreichung von zwei AMS-Services angefordert werden: RFCs
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) angeben. Dieser RFC stellt Ihrem `customer_comprehend_console_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Comprehend in meinem AMS-Konto?**
Die Funktion „Neue IAM-Rolle erstellen“ über die Amazon Comprehend Comprehend-Konsole ist eingeschränkt. Andernfalls ist der volle Funktionsumfang von Amazon Comprehend in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Comprehend in meinem AMS-Konto?**
Amazon S3 und AWS Key Management Service (AWS KMS) sind für die Verwendung von Amazon Comprehend erforderlich, wenn Amazon S3 S3-Buckets mit Schlüsseln verschlüsselt sind. AWS KMS
# Verwenden Sie AMS SSP, um Amazon Connect in Ihrem AMS-Konto bereitzustellen
**Anmerkung**
Nach reiflicher Überlegung haben wir beschlossen, den Support für Amazon Connect Voice ID mit Wirkung zum 20. Mai 2026 einzustellen. Amazon Connect Voice ID akzeptiert ab dem 20. Mai 2025 keine Neukunden mehr. Als Bestandskunde mit einem Konto, das vor dem 20. Mai 2025 für den Service registriert wurde, können Sie die Features von Amazon Connect Voice ID weiterhin nutzen. Nach dem 20. Mai 2026 können Sie Amazon Connect Voice ID nicht mehr verwenden.
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf Amazon Connect Connect-Funktionen zuzugreifen. Amazon Connect ist ein Omnichannel-Cloud-Kontaktzentrum, das Unternehmen dabei unterstützt, erstklassigen Kundenservice zu geringeren Kosten anzubieten. Amazon Connect bietet Kunden und Mitarbeitern ein nahtloses Sprach- und Chat-Erlebnis. Dazu gehören eine Reihe von Tools für kompetenzbasiertes Routing, leistungsstarke Echtzeit- und Verlaufsanalysen sowie easy-to-use intuitive Verwaltungstools — alles mit pay-as-you-go Preisgestaltung.
Sie können eine oder mehrere Instanzen der virtuellen Contact Center-Instanzen entweder in AMS-Landingzone-Konten mit mehreren Konten oder Landingzone-Konten mit nur einem Konto erstellen. Sie können bestehende SAML 2.0-Identitätsanbieter für den Agentenzugriff verwenden oder die native Unterstützung von Amazon Connect für das Benutzerlebenszyklusmanagement verwenden.
Darüber hinaus können Sie von der Amazon free/direct Connect-Konsole aus gebührenpflichtige Telefonnummern für jede Amazon Connect Connect-Instanz anfordern. Mithilfe einer easy-to-use grafischen Benutzeroberfläche können Sie umfangreiche Kontaktabläufe erstellen, um das gewünschte Kundenerlebnis und die gewünschte Weiterleitung zu erreichen. Die Kontaktflüsse können AWS Lambda Funktionen zur Integration in lokale Datenspeicher und APIs nutzen. Sie können Datenstreaming auch mit Kinesis Streams und Firehose aktivieren.
Die Anrufaufzeichnungen, Chat-Transkripte und Berichte werden in einem Amazon S3 S3-Bucket gespeichert, der mit einem AWS KMS Schlüssel verschlüsselt ist. Die Kontaktflussprotokolle können in CloudWatch Protokollgruppen gespeichert werden.
Weitere Informationen finden Sie unter [Amazon Connect](https://aws.amazon.com/connect/).
## Häufig gestellte Fragen zu Amazon Connect in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon Connect in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_connect_console_role` Konto `customer_connect_user_role` die folgenden IAM-Rollen zur Verfügung: und. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Nutzung von Amazon Connect in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Amazon Connect ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon Connect in meinem AMS-Konto?**
+ Sie müssen einen AWS KMS Schlüssel und einen Amazon S3 S3-Bucket mit Standard-AMS RFCs erstellen. Der Amazon S3 S3-Bucket ist zum Speichern von Anrufaufzeichnungen und Chat-Transkripten erforderlich.
+ Wenn Sie eine Integration mit Active Directory (AD) durchführen möchten, ist ein AD Connector für die Integration zwischen AMS-gehosteten Amazon Connect Connect-Instances und Ihren lokalen Verzeichnisdiensten erforderlich. AD Connector kann in Ihrem Konto konfiguriert werden, indem Sie einen RFC „Management \$1 Other \$1 Other“ anfordern.
+ Sie können die folgenden optionalen, selbst bereitgestellten Dienste auf der Grundlage Ihrer Anforderungen an den Kontaktablauf aktivieren.
+ **AWS Lambda**: Sie können Lambda-Funktionen verwenden, um die Kontaktflüsse zu erweitern, um vorhandene lokale Datenspeicher zu nutzen oder. APIs Sie können den selbst bereitgestellten Lambda-Dienst verwenden, um die Lambda-Funktionen zu erstellen.
+ **Amazon Kinesis Data Streams**: Sie können Datenstreams erstellen, um Datenstreaming zu externen Anwendungen zu ermöglichen. Sie können Kontaktnachverfolgungsdatensätze oder Agentenereignisse streamen.
+ **Amazon Kinesis Data Firehose**: Sie können Data Firehose erstellen, um umfangreiche Kontaktverfolgungsdatensätze an externe Anwendungen zu streamen.
+ **Amazon Lex**: Sie können Amazon Lex Chatbots nutzen, um intelligente Kontaktabläufe zu erstellen und dabei die Amazon Alexa-Services für ein umfassendes Kundenerlebnis und Automatisierung zu nutzen.
+ **F: Wie beantrage ich das Hinzufügen einer Länderliste für ausgehende oder eingehende Anrufe?**
Um eine Länderliste für ausgehende oder eingehende Anrufe hinzuzufügen, reichen Sie eine Serviceanfrage an AMS ein.
# Verwenden Sie AMS SSP, um Amazon Data Firehose in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Data Firehose zuzugreifen. Firehose ist der einfachste Weg, Streaming-Daten zuverlässig in Data Lakes, Datenspeicher und Analysetools zu laden. Es kann Streaming-Daten erfassen, transformieren und in Amazon S3, Amazon Redshift, Amazon OpenSearch Service und [Splunk](https://aws.amazon.com/kinesis/data-firehose/splunk/) laden und ermöglicht so Analysen nahezu in Echtzeit mit vorhandenen Business Intelligence-Tools und Dashboards, die Sie bereits heute verwenden. Es handelt sich um einen vollständig verwalteten Service, der sich automatisch an den Durchsatz Ihrer Daten anpasst und für den keine laufende Verwaltung erforderlich ist. Außerdem können die Daten vor dem Laden gebündelt, komprimiert, transformiert und verschlüsselt werden, wodurch der Speicherverbrauch am Zielort minimiert und die Sicherheit erhöht wird. Weitere Informationen finden Sie unter [Was ist Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)?
## Häufig gestellte Fragen zu Firehose in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon Data Firehose in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_kinesis_firehose_user_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Firehose in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Amazon Data Firehose ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Firehose in meinem AMS-Konto?**
Für jeden Delivery-Stream müssen neue serviceverknüpfte IAM-Rollen angefordert werden. Sie können auch eine einzelne dienstverknüpfte Rolle für alle Streams wiederverwenden, indem Sie die Rollenrichtlinie mit den erforderlichen Ressourcenberechtigungen aktualisieren (einschließlich S3-Buckets/KMS-Schlüsseln/Lambda-Funktionen/Kinesis-Streams).
Nachdem Sie den RFC zum Hinzufügen von Firehose eingereicht haben, wird sich ein AMS Operations Engineer mit einer Serviceanfrage für die Ressourcen, die ARNs Sie mit Data Firehose verbinden möchten (z. B. S3, Lambda und Kinesis Streams) AWS KMS, mit Ihnen in Verbindung setzen.
# Verwenden Sie AMS SSP, um Amazon DevOps Guru in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon DevOps Guru zuzugreifen. Amazon DevOps Guru ist ein vollständig verwalteter Betriebsservice, der es Entwicklern und Betreibern leicht macht, die Leistung und Verfügbarkeit ihrer Anwendungen zu verbessern. DevOpsMit Guru können Sie die administrativen Aufgaben im Zusammenhang mit der Identifizierung betrieblicher Probleme auslagern, sodass Sie schnell Empfehlungen zur Verbesserung Ihrer Anwendung umsetzen können. DevOpsGuru liefert reaktive Erkenntnisse, die Sie nutzen können, um Ihre Anwendung jetzt zu verbessern. Es bietet auch proaktive Einblicke, mit denen Sie betriebliche Probleme vermeiden können, die sich in future auf Ihre Anwendung auswirken könnten. DevOpsGuru nutzt maschinelles Lernen, um Ihre Betriebsdaten sowie Anwendungsmetriken und Ereignisse zu analysieren und Verhaltensweisen zu identifizieren, die von normalen Betriebsmustern abweichen. Sie werden benachrichtigt, wenn DevOps Guru ein betriebliches Problem oder Risiko feststellt. Für jedes Problem präsentiert DevOps Guru intelligente Empfehlungen zur Lösung aktueller und prognostizierter future betrieblicher Probleme.
Weitere Informationen finden Sie unter [Was ist Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html).
## Häufig gestellte Fragen zu Amazon DevOps Guru in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon DevOps Guru in meinem AMS-Konto?**
Um Zugriff zu beantragen, reichen Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) ein. Dieser RFC stellt Ihrem Konto die folgende IAM-Rolle zur `customer_devopsguru_role` Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon DevOps Guru in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Amazon DevOps Guru ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon DevOps Guru in meinem AMS-Konto?**
Es gibt keine Voraussetzungen. DevOpsGuru nutzt die folgenden AWS Dienste: Amazon CloudWatch Logs, RDS Insights, AWS X-Ray AWS Lambda, und AWS CloudTrail.
# Verwenden Sie AMS SSP, um Amazon DocumentDB (mit MongoDB-Kompatibilität) in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon DocumentDB (mit MongoDB-Kompatibilität) zuzugreifen. Amazon DocumentDB (mit MongoDB-Kompatibilität) ist ein schneller, skalierbarer, hochverfügbarer und vollständig verwalteter Dokumentendatenbankservice, der MongoDB-Workloads unterstützt. Amazon DocumentDB bietet Ihnen die Leistung, Skalierbarkeit und Verfügbarkeit, die Sie für den skalierbaren Betrieb geschäftskritischer MongoDB-Workloads benötigen. Amazon DocumentDB implementiert die Apache 2.0-Open-Source-API MongoDB 3.6, indem es die Antworten emuliert, die ein MongoDB-Client von einem MongoDB-Server erwartet, sodass Sie Ihre vorhandenen MongoDB-Treiber und -Tools mit Amazon DocumentDB verwenden können. In Amazon DocumentDB sind Speicher und Datenverarbeitung entkoppelt, sodass beide unabhängig voneinander skaliert werden können. Sie können die Lesekapazität auf Millionen von Anfragen pro Sekunde erhöhen, indem Sie bis zu 15 Read Replicas mit niedriger Latenz hinzufügen, unabhängig von der Größe Ihrer Daten. Amazon DocumentDB ist für eine Verfügbarkeit von 99,99% konzipiert und repliziert sechs Kopien Ihrer Daten in drei AWS Availability Zones (). AZs Sie können AWS Database Migration Service (DMS) kostenlos (für sechs Monate) verwenden, um Ihre MongoDB-Datenbanken vor Ort oder Amazon Elastic Compute Cloud (Amazon EC2) praktisch ohne Ausfallzeiten zu Amazon DocumentDB zu migrieren. Weitere Informationen finden Sie unter [Amazon DocumentDB (mit MongoDB-Kompatibilität](https://aws.amazon.com/documentdb/)).
## Häufig gestellte Fragen zu Amazon DocumentDB in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon DocumentDB in meinem AMS-Konto?**
Amazon DocumentDB DocumentDB-Konsolen- und Datenzugriffsrollen können durch die Einreichung von zwei AMS RFCs, Konsolenzugriff und Datenzugriff, beantragt werden:
Fordern Sie Zugriff auf Amazon DocumentDB an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_documentdb_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon DocumentDB in meinem AMS-Konto?**
Amazon DocumentDB erfordert Amazon RDS-spezifische Berechtigungen. Da AMS Amazon RDS vollständig verwaltet, beinhaltet die IAM-Rolle für Amazon DocumentDB einige Einschränkungen für Aktionen auf Amazon RDS. Beachten Sie die folgenden Einschränkungen:
+ Der Zugriff auf `DeleteDBInstance` und wurde `DeleteDBCluster` APIs eingeschränkt. Um diese Löschvorgänge zu verwenden APIs, reichen Sie einen RFC mit dem Änderungstyp Management \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 Entität oder Richtlinie aktualisieren (verwaltete Automatisierung) ein (ct-27tuth19k52b4).
+ Sie können keine Tags zu Amazon RDS-Instances hinzufügen oder daraus entfernen.
+ Sie können Ihre Amazon DocumentDB DocumentDB-Instance nicht öffentlich machen.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon DocumentDB in meinem AMS-Konto?**
Amazon S3 und AWS KMS sind für die Verwendung von Amazon DocumentDB erforderlich, wenn Amazon S3 S3-Buckets mit AWS KMS Schlüsseln verschlüsselt sind.
# Verwenden Sie AMS SSP, um Amazon DynamoDB in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon DynamoDB (DynamoDB) zuzugreifen. Amazon DynamoDB ist eine Schlüsselwert- und Dokumentendatenbank, die in jeder Größenordnung eine Leistung im einstelligen Millisekundenbereich bietet. Es handelt sich um eine vollständig verwaltete, multiaktive Datenbank mit mehreren Regionen und integrierter Sicherheit, Sicherung und Wiederherstellung sowie In-Memory-Caching für Anwendungen im Internet. Weitere Informationen hierzu finden Sie unter [Amazon DynamoDB](https://aws.amazon.com/dynamodb/).
Amazon DynamoDB Accelerator (DAX) ist ein Write-Through-Cache-Service, der das Hinzufügen eines Caches zu DynamoDB-Tabellen vereinfachen soll. DAX ist für Anwendungen konzipiert, die Lesevorgänge mit hoher Leistung erfordern.
## Häufig gestellte Fragen zu DynamoDB in AWS Managed Services
**F: Wie beantrage ich Zugriff auf DynamoDB und DAX in meinem AMS-Konto?**
Fordern Sie Zugriff auf DynamoDB und DAX an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen und -Richtlinien zur Verfügung:
+ DynamoDB-Rollenname: `customer_dynamodb_role`
Name der DAX-Dienstrolle: `customer_dax_service_role`
+ Name der DynamoDB-Richtlinie: `customer_dynamodb_policy`
DAX-Dienstrichtlinie: `customer_dax_service_policy`
Nach der Bereitstellung in Ihrem Konto müssen Sie die Lösung `customer_dynamodb_role` in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Verwendung von DynamoDB in meinem AMS-Konto?**
Alle DynamoDB-Funktionen werden unterstützt, einschließlich DynamoDB Accelerator (DAX).
Beim Erstellen von Alarmen für eine bestimmte Tabelle muss dem Alarmnamen das Präfix „customer\$1“ vorangestellt werden, zum Beispiel. `customer-employee-table-high-put-latency`
Wenn Sie ein Amazon SNS SNS-Thema für DynamoDB erstellen, muss es den Namen haben:. `dynamodb`
Um das von DynamoDB erstellte Amazon SNS SNS-Thema zu löschen, reichen Sie einen RFC vom Änderungstyp Management \$1 Other \$1 Other \$1 Update ein.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von DynamoDB in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Verwendung von DynamoDB in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP, um Amazon Elastic Container Registry in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Elastic Container Registry (Amazon ECR) zuzugreifen. Amazon Elastic Container Registry ist eine vollständig verwaltete [Docker-Container-Registry](https://aws.amazon.com/docker/), die Entwicklern das Speichern, Verwalten und Bereitstellen von Docker-Container-Images erleichtert. Amazon ECR ist in [Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) integriert und vereinfacht so Ihren Arbeitsablauf von der Entwicklung bis zur Produktion. Mit Amazon ECR müssen Sie keine eigenen Container-Repositorys betreiben oder sich Gedanken über die Skalierung der zugrunde liegenden Infrastruktur machen. Amazon ECS hostet Ihre Images in einer hochverfügbaren und skalierbaren Architektur, sodass Sie Container für Ihre Anwendungen zuverlässig bereitstellen können. Die Integration mit AWS Identity and Access Management (IAM) ermöglicht die Kontrolle jedes Repositorys auf Ressourcenebene. Bei Amazon ECR fallen keine Vorabgebühren oder Verpflichtungen an. Sie zahlen nur für die Datenmenge, die Sie in Ihren Repositorys speichern, und für die Datenmenge, die ins Internet übertragen wird.
Weitere Informationen finden Sie unter [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/).
## Häufig gestellte Fragen zu Amazon Elastic Container Registry in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon ECR in meinem AMS-Konto?**
Fordern Sie Zugriff auf Amazon ECR an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen zur Verfügung:, und mit den zugehörigen IAM-Richtlinien bzw. ` customer_ecr_console_role` `customer_ecr_poweruser_instance_profile` `customer_ecr_console_policy` `customer_ecr_poweruser_instance_profile_policy` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon ECR in meinem AMS-Konto?**
Es gibt Einschränkungen in Bezug auf AMS-Namespaces für die Verwendung von Amazon ECR in Ihrem AMS-Konto. Container-Images dürfen nicht das Präfix „AMS-“ oder „Sentinel-“ haben.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon ECR in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten, um Amazon ECR in Ihrem AMS-Konto zu verwenden.
# Verwenden Sie AMS SSP, um EC2 Image Builder in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von EC2 Image Builder zuzugreifen. EC2 Image Builder ist ein vollständig verwalteter AWS Service, der es einfacher macht, die Erstellung, Verwaltung und Bereitstellung von benutzerdefinierten, sicheren und up-to-date „goldenen“ Server-Images zu automatisieren, die vorinstalliert und mit Software und Einstellungen vorkonfiguriert sind, um bestimmte IT-Standards zu erfüllen.
Sie können die AWS-Managementkonsole AWS CLI oder verwenden, APIs um benutzerdefinierte Images in Ihrem AWS Konto zu erstellen. Wenn Sie den verwenden AWS-Managementkonsole, führt Sie der Amazon EC2 Image Builder Builder-Assistent durch die folgenden Schritte:
+ Stellen Sie Startartefakte bereit
+ Software hinzufügen und entfernen
+ Passen Sie Einstellungen und Skripts an
+ Führen Sie ausgewählte Tests aus
+ Verteilen Sie Bilder nach AWS Regionen
Die von Ihnen erstellten Images werden in Ihrem Konto erstellt und können fortlaufend für Betriebssystem-Patches konfiguriert werden. Weitere Informationen finden Sie unter [EC2 Image Builder](https://aws.amazon.com/image-builder/).
## Häufig gestellte Fragen zu EC2 Image Builder in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf EC2 Image Builder in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) einreichen. Über diesen RFC wird die folgende IAM-Rolle in Ihrem Konto bereitgestellt:. ` customer_ec2_imagebuilder_role` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen für EC2 Image Builder?**
AMS unterstützt die Verwendung von Service Defaults für die Infrastrukturkonfiguration nicht. Sie können eine neue Infrastrukturkonfiguration erstellen oder eine bestehende verwenden.
AMS unterstützt derzeit nicht die Erstellung von Container-Rezepten.
**F: Was sind die Voraussetzungen oder Abhängigkeiten, um EC2 Image Builder zu aktivieren?**
+ Dienstverknüpfte EC2 Image Builder Builder-Rolle: Sie müssen eine dienstverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihre erste Image Builder-Ressource in der AWS-Managementkonsole, der AWS CLI oder der AWS API erstellen, erstellt Image Builder die serviceverknüpfte Rolle für Sie.
+ Instanzen, die zum Erstellen von Images und zum Ausführen von Tests mit Image Builder verwendet werden, müssen Zugriff auf den Systems Manager Manager-Dienst haben. Der SSM-Agent wird auf dem Quell-Image installiert, sofern er noch nicht vorhanden ist, und er wird entfernt, bevor das Image erstellt wird.
+ AWS IAM: Die IAM-Rolle, die Sie Ihrem Instanzprofil zuordnen, muss über Berechtigungen zum Ausführen der in Ihrem Image enthaltenen Build- und Testkomponenten verfügen. Die folgenden IAM-Rollenrichtlinien müssen der IAM-Rolle angehängt werden, die den Instanzprofilen zugeordnet ist: und. `EC2InstanceProfileForImageBuilder` `AmazonSSMManagedInstanceCore` Der Name der IAM-Rolle sollte das Schlüsselwort enthalten. `*imagebuilder*`
+ Wenn Sie die Protokollierung konfigurieren, muss das in Ihrer Infrastrukturkonfiguration angegebene Instanzprofil über `s3:PutObject` Berechtigungen für den Ziel-Bucket (`arn:aws:s3:::{bucket-name}/*`) verfügen. Beispiel:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::{bucket-name}/*"
}
]
}
```
------
+ Erstellen Sie ein SNS-Thema mit dem Namen 'imagebuilder', um alle Warnungen und Benachrichtigungen von EC2 Image Builder zu erhalten.
# Verwenden Sie AMS SSP, um Amazon ECS AWS Fargate in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf AWS Fargate Funktionen von Amazon ECS zuzugreifen. AWS Fargate ist eine Technologie, die Sie mit Amazon ECS verwenden können, um Container auszuführen (siehe [Container on AWS](https://aws.amazon.com/what-are-containers)), ohne Server oder Cluster von Amazon EC2 EC2-Instances verwalten zu müssen. Damit AWS Fargate müssen Sie keine Cluster von virtuellen Maschinen mehr bereitstellen, konfigurieren oder skalieren, um Container auszuführen. Auf diese Weise müssen keine Servertypen mehr ausgewählt werden, es muss nicht entschieden werden, wann die Cluster skaliert werden oder das Cluster-Packing optimiert werden.
Weitere Informationen finden Sie unter [Amazon ECS auf AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html).
## Häufig gestellte Fragen zu Amazon ECS on Fargate in AWS Managed Services
**F: Wie beantrage ich in meinem AMS-Konto Zugriff auf Amazon ECS on Fargate?**
Beantragen Sie Zugriff auf Amazon ECS auf Fargate, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen zur Verfügung: `customer_ecs_fargate_console_role` (falls keine vorhandene IAM-Rolle bereitgestellt wird, der die ECS-Richtlinie zugeordnet werden kann),,, und. `customer_ecs_fargate_events_service_role` `customer_ecs_task_execution_service_role` `customer_ecs_codedeploy_service_role` `AWSServiceRoleForApplicationAutoScaling_ECSService` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rollen in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon ECS auf Fargate in meinem AMS-Konto?**
+ Die Überwachung und Protokollierung von Amazon ECS-Aufgaben liegt in Ihrer Verantwortung, da Aktivitäten auf Containerebene oberhalb des Hypervisors stattfinden und die Protokollierungsmöglichkeiten von Amazon ECS auf Fargate eingeschränkt sind. Als Benutzer von Amazon ECS auf Fargate empfehlen wir Ihnen, die notwendigen Schritte zu unternehmen, um die Protokollierung Ihrer Amazon ECS-Aufgaben zu aktivieren. Weitere Informationen finden Sie unter [Aktivieren des awslogs-Protokolltreibers für Ihre Container](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs).
+ Für Sicherheit und Malware-Schutz auf Container-Ebene sind Sie ebenfalls verantwortlich. Amazon ECS on Fargate enthält weder Trend Micro noch vorkonfigurierte Netzwerksicherheitskomponenten.
+ Dieser Service ist sowohl für Landingzone-Konten mit mehreren Konten als auch für AMS-Landingzone-Konten mit einem Konto verfügbar.
+ Amazon ECS [Service Discovery](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html) ist standardmäßig in der Rolle „Self-Provisioned“ eingeschränkt, da erhöhte Berechtigungen erforderlich sind, um private gehostete Route 53 53-Zonen zu erstellen. Um Service Discovery für einen Service zu aktivieren, reichen Sie den Änderungstyp Management \$1 Other \$1 Other \$1 Update ein. Die Informationen, die zur Aktivierung von Service Discovery für Ihren Amazon ECS-Service erforderlich sind, finden Sie im [Service Discovery-Handbuch](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html).
+ AMS verwaltet oder schränkt derzeit keine Images ein, die für die Bereitstellung in Containern auf Amazon ECS Fargate verwendet werden. Sie können Images aus Amazon ECR, Docker Hub oder einem anderen privaten Image-Repository bereitstellen. Aus diesem Grund haben wir empfohlen, öffentliche oder ungesicherte Images nicht bereitzustellen, da sie zu böswilligen Aktivitäten auf dem Konto führen können.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon ECS auf Fargate in meinem AMS-Konto?**
+ Im Folgenden sind Abhängigkeiten von Amazon ECS von Fargate aufgeführt. Es sind jedoch keine zusätzlichen Maßnahmen erforderlich, um diese Dienste mit Ihrer selbst bereitgestellten Rolle zu aktivieren:
+ CloudWatch Logs
+ CloudWatch Ereignisse
+ CloudWatch Alarme
+ CodeDeploy
+ App Mesh
+ Cloud Map
+ Route 53
+ Abhängig von Ihrem Anwendungsfall stützt sich Amazon ECS auf die folgenden Ressourcen, die Sie möglicherweise benötigen, bevor Sie Amazon ECS on Fargate in Ihrem Konto verwenden können:
+ Sicherheitsgruppe, die mit dem Amazon ECS-Service verwendet werden soll. Sie können Deployment \$1 Erweiterte Stack-Komponenten \$1 Sicherheitsgruppe \$1 Create (auto) (ct-3pc215bnwb6p7) verwenden, oder, falls Ihre Sicherheitsgruppe spezielle Regeln erfordert, Deployment \$1 Erweiterte Stack-Komponenten \$1 Sicherheitsgruppe \$1 Create (managed automation) verwenden (ct-1oxx2g2d7hc90). Hinweis: Die Sicherheitsgruppe, die Sie mit Amazon ECS auswählen, muss speziell für Amazon ECS erstellt werden, wo sich der Amazon ECS-Service oder -Cluster befindet. Weitere Informationen finden Sie im Abschnitt **Sicherheitsgruppe** unter [Einrichtung mit Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html) und [Sicherheit in Amazon Elastic Container Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html).
+ Application Load Balancer (ALB), Network Load Balancer (NLB), Classic Load Balancer (ELB) für den Lastenausgleich zwischen Aufgaben.
+ Zielgruppen für. ALBs
+ App-Mesh-Ressourcen (z. B. virtuelle Router, virtuelle Dienste, virtuelle Knoten) zur Integration in Ihren Amazon ECS-Cluster.
+ Derzeit gibt es für AMS keine Möglichkeit, das Risiko, das mit der Unterstützung von Berechtigungen von Sicherheitsgruppen verbunden ist, automatisch zu minimieren, wenn diese außerhalb der standardmäßigen AMS-Änderungstypen erstellt werden. Wir empfehlen Ihnen, eine bestimmte Sicherheitsgruppe für die Verwendung mit Ihrem Fargate-Cluster anzufordern, um die Möglichkeit der Verwendung einer Sicherheitsgruppe einzuschränken, die nicht für die Verwendung mit Amazon ECS vorgesehen ist.
# Verwenden Sie AMS SSP, um Amazon EKS AWS Fargate in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf AWS Fargate Funktionen von Amazon EKS zuzugreifen. AWS Fargate [ist eine Technologie, die bedarfsgerecht dimensionierte Rechenkapazität für Container bereitstellt (Informationen zu Containern finden Sie unter Was sind Container?](https://aws.amazon.com/what-are-containers) ). Mit AWS Fargate müssen Sie keine Gruppen von virtuellen Maschinen mehr bereitstellen, konfigurieren oder skalieren, um Container auszuführen. Auf diese Weise müssen keine Servertypen mehr ausgewählt werden, es muss nicht entschieden werden, wann die Knotengruppen skaliert werden oder das Cluster-Packing optimiert werden.
Amazon Elastic Kubernetes Service (Amazon EKS) integriert Kubernetes mithilfe AWS Fargate von Controllern, die mithilfe des erweiterbaren AWS Upstream-Modells von Kubernetes erstellt wurden. Diese Controller werden als Teil der von Amazon EKS verwalteten Kubernetes-Steuerebene ausgeführt und sind für die Planung nativer Kubernetes-Pods auf Fargate verantwortlich. Die Fargate-Controller enthalten einen neuen Scheduler, der neben dem Standard-Kubernetes-Scheduler und zusätzlich zu mehreren mutierenden und validierenden Zugangscontrollern ausgeführt wird. Wenn Sie einen Pod starten, der die Kriterien für die Ausführung auf Fargate erfüllt, erkennen, aktualisieren und planen die im Cluster ausgeführten Fargate-Controller den Pod auf Fargate.
Weitere Informationen finden Sie unter [Amazon EKS ab AWS Fargate sofort allgemein verfügbar](https://aws.amazon.com/blogs/aws/amazon-eks-on-aws-fargate-now-generally-available/) und im [Amazon EKS Best Practices Guide for Security](https://aws.github.io/aws-eks-best-practices/security/docs/) (enthält „Empfehlungen“ wie „Unnötigen anonymen Zugriff überprüfen und widerrufen“ und mehr).
**Tipp**
AMS hat einen Änderungstyp, Deployment \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 OpenID Connect-Anbieter erstellen (ct-30ecvfi3tq4k3), den Sie mit Amazon EKS verwenden können. Ein Beispiel finden Sie unter [Identity and Access Management (IAM) \$1 OpenID Connect Provider erstellen](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-openid-connect-provider.html).
## Häufig gestellte Fragen zu Amazon EKS on AWS Fargate in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon EKS on Fargate in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem Konto die folgende IAM-Rolle zur Verfügung.
+ `customer_eks_fargate_console_role`.
Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
+ Diese Servicerollen geben Amazon EKS on Fargate die Erlaubnis, andere AWS Dienste in Ihrem Namen anzurufen:
+ `customer_eks_pod_execution_role`
+ `customer_eks_cluster_service_role`
**F: Welche Einschränkungen gelten für die Nutzung von Amazon EKS auf Fargate in meinem AMS-Konto?**
+ Das Erstellen [verwalteter](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html) oder [selbstverwalteter](https://docs.aws.amazon.com/eks/latest/userguide/worker.html) EC2-Knotengruppen wird in AMS nicht unterstützt. Wenn Sie EC2-Worker-Knoten verwenden müssen, wenden Sie sich an Ihren AMS Cloud Service Delivery Manager (CSDM) oder Cloud Architect (CA).
+ AMS enthält keine Trend Micro- oder vorkonfigurierten Netzwerksicherheitskomponenten für Container-Images. Es wird von Ihnen erwartet, dass Sie vor der Verteilung Ihre eigenen Image-Suchdienste verwalten, um bösartige Container-Images zu erkennen.
+ EKSCTL wird aufgrund von Interdependenzen nicht unterstützt. CloudFormation
+ Während der Clustererstellung sind Sie berechtigt, die Protokollierung der Cluster-Steuerungsebene zu deaktivieren. Weitere Informationen finden Sie unter [Amazon-EKS-Steuerebenen-Protokollierung](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html). Wir empfehlen Ihnen, alle wichtigen API-, Authentifizierungs- und Audit-Logging bei der Clustererstellung zu aktivieren.
+ Während der Cluster-Erstellung ist der Cluster-Endpunktzugriff für Amazon EKS-Cluster standardmäßig öffentlich. Weitere Informationen finden Sie unter [Amazon EKS-Cluster-Endpunktzugriffskontrolle](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html). Wir empfehlen, Amazon EKS-Endpunkte auf privat zu setzen. Wenn Endgeräte für den öffentlichen Zugriff erforderlich sind, empfiehlt es sich, sie nur für bestimmte CIDR-Bereiche auf öffentlich zu setzen.
+ AMS verfügt nicht über eine Methode, um Bilder, die für die Bereitstellung in Containern auf Amazon EKS Fargate verwendet werden, zu erzwingen oder einzuschränken. Sie können Images aus Amazon ECR, Docker Hub oder einem anderen privaten Image-Repository bereitstellen. Daher besteht das Risiko, dass ein öffentliches Image bereitgestellt wird, das böswillige Aktivitäten auf dem Konto ausführen könnte.
+ Die Bereitstellung von EKS-Clustern über das Cloud Development Kit (CDK) oder CloudFormation Ingest wird in AMS nicht unterstützt.
+ Sie müssen die erforderliche Sicherheitsgruppe mithilfe von [ct-3pc215bnwb6p7 Deployment \$1 Advanced Stack Components \$1 Security Group \$1 Create erstellen und in der Manifestdatei für die Erstellung von Ingresses](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-security-group-create.html) referenzieren. Das liegt daran, dass die Rolle nicht autorisiert ist, Sicherheitsgruppen zu erstellen. `customer-eks-alb-ingress-controller-role`
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon EKS auf Fargate in meinem AMS-Konto?**
Um den Service nutzen zu können, müssen die folgenden Abhängigkeiten konfiguriert werden:
+ Für die Authentifizierung gegenüber dem Dienst aws-iam-authenticator müssen sowohl KUBECTL als auch installiert sein. Weitere Informationen finden Sie unter Clusterauthentifizierung [verwalten](https://docs.aws.amazon.com/eks/latest/userguide/managing-auth.html).
+ Kubernetes basiert auf einem Konzept, das als „Dienstkonten“ bezeichnet wird. Um die Funktionalität der Dienstkonten innerhalb eines Kubernetes-Clusters auf EKS nutzen zu können, ist ein RFC Management \$1 Other \$1 Other \$1 Update mit den folgenden Eingaben erforderlich:
+ [Erforderlich] Name des Amazon EKS-Clusters
+ [Erforderlich] Amazon EKS-Cluster-Namespace, in dem das Servicekonto (SA) bereitgestellt wird.
+ [Erforderlich] Name der Amazon EKS-Cluster-SA.
+ [Erforderlich] Name der IAM-Richtlinie, der permissions/document zugeordnet werden muss.
+ [Erforderlich] Der Name der IAM-Rolle wird angefordert.
+ [Optional] OpenID Connect-Provider-URL. Die Ausgabe des obigen Befehls sieht in etwa folgendermaßen aus (JSON format).
+ [Aktivierung von IAM-Rollen für Dienstkonten auf Ihrem Cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)
+ [Einführung detaillierter IAM-Rollen für Dienstkonten](https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/)
+ Wir empfehlen, dass Config-Regeln konfiguriert und überwacht werden
+ Öffentliche Cluster-Endpunkte
+ API-Protokollierung deaktiviert
Es liegt in Ihrer Verantwortung, diese Konfigurationsregeln zu überwachen und zu korrigieren.
Wenn Sie einen [ALB-Ingress-Controller](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html) bereitstellen möchten, reichen Sie einen RFC für das Update Management \$1 Other \$1 Other ein, um die erforderliche IAM-Rolle für die Verwendung mit dem ALB Ingress Controller-Pod bereitzustellen. Die folgenden Eingaben sind erforderlich, um IAM-Ressourcen zu erstellen, die dem ALB Ingress Controller zugeordnet werden sollen (schließen Sie diese in Ihren RFC ein):
+ [Erforderlich] Name des Amazon EKS-Clusters
+ [Optional] URL des OpenID Connect-Anbieters
+ [Optional] Amazon EKS-Cluster-Namespace, in dem der Application Load Balancer (ALB) -Ingress Controller-Service bereitgestellt wird. [Standard: Kube-System]
+ [Optional] Name des Amazon EKS-Cluster-Servicekontos (SA). [Standard: aws-load-balancer-controller]
Wenn Sie die Verschlüsselung von Envelope Secrets in Ihrem Cluster aktivieren möchten (was wir empfehlen), geben Sie den KMS-Schlüssel, den IDs Sie verwenden möchten, im Beschreibungsfeld des RFC an, um den Dienst hinzuzufügen (Management \$1 Service \$1 Self-provisioned AWS service \$1 Add (ct-1w8z66n899dct)). Weitere Informationen zur Umschlagverschlüsselung finden Sie unter [Amazon EKS fügt Umschlagverschlüsselung für geheime Daten mit AWS KMS](https://aws.amazon.com/about-aws/whats-new/2020/03/amazon-eks-adds-envelope-encryption-for-secrets-with-aws-kms/) hinzu.
# Verwenden Sie AMS SSP, um Amazon EMR in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf Amazon EMR-Funktionen zuzugreifen. Amazon EMR ist die branchenführende Cloud-Big-Data-Plattform für die Verarbeitung riesiger Datenmengen mithilfe von Open-Source-Tools wie Apache Spark, Apache Hive, Apache, Apache Flink HBase, Apache Hudi und Presto. Mit Amazon EMR können Sie Analysen im Petabyte-Bereich zu weniger als der Hälfte der Kosten herkömmlicher On-Premises-Lösungen und mehr als dreimal schneller als Apache Spark-Standardlösungen durchführen. Für Aufträge mit kurzer Laufzeit können Sie Cluster hoch- und herunterfahren und pro Sekunde für die verwendeten Instances zahlen. Für Workloads mit langer Laufzeit können Sie hochverfügbare Cluster erstellen, die automatisch skaliert werden, um der Nachfrage gerecht zu werden.
Sie können eine oder mehrere Instances der Amazon EMR-Cluster entweder in AMS-Landingzone-Konten mit mehreren Konten oder Landingzone-Konten mit einem Konto erstellen, um sowohl transiente als auch persistente Amazon EMR-Cluster zu unterstützen. Sie können auch die Kerberos-Authentifizierung aktivieren, um Benutzer aus einer lokalen Active Directory-Domäne zu authentifizieren.
Sie können mehrere Datenspeicher mit den Amazon EMR-Clustern nutzen, um anwendungsspezifische Hadoop-Tools und -Bibliotheken zu unterstützen. Die Amazon EMR-Cluster können mithilfe von OnDemand Spot-Instances erstellt und Autoscaling konfiguriert werden, um die Kapazität zu verwalten und die Kosten zu senken.
Die Cluster-Protokolldateien können zum Protokollieren und Debuggen in einem Amazon S3 S3-Bucket archiviert werden. Sie können auch auf die im Amazon EMR-Cluster gehosteten Weboberflächen zugreifen, um Hadoop-Administrationsanforderungen oder Notizbucherfahrungen für Kunden zu unterstützen.
Weitere Informationen finden Sie unter [Amazon EMR.](https://aws.amazon.com/emr/)
## Häufig gestellte Fragen zu Amazon EMR in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon EMR in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen zur Verfügung:
+ `customer_emr_cluster_instance_profile`
+ `customer_emr_cluster_autoscaling_role`
+ `customer_emr_console_role`
+ `customer_emr_cluster_service_role`
Nachdem es in Ihrem Konto bereitgestellt wurde, müssen Sie die customer\$1emr\$1console\$1role in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon EMR in meinem AMS-Konto?**
Wir empfehlen Ihnen, bei der Erstellung von Amazon EMR auf einem EC2-Cluster von der AWS-Konsole aus die Option **Create Cluster — Advanced** zu verwenden. Amazon EMR-Cluster müssen erstellt werden, indem das Tag mit dem Schlüssel **"for-use-with-amazon-emr-managed-policies"** mit dem Wert **„true“** hinzugefügt wird. Wählen Sie in den **Sicherheitsoptionen** die folgenden Konfigurationen aus:
+ Wählen Sie benutzerdefinierte Rollen für Ihren Cluster aus:
+ EMR-Rolle: customer\$1emr\$1cluster\$1service\$1role
+ EC2-Instanzprofil: customer\$1emr\$1cluster\$1instance\$1profile
+ Auto Scaling Scaling-Rolle: customer\$1emr\$1cluster\$1autoscaling\$1role
+ EC2-Sicherheitsgruppen:
+ Master: -Gruppe ams-emr-master-security
+ Kern und Aufgabe: -Gruppe ams-emr-worker-security
+ Zugriff auf Dienste: -group ams-emr-serviceaccess-security
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon EMR in meinem AMS-Konto?**
AMS erstellt Standardsicherheitsgruppen für die Master-, Worker- und Services-Knoten von Amazon EMR.
Die Startvorlagen und Sicherheitsgruppen, die mit Amazon EMR-Clustern verwendet werden sollen, müssen den Tag-Schlüssel **"for-use-with-amazon-emr-managed-policies"** mit dem Wert **„true“** haben.
Das standardmäßige Amazon EMR-Cluster-Instance-Profil ermöglicht den Zugriff auf Ressourcen wie S3-Buckets und Dynamodb-Tabellen, deren Namen „emr“ enthalten. Sie können zusätzliche IAM-Richtlinien anfordern, um zusätzliche Ressourcen für Amazon EMR zu nutzen. Die folgenden Ressourcen-ARNs können mit Amazon EMR-Jobs unter Verwendung des **customer\$1emr\$1cluster\$1instance\$1profile** verwendet werden:
+ arn:aws:dynamodb: \$1:\$1:table/\$1emr\$1
+ arn:aws:kinesis: \$1:\$1:stream/\$1emr\$1
+ arn:aws:sns: \$1:\$1: \$1emr\$1arn:aws:sqs: \$1:\$1: \$1emr\$1
+ arn:aws:sqs: \$1:\$1: \$1emr\$1
+ arn:aws:sqs: \$1:\$1:AWS-\$1 ElasticMapReduce
+ arn:aws:sdb: \$1::domäne: \$1emr\$1
+ arn:aws:s3: ::\$1emr\$1
Wenn Kerberos-Authentifizierung für den Amazon EMR-Cluster erforderlich ist:
+ Geben Sie den Bereichsnamen an, der für jeden kerberisierten Amazon EMR-Cluster verwendet werden soll, und die lokalen Active Directory-IP-Adressen.
+ Anforderungen an die Infrastruktur:
**Multi-Account Landing Zone (MALZ)**: Reichen Sie einen RFC ein, um ein neues verwaltetes Anwendungskonto oder eine neue VPC in einem vorhandenen Anwendungskonto zu erstellen.
**Single-Account Landing Zone (SALZ)**: Reichen Sie einen RFC ein, um ein neues Subnetz in Ihrer VPC zu erstellen.
+ Konfigurieren Sie die eingehende Vertrauensstellung für den Bereich des Clusters im lokalen Active Directory.
+ Reichen Sie einen RFC ein, um DNS-Zonen für den Bereich im Managed AD zu konfigurieren.
+ Konfiguration des Bereichs:
**MALZ**: Senden Sie einen Management \$1 Other \$1 Other \$1 Update (ct-0xdawir96cy7k) -RFC, um den VPC-DHCP-Optionssatz so zu aktualisieren, dass er den Realmnamen als Domainnamensuffix verwendet.
**SALZ**: Reichen Sie einen RFC für Management \$1 Other \$1 Other \$1 Update (ct-0xdawir96cy7k) ein, um ein neues Amazon EMR-AMI zu generieren, das den spezifischen Bereich für das Domainnamensuffix verwendet.
Für die Bereitstellung von Amazon EMR Studio ist für die Rolle `customer_emr_cluster_service_role` eine Voraussetzung für einen Amazon Simple Storage Service-Bucket erforderlich. Um den Bucket zu erstellen, verwenden Sie das automatisierte CT `ct-1a68ck03fn98r` (Deployment \$1 Advanced Stack Components \$1 S3 storage \$1 Create). Wenn Sie dieses automatisierte CT verwenden, um einen Amazon S3 S3-Bucket für Amazon EMR zu erstellen, muss der Bucket-Name mit dem Präfix `customer-emr-*` beginnen. Außerdem müssen Sie den Bucket in derselben AWS Region wie der Amazon EMR-Cluster erstellen.
# Verwenden Sie AMS SSP, um Amazon EventBridge in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf EventBridge Amazon-Funktionen zuzugreifen. Amazon EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, Software-as-a-Service (SaaS) -Anwendungen und AWS Diensten und leitet diese Daten an Ziele weiter, wie AWS Lambda z. Sie können Routing-Regeln einrichten, um festzulegen, wohin Ihre Daten gesendet werden sollen, um Anwendungsarchitekturen zu erstellen, die in Echtzeit auf alle Ihre Datenquellen reagieren. Mit EventBridge können Sie ereignisgesteuerte Architekturen erstellen, die lose gekoppelt und verteilt sind.
Weitere Informationen finden Sie auf [Amazon EventBridge](https://aws.amazon.com/eventbridge/).
## EventBridge in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf EventBridge in meinem AMS-Konto?**
Beantragen Sie den Zugriff auf, EventBridge indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_eventbridge_role` Konto `customer_eventbridge_scheduler_execution_role` die folgenden IAM-Rollen zur Verfügung: und. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
Die Ausführungsrolle `customer_eventbridge_scheduler_execution_role` ist eine IAM-Rolle, von der EventBridge Scheduler annimmt, um in Ihrem Namen mit anderen AWS-Services zu interagieren. Die mit dieser Rolle verknüpften Berechtigungsrichtlinien gewähren dem EventBridge Scheduler Zugriff auf das Aufrufen von Zielen.
**Anmerkung**
Standardmäßig verwendet EventBridge Scheduler AWS eigene Schlüssel EventBridge zum Verschlüsseln der Daten. Um einen vom Kunden verwalteten Schlüssel zum Verschlüsseln der Daten EventBridge zu verwenden, reichen Sie den RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 [Add (managed automation) Change Type (ct-3qe6io8t6jtny)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-aws-self-provisioned-service-add-review-required.html) für die Servicebereitstellung ein.
**F: Welche Einschränkungen gelten für die Nutzung in meinem AMS-Konto? EventBridge **
Sie müssen AMS einreichen RFCs und die folgenden Ressourcen erstellen: Servicerollen zum Auslösen des Batch-Jobs, SQS-Warteschlange, CodeBuild CodePipeline, und SSM-Befehle.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung EventBridge in meinem AMS-Konto?**
Sie müssen mithilfe des Änderungstyps Deployment \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 Entität oder Richtlinie erstellen (verwaltete Automatisierung) (ct-3dpd8mdd9jn1r) eine EventBridge Servicerolle mit einem RFC anfordern, bevor Sie andere AWS Ressourcen wie AWS Batch Lambda-, Amazon SNS-, Amazon SQS- oder Amazon Logs-Ressourcen EventBridge zum Auslösen verwenden. CloudWatch Geben Sie die Dienste an, die aufgerufen werden sollen, wenn Sie Ihre Servicerolle anfordern. Informationen zu den zum Aufrufen von Zielen erforderlichen Berechtigungen finden Sie unter [Verwenden ressourcenbasierter](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html) Richtlinien für. EventBridge
EventBridge ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem Mitglied ausgeführten Aktionen bereitstellt. AWS-Service EventBridge CloudTrail muss aktiviert sein und darf die Protokolldateien in S3-Buckets speichern. Hinweis: Alle AMS-Konten wurden CloudTrail aktiviert, sodass keine Maßnahmen erforderlich sind.
**F: Für die Rolle customer\$1eventbridge\$1scheduler\$1execution\$1role ist ein Schlüssel erforderlich (optional, falls er für die Verschlüsselung verwendet wird). AWS Key Management Service Wie AWS KMS CMKs setze ich die Verschlüsselung von Daten im Ruhe/bei der Übertragung ein?**
Standardmäßig verschlüsselt EventBridge Scheduler Ereignismetadaten und Nachrichtendaten, die er unter einem AWS eigenen Schlüssel speichert (Verschlüsselung im Ruhezustand). EventBridge Scheduler verschlüsselt auch Daten, die zwischen EventBridge Scheduler und anderen Diensten übertragen werden, mithilfe von Transport Layer Security (TLS) (Verschlüsselung bei der Übertragung).
Wenn Ihr spezieller Anwendungsfall erfordert, dass Sie die Verschlüsselungsschlüssel, die Ihre Daten auf EventBridge Scheduler schützen, kontrollieren und prüfen, können Sie einen vom Kunden verwalteten Schlüssel verwenden.
Sie müssen einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (managed automation) anfordern, bevor Sie Amazon EventBridge für das Onboarding der Genehmigung verwenden. AWS KMS
# Verwenden Sie AMS SSP, um Amazon Forecast in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Forecast (Forecast) zuzugreifen. Amazon Forecast ist ein vollständig verwalteter Service, der maschinelles Lernen nutzt, um hochgenaue Prognosen zu liefern.
**Anmerkung**
AWS hat mit Wirkung zum 29. Juli 2024 den Zugang für Neukunden zu Amazon Forecast geschlossen. Bestandskunden von Amazon Forecast können den Service weiterhin wie gewohnt nutzen. AWS investiert weiterhin in Sicherheits-, Verfügbarkeits- und Leistungsverbesserungen für Amazon Forecast, plant jedoch AWS nicht, neue Funktionen einzuführen.
Wenn Sie Amazon Forecast verwenden möchten, wenden Sie sich an Ihren CSDM, damit dieser Ihnen weiterhelfen kann, wie Sie [Ihre Nutzung von Amazon Forecast auf Amazon SageMaker Canvas umstellen](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/) können.
Forecast basiert auf derselben Technologie, die auch bei Amazon.com verwendet wird, und verwendet maschinelles Lernen, um Zeitreihendaten mit zusätzlichen Variablen zu kombinieren, um Prognosen zu erstellen. Forecast erfordert keine Erfahrung mit maschinellem Lernen, um loszulegen. Sie müssen nur historische Daten sowie alle zusätzlichen Daten angeben, von denen Sie glauben, dass sie sich auf Ihre Prognosen auswirken könnten. Beispielsweise kann sich die Nachfrage nach einer bestimmten Hemdfarbe mit den Jahreszeiten und dem Standort des Geschäfts ändern. Dieser komplexe Zusammenhang ist für sich genommen schwer zu ermitteln, aber maschinelles Lernen eignet sich hervorragend, um ihn zu erkennen. Sobald Sie Ihre Daten bereitgestellt haben, untersucht Forecast sie automatisch, ermittelt, was aussagekräftig ist, und erstellt ein Prognosemodell, mit dem Prognosen getroffen werden können, die bis zu 50% genauer sind als die alleinige Betrachtung von Zeitreihendaten.
Weitere Informationen finden Sie unter [Amazon Forecast](https://aws.amazon.com/forecast/).
## Häufig gestellte Fragen zu Amazon Forecast in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Forecast in meinem AMS-Konto?**
Beantragen Sie Zugriff auf, AWS Firewall Manager indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_forecast_admin_role` Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Nutzung von Forecast in meinem AMS-Konto?**
Der standardmäßige S3-Bucket-Zugriff ermöglicht Ihnen nur den Zugriff auf Buckets mit dem Benennungsmuster „customer-forecast-\$1“. Wenn Sie Ihre eigene Benennungskonvention für Daten-Buckets haben, besprechen Sie die Benennung von Buckets und die damit verbundene Einrichtung des Zugriffs mit Ihrem Cloud Architect (CA). Beispiel:
+ Sie könnten Ihre spezifische Amazon Forecast-Servicerolle mit einer Benennung wie 'AmazonForecast- ExecutionRole -\$1' und dem zugehörigen richtigen S3-Bucket-Zugriff definieren. Weitere Informationen finden Sie in der IAM-Konsole unter AmazonForecast-ExecutionRole-Admin Servicerolle und IAM-Richtlinie customer\$1forecast\$1default\$1s3\$1access\$1policy.
+ Möglicherweise müssen Sie den zugehörigen S3-Buckets-Zugriff der IAM-Verbundrolle zuordnen. Weitere Informationen finden Sie in der IAM-Richtlinie customer\$1forecast\$1default\$1s3\$1access\$1policy in der IAM-Konsole.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Forecast in meinem AMS-Konto?**
+ Vor der Verwendung von Forecast müssen die richtigen Amazon S3 S3-Buckets erstellt werden. Insbesondere erfolgt der Standardzugriff auf S3-Buckets nach dem Benennungsmuster „customer-forecast-\$1“
+ Wenn Sie für S3-Buckets andere Benennungsmuster als „customer-forecast-\$1“ verwenden möchten, müssen Sie eine neue Servicerolle mit S3-Zugriffsberechtigungen für die Buckets erstellen:
1. Es muss eine neue Servicerolle mit der Benennung 'AmazonForecast- - ExecutionRole \$1suffix\$1' erstellt werden.
1. Es muss eine neue IAM-Richtlinie erstellt werden, die customer\$1forecast\$1default\$1s3\$1access\$1policy ähnelt und der neuen Servicerolle und der zugehörigen Verbundadministratorrolle (z. B. 'customer\$1forecast\$1admin\$1role') zugeordnet werden soll
**F: Wie kann ich die Datensicherheit bei der Nutzung von Amazon Forecast verbessern?**
+ Für die Datenverschlüsselung im Ruhezustand können AWS KMS Sie ein vom Kunden verwaltetes CMK bereitstellen, um den Datenspeicher auf dem Amazon S3 S3-Service zu schützen:
+ Aktivieren Sie die Standardverschlüsselung für den Bucket mit dem Bereitstellungsschlüssel und richten Sie die Bucket-Richtlinie so ein, dass die AWS KMS Datenverschlüsselung beim Eingeben von Daten akzeptiert wird.
+ Aktivieren Sie die Amazon Forecast-Servicerolle 'AmazonForecast- ExecutionRole -\$1' und die Verbundadministratorrolle (z. B. 'customer\$1forecast\$1admin\$1role') als Hauptbenutzer. AWS KMS
+ Für die Datenverschlüsselung während der Übertragung können Sie das HTTPS-Protokoll einrichten, das bei der Übertragung von Objekten gemäß der Amazon S3 S3-Bucket-Richtlinie erforderlich ist.
+ Weitere Einschränkungen der Zugriffskontrolle: Aktivieren Sie eine Bucket-Richtlinie für den genehmigten Zugriff für die Amazon Forecast-Servicerolle 'AmazonForecast- ExecutionRole -\$1' und die Administratorrolle (z. B. 'customer\$1forecast\$1admin\$1role').
**F: Was sind die Best Practices bei der Verwendung von Amazon Forecast?**
+ Sie sollten ein gutes Verständnis Ihrer Datenklassifizierungspraktiken haben und die damit verbundenen Datensicherheitsanforderungen bei der Verwendung von S3-Buckets mit Amazon Forecast abbilden.
+ Für die Amazon S3 S3-Bucket-Konfiguration empfehlen wir Ihnen dringend, die HTTPS-Durchsetzung in Ihrer S3-Bucket-Richtlinie zu aktivieren.
+ Sie müssen wissen, dass die Admin-Rolle „customer\$1forecast\$1admin\$1role“ den permissiven Zugriff (Get/Delete/PutS3-Objekte) auf Amazon S3 S3-Buckets mit dem Namen „customer-forecast-\$1“ unterstützt. HINWEIS: Wenn Sie eine detaillierte Zugriffskontrolle für mehrere Teams benötigen, gehen Sie wie folgt vor:
+ Definieren Sie Ihre IAM-Identität für den teambasierten Zugriff (Rolle/Benutzer) mit geringsten Zugriffsrechten auf zugehörige Amazon S3 S3-Buckets.
+ Erstellen Sie team/project basierend AWS KMS CMKs und gewähren Sie den entsprechenden IAM-Identitäten den richtigen Zugriff. (Benutzerzugriff und 'AmazonForecast- ExecutionRole - \$1team/project\$1'.
+ Richten Sie die S3-Bucket-Standardverschlüsselung mit der erstellten ein. AWS KMS CMKs
+ Erzwingen Sie S3-API-Verkehr mit dem HTTPS-Protokoll in der S3-Bucket-Richtlinie.
+ Erzwingen Sie die S3-Bucket-Konfiguration für den genehmigten Zugriff für verwandte IAM-Identitäten (Benutzerzugriff und 'AmazonForecast- ExecutionRole - \$1team/project\$1') auf die Buckets.
+ Wenn Sie die 'customer\$1forecast\$1admin\$1role' für allgemeine Zwecke verwenden möchten, sollten Sie die zuvor aufgeführten Punkte berücksichtigen, um S3-Buckets zu schützen.
**F: Wo sind Compliance-Informationen zu Amazon Forecast?**
Weitere Informationen finden Sie im [Compliance-Programm für AWS Dienste](https://aws.amazon.com/compliance/services-in-scope/).
# Verwenden Sie AMS SSP, um Amazon FSx in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf FSx Amazon-Funktionen zuzugreifen. Amazon FSx bietet vollständig verwaltete Dateisysteme von Drittanbietern. Amazon FSx bietet Ihnen die native Kompatibilität von Dateisystemen von Drittanbietern mit Funktionen für Workloads wie Windows-basierten Speicher, Hochleistungsrechnen (HPC), maschinelles Lernen und Electronic Design Automation (EDA). Amazon FSx automatisiert zeitaufwändige Verwaltungsaufgaben wie Hardwarebereitstellung, Softwarekonfiguration, Patching und Backups. Amazon FSx integriert die Dateisysteme mit Cloud-nativen AWS Diensten, wodurch sie für eine breitere Palette von Workloads noch nützlicher werden.
Amazon FSx stellt Ihnen zwei Dateisysteme zur Auswahl: Amazon FSx für Windows File Server für Windows-basierte Anwendungen und Amazon for Lustre FSx für rechenintensive Workloads. Weitere Informationen finden Sie auf [Amazon FSx](https://aws.amazon.com/fsx/).
## Häufig gestellte Fragen zu Amazon FSx in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon FSx in meinem AMS-Konto?**
Beantragen Sie Zugriff auf Amazon, FSx indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_fsx_admin_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon FSx in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität des Dienstes ist verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon FSx in meinem AMS-Konto?**
Es gibt keine Voraussetzungen. Für erweiterte Konfigurationen wie Multi-AZ müssen Sie jedoch die Dienste DFS-Replikation und DFS-Namespaces installieren und verwalten. [Weitere Informationen finden Sie unter Bereitstellen von Multi-AZ-Dateisystemen.](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/multi-az-deployments.html)
**F: Wie integriere ich mein FSx Amazon-Dateisystem in mein Managed AD für mehrere Konten in der landing zone?**
Wenn Sie ein FSx Amazon-Dateisystem erstellen, können Sie Ihr MALZ Managed AD als „AWS Managed Microsoft Active Directory“ für die Windows-Authentifizierung angeben. Weitere Informationen finden Sie [unter Amazon FSx mit AWS Directory Service für Microsoft Active Directory](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html) verwenden
Außerdem müssen Sie das Managed AD zuerst für das Anwendungskonto freigeben. Senden Sie dazu einen RFC mit dem Änderungstyp Management \$1 Directory Service \$1 Directory \$1 Share directory (ct-369odosk0pd9w).
**F: Welche Benutzer gehören zur Gruppe der **Delegierten FSx Administratoren von AWS**?**
Nur IT-Dateiserveradministratoren. Diese Gruppe verfügt über **Vollzugriffsrechte** für alle Dateifreigaben.
**F: Sollte ich die Standard-Dateifreigabe **Share** verwenden, die bei der Bereitstellung des FSx Systems erstellt wird?**
**Nein, wir empfehlen nicht, die standardmäßige Dateifreigabe Share wie bereitgestellt zu verwenden.** Es gewährt **allen** **Benutzern vollen Zugriff**, was gegen das Prinzip der geringsten Rechte verstößt. Erstellen Sie stattdessen kleinere, benutzerdefinierte Dateifreigaben, die Ihren Geschäftsanforderungen entsprechen.
**F: Wie kann ich benutzerdefinierte Dateifreigaben für bestimmte Organisationen in meinem Unternehmen erstellen?**
Anweisungen zum Erstellen benutzerdefinierter [Dateifreigaben](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/managing-file-shares.html) finden Sie unter Dateifreigaben. Beschränken Sie den Zugriff auf jede Dateifreigabe nach dem Prinzip der geringsten Rechte.
# Verwenden Sie AMS SSP, um Amazon FSx für OpenZFS in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon FSx for OpenZFS zuzugreifen. FSx for OpenZFS ist ein vollständig verwalteter Dateispeicherservice, der es einfach macht, Daten, die sich auf lokalen ZFS- oder anderen Linux-basierten Dateiservern befinden, nach AWS zu verschieben, ohne Ihren Anwendungscode oder die Art und Weise, wie Sie Daten verwalten, zu ändern. Es bietet einen äußerst zuverlässigen, skalierbaren, leistungsstarken und funktionsreichen Dateispeicher, der auf dem Open-Source-OpenZFS-Dateisystem basiert und die vertrauten Funktionen und Fähigkeiten von OpenZFS-Dateisystemen mit der Agilität, Skalierbarkeit und Einfachheit eines vollständig verwalteten AWS Dienstes bietet. Für Entwickler, die Cloud-native Anwendungen entwickeln, bietet es einfachen, leistungsstarken Speicher mit umfangreichen Funktionen für die Arbeit mit Daten.
FSx für OpenZFS sind Dateisysteme von Linux-, Windows- und macOS-Recheninstanzen und Containern aus breit zugänglich, die das branchenübliche NFS-Protokoll (v3, v4.0, v4.1, v4.2) verwenden. OpenZFS basiert AWS auf Graviton-Prozessoren und den neuesten AWS Festplatten- und Netzwerktechnologien (einschließlich AWS Scalable Reliable Datagram Networking und dem AWS Nitro-System) und bietet bis zu 1 Million IOPS mit FSx Latenzen von Hunderten von Mikrosekunden. Durch die vollständige Unterstützung von OpenZFS-Funktionen wie Instant point-in-time Snapshots und Datenklonen können Sie mit OpenZFS Ihre lokalen Dateiserver ganz einfach durch AWS Speicher ersetzen, der vertraute Dateisystemfunktionen bietet und die Notwendigkeit, langwierige Qualifizierungen durchzuführen und bestehende Anwendungen oder Tools zu ändern oder neu zu gestalten, überflüssig macht. FSx Und durch die Kombination der leistungsstarken Datenverwaltungsfunktionen von OpenZFS mit der hohen Leistung und Kosteneffizienz der neuesten AWS-Technologien ermöglicht OpenZFS Ihnen, FSx leistungsstarke, datenintensive Anwendungen zu erstellen und auszuführen.
Als vollständig verwalteter Service macht es OpenZFS einfach, FSx vollständig verwaltete Dateisysteme zu starten, auszuführen und zu skalieren, die die Dateiserver ersetzen AWS , die Sie vor Ort betreiben, und gleichzeitig für mehr Flexibilität und geringere Kosten sorgen. Mit FSx OpenZFS müssen Sie sich nicht mehr um die Einrichtung und Bereitstellung von Dateiservern und Speichervolumes, die Replikation von Daten, die Installation und das Patchen von Dateiserversoftware, die Erkennung und Behebung von Hardwarefehlern und die manuelle Durchführung von Backups kümmern. Es bietet auch eine umfassende Integration mit anderen AWS Diensten wie AWS Identity and Access Management (IAM), AWS Key Management Service (AWS KMS) CloudWatch, Amazon und AWS CloudTrail.
Amazon FSx stellt Ihnen zwei Dateisysteme zur Auswahl: Amazon FSx für Windows File Server für Windows-basierte Anwendungen und Amazon for Lustre FSx für rechenintensive Workloads. Weitere Informationen finden Sie auf [Amazon FSx](https://aws.amazon.com/fsx/).
## Häufig gestellte FSx Fragen zu Amazon für OpenZFS in AWS Managed Services
**F: Wie beantrage ich Zugriff FSx zur Nutzung von OpenZFS in meinem AMS-Konto?**
Fordern Sie Zugriff auf Amazon FSx OpenZFS an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_fsx_ontap_admin_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten FSx für die Nutzung von OpenZFS in meinem AMS-Konto?**
Um die Sicherheitsgruppe auf den Amazon FSx Elastic Network Interfaces (ENIs) zu ersetzen, müssen Sie Management \$1 Other \$1 Other \$1 Update einreichen, RFCs da Sicherheitsgruppen ein kritischer Perimeter für die AMS-Umgebung sind. Das ist die einzige Einschränkung.
**F: Was sind die Voraussetzungen oder Abhängigkeiten FSx für die Nutzung von OpenZFS in meinem AMS-Konto?**
Es gibt keine Voraussetzungen. Sie müssen es jedoch [Verwenden Sie AMS SSP, um Amazon FSx in Ihrem AMS-Konto bereitzustellen](amz-fsx.md) installiert haben.
# Verwenden Sie AMS SSP, um Amazon FSx für NetApp ONTAP in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon FSx for NetApp ONTAP zuzugreifen. Amazon FSx for NetApp ONTAP ist ein vollständig verwalteter Service, der äußerst zuverlässige, skalierbare, leistungsstarke und funktionsreiche Dateispeicherung bietet, die auf dem beliebten NetApp ONTAP-Dateisystem basiert. Er bietet die vertrauten Funktionen, Leistungen und Fähigkeiten APIs von NetApp Dateisystemen mit der Agilität, Skalierbarkeit und Einfachheit eines vollständig verwalteten Systems. AWS-Service
Amazon FSx for NetApp ONTAP bietet funktionsreichen, schnellen und flexiblen gemeinsamen Dateispeicher, auf den von Linux-, Windows- und macOS-Recheninstanzen aus, die vor Ort AWS oder vor Ort ausgeführt werden, umfassend zugegriffen werden kann. FSx for ONTAP bietet leistungsstarken SSD-Speicher mit Latenzen unter einer Millisekunde und ermöglicht eine schnelle und einfache Verwaltung Ihrer Daten, indem Sie Ihre Dateien mit einem Klick auf eine Schaltfläche speichern, klonen und replizieren können. Außerdem werden Ihre Daten automatisch auf kostengünstigeren, elastischen Speicher aufgeteilt, sodass Sie keine Kapazität bereitstellen oder verwalten müssen. So können Sie SSD-Leistung für Ihren Workload erreichen, während Sie nur für einen kleinen Teil Ihrer Daten für SSD-Speicher bezahlen. Es bietet hochverfügbaren und langlebigen Speicher mit vollständig verwalteten Backups und Unterstützung für regionsübergreifende Notfallwiederherstellung. Außerdem unterstützt es beliebte Datensicherheits- und Antivirenanwendungen, die den Schutz und die Sicherung Ihrer Daten noch einfacher machen. Für Kunden, die NetApp ONTAP vor Ort verwenden, FSx ist ONTAP eine ideale Lösung, um Ihre dateibasierten Anwendungen von lokalen zu migrieren, zu sichern oder zu beschleunigen, AWS ohne dass Sie Ihren Anwendungscode oder die Art und Weise, wie Sie Ihre Daten verwalten, ändern müssen.
Als vollständig verwalteter Service macht es Amazon FSx for NetApp ONTAP einfach, zuverlässigen, leistungsstarken und sicheren gemeinsamen Dateispeicher in der Cloud zu starten und zu skalieren. Mit Amazon FSx for NetApp ONTAP müssen Sie sich keine Gedanken mehr über die Einrichtung und Bereitstellung von Dateiservern und Speichervolumes, die Replikation von Daten, die Installation und das Patchen von Dateiserversoftware, die Erkennung und Behebung von Hardwarefehlern, die Verwaltung von Failover und Failback sowie die manuelle Durchführung von Backups machen. Es bietet auch eine umfassende Integration mit anderen AWS-Services Anbietern wie Amazon AWS Identity and Access Management WorkSpaces AWS Key Management Service, und AWS CloudTrail.
Amazon FSx stellt Ihnen zwei Dateisysteme zur Auswahl: Amazon FSx für Windows File Server für Windows-basierte Anwendungen und Amazon for Lustre FSx für rechenintensive Workloads. Weitere Informationen finden Sie auf [Amazon FSx](https://aws.amazon.com/fsx/).
## Häufig gestellte FSx Fragen zu Amazon für NetApp ONTAP in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon FSx for NetApp ONTAP in meinem AMS-Konto?**
Beantragen Sie Zugriff auf Amazon FSx for NetApp ONTAP, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto `customer_fsx_ontap_admin_role` die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon FSx for NetApp ONTAP in meinem AMS-Konto?**
Um die Sicherheitsgruppe auf den elastischen Netzwerkschnittstellen von Amazon FSx for NetApp ONTAP (ENIs) zu ersetzen, müssen Sie Management \$1 Other \$1 Other \$1 Update einreichen, RFCs da Sicherheitsgruppen ein kritischer Perimeter für die AMS-Umgebung sind. Das ist die einzige Einschränkung.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon FSx for NetApp ONTAP in meinem AMS-Konto?**
Es gibt keine Voraussetzungen. Sie müssen es jedoch [Verwenden Sie AMS SSP, um Amazon FSx in Ihrem AMS-Konto bereitzustellen](amz-fsx.md) installiert haben.
# Verwenden Sie AMS SSP, um Amazon Inspector Classic in Ihrem AMS-Konto bereitzustellen
**Anmerkung**
Hinweis zum Ende des Supports: Am 20. Mai 2026 AWS wird der Support für Amazon Inspector Classic eingestellt. Nach dem 20. Mai 2026 können Sie nicht mehr auf die Amazon Inspector Classic-Konsole oder die Amazon Inspector Classic-Ressourcen zugreifen. Amazon Inspector Classic ist nicht mehr für neue Konten und Konten verfügbar, die in den letzten sechs Monaten keine Bewertung abgeschlossen haben. Für alle anderen Konten bleibt der Zugriff bis zum 20. Mai 2026 gültig. Danach können Sie nicht mehr auf die Amazon Inspector Classic-Konsole oder die Amazon Inspector Classic-Ressourcen zugreifen. Weitere Informationen finden Sie unter [Ende des Supports für Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html).
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Inspector Classic zuzugreifen. Amazon Inspector Classic ist ein automatisierter Sicherheitsbewertungsservice, der dazu beiträgt, die Sicherheit und Konformität von Anwendungen zu verbessern, auf denen bereitgestellt wird AWS. Amazon Inspector Classic bewertet Anwendungen automatisch auf Sicherheitslücken, Sicherheitslücken und Abweichungen von bewährten Methoden. Nach der Durchführung einer Bewertung erstellt Amazon Inspector Classic eine detaillierte Liste der Sicherheitsergebnisse, die nach Schweregrad priorisiert sind. Diese Ergebnisse können direkt oder als Teil detaillierter Bewertungsberichte überprüft werden, die über die Amazon Inspector Classic-Konsole oder API verfügbar sind. Weitere Informationen finden Sie unter [Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html).
## Häufig gestellte Fragen zu Amazon Inspector in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon Inspector Classic in meinem AMS-Konto?**
Fordern Sie Zugriff auf Amazon Inspector Classic an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto die IAM-Rolle zur Verfügung. `customer_inspector_admin_role` Die Rolle umfasst die AWS AmazonInspectorFullAccess -verwaltete Richtlinie. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Inspector Classic in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Amazon Inspector Classic ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Inspector Classic in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten, um Amazon Inspector Classic in Ihrem AMS-Konto zu verwenden.
## Verwenden Sie den neuen Amazon Inspector in AMS
Sie können den neuen Amazon Inspector jetzt in Ihrem AMS-Konto verwenden.
Für Amazon Inspector Classic `AmazonInspectorFullAccess` waren die `customer-inspector-admin-role-ssm-inspector-agent-policy` und erforderlich. Es wurde jedoch ein Update für die SSPS-Rolle vorgenommen`customer-inspector-admin-role`, das nun eine zusätzliche Rolle beinhaltet. `policyAmazonInspector2FullAccess` Diese neue Richtlinie ermöglicht API-Berechtigungen für die neue Version von Amazon Inspector.
# Verwenden Sie AMS SSP, um Amazon Kendra in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Kendra zuzugreifen. Amazon Kendra ist ein intelligenter Suchdienst, der natürliche Sprachverarbeitung und fortschrittliche Algorithmen für maschinelles Lernen verwendet, um spezifische Antworten auf Suchfragen aus Ihren Daten zurückzugeben. Im Gegensatz zur herkömmlichen schlüsselwortbasierten Suche verwendet Amazon Kendra seine Funktionen für semantisches und kontextuelles Verständnis, um festzustellen, ob ein Dokument für eine Suchabfrage relevant ist. Amazon Kendra gibt spezifische Antworten auf Fragen zurück, sodass Ihre Erfahrung der Interaktion mit einem menschlichen Experten sehr nahe kommt. Amazon Kendra ist hochgradig skalierbar, in der Lage, Leistungsanforderungen zu erfüllen, ist eng in andere AWS Dienste wie Amazon S3 und Amazon Lex integriert und bietet Sicherheit auf Unternehmensniveau. Weitere Informationen finden Sie unter [Amazon Kendra;.](https://docs.aws.amazon.com/kendra/latest/dg/what-is-kendra.html)
## Häufig gestellte Fragen zu Amazon Kendra in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon Kendra in meinem AMS-Konto?**
Um Zugriff auf Amazon Inspector Classic zu beantragen, reichen Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-3qe6io8t6jtny) ein. Dieser RFC stellt Ihrem Konto die IAM-Rolle zur Verfügung. `customer_kendra_console_role` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Nutzung von Amazon Kendra in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Amazon Kendra ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon Kendra in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten, um mit Amazon Kendra zu beginnen. Abhängig von Ihrem spezifischen Anwendungsfall benötigen Sie jedoch möglicherweise Zugriff auf andere AWS Dienste.
# Verwenden Sie AMS SSP, um Amazon Kinesis Data Streams in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Kinesis Data Streams (KDS) zuzugreifen. Amazon Kinesis Data Streams ist ein hoch skalierbarer und langlebiger Echtzeit-Datenstreaming-Service. KDS kann kontinuierlich Gigabytes an Daten pro Sekunde aus Hunderttausenden von Quellen wie Website-Clickstreams, Datenbankereignisströmen, Finanztransaktionen, Social-Media-Feeds, IT-Protokollen und Ereignissen zur Standortverfolgung erfassen. Die gesammelten Daten sind innerhalb von Millisekunden verfügbar, um Anwendungsfälle für Echtzeitanalysen wie Echtzeit-Dashboards, Erkennung von Anomalien in Echtzeit, dynamische Preisgestaltung und mehr zu ermöglichen. Weitere Informationen finden Sie unter [Amazon Kinesis Data Streams](https://aws.amazon.com/kinesis/data-streams/).
## Häufig gestellte Fragen zu Kinesis Data Streams in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon Kinesis Data Streams in meinem AMS-Konto?**
Fordern Sie Zugriff auf Amazon Kinesis Data Streams an, indem Sie einen RFC mit dem Management \$1 AWS-Service \$1 Self-provisioned Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_kinesis_data_streaming_user_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Kinesis Data Streams in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Amazon Kinesis Data Streams ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Kinesis Data Streams in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Kinesis Data Streams in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP, um Amazon Kinesis Video Streams in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Kinesis Video Streams (KVS) zuzugreifen. Amazon Kinesis Video Streams unterstützt Sie beim sicheren Streamen von Videos von verbundenen Geräten AWS für Analysen, maschinelles Lernen (ML), Wiedergabe und andere Verarbeitungszwecke. Kinesis Video Streams stellt automatisch die gesamte Infrastruktur bereit, die für die Aufnahme von Streaming-Videodaten von Millionen von Geräten erforderlich ist, und skaliert sie elastisch. Außerdem speichert, verschlüsselt und indexiert es dauerhaft Videodaten in Ihren Streams und ermöglicht Ihnen den Zugriff auf Ihre Daten über. easy-to-use APIs Kinesis Video Streams ermöglicht Ihnen die Wiedergabe von Videos für die Live- und On-Demand-Anzeige und die schnelle Erstellung von Anwendungen, die durch die Integration mit Amazon Rekognition Video und Bibliotheken für ML-Frameworks wie Apache MxNet TensorFlow, und OpenCV die Vorteile von Computer Vision und Videoanalyse nutzen. Weitere Informationen finden Sie unter [Amazon Kinesis Video Streams](https://aws.amazon.com/kinesis/video-streams/).
## Häufig gestellte Fragen zu Amazon Kinesis Video Streams in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon Kinesis Video Streams in meinem AMS-Konto?**
Fordern Sie Zugriff auf Amazon Kinesis Video Streams an, indem Sie einen RFC mit dem Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_kinesis_video_streaming_user_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Kinesis Video Streams in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Amazon Kinesis Video Streams ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Kinesis Video Streams in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Kinesis Video Streams in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP, um Amazon Lex in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf Amazon Lex Lex-Funktionen zuzugreifen. Amazon Lex ist ein Service zum Integrieren von Konversationsschnittstellen in jede Anwendung, die Sprache und Text verwendet. Amazon Lex bietet fortschrittliche Deep-Learning-Funktionen wie automatische Spracherkennung (ASR) zur Umwandlung von Sprache in Text und Natural Language Understanding (NLU), um die Absicht des Textes zu erkennen, sodass Sie Anwendungen mit äußerst ansprechenden Benutzererlebnissen und lebensechten Konversationsinteraktionen entwickeln können. Mit Amazon Lex stehen dieselben Deep-Learning-Technologien, die Amazon Alexa unterstützen, jetzt allen Entwicklern zur Verfügung, sodass Sie schnell und einfach anspruchsvolle Konversationsbots oder Chatbots in natürlicher Sprache erstellen können. Weitere Informationen finden Sie unter [Amazon Lex](https://aws.amazon.com/lex/).
## Häufig gestellte Fragen zu Amazon Lex in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon Lex in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie Folgendes einreichen: Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct). Dieser RFC stellt Ihrem Konto `customer_lex_author_role` die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Lex in meinem AMS-Konto?**
Die Amazon Lex Lex-Integration mit Lambda ist auf Lambda-Funktionen ohne „AMS-“ -Präfix beschränkt, um jegliche Änderungen an der AMS-Infrastruktur zu verhindern.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Lex in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten, um Amazon Lex in Ihrem AMS-Konto zu verwenden.
# Verwenden Sie AMS SSP, um Amazon MQ in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf Amazon MQ MQ-Funktionen zuzugreifen. Amazon MQ ist ein verwalteter Message Broker-Service für Apache ActiveMQ, der Sie bei der Einrichtung und dem Betrieb von Message Brokern in der Cloud unterstützt. Message Broker ermöglichen es verschiedenen Softwaresystemen, die häufig unterschiedliche Programmiersprachen und auf unterschiedlichen Plattformen verwenden, zu kommunizieren und Informationen auszutauschen. Amazon MQ reduziert Ihre Betriebslast, indem es die Bereitstellung, Einrichtung und Wartung von ActiveMQ, einem beliebten Open-Source-Nachrichtenbroker, verwaltet. Wenn Sie Ihre aktuellen Anwendungen mit Amazon MQ verbinden, werden Industriestandards APIs und Protokolle für das Messaging verwendet, darunter JMS, NMS, AMQP, STOMP, MQTT und. WebSocket Die Verwendung von Standards bedeutet, dass in den meisten Fällen kein Messaging-Code neu geschrieben werden muss, wenn Sie zu migrieren. AWS Weitere Informationen finden Sie unter [Was ist Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html)?
## Häufig gestellte Fragen zu Amazon MQ in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon MQ in meinem AMS-Konto?**
Die Nutzung von Amazon MQ in Ihrem AMS-Konto erfolgt in zwei Schritten:
1. Stellen Sie den Amazon MQ Broker bereit. Reichen Sie dazu eine CFN-Vorlage mit dem Amazon MQ Broker über einen RFC mit Deployment \$1 Ingestion \$1 Stack from CloudFormation Template \$1 Create change type (ct-36cn2avfrrj9v) ein, oder reichen Sie einen RFC mit dem Änderungstyp Management \$1 Other \$1 Other \$1 Other \$1 Create change type (ct-1e1xtak34nx76) ein und fordern Sie die Bereitstellung von Amazon MQ Broker in Ihrem Konto an.
1. Greifen Sie auf die Amazon MQ MQ-Konsole zu. Nachdem der Amazon MQ Broker bereitgestellt wurde, erhalten Sie Zugriff auf die Amazon MQ MQ-Konsole, indem Sie einen RFC mit Management \$1 AWS service \$1 Self-provisioned service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto die folgende IAM-Rolle zur Verfügung:. `customer_mq_console_role`
Nachdem die Rolle in Ihrem Konto bereitgestellt wurde, müssen Sie sie in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon MQ in meinem AMS-Konto?**
Die volle Funktionalität von Amazon MQ ist in Ihrem AMS-Konto verfügbar. Die Bereitstellung von Amazon MQ Broker ist jedoch aufgrund der erforderlichen erhöhten Berechtigungen nicht im Rahmen der Richtlinie verfügbar. Einzelheiten zur Bereitstellung von Amazon MQ Broker in Ihren Konten finden Sie oben.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon MQ in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten, um Amazon MQ in Ihrem AMS-Konto zu verwenden.
# Verwenden Sie AMS SSP, um Amazon Managed Service für Apache Flink in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Managed Service for Apache Flink zuzugreifen. Managed Service für Apache Flink ist der einfachste Weg, Streaming-Daten zu analysieren, umsetzbare Erkenntnisse zu gewinnen und auf Ihre Geschäfts- und Kundenanforderungen in Echtzeit zu reagieren. Amazon Managed Service für Apache Flink reduziert die Komplexität beim Erstellen, Verwalten und Integrieren von Streaming-Anwendungen mit anderen AWS Services. SQL-Benutzer können mithilfe von Vorlagen und einem interaktiven SQL-Editor problemlos Streaming-Daten abfragen oder ganze Streaming-Anwendungen erstellen. Java-Entwickler können mithilfe von Open-Source-Java-Bibliotheken und AWS -Integrationen schnell anspruchsvolle Streaming-Anwendungen erstellen, um Daten in Echtzeit zu transformieren und zu analysieren. Amazon Managed Service für Apache Flink kümmert sich um alles, was für die kontinuierliche Ausführung Ihrer Echtzeitanwendungen erforderlich ist, und skaliert automatisch, um dem Volumen und dem Durchsatz Ihrer eingehenden Daten zu entsprechen. Mit Amazon Managed Service für Apache Flink zahlen Sie nur für die Ressourcen, die Ihre Streaming-Anwendungen verbrauchen. Es gibt keine Mindestgebühr oder Einrichtungskosten. Weitere Informationen finden Sie unter [Amazon Managed Service für Apache Flink](https://aws.amazon.com/kinesis/data-analytics/).
## Häufig gestellte Fragen zu Managed Service für Apache Flink in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon Managed Service für Apache Flink in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_kinesis_analytics_application_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Managed Service für Apache Flink in meinem AMS-Konto?**
+ Konfigurationen sind auf Ressourcen ohne „AMS-“ oder „MC-“ -Präfixe beschränkt, um jegliche Änderungen an der AMS-Infrastruktur zu verhindern.
+ Die Erlaubnis, Kinesis Data Streams oder Firehose zu löschen oder neue zu erstellen, wurde aus der Richtlinie entfernt. Wir haben eine andere Richtlinie, die das ermöglicht.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Kinesis Data Streams in meinem AMS-Konto?**
Es gibt einige Abhängigkeiten:
+ Amazon Managed Service für Apache Flink erfordert, dass Kinesis Data Streams oder Firehose erstellt werden müssen, bevor eine Anwendung mit Managed Service für Apache Flink konfiguriert werden kann.
+ Die ressourcenbasierten Richtlinienberechtigungen sollten auf eine bestimmte Eingabedatenquelle hinweisen.
# Verwenden Sie AMS SSP, um Amazon Managed Streaming for Apache Kafka in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Managed Streaming for Apache Kafka (Amazon MSK) zuzugreifen. Amazon Managed Streaming for Apache Kafka ist ein vollständig verwalteter AWS Streaming-Datenservice, mit dem Sie ganz einfach Anwendungen erstellen und ausführen können, die Apache Kafka zur Verarbeitung von Streaming-Daten verwenden, ohne dass Sie Experte für den Betrieb von Apache Kafka-Clustern werden müssen. Amazon MSK verwaltet die Bereitstellung, Konfiguration und Wartung von Apache Kafka-Clustern und ZooKeeper Apache-Knoten für Sie. Amazon MSK zeigt auch wichtige Leistungskennzahlen von Apache Kafka in der AWS Konsole an.
Amazon MSK bietet mehrere Sicherheitsstufen für Ihre Apache Kafka-Cluster, darunter VPC-Netzwerkisolierung, AWS IAM für die API-Autorisierung auf Kontrollebene, Verschlüsselung im Ruhezustand, TLS-Verschlüsselung bei der Übertragung, TLS-basierte Zertifikatsauthentifizierung und Authentifizierung gesichert durch. SASL/SCRAM AWS Secrets Manager Weitere Informationen finden Sie unter [Amazon MSK](https://aws.amazon.com/msk/).
## Häufig gestellte Fragen zu Amazon MSK in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon MSK in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt die folgenden IAM-Richtlinien und Rollen für Ihr Konto bereit:
+ `customer-msk-admin-policy.json`
+ `AmazonMSKFullAccess`
+ `customer-msk-admin-role.json`
Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Nutzung von Amazon MSK?**
Damit Amazon MSK Brokerprotokolle an die von Ihnen konfigurierten Ziele senden kann, stellen Sie sicher, dass die `AmazonMSKFullAccess` Richtlinie mit Ihrer IAM-Rolle verknüpft ist. Es sind also bereits vollständige Zugriffsberechtigungen vorhanden.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon MSK?**
Bevor Sie Ihren MSK-Cluster erstellen, müssen Sie über eine VPC und Subnetze innerhalb dieser VPC verfügen. Standardmäßig deckt AMS dies im Rahmen der standardmäßigen [AMS-VPC-Erstellung ab](https://docs.aws.amazon.com/msk/latest/developerguide/msk-create-cluster.html).
Weitere Informationen zu den Einschränkungen von Amazon MSK finden Sie unter [Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/limits.html) Limits.
# Verwenden Sie AMS SSP, um Amazon Managed Service für Prometheus in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Managed Service for Prometheus (AMP) zuzugreifen. Amazon Managed Service für Prometheus ist ein serverloser, Prometheus-kompatibler Service zur Überwachung von Containermetriken, der es einfacher macht, Containerumgebungen im großen Maßstab sicher zu überwachen. Mit Amazon Managed Service für Prometheus können Sie dasselbe Open-Source-Prometheus-Datenmodell und dieselbe Abfragesprache verwenden, die Sie heute verwenden, um die Leistung Ihrer containerisierten Workloads zu überwachen, und außerdem von verbesserter Skalierbarkeit, Verfügbarkeit und Sicherheit profitieren, ohne die zugrunde liegende Infrastruktur verwalten zu müssen.
Amazon Managed Service for Prometheus skaliert automatisch die Erfassung, Speicherung und Abfrage von Betriebsmetriken, wenn Workloads nach oben oder unten skaliert werden. Es lässt sich in AWS Sicherheitsdienste integrieren, um einen schnellen und sicheren Zugriff auf Daten zu ermöglichen. Weitere Informationen finden Sie unter [Was ist Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/prometheus/latest/userguide/what-is-Amazon-Managed-Service-Prometheus.html)?
## Häufig gestellte Fragen zu Amazon Managed Service für Prometheus in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon Managed Service for Prometheus in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer-prometheus-console-role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die `customer-prometheus-console-role` Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Managed Service for Prometheus in meinem AMS-Konto?**
Alle Funktionen werden unterstützt.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon Managed Service for Prometheus in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten, um mit Amazon Managed Service for Prometheus zu beginnen. Abhängig von Ihrem spezifischen Anwendungsfall benötigen Sie jedoch möglicherweise Zugriff auf andere AWS Dienste.
# Verwenden Sie AMS SSP, um Amazon Personalize in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Personalize zuzugreifen. Amazon Personalize ist ein Service für maschinelles Lernen, mit dem Entwickler auf einfache Weise individuelle Empfehlungen für Kunden erstellen können, die ihre Anwendungen verwenden.
Maschinelles Lernen wird zunehmend zur Verbesserung der Kundenbindung eingesetzt, indem personalisierte Produkt- und Inhaltsempfehlungen, maßgeschneiderte Suchergebnisse und gezielte Marketingaktionen bereitgestellt werden. Die Entwicklung der Funktionen für maschinelles Lernen, die zur Erstellung dieser ausgeklügelten Empfehlungssysteme erforderlich sind, war für die meisten Unternehmen heute aufgrund der Komplexität jedoch unerreichbar. Amazon Personalize ermöglicht es Entwicklern, die noch keine Erfahrung mit maschinellem Lernen haben, mithilfe von Machine-Learning-Technologie, die durch jahrelangen Einsatz auf Amazon.com perfektioniert wurde, mühelos anspruchsvolle Personalisierungsfunktionen in ihre Anwendungen zu integrieren.
Mit Amazon Personalize stellen Sie einen Aktivitätsstream aus Ihrer Anwendung bereit — Klicks, Seitenaufrufe, Anmeldungen, Käufe usw. — sowie ein Inventar der Artikel, die Sie empfehlen möchten, wie Artikel, Produkte, Videos oder Musik. Sie können Amazon Personalize auch zusätzliche demografische Informationen von Ihren Benutzern wie Alter oder geografischer Standort zur Verfügung stellen. Amazon Personalize verarbeitet und untersucht die Daten, ermittelt, was sinnvoll ist, wählt die richtigen Algorithmen aus und trainiert und optimiert ein Personalisierungsmodell, das auf Ihre Daten zugeschnitten ist. Alle von Amazon Personalize analysierten Daten werden vertraulich und sicher behandelt und nur für Ihre individuellen Empfehlungen verwendet. Sie können mit der Bereitstellung personalisierter Empfehlungen über einen einfachen API-Aufruf beginnen. Sie zahlen nur für das, was Sie tatsächlich nutzen, und es fallen keine Mindestgebühren und keine Vorabverpflichtungen an.
Weitere Informationen finden Sie unter [Amazon Personalize](https://aws.amazon.com/personalize/).
## Häufig gestellte Fragen zu Amazon Personalize in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon Personalize in meinem AMS-Konto?**
Beantragen Sie Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) einreichen. Sie müssen dann angeben, welcher S3-Bucket die Daten enthält, die von personalize zur Generierung der Empfehlungen verwendet werden sollen. AWS Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen zur Verfügung`customer_personalize_console_role`: und. `customer_personalize_service_role`
+ Sobald die in Ihrem Konto `customer_personalize_console_role` bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren. Sie können die `customer_personalize_console_policy` auch einer anderen vorhandenen Rolle zuordnen als`Customer_ReadOnly_Role`.
+ Nachdem der `customer_personalize_service_role` Ihrem Konto zur Verfügung gestellt wurde, können Sie seinen ARN angeben, wenn Sie eine neue Datensatzgruppe erstellen.
Zu diesem Zeitpunkt wird AMS Operations diese Servicerolle auch in Ihrem Konto bereitstellen:`aws_code_pipeline_service_role_policy`.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Personalize in meinem AMS-Konto?**
Die Amazon Personalize Personalize-Konfiguration ist auf Ressourcen ohne „ams-“ oder „mc-“ -Präfixe beschränkt, um jegliche Änderungen an der AMS-Infrastruktur zu verhindern.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Personalize in meinem AMS-Konto?**
+ Wenn der S3-Bucket, in dem Daten gespeichert sind, verschlüsselt ist, muss die KMS-Schlüssel-ID angegeben werden, damit wir der von Amazon Personalize verwendeten Rolle erlauben können, den Bucket zu entschlüsseln.
Amazon Personalize unterstützt den KMS S3-Standardschlüssel nicht. Falls für die Verwendung von KMS erforderlich, erstellen Sie einen benutzerdefinierten Schlüssel und fügen Sie ihm die folgende Richtlinie hinzu, indem Sie einen RFC mit dem Änderungstyp KMS Key \$1 Create (Managed Automation) öffnen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
+ Ein S3-Bucket muss mit der folgenden Bucket-Richtlinie erstellt werden. Reichen Sie dazu einen RFC mit dem Änderungstyp S3 Storage \$1 Create Policy ein. Diese Richtlinie ermöglicht Amazon Personalize den Zugriff auf Daten. Dieser Bucket enthält die Daten, die von Amazon Personalize verwendet werden sollen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
# Verwenden Sie AMS SSP, um Amazon Quick in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf Quick-Funktionen zuzugreifen. Quick ist ein schneller, cloudgestützter Business Intelligence-Service, der allen Mitarbeitern Ihres Unternehmens Einblicke bietet. Als vollständig verwalteter Service können Sie mit Quick ganz einfach interaktive Dashboards erstellen und veröffentlichen, die Erkenntnisse aus maschinellem Lernen (ML) enthalten. Weitere Informationen finden Sie unter [Amazon Quick](https://aws.amazon.com/quicksight/).
## Häufig gestellte Fragen zu AWS Managed Services im Überblick
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Quick in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie Folgendes einreichen: Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct). Dieser RFC stellt Ihrem Konto `customer_quicksight_console_admin_role` die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Quick in meinem AMS-Konto?**
+ AWS Auf die Ressourceneinstellungen in Quick können Sie aufgrund der Abhängigkeit von den IAM-Richtlinien nicht zugreifen. Das AMS-Team aktiviert jedoch jede Ressource für Sie als Antwort auf Ihre Anfrage zur Aktivierung des Dienstes.
+ Der Ressourcenzugriff für einzelne Benutzer und Gruppen wird in diesem Modell nicht unterstützt, da diese Funktion es Benutzern ermöglicht, IAM-Berechtigungen zu ändern, was die AMS-Infrastruktur gefährden könnte.
+ Die Möglichkeit, IAM-Identitäten von innen einzuladen, QuickSight wird aufgrund des Risikos, das mit der Änderung von IAM-Objekten verbunden ist, nicht unterstützt.
+ Quick Service bietet zwei Editionen: Enterprise und Standard. Beide bieten eine Single Sign-On-Option (SSO), die von AMS unterstützt wird. Die Enterprise Edition bietet jedoch eine Option zur Integration von Quick in Active Directory (AD). Quick on AMS unterstützt aufgrund von Inkompatibilitäten zwischen der AMS-Kontostruktur und den Quick Trust-Anforderungen keine Integration mit AD.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Quick in meinem AMS-Konto?**
+ Wenn AMS diesen RFC zum Hinzufügen von Quick erhält, erhalten Sie eine Serviceanfrage mit zusätzlichen Informationen. Geben Sie dem Team Folgendes an:
+ Quick Kontoname (zum Beispiel `CustomerName-quicksight`
+ Quick Edition (Standard oder Enterprise)
+ Die AWS Region, in der der Quick Service aktiviert werden soll (standardmäßig Ihre AWS AMS-Region).
+ Eine Benachrichtigungs-E-Mail-Adresse für das Quick-Konto.
+ (Optional) Der S3-Bucket, in dem sich die zu analysierenden Datendateien befinden.
+ Die VPC und das Subnetz IDs , die eine Verbindung zu Quick herstellen, unterstützen eine Funktion zum Hinzufügen einer VPC-Verbindung, die private Konnektivität zwischen Quick und Ressourcen innerhalb des Kontos ermöglicht.
Ein AMS-Betreiber führt den Anmeldevorgang in Ihrem Namen durch und konfiguriert zwei Funktionen: QuickSight
+ [Automatische Erkennung](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html) von Datenquellen.
+ [VPC-Verbindungen](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html).
**Anmerkung**
Diese Aktionen müssen von einem AMS-Betreiber ausgeführt werden, da während des Anmeldevorgangs erhöhte IAM- und VPC-Berechtigungen erforderlich sind.
# Verwenden Sie AMS SSP, um Amazon Rekognition in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Rekognition zuzugreifen. Amazon Rekognition macht es einfach, Bild- und Videoanalysen zu Ihren Anwendungen hinzuzufügen, und zwar mithilfe bewährter, hochgradig skalierbarer Deep-Learning-Technologie, für deren Verwendung kein Fachwissen im Bereich maschinelles Lernen erforderlich ist. Mit Amazon Rekognition können Sie Objekte, Personen, Text, Szenen und Aktivitäten in Bildern und Videos identifizieren und unangemessene Inhalte erkennen. Amazon Rekognition bietet außerdem hochgenaue Funktionen zur Gesichtsanalyse und Gesichtssuche, mit denen Sie Gesichter erkennen, analysieren und vergleichen können, und zwar für eine Vielzahl von Anwendungsfällen zur Benutzerverifizierung, Personenzählung und zur öffentlichen Sicherheit.
Mit Amazon Rekognition Custom Labels können Sie Objekte und Szenen in Bildern identifizieren, die speziell auf Ihre Geschäftsanforderungen zugeschnitten sind. Sie können beispielsweise ein Modell erstellen, um bestimmte Maschinenteile an Ihrer Montagelinie zu klassifizieren oder um ungesunde Pflanzen zu erkennen. Amazon Rekognition Custom Labels nimmt Ihnen die schwere Arbeit bei der Modellentwicklung ab, sodass keine Erfahrung mit maschinellem Lernen erforderlich ist. Sie müssen lediglich Bilder von Objekten oder Szenen bereitstellen, die Sie identifizieren möchten, und der Service erledigt den Rest.
Weitere Informationen finden Sie unter [Amazon Rekognition](https://aws.amazon.com/rekognition/).
## Häufig gestellte Fragen zu Amazon Rekognition in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon Rekognition in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_rekognition_console_role & customer_rekognition_service_role` Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon Rekognition in meinem AMS-Konto?**
Der volle Funktionsumfang von Amazon Rekognition ist mit der selbst bereitgestellten Servicerolle Amazon Rekognition verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon Rekognition in meinem AMS-Konto?**
Wenn Sie Kinesis Video Streams verwenden, die das Quell-Streaming-Video für einen Amazon Rekognition Video Video-Stream-Prozessor oder einen Datenstream als Ziel zum Schreiben von Daten in Kinesis Data Streams bereitstellen, geben Sie AMS bitte `kinesisStreamName` bei der Erstellung des RFC eine an.
# Verwenden Sie AMS SSP, um Amazon SageMaker AI in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon SageMaker AI zuzugreifen. SageMaker KI bietet jedem Entwickler und Datenwissenschaftler die Möglichkeit, Modelle für maschinelles Lernen schnell zu erstellen, zu trainieren und einzusetzen. Amazon SageMaker AI ist ein vollständig verwalteter Service, der den gesamten Workflow für maschinelles Lernen abdeckt, um Ihre Daten zu kennzeichnen und aufzubereiten, einen Algorithmus auszuwählen, das Modell zu trainieren, es für die Bereitstellung abzustimmen und zu optimieren, Vorhersagen zu treffen und Maßnahmen zu ergreifen. Ihre Modelle werden schneller, mit viel weniger Aufwand und geringeren Kosten in Produktion gehen. Weitere Informationen finden Sie unter [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/).
## SageMaker Häufig gestellte Fragen zu KI in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf SageMaker KI in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen und die Servicerolle zur Verfügung. `customer_sagemaker_admin_role` `AmazonSageMaker-ExecutionRole-Admin` Nachdem SageMaker KI in Ihrem Konto bereitgestellt wurde, müssen Sie die `customer_sagemaker_admin_role` Rolle in Ihre Verbundlösung integrieren. Sie können nicht direkt auf die Servicerolle zugreifen. Der SageMaker KI-Dienst verwendet sie bei der Ausführung verschiedener Aktionen, wie hier beschrieben: [Rollen übergeben](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role).
**F: Was sind die Einschränkungen bei der Nutzung von SageMaker KI in meinem AMS-Konto?**
+ Die folgenden Anwendungsfälle werden von der AMS Amazon SageMaker AI IAM-Rolle nicht unterstützt:
+ SageMaker AI Studio wird derzeit nicht unterstützt.
+ SageMaker KI Ground Truth zur Verwaltung privater Belegschaften wird nicht unterstützt, da diese Funktion einen übermäßigen Zugriff auf Amazon Cognito Cognito-Ressourcen erfordert. Wenn die Verwaltung einer privaten Belegschaft erforderlich ist, können Sie eine benutzerdefinierte IAM-Rolle mit kombinierten SageMaker KI- und Amazon Cognito Cognito-Berechtigungen anfordern. Andernfalls empfehlen wir, Mitarbeiter der öffentlichen Hand (unterstützt von Amazon Mechanical Turk) oder AWS Marketplace Dienstleister für die Datenkennzeichnung zu beauftragen.
+ Erstellung von VPC-Endpunkten zur Unterstützung von API-Aufrufen von SageMaker KI-Diensten (aws.sagemaker). \$1region\$1 .notebook, com.amazonaws. \$1region\$1 .sagemaker.api und com.amazonaws. \$1region\$1 .sagemaker.runtime) wird nicht unterstützt, da Berechtigungen nicht nur auf KI-bezogene Dienste beschränkt werden können. SageMaker Um diesen Anwendungsfall zu unterstützen, reichen Sie einen RFC Management \$1 Other \$1 Other ein, um zugehörige VPC-Endpoints zu erstellen.
+ SageMaker Die auto Skalierung von KI-Endpunkten wird nicht unterstützt, da SageMaker KI `DeleteAlarm` Berechtigungen für jede („\$1“) Ressource benötigt. Um Endpoint Auto Scaling zu unterstützen, reichen Sie einen RFC Management \$1 Other \$1 Other ein, um Auto Scaling für einen SageMaker KI-Endpunkt einzurichten.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von SageMaker KI in meinem AMS-Konto?**
+ Die folgenden Anwendungsfälle erfordern vor der Verwendung eine spezielle Konfiguration:
+ Wenn ein S3-Bucket zum Speichern von Modellartefakten und Daten verwendet werden soll, müssen Sie einen S3-Bucket mit den erforderlichen Schlüsselwörtern (“ SageMaker „, „Sagemaker“, „sagemaker“ oder „aws-glue“) mit einem Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create RFC anfordern.
+ Wenn Elastic File Store (EFS) verwendet wird, muss der EFS-Speicher im selben Subnetz konfiguriert und von Sicherheitsgruppen zugelassen werden.
+ Wenn andere Ressourcen direkten Zugriff auf SageMaker KI-Dienste (Notebooks, API, Runtime usw.) benötigen, muss die Konfiguration wie folgt angefordert werden:
+ Senden eines RFC zur Erstellung einer Sicherheitsgruppe für den Endpunkt (Deployment \$1 Erweiterte Stack-Komponenten \$1 Sicherheitsgruppe \$1 Create (auto)).
+ Verwaltung einreichen \$1 Andere \$1 Andere \$1 RFC erstellen, um zugehörige VPC-Endpoints einzurichten.
**F: Welche Benennungskonventionen werden für Ressourcen unterstützt, auf die sie direkt zugreifen `customer_sagemaker_admin_role` können?** (Im Folgenden finden Sie Informationen zu Aktualisierungs- und Löschberechtigungen. Wenn Sie zusätzliche unterstützte Namenskonventionen für Ihre Ressourcen benötigen, wenden Sie sich zur Beratung an einen AMS Cloud Architect.)
+ Ressource: `AmazonSageMaker-ExecutionRole-*` Rolle übergeben
+ Berechtigungen: Die selbst bereitgestellte SageMaker AI-Servicerolle unterstützt Ihre Verwendung der SageMaker AI-Servicerolle (`AmazonSageMaker-ExecutionRole-*`) mit AWS Glue AWS RoboMaker, und. AWS Step Functions
+ Ressource: Secrets auf AWS Secrets Manager
+ Berechtigungen: Beschreiben, Erstellen, Abrufen und Aktualisieren von Geheimnissen mit einem `AmazonSageMaker-*` Präfix.
+ Berechtigungen: Beschreiben, Geheimnisse abrufen, wenn das `SageMaker` Ressourcen-Tag auf gesetzt ist`true`.
+ Ressource: Repositorien aktiviert AWS CodeCommit
+ Berechtigungen: Repositorys mit einem Präfix erstellen/löschen. `AmazonSageMaker-*`
+ Berechtigungen: Git Pull/Push auf Repositorys mit den folgenden Präfixen, `*sagemaker*``*SageMaker*`, und. `*Sagemaker*`
+ Ressource: Amazon ECR-Repositorys (Amazon Elastic Container Registry)
+ Berechtigungen: Berechtigungen: Legen Sie Repository-Richtlinien fest, löschen Sie sie und laden Sie Container-Images hoch, wenn die folgende Benennungskonvention für Ressourcen verwendet wird. `*sagemaker*`
+ Ressource: Amazon S3 S3-Buckets
+ Berechtigungen: Objekt abrufen, speichern, löschen, mehrteiliges Hochladen von S3-Objekten abbrechen, wenn Ressourcen die folgenden Präfixe haben:`*SageMaker*`, und. `*Sagemaker*` `*sagemaker*` `aws-glue`
+ Berechtigungen: Ruft S3-Objekte ab, wenn das `SageMaker` Tag auf gesetzt ist. `true`
+ Ressource: Amazon CloudWatch Log Group
+ Berechtigungen: Protokollgruppe oder Stream erstellen, Protokollereignis speichern, Auflisten, Aktualisieren, Erstellen, Löschen der Protokollzustellung mit dem folgenden Präfix:`/aws/sagemaker/*`.
+ Ressource: Amazon CloudWatch Metric
+ Berechtigungen: Geben Sie Metrikdaten ein, wenn die folgenden Präfixe verwendet werden: `AWS/SageMaker` `AWS/SageMaker/``aws/SageMaker`,`aws/SageMaker/`,`aws/sagemaker`,`aws/sagemaker/`, und`/aws/sagemaker/.`.
+ Ressource: Amazon CloudWatch Dashboard
+ Berechtigungen: Create/Delete Dashboards, wenn die folgenden Präfixe verwendet werden:. `customer_*`
+ Ressource: Thema Amazon SNS (Simple Notification Service)
+ Berechtigungen: Subscribe/Create Thema, wenn die folgenden Präfixe verwendet werden: `*sagemaker*``*SageMaker*`, und. `*Sagemaker*`
**F: Was ist der Unterschied zwischen `AmazonSageMakerFullAccess` und`customer_sagemaker_admin_role`?**
Das `customer_sagemaker_admin_role` mit dem `customer_sagemaker_admin_policy` bietet fast die gleichen Berechtigungen wie AmazonSageMakerFullAccess mit der Ausnahme:
+ Erlaubnis, eine Verbindung AWS RoboMaker zu Amazon Cognito und AWS Glue Ressourcen herzustellen.
+ SageMaker Automatische Skalierung von KI-Endpunkten. Sie müssen einen RFC mit dem Änderungstyp Management \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 Entität oder Richtlinie aktualisieren (verwaltete Automatisierung) (ct-27tuth19k52b4) einreichen, um Autoscaling-Berechtigungen vorübergehend oder dauerhaft zu erhöhen, da Autoscaling einen permissiven Zugriff auf den Service erfordert. CloudWatch
**F: Wie verwende ich einen vom Kunden verwalteten Schlüssel bei der Datenverschlüsselung im Ruhezustand? AWS KMS **
Sie müssen sicherstellen, dass die Schlüsselrichtlinie für die vom Kunden verwalteten Schlüssel ordnungsgemäß eingerichtet wurde, sodass zugehörige IAM-Benutzer oder -Rollen die Schlüssel verwenden können. Weitere Informationen finden Sie im [Dokument mit den AWS KMS wichtigsten Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users).
# Verwenden Sie AMS SSP, um Amazon Simple Email Service in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Simple Email Service (Amazon SES) zuzugreifen. Amazon Simple Email Service ist ein Cloud-basierter E-Mail-Versandservice, der digitale Vermarkter und Anwendungsentwickler beim Versand von Marketing-, Benachrichtigungs- und Transaktions-E-Mails unterstützt.
Sie können die SMTP-Schnittstelle oder eine der Schnittstellen verwenden AWS SDKs , um Amazon SES direkt in Ihre vorhandenen Anwendungen zu integrieren. Sie können die E-Mail-Versandfunktionen von Amazon SES auch in die Software integrieren, die Sie bereits verwenden, z. B. Ticketsysteme und E-Mail-Clients.
Weitere Informationen finden Sie unter [Amazon Simple Email Service](https://aws.amazon.com/ses/).
## Häufig gestellte Fragen zu Amazon SES in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Amazon SES in meinem AMS-Konto?**
Fordern Sie Zugriff auf Amazon SES an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_ses_admin_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Amazon SES in meinem AMS-Konto?**
+ Sie müssen eine S3-Bucket-Richtlinie konfigurieren, damit Amazon SES Ereignisse im Bucket veröffentlichen kann.
+ Sie müssen einen Standardschlüssel (AWS SES) verwenden oder einen CMK-Schlüssel konfigurieren, damit Amazon SES E-Mails verschlüsseln und Ereignisse an andere Serviceressourcen wie Amazon S3, Amazon SNS, Lambda und Firehose weiterleiten kann, die zum Konto gehören.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon SES in meinem AMS-Konto?**
Sie müssen Spenden sammeln RFCs , um die folgenden Ressourcen zu erstellen:
+ Ein SMTP-Benutzer und eine IAM-Servicerolle mit PutEvents Genehmigung für einen Kinesis Firehose-Stream.
+ Sie müssen mithilfe von AMS-Änderungstypen neue AWS Ressourcen wie S3-Bucket, Firehose-Stream und SNS-Thema erstellen, damit die Ziele Ihrer Amazon SES SES-Regeln und Konfigurationssätze mit diesen Ressourcen funktionieren.
+ SMTP-Anmeldeinformationen. Um neue SMTP-Anmeldeinformationen anzufordern, verwenden Sie den Change Type (Management \$1 Other \$1 Other \$1 Create). AMS erstellt die Anmeldeinformationen und fügt sie für Sie zu Secrets Manager hinzu.
# Verwenden Sie AMS SSP, um Amazon Simple Workflow Service in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Simple Workflow Service (Amazon SWF) zuzugreifen. Amazon Simple Workflow Service unterstützt Entwickler beim Erstellen, Ausführen und Skalieren von Hintergrundjobs mit parallel oder sequentiellen Schritten. Sie können sich Amazon SWF als vollständig verwalteten Status-Tracker und Aufgabenkoordinator in der Cloud vorstellen. Wenn die Ausführung der Schritte Ihrer Anwendung mehr als 500 Millisekunden in Anspruch nimmt, Sie den Status der Verarbeitung verfolgen müssen oder wenn Sie eine Aufgabe wiederherstellen oder erneut versuchen müssen, wenn eine Aufgabe fehlschlägt, kann Amazon SWF Ihnen helfen. Weitere Informationen finden Sie unter [Amazon Simple Workflow Service](https://aws.amazon.com/swf/).
## Häufig gestellte Fragen zu Amazon SWF in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Amazon SWF in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie Folgendes einreichen: Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct). Dieser RFC stellt Ihrem Konto `customer_swf_role` die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Amazon SWF in meinem AMS-Konto?**
Die `InvokeFunction` Lambda-Berechtigungen wurden in diesen Service aufgenommen. Das AMS`customer_deny_policy`, das allen AMS-Kundenrollen hinzugefügt wird, verweigert jedoch ausdrücklich den Zugriff auf AMS-Lambda-Funktionen und AMS-eigene Ressourcen. Um Ressourcen in Amazon SWF zu kennzeichnen oder die Markierung aufzuheben, reichen Sie einen Änderungstyp Management \$1 Andere \$1 Andere ein.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon SWF in meinem AMS-Konto?**
Amazon SWF ist vom AWS Lambda Service abhängig, daher wurden im Rahmen dieser Rolle Berechtigungen zum Aufrufen von Lambda bereitgestellt, und es sind keine zusätzlichen Berechtigungen erforderlich, um Lambda von Amazon SWF aufzurufen. Andernfalls gibt es keine Voraussetzungen für die Verwendung von Amazon SWF.
# Verwenden Sie AMS SSP, um Amazon Textract in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Textract zuzugreifen. Amazon Textract ist ein vollständig verwalteter Service für maschinelles Lernen, der automatisch gedruckten Text, Handschriften und andere Daten aus gescannten Dokumenten extrahiert. Er geht über die einfache optische Zeichenerkennung (OCR) hinaus, um Daten aus Formularen und Tabellen zu identifizieren, zu verstehen und zu extrahieren. Weitere Informationen finden Sie unter [Amazon Textract.](https://aws.amazon.com/textract/)
## Häufig gestellte Fragen zu Amazon Textract in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich die Einrichtung von Amazon Textract in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen zur Verfügung:, und. `customer_textract_console_role` `customer_textract_human_review_execution_role` `customer_ec2_textract_instance_profile` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle `customer_textract_console_role` in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Nutzung von Amazon Textract in meinem AMS-Konto?**
Es gibt keine Einschränkungen für die Verwendung von Amazon Textract in Ihrem AMS-Konto.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Textract in meinem AMS-Konto?**
Sie müssen die Erstellung eines S3-Buckets beantragen, indem Sie die folgenden Felder einreichen: RFC Deployment \$1 Advanced Stack Components \$1 S3 storage \$1 Create (ct-1a68ck03fn98r).
# Verwenden Sie AMS SSP, um Amazon Transcribe in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Amazon Transcribe zuzugreifen. Amazon Transcribe ist ein vollständig verwalteter und kontinuierlich geschulter automatischer Spracherkennungsdienst, der automatisch Texttranskripte mit Zeitstempel aus Audiodateien generiert. Amazon Transcribe macht es Entwicklern leicht, ihren Anwendungen speech-to-text Funktionen hinzuzufügen. Es ist für Computer praktisch unmöglich, Audiodaten zu suchen und zu analysieren. Daher muss aufgezeichnete Sprache in Text umgewandelt werden, bevor sie in Anwendungen verwendet werden kann. In der Vergangenheit mussten Kunden mit Transkriptionsanbietern zusammenarbeiten, bei denen sie teure Verträge unterzeichnen mussten, und es war schwierig, sie in ihre Technologie-Stacks zu integrieren, um diese Aufgabe zu erfüllen. Viele dieser Anbieter verwenden veraltete Technologien, die sich nicht gut an verschiedene Szenarien anpassen lassen, wie z. B. Telefonaudio mit niedriger Klangqualität, das in Kontaktzentren üblich ist, was zu einer schlechten Genauigkeit führt.
Amazon Transcribe verwendet einen Deep-Learning-Prozess namens automatische Spracherkennung (ASR), um Sprache schnell und präzise in Text umzuwandeln. Amazon Transcribe kann verwendet werden, um Kundendienstanrufe zu transkribieren, Untertitelung und Untertitelung zu automatisieren und Metadaten für Medienressourcen zu generieren, um ein vollständig durchsuchbares Archiv zu erstellen. Sie können Amazon Transcribe Medical verwenden, um medizinische speech-to-text Funktionen zu klinischen Dokumentationsanwendungen hinzuzufügen. Weitere Informationen finden Sie unter [Amazon Transcribe](https://aws.amazon.com/transcribe/).
## Häufig gestellte Fragen zu Amazon Transcribe in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich die Einrichtung von Amazon Transcribe in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_transcribe_role` Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Nutzung von Amazon Transcribe in meinem AMS-Konto?**
Wenn Sie mit Transcribe arbeiten, müssen Sie „customer-transcribe\$1“ als Präfix für Ihre Buckets verwenden, sofern RA nicht anders angegeben.
Sie können keine IAM-Rolle in Amazon Transcribe erstellen.
Sie können keinen vom Service verwalteten S3-Bucket für Ausgabedaten in Standard-SSPS verwenden (falls dies erforderlich ist, wenden Sie sich bitte an Ihre Kontozertifizierungsstelle).
Sie müssen die Risikoakzeptanz einreichen, wenn Sie vom Kunden verwaltete KMS-Schlüssel verwenden möchten, die nicht unter den AMS-Namespace fallen.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Amazon Transcribe in meinem AMS-Konto?**
S3 muss Zugriff auf die Buckets mit dem Namen „customer-transcribe\$1“ haben. KMS ist für die Verwendung von Amazon Transcribe erforderlich, wenn Ihre S3-Buckets mit KMS-Schlüsseln verschlüsselt sind. Wenn ein Bucket nicht verschlüsselt werden muss, kann "KMStranscribeAllow“ entfernt werden.
# Verwenden Sie AMS SSP, um Amazon WorkSpaces in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf WorkSpaces Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. WorkSpaces ermöglicht Ihnen die Bereitstellung virtueller, cloudbasierter Microsoft Windows- oder Amazon Linux-Desktops für Ihre Benutzer, bekannt als WorkSpaces. WorkSpaces macht die Beschaffung und Bereitstellung von Hardware oder die Installation komplexer Software überflüssig. Sie können nach Ihren Bedürfnissen Benutzer schnell und bequem hinzufügen oder entfernen. Benutzer greifen auf sie zu, WorkSpaces indem sie eine Client-Anwendung von einem unterstützten Gerät oder, für Windows WorkSpaces, einen Webbrowser verwenden, und melden sich mit ihren vorhandenen lokalen Active Directory (AD) -Anmeldeinformationen an.
Weitere Informationen finden Sie auf [Amazon WorkSpaces](https://aws.amazon.com/workspaces/).
## WorkSpaces in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff WorkSpaces auf mein AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_workspaces_console_role` Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung WorkSpaces in meinem AMS-Konto?**
Die volle Funktionalität von Workspaces ist mit der von Amazon WorkSpaces selbst bereitgestellten Servicerolle verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung WorkSpaces in meinem AMS-Konto?**
+ WorkSpaces sind AWS regional begrenzt; daher muss der AD Connector in derselben AWS Region konfiguriert werden, in der die WorkSpaces Instanzen gehostet werden.
Kunden können mit einer der folgenden beiden Methoden eine Verbindung WorkSpaces zum Kunden-AD herstellen:
1. Verwenden des AD-Connectors zur Proxyauthentifizierung für den lokalen Active Directory-Dienst (bevorzugt):
Konfigurieren Sie den Active Directory (AD) Connector in Ihrem AMS-Konto, bevor Sie Ihre WorkSpaces Instanz in Ihren lokalen Verzeichnisdienst integrieren. Der AD Connector fungiert als Proxy für Ihre vorhandenen AD-Benutzer (aus Ihrer Domain), mit denen Sie WorkSpaces mithilfe vorhandener lokaler AD-Anmeldeinformationen eine Verbindung herstellen können. Dies wird bevorzugt, da sie direkt mit der lokalen Domäne des Kunden verknüpft WorkSpaces sind, die sowohl als Ressourcen- als auch als Benutzergesamtstruktur fungiert, was zu mehr Kontrolle auf Kundenseite führt.
Weitere Informationen finden Sie unter [Bewährte Methoden für die Bereitstellung von Amazon WorkSpaces (Szenario 1)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.html).
1. Verwenden von AD Connector mit AWS Microsoft AD, Shared Services VPC und einer unidirektionalen Vertrauensstellung für lokale Umgebungen:
Sie können Benutzer auch mit Ihrem lokalen Verzeichnis authentifizieren, indem Sie zunächst eine unidirektionale ausgehende Vertrauensstellung von AMS-verwaltetem AD zu Ihrem lokalen AD einrichten. WorkSpaces tritt AMS-verwaltetem AD über einen AD Connector bei. WorkSpaces Die Zugriffsberechtigungen werden dann über das von AMS verwaltete AD an die WorkSpaces Instanzen delegiert, ohne dass Sie eine wechselseitige Vertrauensstellung mit Ihrer lokalen Umgebung aufbauen müssen. In diesem Szenario befindet sich die Benutzergesamtstruktur im Kunden-AD und die Ressourcengesamtstruktur im AMS-verwalteten AD (Änderungen am AMS-verwalteten AD können über RFC angefordert werden). Beachten Sie, dass die Konnektivität zwischen WorkSpaces VPC und der MALZ Shared Services VPC, auf der AMS-verwaltetes AD ausgeführt wird, über Transit Gateway hergestellt wird.
Weitere Informationen finden Sie unter [Bewährte Methoden für die Bereitstellung von Amazon WorkSpaces (Szenario 6)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-6-aws-microsoft-ad-shared-services-vpc-and-a-one-way-trust-to-on-premises.html).
**Anmerkung**
Der AD Connector kann konfiguriert werden, indem ein RFC vom Typ Management \$1 Other \$1 Other \$1 Create Change Type mit den erforderlichen AD-Konfigurationsdetails eingereicht wird. Weitere Informationen finden [Sie unter AD Connector erstellen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html). Wenn Methode 2 verwendet wird, um eine Ressourcengesamtstruktur in AMS-verwaltetem AD zu erstellen, reichen Sie ein weiteres Management \$1 Other \$1 Other \$1 Other \$1 Create Change Type RFC in AMS Shared-Services-Konto ein, indem Sie das von AMS verwaltete AD ausführen.
# Verwenden Sie AMS SSP, um AMS Code-Dienste in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem von AMS verwalteten Konto auf die Funktionen der AMS Code-Dienste zuzugreifen. AMS Code Services ist ein firmeneigenes Bündel von AWS-Code-Management-Services, wie im Folgenden beschrieben wird. Sie können wählen, ob Sie alle Services in AMS mit AMS Code-Services oder einzeln in AMS bereitstellen möchten.
Die AMS Code-Dienste umfassen die folgenden Dienste:
+ AWS CodeCommit: Ein vollständig verwalteter [Quellcodeverwaltungsdienst](https://aws.amazon.com/devops/source-control), der sichere Git-basierte Repositorys hostet. Dadurch können Teams in einem sicheren und hoch skalierbaren Ökosystem gemeinsam an Code arbeiten. CodeCommit macht es überflüssig, Ihr eigenes Quellcodeverwaltungssystem zu betreiben oder sich Gedanken über die Skalierung der Infrastruktur zu machen. Sie können CodeCommit auch zum sicheren Aufbewahren beliebiger Objekte von Quellcode bis hin zu Binärdateien verwenden. Außerdem wird das reibungslose Arbeiten mit vorhandenen Git-basierten Tools ermöglicht. Weitere Informationen hierzu finden Sie unter [AWS CodeCommit](https://aws.amazon.com/codecommit/).
Informationen zur Bereitstellung in Ihrem AMS-Konto unabhängig von den AMS Code-Diensten finden Sie unter[Verwenden Sie AMS SSP zur Bereitstellung AWS CodeCommit in Ihrem AMS-Konto](codecommit.md).
+ AWS CodeBuild: Ein vollständig verwalteter Dienst für kontinuierliche Integration, der Quellcode kompiliert, Tests durchführt und Softwarepakete erstellt, die sofort einsatzbereit sind. Mit CodeBuild müssen Sie Ihre eigenen Build-Server nicht bereitstellen, verwalten und skalieren. CodeBuild skaliert kontinuierlich und verarbeitet mehrere Builds gleichzeitig, sodass Ihre Builds nicht in einer Warteschlange warten müssen. Mit den vorkonfigurierten Build-Umgebungen gelingt der Einstieg leicht. Jedoch können Sie auch benutzerdefinierte Build-Umgebungen mit Ihren eigenen Entwicklungstools erstellen. Mit CodeBuild werden Ihnen die von Ihnen genutzten Rechenressourcen minutengenau berechnet. Weitere Informationen hierzu finden Sie unter [AWS CodeBuild](https://aws.amazon.com/codebuild/).
Informationen zur Bereitstellung in Ihrem AMS-Konto unabhängig von den AMS Code-Diensten finden Sie unter[Verwenden Sie AMS SSP zur Bereitstellung AWS CodeBuild in Ihrem AMS-Konto](code-build.md).
+ AWS CodeDeploy: Ein vollständig verwalteter Bereitstellungsservice, der Softwarebereitstellungen für eine Vielzahl von Rechendiensten wie Amazon EC2 und Ihren lokalen Servern automatisiert. AWS CodeDeploy unterstützt Sie bei der schnellen Veröffentlichung neuer Funktionen, hilft Ihnen, Ausfallzeiten bei der Anwendungsbereitstellung zu vermeiden, und bewältigt die Komplexität der Aktualisierung Ihrer Anwendungen. Sie können AWS CodeDeploy damit Softwarebereitstellungen automatisieren, sodass fehleranfällige manuelle Operationen überflüssig werden. Der Service lässt sich an Ihre Bereitstellungsanforderungen anpassen. Weitere Informationen hierzu finden Sie unter [AWS CodeDeploy](https://aws.amazon.com/codedeploy/).
Informationen zur Bereitstellung in Ihrem AMS-Konto unabhängig von den AMS Code-Diensten finden Sie unter[Verwenden Sie AMS SSP zur Bereitstellung AWS CodeDeploy in Ihrem AMS-Konto](code-deploy.md).
+ AWS CodePipeline: Ein vollständig verwalteter [Continuous Delivery-Service](https://aws.amazon.com/devops/continuous-delivery/), der Sie bei der Automatisierung Ihrer Release-Pipelines für schnelle und zuverlässige Anwendungs- und Infrastrukturupdates unterstützt. CodePipeline automatisiert die Erstellungs-, Test- und Bereitstellungsphasen Ihres Release-Prozesses bei jeder Codeänderung auf der Grundlage des von Ihnen definierten Release-Modells. Auf diese Weise können Sie Funktionen und Updates schnell und zuverlässig bereitstellen. Sie können problemlos Dienste von Drittanbietern wie GitHub oder Ihr eigenes benutzerdefiniertes Plugin integrieren AWS CodePipeline . Mit zahlen Sie nur für das AWS CodePipeline, was Sie nutzen. Es fallen keine Vorausleistungen an und Sie gehen keine langfristigen Verpflichtungen ein. Weitere Informationen hierzu finden Sie unter [AWS CodePipeline](https://aws.amazon.com/codepipeline/).
Informationen zur Bereitstellung in Ihrem AMS-Konto unabhängig von den AMS Code-Diensten finden Sie unter[Verwenden Sie AMS SSP zur Bereitstellung AWS CodePipeline in Ihrem AMS-Konto](code-pipeline.md).
## Häufig gestellte Fragen zu AMS-Code-Services in AWS Managed Services
**F: Wie beantrage ich Zugriff auf AMS Code-Services in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_code_suite_console_role` Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihrer Verbundlösung integrieren. Zu diesem Zeitpunkt wird AMS Operations auch die`customer_codebuild_service_role`,`customer_codedeploy_service_role`, `aws_code_pipeline_service_role` Servicerollen in Ihrem Konto für CodeBuild CodeDeploy und CodePipeline Services bereitstellen. Wenn zusätzliche IAM-Berechtigungen für die erforderlich sind, reichen Sie eine AMS-Serviceanfrage ein. `customer_codebuild_service_role`
**Anmerkung**
Sie können diese Dienste auch separat hinzufügen. Weitere Informationen finden Sie unter [Verwenden Sie AMS SSP zur Bereitstellung AWS CodeBuild in Ihrem AMS-Konto](code-build.md) [Verwenden Sie AMS SSP zur Bereitstellung AWS CodeDeploy in Ihrem AMS-Konto](code-deploy.md)[Verwenden Sie AMS SSP zur Bereitstellung AWS CodePipeline in Ihrem AMS-Konto](code-pipeline.md), bzw..
**F: Welche Einschränkungen gelten für die Nutzung der AMS Code-Dienste in meinem AMS-Konto?**
+ AWS CodeCommit: Die Trigger-Funktion CodeCommit ist aufgrund der damit verbundenen Rechte zum Erstellen von SNS-Themen deaktiviert. Die direkte Authentifizierung gegen CodeCommit ist eingeschränkt. Benutzer sollten sich mit Credential Helper authentifizieren. Einige KMS-Befehle sind ebenfalls eingeschränkt: kms: Encrypt, kms: Decrypt,,, und kms:ReEncrypt. kms: GenereteDataKey kms: GenerateDataKeyWithoutPlaintext kms: DescribeKey
+ CodeBuild: Für den Zugriff auf AWS CodeBuild Konsolenadministratoren sind die Berechtigungen auf Ressourcenebene beschränkt. CloudWatch Aktionen sind beispielsweise auf bestimmte Ressourcen beschränkt und die `iam:PassRole` Berechtigungen werden kontrolliert.
+ CodeDeploy: CodeDeploy Unterstützt derzeit nur Bereitstellungen auf Amazon EC2/On-Premise. Bereitstellungen auf ECS und Lambda werden nicht CodeDeploy unterstützt.
+ CodePipeline: CodePipeline Funktionen, Stufen und Anbieter sind auf Folgendes beschränkt:
+ Bereitstellungsphase: Amazon S3 und AWS CodeDeploy
+ Quellstufe: Amazon S3 AWS CodeCommit, Bit Bucket und GitHub
+ Build-Phase: AWS CodeBuild und Jenkins
+ Genehmigungsphase: Amazon SNS
+ Testphase: Jenkins AWS CodeBuild, Ghost Inspector UI-Tests BlazeMeter, Micro Focus StormRunner Load, Runscope API-Überwachung
+ Invoke Stage: Step Functions und Lambda
**Anmerkung**
AMS Operations stellt das `customer_code_pipeline_lambda_policy` in Ihrem Konto bereit. Es muss mit der Lambda-Ausführungsrolle für die Lambda-Aufrufphase verknüpft werden. Geben Sie den service/execution Lambda-Rollennamen an, mit dem Sie diese Richtlinie hinzufügen möchten. Wenn es keine benutzerdefinierte service/execution Lambda-Rolle gibt, erstellt AMS eine neue Rolle mit dem Namen`customer_code_pipeline_lambda_execution_role`, das ist eine Kopie von ` customer_lambda_basic_execution_role` along with`customer_code_pipeline_lambda_policy`.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung der AMS Code-Dienste in meinem AMS-Konto?**
+ CodeCommit: Wenn S3-Buckets mit AWS KMS Schlüsseln verschlüsselt AWS KMS sind, müssen S3 verwendet AWS CodeCommit werden.
+ CodeBuild: Wenn zusätzliche IAM-Berechtigungen für die definierte AWS CodeBuild Servicerolle erforderlich sind, fordern Sie diese über eine AMS-Serviceanfrage an.
+ CodeDeploy: Keine.
+ CodePipeline: Keine. AWS unterstützte Dienste—AWS CodeCommit AWS CodeBuild,, AWS CodeDeploy—müssen vor oder zusammen mit dem Start von CodePipeline gestartet werden. Dies wird jedoch von einem AMS-Techniker durchgeführt.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Amplify in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Amplify Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. Dabei AWS Amplify handelt es sich um eine Komplettlösung, die es Frontend-Web- und Mobilentwicklern ermöglicht, auf einfache Weise Full-Stack-Anwendungen zu erstellen, zu verbinden und zu hosten. Amplify bietet Flexibilität, um die Bandbreite der AWS Dienste zu nutzen, wenn sich Ihre Anwendungsfälle weiterentwickeln. Amplify bietet Produkte zur Erstellung von Fullstack-Apps für iOS, Android, Flutter, Web und React Native. Weitere Informationen hierzu finden Sie unter [AWS Amplify](https://docs.amplify.aws/console).
## AWS Amplify in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich AWS Amplify die Einrichtung in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_amplify_console_role` Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung für Ihr Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
Darüber hinaus müssen Sie eine Risikoakzeptanz angeben, da es AWS Amplify über Berechtigungen verfügt, die die Infrastruktur verändern. Arbeiten Sie dazu mit Ihrem Cloud Service Delivery Manager (CSDM) zusammen.
**F: Welche Einschränkungen gelten für die Nutzung AWS Amplify in meinem AMS-Konto?**
Sie müssen es `'amplify*'` als Präfix für Ihre Buckets verwenden, wenn Sie mit Amplify arbeiten, sofern RA nicht anders angegeben.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Amplify in meinem AMS-Konto?**
Es gibt keine Voraussetzungen für die Nutzung von AWS Amplify in Ihrem AMS-Konto.
**Nur Malz-Umgebungen**: Die integrierte Standardrolle für Amplify ist „customer\$1amplify\$1console\$1role“. Um eine benutzerdefinierte Rolle zu verwenden, stellen Sie zunächst die IAM-Entitäten bereit. Erstellen Sie dann einen zusätzlichen RFC, um Ihre benutzerdefinierte Rolle zur Zulassungsliste der Service Control-Richtlinie für Anwendungskonten hinzuzufügen.
# Verwenden Sie AMS SSP für die Bereitstellung AWS AppSync
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS AppSync Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS AppSync vereinfacht die Anwendungsentwicklung, indem Sie eine flexible API erstellen können, mit der Sie sicher auf Daten aus einer oder mehreren Datenquellen zugreifen, diese bearbeiten und kombinieren können. AWS AppSync ist ein verwalteter Dienst, der GraphQL verwendet, um es Anwendungen zu erleichtern, genau die Daten zu erhalten, die sie benötigen.
Mit AWS AppSync können Sie skalierbare Anwendungen, einschließlich solcher, die Aktualisierungen in Echtzeit erfordern, auf einer Reihe von Datenquellen wie NoSQL-Datenspeichern, relationalen Datenbanken APIs, HTTP und Ihren benutzerdefinierten Datenquellen erstellen. AWS Lambda Für mobile Apps und Web-Apps bietet es AWS AppSync zusätzlich lokalen Datenzugriff, wenn Geräte offline gehen, und Datensynchronisierung mit anpassbarer Konfliktlösung, wenn sie wieder online sind. Weitere Informationen hierzu finden Sie unter [AWS AppSync](https://aws.amazon.com/appsync/).
## AWS AppSync in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS AppSync auf mein AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie Folgendes einreichen: Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct). Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen zur Verfügung: und. `customer_appsync_service_role` `customer_appsync_author_role` Nach der Bereitstellung in Ihrem Konto müssen Sie sie `customer_appsync_author_role` in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der AWS AppSync Nutzung von?**
+ Beim Erstellen einer Datenquelle für AppSync den Kunden muss die zuvor erstellte Servicerolle angegeben werden. Die Erstellung einer neuen Rolle ist nicht zulässig. Daher wird der Zugriff verweigert zurückgegeben
+ AppSync Rollen sind so konfiguriert, dass Berechtigungen auf Ressourcen beschränkt werden, die die Präfixe „AMS-“ oder „MC-“ enthalten, um jegliche Änderungen an der AMS-Infrastruktur zu verhindern.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung AWS AppSync?**
Der Dienst ermöglicht die Verwendung mehrerer anderer Dienste als Datenquelle. Die Grundberechtigungen, sie als solche zu verwenden, sind in der Dienstrolle (`customer_appsync_service_role`) enthalten, aber Sie müssen die Servicerolle manuell auswählen, wenn Sie den Dienst verwenden.
# Verwenden Sie AMS SSP zur Bereitstellung AWS App Mesh in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS App Mesh Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS App Mesh bietet Netzwerke auf Anwendungsebene, sodass Ihre Dienste über verschiedene Arten von Computerinfrastrukturen hinweg einfach miteinander kommunizieren können. App Mesh standardisiert die Art und Weise, wie Ihre Dienste kommunizieren, bietet Ihnen end-to-end Transparenz und gewährleistet eine hohe Verfügbarkeit Ihrer Anwendungen.
AWS App Mesh macht es einfach, Dienste auszuführen, indem es konsistente Transparenz und Netzwerkverkehrskontrollen für Dienste bietet, die auf mehreren Arten von Computerinfrastrukturen basieren. App Mesh macht es überflüssig, den Anwendungscode zu aktualisieren, um zu ändern, wie Überwachungsdaten gesammelt oder der Datenverkehr zwischen Diensten weitergeleitet wird. App Mesh konfiguriert jeden Dienst für den Export von Überwachungsdaten und implementiert eine konsistente Kommunikationssteuerungslogik in Ihrer gesamten Anwendung. Dies macht es einfach, schnell den genauen Ort von Fehlern zu lokalisieren und den Netzwerkverkehr automatisch umzuleiten, wenn es zu Ausfällen kommt oder wenn Codeänderungen implementiert werden müssen. Weitere Informationen hierzu finden Sie unter [AWS App Mesh](https://aws.amazon.com/app-mesh/).
## AWS App Mesh in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS App Mesh auf mein AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie Folgendes einreichen: Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct). Dieser RFC stellt Ihrem Konto `customer_app_mesh_console_role` die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der AWS App Mesh Nutzung von?**
Die volle Funktionalität von AWS App Mesh ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS App Mesh?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Verwendung AWS App Mesh in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Audit Manager in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Audit Manager zuzugreifen. Audit Manager hilft Ihnen dabei, Ihre AWS Nutzung kontinuierlich zu überprüfen, um die Bewertung von Risiken und die Einhaltung von Vorschriften und Industriestandards zu vereinfachen. Audit Manager automatisiert die Sammlung von Beweisen, um die Bewertung zu erleichtern, ob Ihre Richtlinien, Verfahren und Aktivitäten effektiv funktionieren. Wenn es Zeit für ein Audit ist, hilft Ihnen Audit Manager dabei, die Überprüfung Ihrer Kontrollen durch Interessengruppen zu verwalten und revisionstaugliche Berichte mit deutlich weniger manuellem Aufwand zu erstellen. Weitere Informationen finden Sie unter [Audit Manager](https://aws.amazon.com/audit-manager/).
## AWS Audit Manager in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Audit Manager auf mein AMS-Konto?**
Sie können den Zugriff beantragen, indem Sie die folgenden Felder einreichen: AWS Services RFC Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny). Dieser RFC `customer-audit-manager-admin-Role` stellt die folgende IAM-Rolle in Ihrem Konto bereit:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihrer Verbundlösung integrieren.
**F: Welche Einschränkungen gibt es bei der Nutzung AWS Audit Manager?**
Es gibt keine Einschränkungen für die Verwendung von AWS Audit Manager in Ihrem AMS-Konto. Die volle Funktionalität für AWS Audit Manager wird bereitgestellt.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung AWS Audit Manager?**
1. Sie müssen AMS den S3-Bucket zur Verfügung stellen, in dem Sie sich befinden reports/assessments möchten.
1. Wenn Sie den Dienst verschlüsseln möchten, müssen Sie AMS den zu verwendenden KMS-CMK-ARN zur Verfügung stellen.
1. Wenn Sie eine SNS-Benachrichtigung an ein Thema senden möchten, müssen Sie den Namen des Themas oder ARN angeben.
1. **(Optional)** Wenn Sie Organizations als Teil Ihrer Multi-Account-Landingzone in Audit Manager aktivieren möchten und ein delegiertes Administratorkonto wünschen, gibt es eine zusätzliche Voraussetzung: Geben Sie im Beschreibungsfeld für RFC (Management \$1 AWS Service \$1 Compatible Service\$1 Add) an, dass Sie das delegierte Administratorkonto als Teil des Audit Manager Manager-Setups verwenden möchten, und geben Sie die folgenden Details an:
+ KMS CMK ARN (ursprünglich zur Einrichtung von Audit Manager verwendet)
+ Delegierte Administratorkonto-ID für Audit Manager zur Verwendung als Teil dieser landing zone mit mehreren Konten (kann ein MALZ-Anwendungskonto sein)
# Verwenden Sie AMS SSP zur Bereitstellung AWS Batch in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Batch Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Batch ermöglicht Entwicklern, Wissenschaftlern und Ingenieuren die einfache und effiziente Ausführung von Hunderttausenden von Batch-Computing-Jobs. AWS AWS Batch stellt dynamisch die optimale Menge und Art der Rechenressourcen (wie CPU- oder speicheroptimierte Instances) bereit, basierend auf dem Volumen und den spezifischen Ressourcenanforderungen der eingereichten Batch-Jobs. Mit müssen Sie keine Batch-Computing-Software oder Servercluster AWS Batch, die Sie für die Ausführung Ihrer Jobs verwenden, installieren und verwalten, sodass Sie sich auf die Analyse der Ergebnisse und die Lösung von Problemen konzentrieren können. Weitere Informationen hierzu finden Sie unter [AWS Batch](https://aws.amazon.com/batch/).
## AWS Batch in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Batch auf mein AMS-Konto?**
1. Um Zugriff auf zu beantragen AWS Batch, reichen Sie RFC Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) ein. Dieser RFC stellt die folgenden IAM-Rollen und -Richtlinien in Ihrem Konto bereit:
IAM-Rollen:
+ `customer_batch_console_role`
+ `customer_batch_ecs_instance_role`
+ `customer_batch_events_service_role`
+ `customer_batch_service_role`
+ `customer_batch_ecs_task_role`
Richtlinien:
+ `customer_batch_console_role_policy`
+ `customer_batch_service_role_policy`
+ `customer_batch_events_service_role_policy`
2. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle `customer_batch_console_role` in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gibt es bei der Nutzung AWS Batch?**
Bei der Erstellung der Compute-Umgebung sollten Sie EC2 Instanzen als „customer\$1batch“ oder „customer-batch“ kennzeichnen. Wenn die Instanzen nicht markiert sind, werden die Instanzen nicht per Batch beendet, wenn der Job abgeschlossen ist.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung AWS Batch?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Verwendung AWS Batch in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Certificate Manager in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf die Funktionen AWS Certificate Manager (ACM) in Ihrem verwalteten AMS-Konto zuzugreifen. AWS Certificate Manager ist ein Dienst, mit dem Sie öffentliche und private Secure Sockets Layer/Transport Layer Security (SSL/TLS) -Zertifikate zur Verwendung mit AWS Diensten und Ihren internen verbundenen Ressourcen bereitstellen, verwalten und bereitstellen können. SSL/TLS Zertifikate werden verwendet, um die Netzwerkkommunikation zu sichern und die Identität von Websites im Internet sowie von Ressourcen in privaten Netzwerken nachzuweisen. AWS Certificate Manager macht den zeitaufwändigen manuellen Prozess des Kaufs, Hochladens und SSL/TLS Erneuerns von Zertifikaten überflüssig.
Mit AWS Certificate Manager können Sie ein Zertifikat anfordern, es auf ACM-integrierten AWS Ressourcen wie Elastic Load Balancers, CloudFront Amazon-Distributionen und APIs auf API Gateway bereitstellen und die Verlängerung von Zertifikaten übernehmen lassen AWS Certificate Manager . Außerdem können Sie damit private Zertifikate für Ihre internen Ressourcen erstellen und den Lebenszyklus von Zertifikaten zentral verwalten. Öffentliche und private Zertifikate, die AWS Certificate Manager für die Verwendung mit ACM-integrierten Diensten bereitgestellt werden, sind kostenlos. Sie zahlen nur für die AWS Ressourcen, die Sie für die Ausführung Ihrer Anwendung erstellen. Mit [AWS Private Certificate Authority](https://aws.amazon.com/certificate-manager/private-certificate-authority/)zahlen Sie monatlich für den Betrieb der AWS Private CA und für die privaten Zertifikate, die Sie ausstellen. Weitere Informationen finden Sie unter [AWS Certificate Manager — AWS Dokumentation](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
## Häufig gestellte Fragen zu ACM in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Certificate Manager auf mein AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie Folgendes einreichen: Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct). Dieser RFC stellt Ihrem Konto `customer_acm_create_role` die folgende IAM-Rolle zur Verfügung:. Sie können diese Rolle verwenden, um ACM-Zertifikate zu erstellen und zu verwalten. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
ACM-Zertifikate können mit den folgenden Änderungstypen erstellt werden, auch wenn Sie die `customer_acm_create_role` IAM-Rolle nicht hinzugefügt haben:
+ [ACM \$1 Öffentliches Zertifikat erstellen](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-public-certificate.html)
+ [ACM \$1 Privates Zertifikat erstellen](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-private-certificate.html)
+ [ACM-Zertifikat mit zusätzlichem \$1 Erstellen SANs ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-certificate-with-additional-sans-create.html)
**F: Was sind die Einschränkungen bei der AWS Certificate Manager Verwendung von?**
Sie müssen eine Änderungsanforderung (Request for Change, RFC) an AMS senden, um bestehende Zertifikate zu löschen oder zu ändern, da diese Aktionen vollen Administratorzugriff erfordern (verwenden Sie die Stack-Komponenten Management \$1 Advanced \$1 ACM \$1 Delete Certificate Change (ct-1q8q56cmwqj9m)). Beachten Sie, dass die IAM-Richtlinie Rechte, die auf Tagnamen (mc\$1, ams\$1 usw.) basieren, nicht ausschließen kann. Für Zertifikate fallen keine Kosten an, daher ist das Löschen unbenutzter Zertifikate nicht zeitaufwändig.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Certificate Manager?**
Bestehender öffentlicher DNS-Name und Zugriff zum Erstellen von DNS-CNAME-Einträgen, diese müssen jedoch nicht im verwalteten Konto gehostet werden.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Private Certificate Authority in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Private Certificate Authority Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. Private Zertifikate werden zur Identifizierung und Sicherung der Kommunikation zwischen verbundenen Ressourcen in privaten Netzwerken wie Servern, Mobil- und IoT-Geräten und -Anwendungen verwendet. AWS Private CA ist ein verwalteter privater CA-Dienst, mit dem Sie den Lebenszyklus Ihrer privaten Zertifikate einfach und sicher verwalten können. AWS Private CA bietet Ihnen einen hochverfügbaren Service für private Zertifizierungsstellen ohne die Vorabinvestitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen privaten Zertifizierungsstelle. AWS Private CA erweitert die Zertifikatsverwaltungsfunktionen von ACM auf private Zertifikate, sodass Sie öffentliche und private Zertifikate zentral erstellen und verwalten können. Mithilfe der AWS Management Console oder der ACM-API können Sie ganz einfach private Zertifikate für Ihre AWS Ressourcen erstellen und bereitstellen. Für EC2-Instances, Container, IoT-Geräte und lokale Ressourcen können Sie auf einfache Weise private Zertifikate erstellen und verfolgen und diese mithilfe Ihres eigenen clientseitigen Automatisierungscodes bereitstellen. Sie haben auch die Flexibilität, private Zertifikate zu erstellen und diese für Anwendungen, die benutzerdefinierte Gültigkeitsdauer von Zertifikaten, Schlüsselalgorithmen oder Ressourcennamen erfordern, selbst zu verwalten. Weitere Informationen finden Sie unter. [AWS Private CA](https://aws.amazon.com/certificate-manager/private-certificate-authority/)
## AWS Private CA in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Private CA auf mein AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den AWS Services-RFC (Management \$1 AWS Service \$1 Compatible Service) einreichen. Über diesen RFC wird Ihrem Konto die folgende IAM-Rolle zugewiesen:. `customer_acm_pca_role` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der AWS Private CA Nutzung von?**
Derzeit kann AWS Resource Access Manager (AWS RAM) nicht verwendet werden, um Ihr AWS Private CA Cross-Konto zu teilen.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Private CA?**
1. Wenn Sie eine CRL erstellen möchten, benötigen Sie einen S3-Bucket, in dem Sie sie speichern können. AWS Private CA hinterlegt die CRL automatisch in dem von Ihnen Amazon S3 S3-Bucket und aktualisiert sie regelmäßig. Es ist eine Voraussetzung, dass für den S3-Bucket die unten angegebene Bucket-Richtlinie gilt, bevor Sie eine CRL einrichten können. Um mit dieser Anfrage fortzufahren, erstellen Sie einen RFC mit ct-0fpjlxa808sh2 (Verwaltung \$1 Erweiterte Stack-Komponenten \$1 S3-Speicher \$1 Aktualisierungsrichtlinie) wie folgt:
+ Geben Sie den S3-Bucket-Namen oder den ARN an.
+ Kopieren Sie die folgende Richtlinie auf RFC und `bucket-name` ersetzen Sie sie durch den gewünschten S3-Bucket-Namen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource":[
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
2. Wenn der obige S3-Bucket verschlüsselt ist, benötigt der Service Principal acm-pca.amazonaws.com Berechtigungen zum Entschlüsseln. Um mit dieser Anfrage fortzufahren, erstellen Sie einen RFC mit ct-3ovo7px2vsa6n (Management \$1 Erweiterte Stack-Komponenten \$1 KMS-Schlüssel \$1 Update) wie folgt:
+ Geben Sie den KMS-Schlüssel-ARN an, für den die Richtlinie aktualisiert werden muss.
+ Kopieren Sie die folgende Richtlinie auf RFC und `bucket-name` ersetzen Sie sie durch den gewünschten S3-Bucket-Namen.
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
"arn:aws:s3:::bucket_name/audit-report/*",
"arn:aws:s3:::bucket_name/crl/*"
]
}
}
}
```
3. AWS Private CA CRLs unterstützt die S3-Einstellung „Öffentlichen Zugriff auf Buckets und Objekte blockieren, die über neue Zugriffskontrolllisten gewährt wurden (ACLs)“ nicht. Sie müssen diese Einstellung für das S3-Konto und den AWS Private CA Bucket deaktivieren, damit sie schreiben können, CRLs wie unter [So erstellen und speichern Sie Ihre CRL für ACM Private CA sicher](https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/) beschrieben. Wenn Sie deaktivieren möchten, erstellen Sie einen neuen RFC mit ct-0xdawir96cy7k (Verwaltung \$1 Andere \$1 Andere \$1 Update) und fügen Sie eine Risikoakzeptanz hinzu. Wenn Sie Fragen zur Risikoakzeptanz haben, wenden Sie sich an Ihren Cloud Architect.
# Verwenden Sie AMS SSP zur Bereitstellung AWS CloudEndure in Ihrem AMS-Konto
**Anmerkung**
Nach dem erfolgreichen Start von AWS Application Migration Service ist der CloudEndure Migrationsdienst nun in allen AWS Regionen nicht mehr verfügbar. Wir empfehlen unseren Kunden, ihn AWS Application Migration Service für Lift-and-Shift-Migrationen in GovCloud Regionen und in kommerzielle Regionen zu nutzen. Weitere Informationen finden Sie unter [Was ist? AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html) .
Wenn Sie die verwenden möchten AWS Application Migration Service, wenden Sie sich an Ihre CA, damit sie Ihnen weiterhelfen kann.
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS CloudEndure Funktionen in Ihrem AMS-verwalteten Konto zuzugreifen. AWS CloudEndure Die Migration vereinfacht, beschleunigt und automatisiert umfangreiche Migrationen von einer physischen, virtuellen und cloudbasierten Infrastruktur zu. AWS CloudEndure Disaster Recovery (DR) schützt vor Ausfallzeiten und Datenverlust aufgrund beliebiger Bedrohungen, einschließlich Ransomware und Serverbeschädigung.
## AWS CloudEndure in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf CloudEndure in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_cloud_endure_user` Konto den folgenden IAM-Benutzer zur Verfügung:. Nach der Bereitstellung in Ihrem Konto werden der Zugriffsschlüssel und der geheime Schlüssel für den Benutzer in AWS Secrets Manager geteilt.
Diese Richtlinien werden auch für das Konto bereitgestellt: `customer_cloud_endure_policy` und. `customer_cloud_endure_deny_policy`
Darüber hinaus müssen Sie eine Risikoakzeptanz angeben, da die CloudEndure DR-Lösung für die Anwendungsintegration über Berechtigungen verfügt, die die Infrastruktur verändern. Arbeiten Sie dazu mit Ihrem Cloud Service Delivery Manager (CSDM) zusammen.
**F: Welche Einschränkungen gelten für die Nutzung CloudEndure in meinem AMS-Konto?**
Die Cloud-fähigen Replikations- und Konvertierungsinstanzen können nur in dem von Ihnen angegebenen Subnetz gestartet werden.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung CloudEndure in meinem AMS-Konto?** Teilen Sie Folgendes über die bidirektionale RFC-Korrespondenz mit:
+ VPC-Subnetzdetails für zu startende Replikations- und Konvertierungsinstanzen.
+ Der KMS-Schlüssel Amazon Resource Name (ARN), wenn die EBS-Volumes verschlüsselt sind.
# Verwenden Sie AMS SSP zur Bereitstellung AWS CloudHSM in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS CloudHSM Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS CloudHSM hilft Ihnen dabei, die unternehmensinternen, vertraglichen und behördlichen Compliance-Anforderungen an die Datensicherheit zu erfüllen, indem spezielle Hardware Security Module (HSM) -Instanzen in der Cloud verwendet werden. AWS AWS, und AWS Marketplace-Partner bieten eine Vielzahl von Lösungen zum Schutz sensibler Daten innerhalb der AWS Plattform an. Für einige Anwendungen und Daten, die vertraglichen oder behördlichen Vorschriften zur Verwaltung kryptografischer Schlüssel unterliegen, kann jedoch zusätzlicher Schutz erforderlich sein. AWS CloudHSM ergänzt bestehende Datenschutzlösungen und ermöglicht es Ihnen, Ihre darin enthaltenen Verschlüsselungscodes zu schützen HSMs , die nach staatlichen Standards für sicheres Schlüsselmanagement entwickelt und validiert wurden. AWS CloudHSM ermöglicht es Ihnen, kryptografische Schlüssel, die für die Datenverschlüsselung verwendet werden, sicher zu generieren, zu speichern und zu verwalten, sodass nur Sie auf die Schlüssel zugreifen können. Weitere Informationen hierzu finden Sie unter [AWS CloudHSM](https://aws.amazon.com/cloudhsm/).
## AWS CloudHSM in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS CloudHSM auf mein AMS-Konto?**
Die Nutzung von in Ihrem AMS-Konto erfolgt in zwei Schritten:
1. Fordern Sie einen AWS CloudHSM Cluster an. Reichen Sie dazu einen RFC mit dem Änderungstyp Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) ein. Geben Sie die folgenden Details an:
+ AWS Region.
+ ID/ARN. Provide a VPC ID/VPCVPC-ARN, der sich in demselben Konto befindet wie der RFC, den Sie einreichen.
+ Geben Sie mindestens zwei Availability Zones für den Cluster an.
+ EC2 Amazon-Instance-ID, die eine Verbindung zum HSM-Cluster herstellt.
1. Greifen Sie auf die AWS CloudHSM Konsole zu. Senden Sie dazu einen RFC mit dem Änderungstyp Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (ct-1w8z66n899dct). Dieser RFC stellt Ihrem `customer_cloudhsm_console_role` Konto die folgende IAM-Rolle zur Verfügung:.
Nachdem die Rolle in Ihrem Konto bereitgestellt wurde, müssen Sie sie in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS CloudHSM in meinem AMS-Konto?**
Der Zugriff auf die AWS CloudHSM Konsole bietet Ihnen nicht die Möglichkeit, Ihren Cluster zu erstellen, zu beenden oder wiederherzustellen. Um diese Dinge zu tun, reichen Sie den Änderungstyp Management \$1 Andere \$1 Andere \$1 Änderungstyp erstellen (ct-1e1xtak34nx76) ein.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung in meinem AMS-Konto? AWS CloudHSM **
Sie müssen TCP-Verkehr über Port 2225 über eine EC2 Amazon-Client-Instance innerhalb einer VPC zulassen oder Direct Connect VPN für lokale Server verwenden, die auf den HSM-Cluster zugreifen möchten. AWS CloudHSM ist in Bezug auf Sicherheitsgruppen und Netzwerkschnittstellen von Amazon EC2 abhängig. Für die Überwachung oder Prüfung von Protokollen stützt sich HSM auf CloudTrail (AWS API-Operationen) und CloudWatch Protokolle für alle lokalen HSM-Geräteaktivitäten.
**F: Wer installiert Updates für den AWS CloudHSM Client und die zugehörigen Softwarebibliotheken?**
Sie sind für die Installation der Bibliotheks- und Client-Updates verantwortlich. Sie sollten die Seite mit dem [Versionsverlauf von CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html) auf Releases überprüfen und dann Updates mithilfe des [CloudHSM-Client-Upgrades](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-upgrade.html) anwenden.
**Anmerkung**
Software-Patches für die HSM-Appliance werden vom Service immer automatisch angewendet. AWS CloudHSM
# Verwenden Sie AMS SSP zur Bereitstellung AWS CodeBuild in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS CodeBuild Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS CodeBuild ist ein vollständig verwalteter Continuous Integration Service, der Quellcode kompiliert, Tests durchführt und Softwarepakete erstellt, die sofort einsatzbereit sind. Mit CodeBuild müssen Sie Ihre eigenen Build-Server nicht bereitstellen, verwalten und skalieren. CodeBuild skaliert kontinuierlich und verarbeitet mehrere Builds gleichzeitig, sodass Ihre Builds nicht in einer Warteschlange warten müssen. Mit den vorkonfigurierten Build-Umgebungen gelingt der Einstieg leicht. Jedoch können Sie auch benutzerdefinierte Build-Umgebungen mit Ihren eigenen Entwicklungstools erstellen. Mit CodeBuild werden Ihnen die von Ihnen genutzten Rechenressourcen minutengenau berechnet. Weitere Informationen hierzu finden Sie unter [AWS CodeBuild](https://aws.amazon.com/codebuild/).
**Anmerkung**
Um CodeCommit, CodeBuild, und CodePipeline mit einem einzigen RFC zu integrieren CodeDeploy, reichen Sie den Änderungstyp Management \$1 AWS Service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) ein und fordern Sie die drei Dienste an:, und. CodeBuild CodeDeploy CodePipeline Anschließend werden alle drei Rollen,, und in Ihrem Konto bereitgestellt. `customer_codebuild_service_role` `customer_codedeploy_service_role` `aws_code_pipeline_service_role` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihrer Verbundlösung integrieren.
## CodeBuild in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS CodeBuild auf mein AMS-Konto?**
Die Nutzung von AWS CodeBuild in Ihrem AMS-Konto erfolgt in zwei Schritten:
1. Stellen Sie den `CodeBuild Service Role` For-Build-Prozess zur Koordination mit AWS S3-Buckets, Amazon CloudWatch und Log-Gruppen bereit
1. Fordern Sie Zugriff auf die Konsole an CodeBuild
Sie können beantragen, dass beide in Ihrem AMS-Konto eingerichtet werden, indem Sie einen RFC an Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Änderungstyp hinzufügen senden (ct-1w8z66n899dct). Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS CodeBuild in meinem AMS-Konto?**
Für den Zugriff auf AWS CodeBuild Konsolenadministratoren sind die Berechtigungen auf Ressourcenebene beschränkt. CloudWatch Aktionen sind beispielsweise auf bestimmte Ressourcen beschränkt und die `iam:PassRole` Berechtigungen werden kontrolliert.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung CodeBuild in meinem AMS-Konto?**
Wenn zusätzliche IAM-Berechtigungen für die definierte AWS CodeBuild Servicerolle erforderlich sind, fordern Sie diese über eine AMS-Serviceanfrage an.
# Verwenden Sie AMS SSP zur Bereitstellung AWS CodeCommit in Ihrem AMS-Konto
**Anmerkung**
AWS hat mit Wirkung zum 25. Juli 2024 den AWS CodeCommit Zugang für Neukunden geschlossen. AWS CodeCommit Bestandskunden können den Service weiterhin wie gewohnt nutzen. AWS investiert weiterhin in Sicherheit, Verfügbarkeit und Leistungsverbesserungen für AWS CodeCommit, aber wir haben nicht vor, neue Funktionen einzuführen.
Wenn Sie CodeCommit AWS-Git-Repositorys zu anderen Git-Anbietern migrieren möchten, wenden Sie sich an Ihren Cloud-Architekten (CA). Weitere Informationen zur Migration Ihrer Git-Repositorys finden Sie unter [So migrieren Sie Ihr CodeCommit AWS-Repository zu einem anderen Git-Anbieter](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/).
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS CodeCommit Funktionen in Ihrem AMS-verwalteten Konto zuzugreifen. AWS CodeCommit ist ein vollständig verwalteter [Quellcodeverwaltungsdienst](https://aws.amazon.com/devops/source-control/), der sichere Git-basierte Repositorys hostet. Er hilft Teams bei der Zusammenarbeit an Code in einem sicheren und hoch skalierbaren Ökosystem. CodeCommit macht es überflüssig, Ihr eigenes Quellcodeverwaltungssystem zu betreiben oder sich Gedanken über die Skalierung der Infrastruktur zu machen. Sie können damit alles CodeCommit , vom Quellcode bis hin zu Binärdateien, sicher speichern und es funktioniert nahtlos mit Ihren vorhandenen Git-Tools. Weitere Informationen hierzu finden Sie unter [AWS CodeCommit](https://aws.amazon.com/codecommit/).
**Anmerkung**
Um CodeCommit, CodeBuild, und CodePipeline mit einem einzigen RFC zu integrieren CodeDeploy, reichen Sie den Änderungstyp Management \$1 AWS Service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) ein und fordern Sie die drei Dienste an:, und. CodeBuild CodeDeploy CodePipeline Anschließend werden alle drei Rollen,, und in Ihrem Konto bereitgestellt. `customer_codebuild_service_role` `customer_codedeploy_service_role` `aws_code_pipeline_service_role` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihrer Verbundlösung integrieren.
## CodeCommit in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf CodeCommit in meinem AMS-Konto?**
AWS CodeCommit Konsolen- und Datenzugriffsrollen können beantragt werden, indem zwei AWS Dienste RFCs, Konsolenzugriff und Datenzugriff eingereicht werden:
+ Beantragen Sie den Zugriff auf, AWS CodeCommit indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_codecommit_console_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
Für den Datenzugriff (z. B. für Trainings- und Entitätslisten) ist CTs für jede Datenquelle eine separate Angabe der S3-Datenquelle (verpflichtend), des Ausgabe-Buckets (verpflichtend) und des KMS (optional) erforderlich. Es gibt keine Einschränkungen bei der Schaffung von AWS CodeCommit Arbeitsplätzen, solange allen Datenquellen Zugriffsrollen gewährt wurden. Um Datenzugriff zu beantragen, reichen Sie einen RFC bei Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) ein.
**F: Welche Einschränkungen gelten für die Nutzung in meinem AMS-Konto? AWS CodeCommit **
Die aktivierte CodeCommit Trigger-Funktion ist aufgrund der damit verbundenen Rechte zum Erstellen von SNS-Themen deaktiviert. Die direkte Authentifizierung gegen CodeCommit ist eingeschränkt. Benutzer sollten sich mit Credential Helper authentifizieren. Einige KMS-Befehle sind ebenfalls eingeschränkt:`kms:Encrypt`,,`kms:Decrypt`, `kms:ReEncrypt``kms:GenereteDataKey`, `kms:GenerateDataKeyWithoutPlaintext` und. `kms:DescribeKey`
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS CodeCommit in meinem AMS-Konto?**
Wenn S3-Buckets mit KMS-Schlüsseln verschlüsselt sind, müssen S3 und KMS verwendet AWS CodeCommit werden.
# Verwenden Sie AMS SSP zur Bereitstellung AWS CodeDeploy in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS CodeDeploy Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS CodeDeploy ist ein vollständig verwalteter Bereitstellungsservice, der Softwarebereitstellungen für eine Vielzahl von Rechendiensten wie Amazon EC2, AWS Fargate AWS Lambda, und Ihren lokalen Servern automatisiert. AWS CodeDeploy unterstützt Sie bei der schnellen Veröffentlichung neuer Funktionen, hilft Ihnen, Ausfallzeiten bei der Anwendungsbereitstellung zu vermeiden, und bewältigt die Komplexität der Aktualisierung Ihrer Anwendungen. Sie können AWS CodeDeploy damit Softwarebereitstellungen automatisieren, sodass fehleranfällige manuelle Operationen überflüssig werden. Der Service lässt sich an Ihre Bereitstellungsanforderungen anpassen. Weitere Informationen hierzu finden Sie unter [AWS CodeDeploy](https://aws.amazon.com/codedeploy/).
**Anmerkung**
Um CodeCommit, CodeBuild, und CodePipeline mit einem einzigen RFC zu integrieren CodeDeploy, reichen Sie den Änderungstyp Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) ein und fordern Sie die drei Dienste an:, und. CodeBuild CodeDeploy CodePipeline Anschließend werden alle drei Rollen,, und in Ihrem Konto bereitgestellt. `customer_codebuild_service_role` `customer_codedeploy_service_role` `aws_code_pipeline_service_role` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihrer Verbundlösung integrieren.
## CodeDeploy in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf CodeDeploy in meinem AMS-Konto?**
Beantragen Sie den Zugriff auf, CodeDeploy indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_codedeploy_console_role` Konto `customer_codedeploy_service_role` die folgenden IAM-Rollen zur Verfügung: und. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die `customer_codedeploy_console_role` Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung CodeDeploy in meinem AMS-Konto?**
Derzeit unterstützen wir Compute Platform nur als — Amazon EC2/On-Premise. Blue/Green Bereitstellungen werden nicht unterstützt.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung CodeDeploy in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung CodeDeploy in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS CodePipeline in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS CodePipeline Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS CodePipeline ist ein vollständig verwalteter [Continuous Delivery](https://aws.amazon.com/devops/continuous-delivery/) Service, der Sie bei der Automatisierung Ihrer Release-Pipelines für schnelle und zuverlässige Anwendungs- und Infrastrukturupdates unterstützt. CodePipeline automatisiert die Erstellungs-, Test- und Bereitstellungsphasen Ihres Release-Prozesses bei jeder Codeänderung auf der Grundlage des von Ihnen definierten Release-Modells. Auf diese Weise können Sie Funktionen und Updates schnell und zuverlässig bereitstellen. Sie können problemlos Dienste von Drittanbietern wie GitHub oder Ihr eigenes benutzerdefiniertes Plugin integrieren AWS CodePipeline . Mit zahlen Sie nur für das AWS CodePipeline, was Sie nutzen. Es fallen keine Vorausleistungen an und Sie gehen keine langfristigen Verpflichtungen ein. Weitere Informationen hierzu finden Sie unter [AWS CodePipeline](https://aws.amazon.com/codepipeline/).
**Anmerkung**
Um CodeCommit, CodeBuild, und CodePipeline mit einem einzigen RFC zu integrieren CodeDeploy, reichen Sie den Änderungstyp Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) ein und fordern Sie die drei Dienste an:, und. CodeBuild CodeDeploy CodePipeline Anschließend werden alle drei Rollen,, und in Ihrem Konto bereitgestellt. `customer_codebuild_service_role` `customer_codedeploy_service_role` `aws_code_pipeline_service_role` Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihrer Verbundlösung integrieren.
CodePipeline in AMS unterstützt „Amazon CloudWatch Events“ für Source Stage nicht, da für die Erstellung der Servicerolle und -richtlinie erweiterte Berechtigungen erforderlich sind, wodurch das Modell mit den geringsten Rechten und der AMS-Change-Management-Prozess umgangen werden.
## CodePipeline in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf CodePipeline in meinem AMS-Konto?**
Beantragen Sie den Zugriff auf, CodePipeline indem Sie eine Serviceanfrage für das `customer_code_pipeline_console_role` entsprechende Konto einreichen. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
Zu diesem Zeitpunkt wird AMS Operations diese Servicerolle auch in Ihrem Konto bereitstellen:`aws_code_pipeline_service_role_policy`.
**F: Welche Einschränkungen gelten für die Nutzung CodePipeline in meinem AMS-Konto?**
Ja. CodePipeline Funktionen, Stufen und Anbieter sind auf Folgendes beschränkt:
1. Bereitstellungsphase: Beschränkt auf Amazon S3 und AWS CodeDeploy
1. Source Stage: Beschränkt auf Amazon S3 AWS CodeCommit, BitBucket, und GitHub
1. Build-Phase: Beschränkt auf AWS CodeBuild, und Jenkins
1. Genehmigungsphase: Beschränkt auf Amazon SNS
1. Testphase: Beschränkt auf Jenkins AWS CodeBuild BlazeMeter, Ghost Inspector UI Testing, Micro Focus StormRunner Load und Runscope API-Überwachung
1. Invoke Stage: Beschränkt auf Step-Funktionen und Lambda
**Anmerkung**
AMS Operations wird `customer_code_pipeline_lambda_policy` in Ihrem Konto bereitgestellt. Es muss mit der Lambda-Ausführungsrolle für die Lambda-Aufrufphase verknüpft sein. Bitte geben Sie den service/execution Lambda-Rollennamen an, mit dem Sie diese Richtlinie hinzufügen möchten. Wenn es keine benutzerdefinierte service/execution Lambda-Rolle gibt, erstellt AMS eine neue Rolle mit dem Namen`customer_code_pipeline_lambda_execution_role`, bei der es sich um eine Kopie von `customer_lambda_basic_execution_role` zusammen mit `customer_code_pipeline_lambda_policy` handelt.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung CodePipeline in meinem AMS-Konto?**
AWS unterstützte Dienste AWS CodeCommit AWS CodeDeploy müssen vor oder zusammen mit dem Start von gestartet werden CodePipeline. AWS CodeBuild
# Verwenden Sie AMS SSP zur Bereitstellung AWS Compute Optimizer in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Compute Optimizer Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Compute Optimizer empfiehlt optimale AWS Rechenressourcen für Ihre Workloads, um Kosten zu senken und die Leistung zu verbessern, indem maschinelles Lernen zur Analyse historischer Nutzungskennzahlen verwendet wird. Eine übermäßige Bereitstellung von Rechenleistung (Amazon EC2 und ASGs) kann zu unnötigen Infrastrukturkosten führen, und eine unzureichende Bereitstellung von Rechenleistung kann zu einer schlechten Anwendungsleistung führen. Compute Optimizer hilft Ihnen bei der Auswahl der optimalen Amazon EC2-Instance-Typen, einschließlich derer, die Teil einer Amazon EC2 Auto Scaling-Gruppe sind, basierend auf Ihren Nutzungsdaten. Weitere Informationen hierzu finden Sie unter [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/).
## Häufig gestellte Fragen zu Compute Optimizer in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Compute Optimizer in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_compute_optimizer_readonly_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Verwendung von Compute Optimizer in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von AWS Compute Optimizer ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Compute Optimizer in meinem AMS-Konto?**
+ Sie müssen einen RFC (Management \$1 Other \$1 Other \$1 Update) einreichen, mit dem AMS Ops autorisiert wird, den Dienst im Konto zu aktivieren. Während der Bereitstellung wird eine Service Linked Role (SLR) erstellt, um die Erfassung von Metriken und die Generierung von Berichten zu ermöglichen. Die Spiegelreflexkamera trägt die Bezeichnung "“ AWSServiceRoleForComputeOptimizer. Weitere Informationen finden Sie unter [Verwenden von dienstverknüpften Rollen](https://docs.aws.amazon.com/compute-optimizer/latest/ug/using-service-linked-roles.html) für AWS Compute Optimizer
+ CloudWatch Metriken müssen für die folgenden Metriken aktiviert sein:
+ **CPU-Auslastung**: Der Prozentsatz der zugewiesenen Amazon EC2 EC2-Recheneinheiten, die auf der Instance verwendet werden. Diese Metrik identifiziert die Rechenleistung, die erforderlich ist, um eine Anwendung auf einer ausgewählten Instance auszuführen.
+ **Speicherauslastung**: Die Speichermenge, die während des Probenahmezeitraums auf irgendeine Weise genutzt wurde. Diese Metrik identifiziert den Arbeitsspeicher, der für die Ausführung einer Anwendung auf einer ausgewählten Instanz erforderlich ist. Die Speicherauslastung wird nur für Ressourcen analysiert, auf denen der Unified CloudWatch Agent installiert ist. Weitere Informationen finden Sie unter Aktivieren der Speicherauslastung mit dem CloudWatch Agenten (S. 10).
+ **Netzwerkeingang**: Die Anzahl der Byte, die von der Instance auf allen Netzwerkschnittstellen empfangen wurden. Diese Metrik identifiziert das Volumen des eingehenden Netzwerkverkehrs zu einer einzelnen Instance.
+ **Netzwerkausgang**: Die Anzahl der Byte, die von der Instance an alle Netzwerkschnittstellen gesendet wurden. Diese Metrik identifiziert das Volumen des ausgehenden Netzwerkverkehrs von einer einzelnen Instance.
+ **Lokales Laufwerk input/output (I/O)**: Die Anzahl der input/output Operationen für das lokale Laufwerk. Diese Metrik identifiziert die Leistung des Root-Volumes einer Instance
# Verwenden Sie AMS SSP zur Bereitstellung AWS DataSync in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS DataSync Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS DataSync verschiebt große Datenmengen online zwischen lokalem Speicher und Amazon S3, Amazon Elastic File System (Amazon Elastic File System) oder Amazon FSx. Manuelle Aufgaben im Zusammenhang mit Datenübertragungen können Migrationen verlangsamen und den IT-Betrieb belasten. DataSync macht viele dieser Aufgaben überflüssig oder erledigt sie automatisch, darunter die Erstellung von Skripten für Kopieraufträge, die Planung und Überwachung von Übertragungen, die Validierung von Daten und die Optimierung der Netzwerkauslastung. Der DataSync Software-Agent stellt eine Verbindung zu Ihrem Network File System (NFS) und Server Message Block (SMB) -Speicher her, sodass Sie Ihre Anwendungen nicht ändern müssen. DataSync kann Hunderte von Terabyte und Millionen von Dateien mit Geschwindigkeiten übertragen, die bis zu zehnmal schneller sind als Open-Source-Tools, über das Internet oder über Links. AWS Direct Connect Sie können DataSync damit aktive Datensätze oder Archive in die Cloud migrieren AWS, Daten zur zeitnahen Analyse und Verarbeitung in die Cloud übertragen oder Daten replizieren, um die Geschäftskontinuität zu AWS gewährleisten.
Weitere Informationen hierzu finden Sie unter [AWS DataSync](https://aws.amazon.com/datasync/).
## DataSync in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf DataSync in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_datasync_console_role` Konto die folgende IAM-Rolle zur Verfügung:.
Nach der Bereitstellung in Ihrem Konto müssen Sie die Rollen in Ihre Verbundlösung integrieren.
Die CloudWatch Protokollgruppe, die zum Streamen von Aufgabenprotokollen verwendet werden soll, ist „/aws/datasync“.
**F: Welche Einschränkungen gelten für die Nutzung DataSync in meinem AMS-Konto?**
Die volle Funktionalität von AWS DataSync ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung DataSync in meinem AMS-Konto?**
+ Amazon S3 ARNs (Amazon Resource Names) sind für alle S3-Buckets erforderlich, die mit DataSync Aufgaben verknüpft sind, die mithilfe der DataSync Service-Rolle `customer_datasync_service_role` ausgeführt werden.
+ VPC-Endpunkte und Sicherheitsgruppen für DataSync Agenten müssen mit einem RFC mit dem Änderungstyp Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) angefordert werden, bevor VPC-Endpoints verwendet werden können.
+ AWS DataSync Agenten werden in AMS als Appliance ausgeführt. Der AWS DataSync Agent wird vom Service gepatcht und aktualisiert. Einzelheiten finden Sie in den [AWS DataSync häufig gestellten Fragen](https://aws.amazon.com/datasync/faqs/).
+ Um einen AWS DataSync Agenten zu starten, reichen Sie einen RFC mit dem Änderungstyp Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) ein und fordern Sie die Bereitstellung des Agenten an. Geben Sie die AWS DataSync Amazon EC2 EC2-AMI-ID, den Instance-Typ, das Subnetz und die Sicherheitsgruppe an und verweisen Sie entweder auf ein vorhandenes Amazon EC2 EC2-Schlüsselpaar oder fordern Sie die Erstellung eines neuen Schlüsselpaars an.
**Anmerkung**
AMS stellt den AWS DataSync Agenten manuell im Namen des Kunden bereit und benötigt den WIGS-Aufnahmeprozess auf dem AWS DataSync Amazon EC2 EC2-AMI nicht.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Device Farm in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Device Farm Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Device Farm ist ein Service zum Testen von Anwendungen, mit dem Sie die Qualität Ihrer Web- und mobilen Apps verbessern können, indem Sie sie mit einer Vielzahl von Desktop-Browsern und echten Mobilgeräten testen, ohne eine Testinfrastruktur bereitstellen und verwalten zu müssen. Der Service ermöglicht es Ihnen, Ihre Tests gleichzeitig auf mehreren Desktop-Browsern oder realen Geräten auszuführen, um die Ausführung Ihrer Testsuite zu beschleunigen, und generiert Videos und Protokolle, mit denen Sie Probleme mit Ihrer App schnell identifizieren können.
Weitere Informationen hierzu finden Sie unter [AWS Device Farm](https://aws.amazon.com/device-farm/).
## AWS Device Farm in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf AWS Device Farm in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_devicefarm_role` Konto die folgende IAM-Rolle zur Verfügung:.
Nach der Bereitstellung in Ihrem Konto müssen Sie die Rollen in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Device Farm in meinem AMS-Konto?**
Vollzugriff auf den AWS Device Farm Service ist möglich, mit Ausnahme der Verwendung des AMS-Namespace im Tag „Name“.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Device Farm in meinem AMS-Konto?**
Keine.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Elastic Disaster Recovery in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Elastic Disaster Recovery Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Elastic Disaster Recovery minimiert Ausfallzeiten und Datenverluste durch schnelle, zuverlässige Wiederherstellung von lokalen und cloudbasierten Anwendungen mit erschwinglichem Speicher, minimalem Rechenaufwand und minimaler Wiederherstellung. point-in-time Sie können die IT-Resilienz erhöhen, wenn Sie AWS Elastic Disaster Recovery lokale oder cloudbasierte Anwendungen replizieren, die auf unterstützten Betriebssystemen ausgeführt werden. Verwenden Sie den AWS-Managementkonsole , um Replikations- und Starteinstellungen zu konfigurieren, die Datenreplikation zu überwachen und Instanzen für Drills oder Recovery zu starten.
Weitere Informationen hierzu finden Sie unter [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/).
## AWS Elastic Disaster Recovery in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf AWS Elastic Disaster Recovery in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_drs_console_role` Konto die folgende IAM-Rolle zur Verfügung:.
Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Elastic Disaster Recovery in meinem AMS-Konto?**
Es gibt keine Einschränkungen für die Nutzung AWS Elastic Disaster Recovery in Ihrem AMS-Konto.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Elastic Disaster Recovery in meinem AMS-Konto?**
+ Nachdem Sie Zugriff auf die Konsolenrolle haben, müssen Sie den Elastic Disaster Recovery-Dienst initialisieren, um die erforderlichen IAM-Rollen innerhalb des Kontos zu erstellen.
+ Sie müssen den Änderungstyp Verwaltung \$1 Anwendungen \$1 IAM-Instanzprofil \$1 Create (Managed Automation) Change Type ct-0ixp4ch2tiu04 RFC einreichen, um einen Klon des Instanzprofils zu erstellen und die Richtlinie anzuhängen. `customer-mc-ec2-instance-profile` `AWSElasticDisasterRecoveryEc2InstancePolicy` Sie müssen angeben, an welche Maschinen die neue Richtlinie angehängt werden soll.
+ Wenn die Instanz nicht das Standard-Instanzprofil verwendet, kann AMS die Verbindung `AWSElasticDisasterRecoveryEc2InstancePolicy` durch Automatisierung herstellen.
+ Für die kontoübergreifende Wiederherstellung müssen Sie einen kundeneigenen KMS-Schlüssel verwenden. Der KMS-Schlüssel des Quellkontos muss gemäß der Richtlinie aktualisiert werden, um den Zugriff auf das Zielkonto zu ermöglichen. Weitere Informationen finden Sie unter [Teilen des EBS-Verschlüsselungsschlüssels mit dem Zielkonto](https://docs.aws.amazon.com/drs/latest/userguide/multi-account.html#multi-account-ebs).
+ Die KMS-Schlüsselrichtlinie muss aktualisiert werden, damit der `customer_drs_console_role` Benutzer die Richtlinie einsehen kann, wenn Sie nicht zwischen den Rollen wechseln möchten.
+ Für die konto- und regionsübergreifende Notfallwiederherstellung muss AMS das Quell [- und das Zielkonto als vertrauenswürdige Konten einrichten und die Rollen Failback und In-Right-Sizing über bereitstellen AWS .](https://docs.aws.amazon.com/drs/latest/userguide/trusted-accounts-failback-role.html) CloudFormation
# Verwenden Sie AMS SSP zur Bereitstellung AWS Elemental MediaConvert in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Elemental MediaConvert Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Elemental MediaConvert ist ein dateibasierter Videotranskodierungsdienst mit Funktionen in Broadcast-Qualität. Damit können Sie video-on-demand (VOD) -Inhalte für die Übertragung und die Übertragung auf mehreren Bildschirmen in großem Maßstab erstellen. Der Service kombiniert erweiterte Video- und Audiofunktionen mit einer einfachen Webservice-Oberfläche und pay-as-you-go Preisgestaltung. Mit AWS Elemental MediaConvert können Sie sich auf die Bereitstellung überzeugender Medienerlebnisse konzentrieren, ohne sich Gedanken über die Komplexität des Aufbaus und Betriebs Ihrer eigenen Videoverarbeitungsinfrastruktur machen zu müssen.
Weitere Informationen hierzu finden Sie unter [AWS Elemental MediaConvert](https://aws.amazon.com/mediaconvert/).
## MediaConvert in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf MediaConvert in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_mediaconvert_author_role` Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
Es wird eine zweite Rolle bereitgestellt`customer_MediaConvert_Default_Role`, die von verwendet wird, um aus dem S3-Quell-Bucket zu lesen und die Ausgabe MediaConvert in den S3-Ziel-Bucket zu schreiben sowie das API-Gateway aufzurufen, falls Sie Digital Rights Management (DRM) benötigen.
**F: Welche Einschränkungen gelten für die Nutzung MediaConvert in meinem AMS-Konto?**
Es gibt keine Einschränkungen für die Verwendung von MediaConvert in AMS.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung MediaConvert in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung MediaConvert in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Elemental MediaLive in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Elemental MediaLive Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Elemental MediaLive ist ein Dienst zur Live-Videoverarbeitung in Rundfunkqualität. Damit können Sie hochwertige Videostreams für die Übertragung auf Fernsehgeräten und mit dem Internet verbundene Multiscreen-Geräte wie Tablets TVs, Smartphones und Set-Top-Boxen erstellen. Der Dienst kodiert Ihre Live-Videostreams in Echtzeit, verwendet eine größere Live-Videoquelle und komprimiert sie in kleinere Versionen, um sie an Ihre Zuschauer zu verteilen. Mit AWS Elemental MediaLive können Sie ganz einfach Streams sowohl für Live-Events als auch für Rund-um-die-Uhr-Kanäle mit erweiterten Übertragungsfunktionen, hoher Verfügbarkeit und Preisgestaltung einrichten. pay-as-you-go AWS Elemental MediaLive ermöglicht es Ihnen, sich darauf zu konzentrieren, überzeugende Live-Videoerlebnisse für Ihre Zuschauer zu schaffen, ohne die Komplexität des Aufbaus und Betriebs einer Videoverarbeitungsinfrastruktur in Sendequalität.
Weitere Informationen hierzu finden Sie unter [AWS Elemental MediaLive](https://aws.amazon.com/medialive/).
## MediaLive in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf MediaLive in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_medialive_author_role` Konto die folgende IAM-Rolle zur Verfügung:.
Im Rahmen dieses RFC wird Ihrem Konto eine zweite Rolle zugewiesen. Diese `customer_medialive_service_role` Rolle kann Ihren Media Live-Kanälen und Eingaben zugewiesen werden, um mit anderen Diensten wie Amazon S3 und CloudWatch Logs zu interagieren. MediaStore
Nachdem die Rollen in Ihrem Konto bereitgestellt wurden, müssen Sie die Rollen in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung MediaLive in meinem AMS-Konto?**
Es gibt keine Einschränkungen für die Verwendung von MediaLive in AMS.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung MediaLive in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung MediaLive in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Elemental MediaPackage in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Elemental MediaPackage Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Elemental MediaPackage bereitet Ihr Video zuverlässig für die Übertragung über das Internet vor und schützt es. AWS Elemental MediaPackage Erstellt aus einem einzigen Videoeingang Videostreams, die für die Wiedergabe auf verbundenen Mobiltelefonen TVs, Computern, Tablets und Spielekonsolen formatiert sind. Es macht es einfach, beliebte Videofunktionen für Zuschauer (Start, Pause, Rücklauf usw.) zu implementieren, wie sie häufig auf zu finden sind. DVRs AWS Elemental MediaPackage kann Ihre Inhalte auch mithilfe von Digital Rights Management (DRM) schützen. AWS Elemental MediaPackage skaliert automatisch als Reaktion auf die Auslastung, sodass Ihre Zuschauer immer ein großartiges Erlebnis haben, ohne dass Sie im Voraus genau vorhersagen müssen, welche Kapazität Sie benötigen.
Weitere Informationen hierzu finden Sie unter [AWS Elemental MediaPackage](https://aws.amazon.com/mediapackage/).
## MediaPackage in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf AWS Elemental MediaPackage in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_mediapackage_author_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
Eine zweite Rolle wird bereitgestellt`customer_mediapackage_service_role`, die Ihren Media Live-Kanälen und -Eingängen zugewiesen werden kann, um mit anderen Diensten wie S3 und Secrets Manager zu interagieren.
**F: Welche Einschränkungen gelten für die Nutzung MediaPackage in meinem AMS-Konto?**
Es gibt keine Einschränkungen für die Verwendung von MediaPackage in AMS.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung MediaPackage in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung MediaPackage in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Elemental MediaStore in Ihrem AMS-Konto
**Anmerkung**
AWS Hat nach reiflicher Überlegung die Entscheidung getroffen MediaStore, das Unternehmen mit Wirkung zum 13. November 2025 einzustellen. Wenn Sie ein aktiver Kunde von sind MediaStore, können Sie den Service bis zum 13. November 2025 MediaStore wie gewohnt nutzen. Dann endet der Support für den Service. Nach diesem Datum können Sie keine der Funktionen dieses Dienstes mehr nutzen MediaStore .
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Elemental MediaStore Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Elemental MediaStore ist ein für Medien optimierter AWS Speicherdienst. Er bietet Ihnen die Leistung, Konsistenz und geringe Latenz, die für die Bereitstellung von Live-Streaming-Videoinhalten erforderlich sind. AWS Elemental MediaStore fungiert als Ursprungsspeicher in Ihrem Video-Workflow. Seine hohen Leistungsfähigkeiten erfüllen die Anforderungen der anspruchsvollsten Workloads für die Medienbereitstellung in Kombination mit langfristiger, kostengünstiger Speicherung. Weitere Informationen hierzu finden Sie unter [AWS Elemental MediaStore](https://aws.amazon.com/mediastore/).
## MediaStore in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf MediaStore in meinem AMS-Konto?**
Beantragen Sie den Zugriff auf, MediaStore indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_mediastore_author_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Als Teil dieses RFC wird eine zweite Rolle in Ihrem Konto bereitgestellt, eine `MediaStoreAccessLogs` Rolle, die vom MediaStore Dienst zur Anmeldung von Aktivitäten verwendet wird CloudWatch, sofern Sie diese Funktion aktivieren. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rollen in Ihre Verbundlösung integrieren.
Zu diesem Zeitpunkt wird AMS Operations diese Servicerolle auch in Ihrem Konto bereitstellen:`aws_code_pipeline_service_role_policy`.
**F: Welche Einschränkungen gelten für die Nutzung MediaStore in meinem AMS-Konto?**
Es gibt keine Einschränkungen für die Verwendung von MediaStore in AMS.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung MediaStore in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung MediaStore in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Elemental MediaTailor in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Elemental MediaTailor Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Elemental MediaTailor ermöglicht es Videoanbietern, individuell zugeschnittene Werbung in ihre Videostreams einzufügen, ohne dabei Abstriche bei der Übertragungsqualität machen zu müssen. quality-of-service Mit AWS Elemental MediaTailor erhalten die Zuschauer Ihres Live- oder On-Demand-Videos jeweils einen Stream, der Ihre Inhalte mit auf sie personalisierten Anzeigen kombiniert. Im Gegensatz zu anderen personalisierten Werbelösungen wird AWS Elemental MediaTailor Ihr gesamter Stream — Video und Werbung — jedoch in sendegerechter Videoqualität geliefert, um das Erlebnis für Ihre Zuschauer zu verbessern. AWS Elemental MediaTailor bietet automatisierte Berichte, die sowohl auf kunden- als auch auf serverseitigen Kennzahlen zur Anzeigenbereitstellung basieren, um Werbeimpressionen und Zuschauerverhalten genau zu messen. Sie können unerwartete, stark nachgefragte Zuschauerereignisse ganz einfach monetarisieren, ohne dass Vorabkosten anfallen. AWS Elemental MediaTailor Es verbessert auch die Anzeigenbereitstellungsraten, sodass Sie mit jedem Video mehr Geld verdienen können, und es funktioniert mit einer Vielzahl von Netzwerken zur Inhaltsbereitstellung, Anzeigenentscheidungsservern und Client-Geräten.
Weitere Informationen hierzu finden Sie unter [AWS Elemental MediaTailor](https://aws.amazon.com/mediatailor/).
## MediaTailor in häufig gestellten Fragen zu AWS Managed Services
**F: Wie beantrage ich Zugriff auf MediaTailor in meinem AMS-Konto?**
Beantragen Sie den Zugriff auf, MediaTailor indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer-mediatailor-role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung MediaTailor in meinem AMS-Konto?**
Es gibt keine Einschränkungen für die Verwendung von MediaTailor in AMS.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung MediaTailor in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung MediaTailor in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Global Accelerator in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf die Funktionen von Global Accelerator zuzugreifen. Global Accelerator ist ein Service auf Netzwerkebene, mit dem Sie Beschleuniger erstellen, um die Verfügbarkeit und Leistung von Internetanwendungen zu verbessern, die von einem globalen Publikum verwendet werden. Weitere Informationen finden Sie unter [Global Accelerator](https://aws.amazon.com/global-accelerator/).
## Häufig gestellte Fragen zu Global Accelerator in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich die Einrichtung von Global Accelerator in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den AWS Services-RFC (Management \$1 AWS Service \$1 Self-Provisioned Service) einreichen. Über diesen RFC werden die folgenden IAM-Rollen in Ihrem Konto bereitgestellt:. `customer_global_accelerator_console_role` Nach der Bereitstellung in Ihrem Konto müssen Sie die Konsolenrolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Global Accelerator in meinem AMS-Konto?**
Global Accelerator ist ein globaler Service, der Endgeräte in mehreren AWS Regionen unterstützt, die in der [AWS Regionentabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) aufgeführt sind.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von Global Accelerator in meinem AMS-Konto?**
Wenn Sie Ihren Accelerator mit Global Accelerator einrichten, ordnen Sie die statischen IP-Adressen regionalen Endpunkten in einer oder mehreren AWS Regionen zu. Bei Standardbeschleunigern sind die Endpunkte Network Load Balancers, Application Load Balancers, EC2 Amazon-Instances oder Elastic IP-Adressen. Bei benutzerdefinierten Routing-Beschleunigern sind Endpunkte Virtual Private Cloud (VPC) -Subnetze mit einer oder mehreren Instanzen. EC2
# Verwenden Sie AMS SSP zur Bereitstellung AWS Glue in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Glue Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Glue ist ein vollständig verwalteter ETL-Service (Extrahieren, Transformieren und Laden), mit dem Sie Ihre Daten für Analysen vorbereiten und laden können. Sie können einen ETL-Job mit ein paar Klicks in der erstellen und ausführen AWS-Managementkonsole. Sie zeigen AWS Glue auf Ihre Daten, die auf gespeichert sind AWS, AWS Glue und entdecken Ihre Daten und speichern die zugehörigen Metadaten (z. B. Tabellendefinition und Schema) im AWS Glue Data Catalog. Nach der Katalogisierung sind Ihre Daten sofort durchsuchbar, abfragbar und für ETL-Aktionen verfügbar. Weitere Informationen hierzu finden Sie unter [AWS Glue](https://aws.amazon.com/glue/).
## AWS Glue in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich AWS Glue die Einrichtung in meinem AMS-Konto?**
Beantragen Sie den Zugriff auf, AWS Glue indem Sie einen RFC mit dem Management \$1 AWS-Service \$1 Selbstbereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen zur Verfügung:
+ `customer_glue_console_role`
+ `customer_glue_service_role`
Zu den vorherigen Rollen gehören die folgenden beigefügten Richtlinien:
+ `customer_glue_secrets_manager_policy`
+ `customer_glue_deny_policy`
Nachdem die Rollen in Ihrem Konto bereitgestellt wurden, müssen Sie sie in Ihre Verbundlösung integrieren.
Für den Zugriff auf Crawler-, Jobs- und Entwicklungsendpunkte (Rollen, die für bestimmte Anwendungsfälle benötigt werden), reichen Sie einen RFC mit Deployment \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 Entität oder Richtlinie erstellen (ct-3dpd8mdd9jn1r) ein.
**F: Welche Einschränkungen gelten für die Nutzung in meinem AMS-Konto? AWS Glue **
Es gibt keine Einschränkungen. Die volle Funktionalität von AWS Glue ist in Ihrem AMS-Konto verfügbar. Für eine interaktive Umgebung, in der Sie ETL-Skripts erstellen und testen können, verwenden Sie Notebooks on AWS Glue Studio. AWS Glue Interaktive Sitzungen und Job Notebooks sind serverlose Funktionen AWS Glue , die Sie in der AWS Glue Servicerolle verwenden können AWS Glue und die diese nutzen.
**AWS Glue vor 2.0:** AWS Glue Notebooks sind eine nicht verwaltete Ressource, die EC2 Amazon-Instances in einem Konto startet. Es hat sich bewährt, Ihre eigenen EC2 Amazon-Instances zu starten und die Software zu installieren, die zur Unterstützung einer Notebook-Umgebung und -Entwicklung erforderlich ist. Weitere Informationen finden Sie unter [Tutorial: Einrichten eines lokalen Apache Zeppelin-Notebooks zum Testen und Debuggen von ETL-Skripts und [Verwenden von Entwicklungsendpunkten für die Entwicklung von](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html) Skripts](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint-tutorial-local-notebook.html).
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Glue in meinem AMS-Konto?**
AWS Glue ist von Amazon S3, CloudWatch, und CloudWatch Logs abhängig. Transitive Abhängigkeiten variieren je nach Datenquelle, und andere AWS Glue Servicefunktionen können miteinander interagieren (Beispiel: Amazon Redshift, Amazon RDS, Athena).
# Verwenden Sie AMS SSP zur Bereitstellung AWS Lake Formation in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Lake Formation Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Lake Formation ist ein Service, der es einfach macht, innerhalb weniger Tage einen sicheren Data Lake einzurichten. Ein Data Lake ist ein zentralisiertes, kuratiertes und gesichertes Repository, in dem alle Ihre Daten gespeichert werden, sowohl in seiner ursprünglichen Form als auch für die Analyse vorbereitet. Mit einem Data Lake können Sie Datensilos aufschlüsseln und verschiedene Arten von Analysen kombinieren, um Erkenntnisse zu gewinnen und bessere Geschäftsentscheidungen zu leiten.
Das Erstellen eines Data Lake mit Lake Formation ist so einfach wie das Definieren von Datenquellen und die Datenzugriffs- und Sicherheitsrichtlinien, die Sie anwenden möchten. Lake Formation hilft Ihnen dann, Daten aus Datenbanken und Objektspeicher zu sammeln und zu katalogisieren, die Daten in Ihren neuen Amazon S3-Data Lake zu verschieben, Ihre Daten mithilfe von Algorithmen für Machine Learning zu bereinigen und zu klassifizieren und den sicheren Zugriff auf Ihre sensiblen Daten zu sichern. Ihre Benutzer können auf einen zentralen Datenkatalog zugreifen (Einzelheiten finden Sie in den [AWS Glue häufig gestellten Fragen](https://aws.amazon.com/glue/faqs/#AWS_Glue_Data_Catalog/)), in dem die verfügbaren Datensätze und ihre entsprechende Verwendung beschrieben werden. Ihre Benutzer nutzen diese Datensätze dann mit Analyse- und Machine-Learning-Diensten ihrer Wahl, wie [Amazon Redshift, Amazon](https://aws.amazon.com/redshift/) [Athena](https://aws.amazon.com/athena/) und (in der Betaversion) [Amazon EMR](https://aws.amazon.com/emr/) für Apache Spark. Lake Formation baut auf den Funktionen auf, die in verfügbar sind [AWS Glue](https://aws.amazon.com/glue/).
Weitere Informationen hierzu finden Sie unter [AWS Lake Formation](https://aws.amazon.com/lake-formation/).
## Häufig gestellte Fragen zu Lake Formation in AWS Managed Services
**F: Wie beantrage ich Zugriff auf AWS Lake Formation in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_lakeformation_data_analyst_role` Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rollen in Ihre Verbundlösung integrieren.
Darüber hinaus sind die folgenden zwei Rollen optional:
+ `customer_lakeformation_admin_role`
+ `customer_lakeformation_workflow_role`
Bei Administratorberechtigungen können Sie wählen, ob Sie die Rolle `customer_lakeformation_admin_role` als Teil desselben SSPS-Änderungstyps (ct-3qe6io8t6jtny) integrieren möchten.
Wenn Sie Blueprints in der AWS Lake Formation Konsole erstellen möchten, müssen Sie einen Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) einreichen und explizit hinzufügen, um den bereitzustellen. `customer_lakeformation_workflow_role` Im RFC müssen Sie den S3-Bucket-Namen angeben, wenn der Bucket bei der Erstellung von Blueprints eine Quelle ist. Der S3-Bucket ist anwendbar AWS CloudTrail, wenn der Blueprint-Typ Classic Load Balancer Logs oder Application Load Balancer Logs ist.
**F: Welche Einschränkungen gelten für die Nutzung AWS Lake Formation in meinem AMS-Konto?**
Die volle Funktionalität von Lake Formation ist in AMS verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Lake Formation in meinem AMS-Konto?**
Lake Formation ist in den AWS Glue Dienst integriert, sodass AWS Glue Benutzer nur auf die Datenbanken und Tabellen zugreifen können, für die sie Lake Formation Formation-Berechtigungen haben. Darüber hinaus können AWS Athena- und Amazon Redshift Redshift-Benutzer nur die AWS Glue Datenbanken und Tabellen abfragen, für die sie Lake Formation Formation-Berechtigungen haben.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Lambda in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Lambda Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Lambda ermöglicht es Ihnen, Code auszuführen, ohne Server bereitzustellen oder zu verwalten. Sie zahlen nur für die Rechenzeit, die Sie verbrauchen. Es fallen keine Gebühren an, wenn Ihr Code nicht ausgeführt wird. Mit Lambda können Sie Code für praktisch jede Art von Anwendung oder Back-End-Dienst ausführen, und das alles ohne Verwaltungsaufwand. Laden Sie Ihren Code hoch und Lambda kümmert sich um alles, was für die Ausführung und Skalierung Ihres Codes mit hoher Verfügbarkeit erforderlich ist. Sie können Ihren Code so einrichten, dass er automatisch von anderen AWS Diensten ausgelöst wird, oder ihn direkt von einer beliebigen Web- oder mobilen App aus aufrufen. Weitere Informationen hierzu finden Sie unter [AWS Lambda](https://aws.amazon.com/lambda/).
## Häufig gestellte Fragen zu Lambda in AWS Managed Services
**F: Wie beantrage ich Zugriff auf AWS Lambda in meinem AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Selbst bereitgestellter Service \$1 (verwaltete Automatisierung) hinzufügen (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_lambda_admin_role` Konto `customer_lambda_basic_execution_role` die folgenden IAM-Rollen zur Verfügung: und. Nachdem es in Ihrem Konto bereitgestellt wurde, müssen Sie die Rollen in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Lambda in meinem AMS-Konto?**
+ Eine Lambda-Funktion ist so konzipiert, dass sie von Ereignisquellen aufgerufen wird. Eine Liste der Dienste, die als Lambda-Ereignisquelle verwendet werden können, finden Sie unter [AWS Lambda Mit anderen Diensten verwenden](https://docs.aws.amazon.com/lambda/latest/dg/lambda-services.html). Derzeit sind nicht alle diese Dienste in AMS-Konten verfügbar. Wenn Sie einen Dienst benötigen, der nicht verfügbar ist, arbeiten Sie mit Ihrem AMS CSDM zusammen, um eine Ausnahme einzureichen.
+ Standardmäßig stellt Ihnen AMS eine grundlegende Lambda-Initiierungsrolle zur Verfügung, die die `AWSXrayWriteOnlyAccess` Berechtigungen `AWSLambdaBasicExecutionRole` und enthält. Weitere Informationen finden Sie unter [AWS Lambda Initiation Role](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html). Wenn Sie zusätzliche Berechtigungen benötigen, z. B. die Möglichkeit, Lambda-Funktionen in Ihrer AMS-VPC bereitzustellen, reichen Sie einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) ein.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung in meinem AMS-Konto? AWS Lambda **
Für den Einstieg gibt es keine Voraussetzungen oder Abhängigkeiten. Abhängig von Ihrem spezifischen Anwendungsfall benötigen Sie jedoch möglicherweise Zugriff auf andere AWS Dienste, um Ereignisquellen zu erstellen, oder zusätzliche Berechtigungen für Ihre Funktion, um verschiedene Aktionen auszuführen. AWS Lambda Wenn zusätzliche Berechtigungen erforderlich sind, reichen Sie einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (managed automation) ein (ct-3qe6io8t6jtny).
**F: Was muss ich tun, um eine Lambda-Funktion in einem meiner Konten auszuführen?**
Verwenden Sie die folgenden Richtlinien, um eine Lambda-Funktion in einem Core-Konto bereitzustellen:
+ Stellen Sie sicher, dass SSPS for AWS Lambda integriert ist.
+ Es gibt keine spezifischen Einschränkungen, die diese Bereitstellung im Rahmen der AMS-Verantwortlichkeiten verbieten, solange Ihre AMS-Ressourcen geschützt und gesetzeskonform sind.
+ Wenn Sie möchten, dass AMS die Lambda-Funktion erstellt, müssen Sie zuerst die dafür vorgesehene SSPS-Rolle verwenden. AWS Lambda Wenn Sie dann weiterhin AMS-Unterstützung bei der Bereitstellung oder Unterstützung der Funktion benötigen, wenden Sie sich an Ihre Zertifizierungsstelle und starten Sie den Out-of-Scope-Prozess (OOS).
# Verwenden Sie AMS SSP zur Bereitstellung AWS License Manager in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS License Manager Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS License Manager lässt sich in AWS Services integrieren, um die Verwaltung von Lizenzen für mehrere AWS Konten, IT-Kataloge und lokale Lizenzen über ein einziges Konto zu vereinfachen. AWS AWS License Manager ermöglicht es Administratoren, benutzerdefinierte Lizenzregeln zu erstellen, die die Bedingungen ihrer Lizenzvereinbarungen emulieren, und setzt diese Regeln dann durch, wenn eine Amazon-Instance gestartet EC2 wird. Mit diesen Regeln können Sie Lizenzverstöße einschränken, indem Sie den Start der Instance physisch unterbinden oder Administratoren über den Verstoß informieren. AWS License Manager Weitere Informationen hierzu finden Sie unter [AWS License Manager](https://aws.amazon.com/license-manager/).
## Häufig gestellte Fragen zum License Manager in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich AWS License Manager die Einrichtung in meinem AMS-Konto?**
Beantragen Sie Zugriff auf, AWS License Manager indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_license_manager_role` Konto die folgende IAM-Rolle zur Verfügung:. Sobald die IAM-Rolle License Manager in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS License Manager in meinem AMS-Konto?**
Sie können AWS License Manager Regeln mit Ihren eigenen verknüpfen (gefiltert unter „Mein Eigentum“). AMIs Wenn Sie sich dafür entscheiden, eine Limit-Zuordnung zu einem AMI zu erzwingen (Beispiel: kann nur 100 vCPUs dieses AMI unterstützen) und das Limit ausschöpfen, werden future Starts mit diesem AMI blockiert und es wird die Fehlermeldung „Keine Lizenzen verfügbar“ zurückgegeben. Dies ist das beabsichtigte Verhalten dieses Dienstes (die Lizenzerschöpfung wird nicht zugelassen). Falls Sie das Limit ausgeschöpft haben, das AMI aber erneut starten müssen, müssen Sie die in konfigurierte Regel ändern AWS License Manager.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS License Manager in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung AWS License Manager in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Migration Hub in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Migration Hub Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Migration Hub bietet einen zentralen Ort, an dem Sie den Fortschritt der Anwendungsmigrationen für mehrere Lösungen und Partnerlösungen verfolgen können. AWS Mithilfe von Migration Hub können Sie die Migrationstools AWS und Partner-Migrationstools auswählen, die Ihren Anforderungen am besten entsprechen, und gleichzeitig einen Überblick über den Status der Migrationen in Ihrem gesamten Anwendungsportfolio erhalten. Migration Hub bietet auch wichtige Kennzahlen und Fortschritte für einzelne Anwendungen, unabhängig davon, welche Tools für die Migration verwendet werden. Auf diese Weise können Sie schnell über den Fortschritt all Ihrer Migrationen informiert werden, Probleme einfach identifizieren und beheben und den Gesamtzeit- und Arbeitsaufwand für Ihre Migrationsprojekte reduzieren. Weitere Informationen hierzu finden Sie unter [AWS Migration Hub](https://aws.amazon.com/migration-hub/).
## Häufig gestellte Fragen zu Migration Hub in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Migration Hub in meinem AMS-Konto?**
Fordern Sie Zugriff auf Migration Hub an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_migrationhub_author_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen für Migration Hub?**
Keine.
**F: Was sind die Voraussetzungen für die Aktivierung von Migration Hub?**
Es gibt keine Voraussetzungen, um mit der Nutzung von Migration Hub in Ihrem AMS-Konto zu beginnen. Während der Verwaltung des Service sind jedoch möglicherweise Berechtigungen außerhalb von Migration Hub erforderlich, z. B. Schreibberechtigungen für Amazon S3 zum Hochladen von Serverinformationen.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Outposts in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Outposts Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Outposts ist ein vollständig verwalteter Service, der AWS Infrastruktur, AWS Dienste und Tools auf praktisch jedes Rechenzentrum APIs, jeden Colocation-Bereich oder jede lokale Einrichtung ausdehnt und so für ein einheitliches Hybrid-Erlebnis sorgt. AWS Outposts eignet sich gut für Workloads, die einen Zugriff auf lokale Systeme mit geringer Latenz, lokale Datenverarbeitung oder lokalen Datenspeicher erfordern. Weitere Informationen hierzu finden Sie unter [AWS Outposts](https://aws.amazon.com/outposts/).
## AWS Outposts in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich AWS Outposts die Einrichtung in meinem AMS-Konto?**
Beantragen Sie Zugriff auf, AWS Outposts indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_outposts_role` Konto die folgende IAM-Rolle zur Verfügung:. Sobald die Rolle in Ihrem Konto bereitgestellt wurde, müssen Sie sie in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Outposts in meinem AMS-Konto?**
Es gibt keine Einschränkungen für die Verwendung AWS Outposts in Ihrem AMS-Konto.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Outposts in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Outposts in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Resilience Hub in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Resilience Hub Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Resilience Hub hilft Ihnen dabei, Ihre AWS Anwendungen proaktiv vorzubereiten und vor Störungen zu schützen. Der Resilience Hub bietet Resilienzbeurteilungen und -validierungen, die in Ihren Softwareentwicklungszyklus integriert werden können, um Schwachstellen bei der Ausfallsicherheit aufzudecken. Resilience Hub hilft Ihnen bei der Einschätzung, ob Ihre Anwendungen die Ziele für die Wiederherstellungszeit (RTO) und die Zielvorgaben für den Wiederherstellungspunkt (Recovery Point Objective, RPO) erfüllen können, und hilft Ihnen, Probleme zu lösen, bevor sie in Betrieb genommen werden. Nachdem Sie eine AWS Anwendung in der Produktion bereitgestellt haben, können Sie Resilience Hub verwenden, um die Ausfallsicherheit Ihrer Anwendung weiter zu verfolgen. Wenn ein Ausfall auftritt, sendet Resilience Hub eine Benachrichtigung an den Betreiber, um den zugehörigen Wiederherstellungsprozess zu starten.
## AWS Resilience Hub in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Resilience Hub auf mein AMS-Konto?**
Beantragen Sie Zugriff auf Resilience Hub, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen und -Richtlinien zur Verfügung:
**IAM roles**
+ `customer_resiliencehub_console_role`
+ `customer_resiliencehub_service_role`
**Richtlinien**
+ `customer_resiliencehub_console_policy`
+ `customer_resiliencehub_service_policy`
Nachdem die Rolle in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle `customer_resiliencehub_console_role` in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Resilience Hub in meinem AMS-Konto?**
Es gibt keine Einschränkungen. Die volle Funktionalität von Resilience Hub ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Resilience Hub in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Verwendung von Resilience Hub in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Secrets Manager in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Secrets Manager Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Secrets Manager hilft Ihnen beim Schutz von Geheimnissen, die Sie für den Zugriff auf Ihre Anwendungen, Dienste und IT-Ressourcen benötigen. Mit diesem Service können Sie Datenbankanmeldedaten, API-Schlüssel und andere Geheimnisse während ihres gesamten Lebenszyklus problemlos rotieren, verwalten und abrufen. Benutzer und Anwendungen rufen Geheimnisse mit einem Aufruf des Secrets Manager ab APIs, sodass sensible Informationen nicht mehr im Klartext hartcodiert werden müssen. Secrets Manager bietet geheime Rotation mit integrierter Integration für Amazon RDS, Amazon Redshift und Amazon DocumentDB. Der Service ist auch auf andere Arten von Geheimnissen erweiterbar, einschließlich API-Schlüsseln und Tokens. OAuth Weitere Informationen hierzu finden Sie unter [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/).
**Anmerkung**
Standardmäßig können AMS-Betreiber auf Geheimnisse zugreifen AWS Secrets Manager , die mit dem AWS KMS Standardschlüssel (CMK) des Kontos verschlüsselt wurden. Wenn Sie möchten, dass AMS Operations nicht auf Ihre Geheimnisse zugreifen kann, verwenden Sie ein benutzerdefiniertes CMK mit einer AWS Key Management Service (AWS KMS) -Schlüsselrichtlinie, die Berechtigungen definiert, die den im Secret gespeicherten Daten entsprechen.
## Häufig gestellte Fragen zu Secrets Manager in AWS Managed Services
**F: Wie beantrage ich Zugriff auf AWS Secrets Manager in meinem AMS-Konto?**
Fordern Sie Zugriff auf Secrets Manager an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt Ihrem `customer_secrets_manager_console_role` `customer-rotate-secrets-lambda-role` Konto die folgenden IAM-Rollen zur Verfügung: und. Die `customer_secrets_manager_console_role` wird als Admin-Rolle für die Bereitstellung und Verwaltung der Secrets verwendet und `customer-rotate-secrets-lambda-role` wird als Lambda-Ausführungsrolle für die Lambda-Funktionen verwendet, die die Secrets rotieren. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die `customer_secrets_manager_console_role` Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Secrets Manager in meinem AMS-Konto?**
Der volle Funktionsumfang von AWS Secrets Manager ist in Ihrem AMS-Konto verfügbar, ebenso wie die automatische Rotation von Geheimnissen. Beachten Sie jedoch, dass das Einrichten Ihrer Rotation mithilfe von „Create a new Lambda function to perform rotation“ nicht unterstützt wird, da für die Erstellung des CloudFormation Stacks erhöhte Berechtigungen erforderlich sind (Erstellung der IAM-Rolle und Lambda-Funktion), wodurch der Change-Management-Prozess umgangen wird. AMS Advanced unterstützt nur „Eine bestehende Lambda-Funktion zur Rotation verwenden“, bei der Sie Ihre Lambda-Funktionen so verwalten, dass Geheimnisse mithilfe der Lambda-SSPS-Admin-Rolle rotiert werden. AWS AMS Advanced erstellt oder verwaltet Lambda nicht, um die Geheimnisse rotieren zu lassen.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Secrets Manager in meinem AMS-Konto?**
Die folgenden Namespaces sind für AMS reserviert und im Rahmen des direkten Zugriffs auf nicht verfügbar: AWS Secrets Manager
+ arn:aws:secretsmanager: \$1:\$1:secret:ams-shared/\$1
+ arn:aws:secretsmanager: \$1:\$1:secret:customer-shared/\$1
+ arn:aws:secretsmanager: \$1:\$1:secret:ams/\$1
## Schlüssel mit Secrets Manager (AMS SSPS) teilen
Die Weitergabe von Geheimnissen an AMS im Klartext eines RFC, einer Serviceanfrage oder eines Vorfallberichts führt zu einem Vorfall mit der Offenlegung von Informationen. AMS löscht diese Informationen aus dem Fall und fordert Sie auf, die Schlüssel neu zu generieren.
Sie können [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)(Secrets Manager) unter diesem Namespace verwenden,`customer-shared`.
![\[Secrets Manager Manager-Arbeitsablauf.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/onboardingguide/images/secretsManager.png)
### Häufig gestellte Fragen zum Teilen von Schlüsseln mit Secrets Manager
**F: Welche Arten von Geheimnissen müssen mit Secrets Manager geteilt werden?**
Einige Beispiele sind vorab genutzte Schlüssel für die VPN-Erstellung, vertrauliche Schlüssel wie Authentifizierungsschlüssel (IAM, SSH), Lizenzschlüssel und Passwörter.
**F: Wie kann ich die Schlüssel mithilfe von Secrets Manager mit AMS teilen?**
1. Melden Sie sich mit Ihrem Verbundzugriff und der entsprechenden Rolle bei der AWS Management-Konsole an:
für SALZ, das `Customer_ReadOnly_Role`
für MALZ,`AWSManagedServicesChangeManagementRole`.
1. Navigieren Sie zur [AWS Secrets Manager Konsole](https://console.aws.amazon.com/secretsmanager/home) und klicken Sie auf **Neues Geheimnis speichern**.
1. Wählen Sie **Andere Art von Secrets** aus.
1. Geben Sie den geheimen Wert als Klartext ein und verwenden Sie die standardmäßige KMS-Verschlüsselung. Klicken Sie auf **Weiter**.
1. **Geben Sie den geheimen Namen und die Beschreibung ein. Der Name beginnt immer mit customer-shared/.** **Zum Beispiel customer-shared/mykey2022.** Klicken Sie auf **Weiter**.
1. **Lassen Sie die automatische Rotation deaktiviert und klicken Sie auf Weiter.**
1. Überprüfen Sie es und klicken Sie auf **Speichern**, um das Geheimnis zu speichern.
1. Antworten Sie uns über die Serviceanfrage, den RFC oder den Vorfallbericht mit dem geheimen Namen, damit wir das Geheimnis identifizieren und abrufen können.
**F: Welche Berechtigungen sind für die gemeinsame Nutzung der Schlüssel mit Secrets Manager erforderlich?**
**SALZ**: Suchen Sie nach der `customer_secrets_manager_shared_policy` verwalteten IAM-Richtlinie und stellen Sie sicher, dass das Richtliniendokument mit dem Dokument übereinstimmt, das in den folgenden Erstellungsschritten angehängt wurde. Vergewissern Sie sich, dass die Richtlinie den folgenden IAM-Rollen zugeordnet ist:. `Customer_ReadOnly_Role`
**MALZ**: Stellen Sie sicher`AMSSecretsManagerSharedPolicy`, dass der `AWSManagedServicesChangeManagementRole` Rolle, zugeordnet ist, die Ihnen die `GetSecretValue` Aktion im `ams-shared` Namespace ermöglicht.
Beispiel:
```
{
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
],
"Effect": "Allow",
"Sid": "AllowAccessToSharedNameSpaces"
}
```
**Anmerkung**
Die erforderlichen Berechtigungen werden erteilt, wenn Sie einen AWS Secrets Manager als Self-Service bereitgestellten Dienst hinzufügen.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Security Hub CSPM in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Security Hub CSPM Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Security Hub CSPM bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und Ihre Einhaltung der Sicherheitsstandards und Best Practices der Sicherheitsbranche. Security Hub CSPM zentralisiert und priorisiert Sicherheits- und Compliance-Ergebnisse von AWS Konten, Diensten und unterstützten Drittanbietern, um Sie bei der Analyse Ihrer Sicherheitstrends und der Identifizierung der Sicherheitsprobleme mit der höchsten Priorität zu unterstützen. Weitere Informationen hierzu finden Sie unter [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/).
## Häufig gestellte Fragen zu Security Hub CSPM in AWS Managed Services
**F: Wie beantrage ich Zugriff auf AWS Security Hub CSPM in meinem AMS-Konto?**
Fordern Sie Zugriff auf Security Hub CSPM an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS-Service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto `customer_securityhub_role` die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung von Security Hub CSPM in meinem AMS-Konto?**
Die Archivierungsfunktion wurde als potenzielles Sicherheits- und Betriebsrisiko eingestuft und im Rahmen der selbst bereitgestellten Sicherheitsfunktion des Dienstes eingeschränkt.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Security Hub CSPM in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Security Hub CSPM in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Service Catalog AppRegistry in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AppRegistry Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AppRegistry ermöglicht die Anwendungssuche, Berichterstattung und Verwaltungsaktionen von einem zentralen Ort aus. Entwickler erstellen selten Anwendungen in einem einzigen AWS Konto. In der Regel trennen sie Anwendungsressourcen nach Lebenszyklusphasen wie Entwicklung, Test und Produktion. AppRegistry ermöglicht es Ihnen, all Ihre Ressourcensammlungen in den von Ihnen definierten AWS Konten zu gruppieren und anzuzeigen.
Mit AppRegistry können Sie Ihre AWS Anwendungen, die Sammlung von Ressourcen, die Ihren Anwendungen zugeordnet sind, und Anwendungsattributgruppen speichern. Weitere Informationen finden Sie unter [Was ist AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html).
## Häufig gestellte Fragen: AWS Service Catalog AppRegistry im AMS
**F: Wie beantrage ich Zugriff AWS Service Catalog AppRegistry auf mein AMS-Konto?**
Beantragen Sie den Zugriff auf, AppRegistry indem Sie einen RFC mit dem Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (managed automation) (ct-3qe6io8t6jtny) einreichen. Dieser RFC stellt `customer-appregistry-console-role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihrer Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Service Catalog AppRegistry in meinem AMS-Konto?**
Der volle Zugriff auf den AppRegistry Dienst wird gewährt, mit Ausnahme der Verwendung des AMS-Namespace im `'Name'` Tag.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Service Catalog AppRegistry in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung AppRegistry in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Shield Advanced in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Shield Advanced Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Shield Advanced ist ein verwalteter Service zum Schutz vor verteilten Denial of Service (DDoS), der Anwendungen schützt, auf denen ausgeführt wird. AWS Shield Advanced bietet eine ständig aktive Erkennung und automatische Inline-Abwehrmaßnahmen, die Ausfallzeiten und Latenz von Anwendungen minimieren, sodass Sie nicht den AWS Support in Anspruch nehmen müssen, um vom DDo S-Schutz zu profitieren. Es gibt zwei Stufen: AWS Shield Standard und Advanced; AMS bietet Shield Advanced an. Weitere Informationen finden Sie unter [Shield Advanced](https://aws.amazon.com/shield/).
Alle AWS Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz von AWS Shield Standard. AWS Shield Standard schützt vor den häufigsten, häufig auftretenden Netzwerk- und DDo Transport-Layer-S-Angriffen, die auf Ihre Website oder Anwendungen abzielen. Wenn Sie Amazon CloudFront und Amazon Route 53 verwenden AWS Shield Standard , erhalten Sie umfassenden Verfügbarkeitsschutz vor allen bekannten Infrastrukturangriffen (Layer 3 und 4).
Für einen besseren Schutz vor Angriffen auf Ihre Anwendungen, die auf Ressourcen von Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) CloudFront AWS Global Accelerator, Amazon und Amazon Route 53 ausgeführt werden, können Sie abonnieren AWS Shield Advanced.
Zusätzlich zu den mitgelieferten Schutz auf Netzwerk- und Transportebene AWS Shield Advanced bietet es zusätzliche Erkennung und Abwehr großer und ausgeklügelter DDo S-Angriffe, Einblicke in Angriffe nahezu in Echtzeit und die Integration mit AWS WAF einer Firewall für Webanwendungen. AWS Shield Standard AWS Shield Advanced bietet Ihnen außerdem rund um die Uhr Zugriff auf das AWS Shield Response Team (SRT) und Schutz vor DDo S-bedingten Spitzen in Ihren Gebühren für Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (Elastic Load Balancing) CloudFront AWS Global Accelerator, Amazon und Amazon Route 53.
## Häufig gestellte Fragen zu Shield Advanced in AWS Managed Services
**F: Wie beantrage ich Zugriff auf Shield Advanced in meinem AMS-Konto?**
Fordern Sie Zugriff auf Shield Advanced an, indem Sie einen RFC mit dem Änderungstyp Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_shield_role` `aws_drt_shield_role` Konto die folgenden IAM-Rollen zur Verfügung: und. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rollen in Ihre Verbundlösung integrieren.
Nachdem die Rollen in Ihrem Konto bereitgestellt wurden, können Sie sie verwenden, `customer_shield_role` um Ihr Abonnement AWS Shield Advanced in Ihrem Konto zu bestätigen.
**Anmerkung**
Beachten Sie, dass mit der Nutzung von eine monatliche Gebühr und eine einjährige Verpflichtung verbunden sind. AWS Shield Advanced Darüber hinaus berechtigt die Verwendung AWS Shield Advanced in AMS AMS zur Eskalation an den AWS Shield (SRT), der bei eskalierten Distributed-Denial-of-Service (S) -Vorfällen Änderungen an den Firewall-Regeln (AWS WAF) Ihrer Webanwendung vornehmen kann. DDo Diese Änderungen werden in Abstimmung mit AMS vorgenommen.
**F: Welche Einschränkungen gelten für die Nutzung von Shield Advanced in meinem AMS-Konto?**
Dies ist zwar keine Einschränkung, Sie sollten sich jedoch darüber im Klaren sein, dass bei Verwendung von Shield Advanced die bereitgestellt wird`aws_drt_shield_role`, sodass AWS Shield Teams (SRT) bei eskalierten DDo S-Vorfällen Notfalländerungen an AWS WAF Regeln innerhalb von AMS-Konten vornehmen können. Dies wird von AMS für die schnellste Behebung von S-Angriffen empfohlen und würde nach einer DDo AMS-Eskalation an das SRT erfolgen.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von Shield Advanced in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten, um Shield Advanced in Ihrem AMS-Konto zu verwenden.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Snowball Edge in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf Snowball Edge-Funktionen zuzugreifen. Snowball Edge ist eine Datentransportlösung im Petabyte-Bereich, die Geräte verwendet, die so konzipiert sind, dass sie sicher sind, um große Datenmengen in die und aus der Cloud zu übertragen. AWS Snowball Edge bewältigt häufig auftretende Herausforderungen im Zusammenhang mit umfangreichen Datenübertragungen, darunter hohe Netzwerkkosten, lange Übertragungszeiten und Sicherheitsbedenken. Sie können Snowball Edge verwenden, um Analysedaten, Genomikdaten, Videobibliotheken, Bildrepositorys und Backups zu migrieren und Teile von Rechenzentrumsabschaltungen, Bandaustauschprojekten oder Anwendungsmigrationsprojekten zu archivieren. Die Übertragung von Daten mit Snowball Edge ist einfach, schnell, sicherer und kann nur ein Fünftel der Kosten für die Übertragung von Daten über Highspeed-Internet kosten.
Mit Snowball Edge müssen Sie keinen Code schreiben oder Hardware kaufen, um Ihre Daten zu übertragen. Verwenden Sie zunächst die AWS Management Console, um [einen Importauftrag für Snowball zu erstellen](https://docs.aws.amazon.com/snowball/latest/ug/create-import-job.html), und ein Snowball-Gerät wird Ihnen automatisch zugeschickt. Sobald es ankommt, schließen Sie das Gerät an Ihr lokales Netzwerk an, laden Sie den Snowball-Client („Client“) herunter und führen Sie ihn aus, um eine Verbindung herzustellen, und wählen Sie dann mit dem Client die Dateiverzeichnisse aus, die Sie auf das Gerät übertragen möchten. Der Client verschlüsselt dann die Dateien und überträgt sie mit hoher Geschwindigkeit auf das Gerät. Sobald die Übertragung abgeschlossen ist und das Gerät zur Rücksendung bereit ist, wird das E Ink-Versandetikett automatisch aktualisiert und Sie können den Auftragsstatus mit Amazon Simple Notification Service (Amazon SNS), Textnachrichten oder direkt in der Konsole verfolgen. Weitere Informationen hierzu finden Sie unter [AWS Snowball Edge](https://aws.amazon.com/snowball/).
## Häufig gestellte Fragen zu Snowball Edge in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Snowball Edge auf mein AMS-Konto?**
Die Implementierung von Snowball Edge in AMS erfolgt in zwei Schritten:
1. Reichen Sie einen Änderungstyp Management \$1 Andere \$1 Andere \$1 Erstellen Sie einen (ct-1e1xtak34nx76) -Änderungstyp und fordern Sie eine Servicerolle für Snowball Edge für Ihr AMS-Konto an.
1. Beantragen Sie Benutzerzugriff, indem Sie die folgenden Optionen einreichen: Verwaltung \$1 AWS Dienst \$1 Selbst bereitgestellter Dienst \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct). Dieser RFC stellt Ihrem Konto die folgenden IAM-Rollen zur Verfügung:, und. `customer_snowball_console_role` `customer_snowball_export_role` `customer_snowball_import_role` Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Snowball Edge in meinem AMS-Konto?**
Die volle Funktionalität von AWS Snowball Edge ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Snowball Edge in meinem AMS-Konto?**
Sie müssen über das oben angegebene Servicerollenkonto verfügen.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Step Functions in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Step Functions Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Step Functions ist ein Webservice, mit dem Sie die Komponenten verteilter Anwendungen und Microservices mithilfe visueller Workflows koordinieren können. Sie erstellen Anwendungen aus einzelnen Komponenten, die jeweils eine diskrete Funktion oder Aufgabe ausführen, sodass Sie Anwendungen schnell skalieren und verändern können. Step Functions bietet eine zuverlässige Möglichkeit, Komponenten zu koordinieren und die Funktionen Ihrer Anwendung Schritt für Schritt durchzugehen. Step Functions bietet eine grafische Konsole, mit der Sie die Komponenten Ihrer Anwendung als eine Reihe von Schritten visualisieren können. Sie löst jeden Schritt automatisch aus, verfolgt ihn und versucht es erneut, wenn Fehler auftreten, sodass Ihre Anwendung jedes Mal in der richtigen Reihenfolge und wie erwartet ausgeführt wird. Step Functions protokolliert den Status jedes Schritts, sodass Sie Probleme schnell diagnostizieren und debuggen können, wenn etwas schief geht. Weitere Informationen hierzu finden Sie unter [AWS Step Functions](https://aws.amazon.com/step-functions/).
## Häufig gestellte Fragen zu Step Functions in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Step Functions auf mein AMS-Konto?**
Beantragen Sie den Zugriff auf, AWS Step Functions indem Sie einen RFC mit Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_step_functions_role` Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Step Functions in meinem AMS-Konto?**
Die volle Funktionalität von AWS Step Functions ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Step Functions in meinem AMS-Konto?**
Zur Laufzeit muss die von Step Functions verwendete Rolle Zugriff auf die von der Step-Funktion verwendeten Dienste haben. Beispielsweise könnte eine Schrittfunktion von Lambda-Funktionen abhängen. Jemand, der eine Step-Funktion erstellt, erstellt wahrscheinlich gleichzeitig Lambda-Funktionen und müsste auch Zugriff auf diesen Dienst anfordern.
# Verwenden Sie AMS SSP, um AWS Systems Manager Parameter Store in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf AWS Systems Manager Parameter Store-Funktionen zuzugreifen. AWS Systems Manager Der Parameter Store bietet sicheren, hierarchischen Speicher für die Verwaltung von Konfigurationsdaten und Geheimnissen. Sie können Daten wie Passwörter, Datenbankzeichenfolgen und Lizenzcodes als Parameterwerte speichern. Sie können Werte als Klartext oder als verschlüsselte Daten speichern. Anschließend können Sie anhand des eindeutigen Namens, den Sie beim Erstellen des Parameters angegeben haben, auf die Werte verweisen. Parameter Store ist hochgradig skalierbar, verfügbar und langlebig und wird von der AWS Cloud unterstützt. Weitere Informationen finden Sie unter [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html).
**Anmerkung**
Wenn Sie einen dedizierten Geheimspeicher mit Lebenszyklusmanagement wünschen, verwenden Sie [Verwenden Sie AMS SSP zur Bereitstellung AWS Secrets Manager in Ihrem AMS-Konto](secrets-manager.md) anstelle von Parameter Store. Secrets Manager hilft Ihnen dabei, Ihre Sicherheits- und Compliance-Anforderungen zu erfüllen, indem Sie Secrets automatisch rotieren lassen können. Secrets Manager bietet eine integrierte Integration für MySQL, PostgreSQL und Amazon Aurora auf Amazon RDS, die durch die Anpassung von Lambda-Funktionen auf andere Arten von Geheimnissen erweiterbar ist.
## AWS Systems Manager Häufig gestellte Fragen zum Speichern von Parametern in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Systems Manager Parameter Store in meinem AMS-Konto?**
Beantragen Sie den Zugriff auf den AWS Systems Manager Parameterspeicher, indem Sie einen RFC an folgende Adresse senden: Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct). Dieser RFC stellt `customer_systemsmanager_parameterstore_console_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Verwendung von AWS Systems Manager Parameter Store in meinem AMS-Konto?**
Sie müssen AWS verwaltete Schlüssel verwenden. Der Zugriff ist auf die Erstellung benutzerdefinierter KMS-Schlüssel beschränkt. Wenn jedoch ein benutzerdefinierter Schlüssel erforderlich ist, reichen Sie einen RFC ein, um einen vom Kunden verwalteten Schlüssel (CMK) zu erstellen. Verwenden Sie dabei Deployment \$1 Advanced Stack Components \$1 KMS-Schlüssel \$1 Änderungstyp erstellen (ct-1d84keiri1jhg) mit dieser IAM-Rolle als Wert für die Parameter und. `customer_systemsmanager_parameterstore_console_role` `IAMPrincipalsRequiringDecryptPermissions` `IAMPrincipalsRequiringEncryptPermissionsPrincipal` Nachdem der KMS-Schlüssel erstellt wurde, können Sie damit eine sichere Zeichenfolge erstellen.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von AWS Systems Manager Parameter Store in meinem AMS-Konto?**
Es gibt keine Voraussetzungen. SSM Parameter Store ist jedoch darauf angewiesen, dass KMS eine sichere Zeichenfolge erstellt, sodass Sie die im Parameter Store gespeicherten Werte ver- und entschlüsseln können.
# Verwenden Sie AMS SSP, um AWS Systems Manager Automation in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf AWS Systems Manager Automatisierungsfunktionen zuzugreifen. AWS Systems Manager Die Automatisierung vereinfacht allgemeine Wartungs- und Bereitstellungsaufgaben von Amazon Elastic Compute Cloud-Instances und anderen AWS Ressourcen mithilfe von Runbooks, Aktionen und Servicekontingenten. Sie ermöglicht es Ihnen, Automatisierungen in großem Umfang zu erstellen, auszuführen und zu überwachen. Eine Systems Manager-Automatisierung ist eine Art von Systems Manager Manager-Dokument, das die Aktionen definiert, die Systems Manager auf Ihren verwalteten Instanzen ausführt. Ein Runbook, mit dem Sie allgemeine Wartungs- und Bereitstellungsaufgaben wie das Ausführen von Befehlen oder Automatisierungsskripten in Ihren verwalteten Instanzen ausführen. Systems Manager umfasst Funktionen, mit denen Sie mithilfe von Amazon Elastic Compute Cloud-Tags auf große Gruppen von Instances abzielen können, sowie Geschwindigkeitssteuerungen, mit denen Sie Änderungen gemäß den von Ihnen definierten Grenzwerten implementieren können. Die Runbooks werden mit JavaScript Object Notation (JSON) oder YAML geschrieben. Mit dem Document Builder in der Systems Manager-Automation-Konsole können Sie jedoch ein Runbook erstellen, ohne nativen JSON- oder YAML-Code erstellen zu müssen. Alternativ können Sie von Systems Manager bereitgestellte Runbooks mit vordefinierten Schritten verwenden, die Ihren Anforderungen entsprechen. Weitere Informationen finden Sie in der Dokumentation unter [Arbeiten mit Runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html). AWS Systems Manager
**Anmerkung**
Systems Manager Automation unterstützt zwar 20 Aktionstypen, die im Runbook verwendet werden können, aber eine begrenzte Anzahl von Aktionen, die Sie beim Erstellen von Runbooks verwenden können, können Sie in Ihrem AMS Advanced-Konto verwenden. Ebenso kann eine begrenzte Anzahl von Runbooks, die von Systems Manager bereitgestellt werden, entweder direkt oder in Ihrem eigenen Runbook verwendet werden. Einzelheiten finden Sie in den folgenden häufig gestellten Fragen zu den Einschränkungen.
## AWS Systems Manager Häufig gestellte Fragen zur Automatisierung in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf Systems Manager Automation in meinem AMS-Konto?**
Beantragen Sie Zugriff auf AWS Systems Manager Automation, indem Sie einen RFC über Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_systemsmanager_automation_console_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Was sind die Einschränkungen bei der Nutzung von AWS Systems Manager Automation in meinem AMS-Konto?**
Sie müssen Ihr Runbook mit einer begrenzten Anzahl von von Systems Manager unterstützten Aktionen zur Automatisierung nur verfassen, um and/or Befehlsskripts innerhalb Ihrer verwalteten Instanzen auszuführen. Die Aktionen, die Ihnen zur Verfügung stehen, sowie etwaige Einschränkungen werden im Folgenden beschrieben.
**AWS Systems Manager Einschränkungen der Automatisierung**
| Aktion | Beschreibung | Einschränkung |
| --- | --- | --- |
| aws: assertAwsResource Eigentum — | Bestätigen Sie einen AWS Ressourcen- oder Ereignisstatus | Nur EC2 Instanzen |
| aws:aws:branch — | Führen Sie bedingte Automatisierungsschritte aus | Keine Einschränkung |
| AWS: CreateTags — | Tags für Ressourcen erstellen AWS | Nur für SSM-Automatisierungs-Runbooks, die Sie erstellen |
| AWS: ExecuteAutomation — | Führen Sie eine weitere Automatisierung aus | Nur das Automatisierungs-Runbook, das Sie erstellen |
| aws:ExecuteScript — | Führen Sie ein Skript aus | Das einzige Skript, das keine API-Aufrufe an Dienste tätigt |
| aws:pause — | Eine Automatisierung pausieren | Keine Einschränkung |
| aws:RunCommand — | Führen Sie einen Befehl auf einer verwalteten Instanz aus | Verwenden Sie nur das vom System Manager bereitgestellte Dokument - AWS- RunShellScript und AWS- RunPowerShellScript |
| aws:sleep — | Eine Automatisierung verzögern | Keine Einschränkung |
| als: waitForAws ResourceProperty — | Warte auf eine AWS Ressourceneigenschaft | Nur EC2 Instanzen |
Sie können sich auch dafür entscheiden, Befehle oder Skripte direkt mit dem von Systems Manager bereitgestellten Runbook AWS RunShellScript und AWS auszuführen, RunPowerShellScript indem Sie die Funktion „Befehl ausführen“ in der Systems Manager Manager-Konsole verwenden. Sie können diese Runbooks auch in Ihrem Runbook verschachteln, um zusätzliche Prüfungen vor der Nachbearbeitung oder eine komplexe Automatisierungslogik zu and/or ermöglichen.
Die Rolle folgt dem Prinzip der geringsten Rechte und gewährt nur die erforderlichen Berechtigungen zum Verfassen, Ausführen und Abrufen von Ausführungsdetails von Runbooks, die auf die Ausführung von and/or Befehlsskripten in Ihren verwalteten Instances abzielen. Sie gewährt keine Genehmigung für andere Funktionen, die der AWS Systems Manager Dienst bereitstellt. Mit dieser Funktion können Sie Automatisierungs-Runbooks erstellen, die Ausführung der Runbooks kann jedoch nicht auf AMS-eigene Ressourcen ausgerichtet werden.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung von AWS Systems Manager Automation in meinem AMS-Konto?**
Es gibt keine Voraussetzungen. Sie müssen jedoch sicherstellen, dass Ihre internen and/or Compliance-Kontrollen bei der Erstellung von Runbooks eingehalten werden. Wir empfehlen außerdem, Runbooks gründlich zu testen, bevor Sie sie mit Produktionsressourcen ausführen.
**F: Kann die Systems Manager Manager-Richtlinie mit anderen IAM-Rollen verknüpft `customer_systemsmanager_automation_policy` werden?**
Nein, im Gegensatz zu anderen Self-Provision-fähigen Diensten kann diese Richtlinie nur der bereitgestellten Standardrolle zugewiesen werden. `customer_systemsmanager_automation_console_role`
Im Gegensatz zu den Richtlinien anderer SSPS-Rollen kann diese SSM-SSPS-Richtlinie nicht mit anderen benutzerdefinierten IAM-Rollen gemeinsam genutzt werden, da dieser AMS-Dienst nur zum Ausführen von Befehlen oder Automatisierungsskripten innerhalb Ihrer verwalteten Instanzen dient. Wenn diese Berechtigungen mit anderen benutzerdefinierten IAM-Rollen verknüpft werden könnten, möglicherweise mit Berechtigungen für andere Dienste, könnte sich der Umfang der zulässigen Aktionen auf verwaltete Dienste erstrecken und die Sicherheitslage Ihres Kontos potenziell beeinträchtigen.
Wenden Sie sich an Ihren jeweiligen Cloud-Architekten oder Service Delivery Manager, um alle Änderungsanträge (RFCs) anhand unserer technischen AMS-Standards zu bewerten. Weitere Informationen finden Sie unter [RFC-Sicherheitsüberprüfungen](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html).
**Anmerkung**
AWS Systems Manager ermöglicht es Ihnen, Runbooks zu verwenden, die mit Ihrem Konto geteilt werden. Wir empfehlen Ihnen, Vorsicht walten zu lassen und eine Due-Diligence-Prüfung durchzuführen, wenn Sie gemeinsam genutzte Runbooks verwenden. Stellen Sie außerdem sicher, dass Sie vor der Ausführung der Runbooks den Inhalt überprüfen, um zu verstehen, welche Runbooks ausgeführt command/scripts werden. Einzelheiten finden Sie unter Bewährte [Methoden für gemeinsam genutzte SSM-Dokumente](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-before-you-share.html).
# Verwenden Sie AMS SSP zur Bereitstellung AWS Transfer Family in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt in Ihrem AMS-verwalteten Konto auf Funktionen AWS Transfer Family (Transfer Family) zuzugreifen. AWS Transfer Family ist ein vollständig verwalteter AWS Service, mit dem Sie Dateien über das Secure File Transfer Protocol (SFTP) in den und aus dem Amazon Simple Storage Service (Amazon S3) -Speicher übertragen können. SFTP wird auch als Secure Shell (SSH) File Transfer Protocol bezeichnet. SFTP wird für den Datenaustausch zwischen unterschiedlichen Branchen wie Finanzdienstleistungen, Gesundheitswesen, Werbung, Einzelhandel usw. eingesetzt.
Mit AWS SFTP erhalten Sie Zugriff auf einen SFTP-Server, AWS ohne eine Serverinfrastruktur betreiben zu müssen. Sie können diesen Service verwenden, um Ihre SFTP-basierten Workflows zu migrieren und AWS gleichzeitig die Clients und Konfigurationen Ihrer Endbenutzer unverändert beizubehalten. Sie verknüpfen Ihren Hostnamen zunächst mit dem SFTP-Serverendpunkt, fügen dann Ihre Benutzer hinzu und gewähren ihnen die richtige Zugriffsebene. Danach werden die Übertragungsanfragen Ihrer Benutzer direkt von Ihrem AWS SFTP-Serverendpunkt aus bearbeitet. Weitere Informationen finden Sie unter Einen [AWS Transfer for SFTP](https://aws.amazon.com/aws-transfer-family)[SFTP-fähigen Server erstellen](https://docs.aws.amazon.com/transfer/latest/userguide/create-server-sftp.html).
## AWS Transfer for SFTP in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Transfer for SFTP auf mein AMS-Konto?**
Beantragen Sie den Zugriff auf, AWS Transfer for SFTP indem Sie einen RFC mit Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Über diesen RFC werden die folgenden IAM-Rollen und eine Richtlinie in Ihrem Konto bereitgestellt:
+ `customer_transfer_author_role`. Mit dieser Rolle können Sie den SFTP-Dienst über die Konsole verwalten.
+ `customer_transfer_sftp_server_logging_role`. Diese Rolle ist so konzipiert, dass sie an den SFTP-Server angehängt werden kann. Sie ermöglicht dem SFTP-Server das Abrufen von Protokollen. CloudWatch
+ `customer_transfer_sftp_user_role`. Diese Rolle ist so konzipiert, dass sie den SFTP-Benutzern zugewiesen werden kann. Sie ermöglicht den SFTP-Benutzern die Interaktion mit dem S3-Bucket.
+ `policy customer_transfer_scope_down_policy`. Bei dieser Richtlinie handelt es sich um eine Scopedown-Richtlinie, die auf den SFTP-Benutzer angewendet werden kann, um seinen Zugriff auf den S3-Bucket auf seine Home-Ordner zu beschränken.
+ `customer_transfer_sftp_efs_user_role`. Diese Rolle ist so konzipiert, dass sie den SFTP-Benutzern zugewiesen werden kann. Es ermöglicht den SFTP-Benutzern die Interaktion mit dem EFS-Dateisystem.
Nachdem es in Ihrem Konto bereitgestellt wurde, müssen Sie die Rollen in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Transfer for SFTP in meinem AMS-Konto?**
AWS Die Übertragung für die SFTP-Konfiguration ist auf Ressourcen ohne „AMS-“ oder „MC-“ -Präfixe beschränkt, um jegliche Änderungen an der AMS-Infrastruktur zu verhindern.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Transfer for SFTP in meinem AMS-Konto?**
+ Sie benötigen einen Amazon S3 S3-Bucket mit einem Namen, der das Schlüsselwort „transfer“ enthält, bevor Sie den AWS Transfer for SFTP Server und die Benutzer erstellen können.
+ Um einen „Customer Identify Provider“ zu verwenden, müssen Sie das API Gateway, die Lambda-Funktion und Ihr Benutzer-Repository (AD, Secrets Manager usw.) bereitstellen. Weitere Informationen finden Sie unter [Aktivieren der Kennwortauthentifizierung für die AWS Transfer for SFTP Verwendung von AWS Secrets Manager](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-for-sftp-using-aws-secrets-manager/) und die [Arbeit mit Identitätsanbietern](https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html).
# Verwenden Sie AMS SSP zur Bereitstellung AWS Transit Gateway in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Transit Gateway Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS Transit Gateway ist ein Service, mit dem Sie Ihre Amazon Virtual Private Cloud (VPCs) und Ihre lokalen Netzwerke mit einem einzigen Gateway verbinden können. Wenn Sie die Anzahl der Workloads erhöhen AWS, auf denen ausgeführt wird, müssen Sie in der Lage sein, Ihre Netzwerke auf mehrere Konten zu skalieren, und Amazon VPCs muss mit dem Wachstum Schritt halten können. Heute können Sie Amazon-Paare VPCs mithilfe von Peering verbinden. Die Verwaltung der point-to-point Konnektivität in vielen Amazon-Ländern ohne die Möglichkeit VPCs, die Konnektivitätsrichtlinien zentral zu verwalten, kann jedoch betrieblich kostspielig und umständlich sein. Für lokale Konnektivität müssen Sie Ihr AWS VPN mit jeder einzelnen Amazon-VPC verbinden. Die Entwicklung dieser Lösung kann zeitaufwändig und schwierig zu verwalten sein, wenn die Anzahl der Lösungen auf Hunderte VPCs ansteigt. Weitere Informationen hierzu finden Sie unter [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
## AWS Transit Gateway in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Transit Gateway auf mein AMS-Konto?**
Beantragen Sie den Zugriff auf, AWS Transit Gateway indem Sie einen RFC mit Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem `customer_tgw_console_role` Konto die folgende IAM-Rolle zur Verfügung:. Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Transit Gateway in meinem AMS-Konto?**
Die volle Funktionalität von AWS Transit Gateway ist in Ihrem AMS-Landezone-Konto mit einem Konto verfügbar, mit Ausnahme von Änderungen der Routentabelle für das Transit Gateway Gateway-Routing. Fordern Sie Änderungen an der Routentabelle an, indem Sie Folgendes einreichen: Management \$1 Sonstige \$1 Änderungstyp erstellen (ct-1e1xtak34nx76).
**Anmerkung**
Dieser Dienst wird nur für die landing zone mit einem Konto (SALZ) unterstützt, nicht für die landing zone mit mehreren Konten (MALZ).
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Transit Gateway in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Transit Gateway in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung von AWS WAF Web Application Firewall in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS WAF Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. AWS WAF ist eine Firewall für Webanwendungen (AWS WAF), mit der Sie Ihre Webanwendungen vor häufigen Web-Exploits schützen können, die die Verfügbarkeit von Anwendungen beeinträchtigen, die Sicherheit gefährden oder übermäßig viele Ressourcen verbrauchen könnten. AWS WAF gibt Ihnen die Kontrolle darüber, welcher Datenverkehr zu Ihren Webanwendungen zugelassen oder blockiert werden soll, indem Sie anpassbare Websicherheitsregeln definieren. Sie können AWS WAF damit benutzerdefinierte Regeln erstellen, die gängige Angriffsmuster wie SQL-Injection oder Cross-Site-Scripting blockieren, sowie Regeln, die auf Ihre spezifische Anwendung zugeschnitten sind.
Weitere Informationen finden Sie unter [AWS WAF — Web Application Firewall](https://aws.amazon.com/waf/).
AMS unterstützt keine Überwachung (CloudWatch Alarme/Ereignisse/MMS-Warnungen) für AWS WAF. Es liegt in der Natur des AWS WAF Systems, dass Sie benutzerdefinierte Regeln für Ihre Anwendungen erstellen müssen. AMS kann Alarme nicht quantifizieren und für Sie erstellen, ohne den Kontext Ihrer Anwendung zu berücksichtigen. Weitere Informationen finden Sie unter [AWS WAF — Web Application Firewall](https://aws.amazon.com/waf/).
## AWS WAF in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich AWS WAF die Einrichtung in meinem AMS-Konto?**
Beantragen Sie den Zugriff auf, AWS WAF indem Sie einen RFC mit dem Management \$1 AWS-Service \$1 Selbstbereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_waf_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nachdem die AWS WAF IAM-Rolle in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gibt es bei der Nutzung? AWS WAF**
Nachdem die Berechtigungen bereitgestellt wurden, steht Ihnen der volle Funktionsumfang von AWS WAF zur Verfügung.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung AWS WAF?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Verwendung AWS WAF in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS Well-Architected Tool in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Well-Architected Tool Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. Auf diese AWS Well-Architected Tool Weise können Sie den Status Ihrer Workloads überprüfen und sie mit den neuesten AWS Best Practices für die Architektur vergleichen. Das Tool basiert auf dem [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/), das Cloud-Architekten beim Aufbau einer sicheren, leistungsstarken, belastbaren und effizienten Anwendungsinfrastruktur unterstützt. Dieses Framework bietet Ihnen einen konsistenten Ansatz zur Bewertung von Architekturen, wurde in Zehntausenden von Workload-Überprüfungen verwendet, die vom AWS Lösungsarchitekturteam durchgeführt wurden, und bietet Anleitungen zur Implementierung von Designs, die im Laufe der Zeit an die Anwendungsanforderungen angepasst werden. Weitere Informationen hierzu finden Sie unter [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/).
## AWS WA Tool in häufig gestellten Fragen zu AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS Well-Architected Tool auf mein AMS-Konto?**
Beantragen Sie den Zugriff auf, AWS Well-Architected Tool indem Sie einen RFC mit dem Management \$1 AWS-Service \$1 Selbstbereitgestellter Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_well_architected_tool_console_admin_role` Ihrem Konto die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
**F: Welche Einschränkungen gelten für die Nutzung AWS Well-Architected Tool in meinem AMS-Konto?**
Die volle Funktionalität von AWS Well-Architected Tool ist in Ihrem AMS-Konto verfügbar.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Well-Architected Tool in meinem AMS-Konto?**
Es gibt keine Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Well-Architected Tool in Ihrem AMS-Konto.
# Verwenden Sie AMS SSP zur Bereitstellung AWS X-Ray in Ihrem AMS-Konto
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS X-Ray (X-Ray) -Funktionen in Ihrem verwalteten AMS-Konto zuzugreifen. AWS X-Ray hilft Entwicklern dabei, verteilte Produktionsanwendungen zu analysieren und zu debuggen, z. B. solche, die mit einer Microservices-Architektur erstellt wurden. Mit X-Ray können Sie die Leistung Ihrer Anwendung und der zugrunde liegenden Dienste nachvollziehen, um die Hauptursache von Leistungsproblemen und Fehlern zu identifizieren und zu beheben. X-Ray bietet eine end-to-end Übersicht der Anfragen, während sie Ihre Anwendung durchlaufen, und zeigt eine Übersicht der Ihrer Anwendung zugrunde liegenden Komponenten. Mit X-Ray können Sie sowohl Anwendungen in der Entwicklung als auch in der Produktion analysieren, von einfachen dreistufigen Anwendungen bis hin zu komplexen Microservices-Anwendungen, die aus Tausenden von Diensten bestehen. Weitere Informationen hierzu finden Sie unter [AWS X-Ray](https://aws.amazon.com/xray/).
## Häufig gestellte Fragen zu X-Ray in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff AWS X-Ray auf mein AMS-Konto?**
Beantragen Sie den Zugriff, indem Sie den Änderungstyp Verwaltung \$1 AWS Service \$1 Self-Provisioned Service \$1 Add (ct-1w8z66n899dct) einreichen. Dieser RFC stellt Ihrem Konto `customer_xray_console_role` die folgende IAM-Rolle zur Verfügung:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren. Darüber hinaus müssen Sie über die `customer_xray_daemon_write_instance_profile` Möglichkeit verfügen, Daten von Ihren EC2 Amazon-Instances an X-Ray zu übertragen. Dieses Instance-Profil wird erstellt, wenn Sie das erhalten`customer_xray_console_role`.
Sie können eine Serviceanfrage an AMS Operations senden, um sie dem `customer_xray_daemon_write_policy` vorhandenen Instance-Profil zuzuweisen, oder Sie können das Instance-Profil verwenden, das erstellt wird, wenn AMS Operations X-Ray für Sie aktiviert.
**F: Welche Einschränkungen gelten für die Nutzung AWS X-Ray in meinem AMS-Konto?**
Die volle Funktionalität von AWS X-Ray ist in Ihrem AMS-Konto verfügbar, mit Ausnahme der Verschlüsselung mit dem AWS KMS-Schlüssel (KMS-Schlüssel). AWS X-Ray verschlüsselt standardmäßig alle Trace-Daten. Standardmäßig verschlüsselt X-Ray Traces und zugehörige Daten im Ruhezustand. Wenn Sie Daten im Ruhezustand mit einem Schlüssel verschlüsseln müssen, können Sie entweder einen verwalteten AWS KMS-Schlüssel (aws/xray) oder einen vom Kunden verwalteten KMS-Schlüssel wählen. Reichen Sie für KMS Customer-Managed Key for X-Ray Encryption Folgendes ein: Management \$1 Other \$1 Other \$1 Create change type (ct-1e1xtak34nx76).
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung in meinem AMS-Konto? AWS X-Ray **
AWS X-Ray ist von Amazon S3 und CloudWatch Logs abhängig CloudWatch, die bereits in AMS-Konten implementiert sind. Transitive Abhängigkeiten variieren je nach Datenquellen und anderen AWS Diensten AWS X-Ray , mit denen Funktionen interagieren können (z. B. Amazon Redshift, Amazon RDS, Athena).
# Verwenden Sie AMS SSP, um VM Import/Export in Ihrem AMS-Konto bereitzustellen
Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um Import/Exportcapabilities direkt in Ihrem AMS-verwalteten Konto auf VM zuzugreifen. Import/Export Mit VM können Sie auf einfache Weise VM-Images aus Ihrer vorhandenen Umgebung in EC2 Amazon-Instances importieren und sie zurück in Ihre lokale Umgebung exportieren. Dieses Angebot ermöglicht es Ihnen, Ihre bestehenden Investitionen in die virtuellen Maschinen, die Sie zur Erfüllung Ihrer Anforderungen an IT-Sicherheit, Konfigurationsmanagement und Compliance entwickelt haben, zu nutzen, indem Sie diese virtuellen Maschinen EC2 als ready-to-use Instances zu Amazon bringen. Sie können importierte Instances auch zurück in Ihre lokale Virtualisierungsinfrastruktur exportieren, sodass Sie Workloads in Ihrer gesamten IT-Infrastruktur bereitstellen können. Weitere Informationen finden Sie unter [VM Import/Export](https://aws.amazon.com/ec2/vm-import/).
## Häufig gestellte Fragen Import/Export zu virtuellen Maschinen in AWS Managed Services
Häufig gestellte Fragen und Antworten:
**F: Wie beantrage ich Zugriff auf virtuelle Maschinen Import/Export in meinem AMS-Konto?**
Beantragen Sie den Zugriff auf die VM, Import/Export indem Sie einen RFC mit Management \$1 AWS Service \$1 Self-Provisioned Service \$1 Änderungstyp hinzufügen (ct-1w8z66n899dct) einreichen. Dieser RFC stellt `customer_vmimport_policy` die folgende IAM-Richtlinie für Ihr Konto bereit:. Nachdem sie in Ihrem Konto bereitgestellt wurde, müssen Sie die Rolle in Ihre Verbundlösung integrieren.
Eine zusätzliche Rolle, die ** Import/Export VM-Dienstrolle**, ist erforderlich, damit der Dienst Aktionen in Ihrem Konto ausführen kann.
**F: Was sind die Einschränkungen bei der Verwendung von VM Import/Export in meinem AMS-Konto?**
+ Funktionen zum Importieren von benutzerdefinierten Maschinenabbildern und Datenvolumen sind beide in AMS VM Import/Export verfügbar. Die Berechtigungen für S3 wurden jedoch so eingeschränkt, dass Aktionen auf Buckets beschränkt werden, die dem Namen entsprechen, um den Zugriff auf `customer-vmimport-*` Informationen innerhalb des Kontos einzuschränken.
+ Der Import von Images und Snapshots wird in AMS VM Import/Export unterstützt. Die Funktionen für den Instanzimport und den Instanzexport sind jedoch aus Sicherheitsgründen nicht verfügbar.
+ Darüber hinaus wurde die Exportfunktion deaktiviert, um das Risiko des Exports eingeschränkter und sensibler Daten zu minimieren.
**F: Was sind die Voraussetzungen oder Abhängigkeiten für die Verwendung von VM Import/Export in meinem AMS-Konto?**
+ Sie müssen ein unterstütztes Festplatten-Image für den Import in die AWS Umgebung bereitstellen. Weitere Informationen finden Sie unter [ Import/Export VM-Anforderungen](https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html).
+ Auf die VM kann Import/Export nicht über die AWS Konsole zugegriffen werden. Sie müssen über AWS CLI, AWS -Tools für PowerShell oder den auf diesen Dienst zugreifen AWS SDKs. Oder Sie können ein Instanzprofil anfordern, indem Sie den Änderungstyp ct-117rmp64d5mvb einreichen: Bereitstellung \$1 Erweiterte Stack-Komponenten \$1 Identity and Access Management (IAM) \$1 Instanzprofil erstellen. EC2 Dieses Instanzprofil ermöglicht es den Tools, Befehle von einer Instanz aus auszuführen.
# Vom Kunden verwalteter Modus
Der kundenverwaltete Modus von AWS Managed Services (AMS) bietet ein flexibles Governance-Modell, das an Ihre Anforderungen angepasst werden kann. Dies kann als Ausweichoption für Dienste und Anwendungen angesehen werden, die AMS nicht für Sie ausführen kann. AMS betreibt keine Infrastruktur, die in Konten gehostet wird, die in diesem Modus erstellt wurden. In diesem Modus können Sie jedoch die zentralisierte Verwaltung mehrerer Konten nutzen. In diesem Modus können die folgenden Funktionen der Landing Zone für mehrere Konten genutzt werden:
+ Automatisierte Kontobereitstellung
+ Konnektivität über Transit Gateway im Netzwerkkonto
+ Bibliothek mit AMS-Konfigurationsregeln
+ Speichern Sie Kopien der Protokolle im Protokollkonto
+ Zusammenfassung der vom Kunden verwalteten Guard Duty-Benachrichtigungen im Sicherheitskonto
+ Konsolidierte Fakturierung
+ Aktivierung benutzerdefinierter Service Control-Richtlinien.
Beispiel: Wenn Sie Workloads auf Ubuntu Pro ausführen möchten, bei dem es sich nicht um ein von AMS verwaltetes Betriebssystem handelt, können Sie ein vom Kunden verwaltetes Konto zum Hosten verwenden. Sie können Workloads auch über vom Kunden verwaltete Konten konsolidieren, um den Mengenrabatt auf reservierte Instances/Sharing Pläne zu nutzen, der durch gemeinsame Nutzung innerhalb einer AWS-Organisation verfügbar ist.
# Erste Schritte mit dem vom Kunden verwalteten Modus
Der AMS-Modus „Customer Managed“ ist über ein spezielles Anwendungskonto mit mehreren Konten für die landing zone verfügbar.
Einzelheiten, einschließlich der Erstellung eines vom Kunden verwalteten Anwendungskontos, finden Sie unter [Kundenverwaltete Anwendungskonten](https://docs.aws.amazon.com/managedservices/latest/userguide/application-account-cust-man.html).
# AMS- und AWS Service Catalog
Service Catalog in AWS Managed Services (AMS) ermöglicht es Unternehmen, Kataloge von AWS-Informationstechnologie (IT) -Services zu erstellen und zu verwalten. IT-Administratoren können Kataloge mit zugelassenen Produkten in ihren Konten erstellen, verwalten und an Endbenutzer verteilen, die dann in einem personalisierten Serviceportal auf die Produkte zugreifen können, die sie benötigen. Administratoren können kontrollieren, welche Benutzer Zugriff auf jedes Produkt haben, um die Einhaltung der Unternehmensrichtlinien durchzusetzen. Administratoren können auch Rollen einrichten, sodass Endbenutzer nur IAM-Zugriff auf Service Catalog benötigen, um genehmigte Ressourcen bereitzustellen. Service Catalog ermöglicht es Ihrem Unternehmen, von mehr Flexibilität und geringeren Kosten zu profitieren, da Endbenutzer in einem Katalog, den Sie kontrollieren, nur die Produkte finden und auf den Markt bringen können, die sie benötigen.
Service Catalog bietet Ihnen eine Alternative zum AMS Request for Change (RFC) -Prozess für die Bereitstellung und Aktualisierung von Ressourcen in Ihren AMS-verwalteten Konten. AMS verwaltet alle Aufgaben des Infrastrukturbetriebs, die für den skalierbaren Betrieb von AWS für alle über Service Catalog bereitgestellten Infrastrukturressourcen erforderlich sind, einschließlich Sicherheit, Compliance, Bereitstellung, Verfügbarkeit, Patch, Überwachung, Warnung, Berichterstattung, Reaktion auf Vorfälle und Kostenoptimierung. Die Verwendung von Service Catalog in Ihrem AMS-verwalteten Konto bietet Ihnen einen Mechanismus zur zentralen Verwaltung häufig bereitgestellter IT-Services und hilft Ihnen dabei, eine konsistente Governance zu erreichen, während Benutzer schnell nur die genehmigten IT-Services bereitstellen können, die sie in ihren verwalteten Umgebungen benötigen.
# Erste Schritte mit Service Catalog
Um mit Service Catalog in AMS zu beginnen, reichen Sie eine Serviceanfrage über die AMS-Konsole ein, um Zugriff auf Service Catalog anzufordern. Nach dem Absenden der Anfrage werden drei IAM-Rollen zusammen mit einem AMS-verwalteten Stack, der das CloudFormation Makro enthält, das das AMS aufruft `Transform` (zuvor beschrieben), in Ihren Konten bereitgestellt, sodass wir die Produkte in unseren Systemen registrieren und Operationen mit der über Service Catalog bereitgestellten Infrastruktur ausführen können. Zu den drei bereitgestellten IAM-Rollen gehören eine Rolle für IT-Administratoren zur Verwaltung von Produkten als Service Catalog-Administratoren, eine Rolle für Anwendungsbesitzer und Endbenutzer zum Konfigurieren, Starten und Verwalten von Produkten sowie eine Rolle, die als Starteinschränkung verwendet wird und die Berechtigungen definiert, die Service Catalog beim Starten oder Aktualisieren Ihres Produkts verwendet.
# Service Catalog in AMS, bevor Sie beginnen
**Ersetzt Service Catalog den bestehenden AMS Request for Change (RFC) -Prozess?**
In Konten, für die Service Catalog aktiviert ist, fungiert er als Change-Management-System, in dem Sie IT-Services in Ihrem AMS-Konto über Ihren vordefinierten Produktkatalog bereitstellen und aktualisieren. AMS stellt einen portfolio/product Standardkatalog bereit, und Ihre IT-Administratoren können Ihren eigenen erstellen und konfigurieren. Service Catalog bestätigt nur Stacks, die über Service Catalog bereitgestellt wurden. Ebenso können Dienste, die über Service Catalog bereitgestellt werden, nicht über den AMS RFC-Prozess geändert werden, da Änderungen außerhalb von Service Catalog dazu führen, dass der Stack von der genehmigten Produktkonfiguration abweicht.
**Kann ich die über den Service Catalog bereitgestellten Stacks in der AMS-Konsole sehen?**
Ja. Sie können alle über den Servicekatalog bereitgestellten Stacks in der AMS-Konsole einsehen. Stacks, die über Service Catalog bereitgestellt werden, sind leicht anhand der Stack-ID „SC-“ zu identifizieren. Stacks sind zwar in der AMS-Konsole sichtbar, sie können jedoch nicht über den AMS-RFC-Prozess aktualisiert werden. Der Zugriff auf das AMS-Change-Management-System (RFCs) ist ausschließlich auf Zugriffsanforderungen, Patch-Orchestrierung und Datensicherung beschränkt. RFCs
**Wenn ich einen Stack über Service Catalog and/or aktualisiere, gibt es dann einen entsprechenden RFC in der AMS-Konsole?**
Der einzige RFC, der in der AMS-Konsole angezeigt wird, ist ein RFC zur Registrierung des Stacks bei AMS, wenn ein Stack zum ersten Mal bereitgestellt wird. Dieser RFC wird automatisch durch den AMS-Validierungsprozess abgelegt, der ausgelöst wird, wenn ein Stack über Service Catalog gestartet wird. Alle anderen Bereitstellungen und Änderungen werden direkt in Service Catalog verfolgt und sind in der Service Catalog-Konsole sichtbar. Darüber hinaus können Sie die Funktion „**Bereitgestellter Produktplan**“ in Service Catalog verwenden, um die Liste der Änderungen anzuzeigen, die vor der Bereitstellung oder Aktualisierung des Produkts an den Ressourcen vorgenommen werden.
**Muss ich etwas Spezielles für die Bereitstellung von Produkten in meinem AMS-verwalteten Konto tun?**
Ja. Alle Service Catalog-Produkte, die in AMS-Konten bereitgestellt werden, müssen diese JSON-Zeile in der CFN-Vorlage enthalten, die dieses Produkt definiert:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
Dieser Codeausschnitt löst die AMS-Validierungen aus, die erforderlich sind, bevor die Ressource in Ihrem AMS-verwalteten Konto bereitgestellt werden kann. CloudFormation Es liegt in Ihrer Verantwortung, diese Codezeile als Teil der Produktdefinition aufzunehmen. Wenn es nicht enthalten ist, schlägt die Bereitstellung fehl und die folgende Fehlermeldung wird angezeigt: „Produkt konnte nicht erstellt werden. Dieses Konto wird von AMS verwaltet. Alle Produkte in AMS-Konten müssen den `Transform` AMS-Code in der Vorlage enthalten.“
**Gibt es Service Catalog-Funktionen, die AMS-Kunden bei der Markteinführung nicht and/or eingeschränkt zur Verfügung stehen?**
Ja, die folgenden SC-Funktionen sind für AMS-Kunden bei der ersten Markteinführung nicht verfügbar:
+ Kontoerstellung über Service Catalog
+ Möglichkeit, alle AWS-Services über Service Catalog auf einem von AMS verwalteten Konto zu starten. Die Verfügbarkeit von AWS-Services ist auf AMS-unterstützte Services (verwaltet und selbst bereitgestellt) beschränkt. Weitere Informationen zu AMS-unterstützten Services finden Sie in der AMS-Servicebeschreibung.
+ Service Catalog IT Service Manager (ITSM) -Konnektoren kommunizieren nicht mit AMS-Vorfallberichten und Serviceanfragen.
+ Möglichkeit, Service Catalog-Schnellstarts und Referenzarchitekturen ohne Änderungen zu nutzen. Denken Sie daran, dass Service Catalog-Produkte für AMS-Konten diese JSON-Codezeile enthalten müssen:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
in der CNF-Vorlage. Beachten Sie, dass diese Zeile *nicht* Teil einer typischen CloudFormation AWS-Vorlage ist und explizit hinzugefügt werden muss.
+ Terraform wird derzeit von AMS nicht für die Bereitstellung von Service Catalog-Produkten unterstützt.
+ AWS-CFN-Stacksets werden in AMS nicht unterstützt.
+ Sie können keine benutzerdefinierten IAM-Rollen erstellen.
+ Serviceaktionen sind beschränkt auf:
+ [AWS- RebootRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-RebootRdsInstance/description?region=us-east-1)
+ [AWS-Neustart-Instanz EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-RestartEC2Instance/description?region=us-east-1)
+ [AWS-Startinstanz EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StartEC2Instance/description?region=us-east-1)
+ [AWS- StartRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartRdsInstance/description?region=us-east-1)
+ [AWS-Stopp-Instanz EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StopEC2Instance/description?region=us-east-1)
+ [AWS- StopRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopRdsInstance/description?region=us-east-1)
+ [AWS- CreateImage](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateImage/description?region=us-east-1)
+ [AWS- CreateRdsSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateRdsSnapshot/description?region=us-east-1)
+ [AWS- CreateSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateSnapshot/description?region=us-east-1)
**Anmerkung**
Bei der Erstellung von Serviceaktionen können Sie die Ausführungsrolle so konfigurieren, dass sie die Berechtigungen des Endbenutzers, die Startrolle oder eine benutzerdefinierte IAM-Rolle Ihrer Wahl ist. Die ausgewählte Ausführungsrolle muss über ausreichende Berechtigungen verfügen, um die Dienstaktion auszuführen, und sie muss über eine Berechtigung verfügen TrustPolicy , mit der sie von Service Catalog übernommen werden kann. Andernfalls schlägt die Dienstaktion zur Ausführungszeit fehl. Wir empfehlen die Verwendung von AWSManagedServicesServiceCatalogLaunchRole, die über die richtigen Berechtigungen und die richtige Vertrauensrichtlinie für die Verwendung als Serviceaktion verfügt.
**Wofür muss ich das AMS RFC-System weiterhin verwenden?**
Bei allgemeiner Verfügbarkeit (GA) müssen Sie weiterhin RFCS verwenden, um die folgenden Aktionen auszuführen:
+ Patch Orchestrator konfigurieren
+ Konfiguration von Backup-Richtlinien
+ Instanzzugriff anfordern
+ Erstellung und Zuweisung von Sicherheitsgruppen, die nicht den AMS-Richtlinien entsprechen.
+ Workload Ingest (WIGS) durchführen
+ Erstellen von IAM-Rollen
**Kann ich die Service Catalog-CLI verwenden, um in meinem AMS-verwalteten Konto auf Service Catalog zuzugreifen?**
Ja, Service Catalog APIs ist über die CLI verfügbar und aktiviert. Aktionen von der Verwaltung von Service Catalog-Artefakten bis hin zur Bereitstellung und Beendigung dieser Artefakte sind verfügbar. Weitere Informationen finden Sie unter [AWS Service Catalog Resources](https://aws.amazon.com/servicecatalog/resources/) oder laden Sie das neueste AWS-SDK oder CLI herunter.
**Wer erstellt, verwaltet und verteilt Kundenkataloge mit zugelassenen Produkten?**
Der Katalogadministrator, der and/or IT-Administrator oder die zugewiesene Ressource des Kunden, ist für die Verwaltung Ihrer Servicekatalog-Kataloge und genehmigten Produkte verantwortlich.
**Kann ich AMS verwenden? AMIs**
AMS, AMIs die nach März 2020 verkauft wurden, können über den AWS Service Catalog bereitgestellt werden.
**Wie migriere ich mithilfe von Service Catalog zu AMS?**
Um Ihren Workload mithilfe von Service Catalog zu AMS zu migrieren, folgen Sie zunächst dem [Workload Ingest](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-workload-ingest.html) (WIGs) -Prozess, um ein AMI in AMS zu erstellen. Sie verwenden das von WIGS erstellte AMI, um ein Produkt im Service Catalog zu erstellen. Eine Anleitung dazu finden Sie unter [AWS Service Catalog — Erste Schritte](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted.html).