Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Service description (Service-Beschreibung) AMS Advanced (AMS) ist ein Betriebsplan des AWS Managed Services Services-Service zur Verwaltung des Betriebs Ihrer AWS Infrastruktur. AMS Advanced bietet routinemäßige Infrastrukturoperationen wie Patch-, Continuity- und Sicherheitsmanagement sowie IT-Managementprozesse wie Incident-, Change- und Serviceanforderungsmanagement. Eine Liste der unterstützten Services finden Sie unter [Unterstützte AWS Dienste](supported-services.md). **YouTube Video**: [Wie kann AMS mir helfen, betriebliche Exzellenz in der Cloud zu erreichen?](https://youtu.be/wpfPthp3tw8) **Topics** + [Funktionen des erweiterten Betriebsplans AMS von AWS Managed Services (AMS)](features.md) + [Was wir tun, was wir nicht tun](ams-do-not-do.md) + [AMS-Verantwortungsmatrix (RACI)](raci-table.md) + [Grundkomponenten der AMS-Umgebung](basic-components.md) + [AMS-Kontolimits](account-limits.md) + [AMS-Servicelevel-Ziele (SLOs)](apx-slo.md) + [Unterstützte AWS Dienste](supported-services.md) + [Unterstützte Konfigurationen](supported-configs.md) + [Funktionen für nicht unterstützte Betriebssysteme in AMS](ams-unsupported-os.md) + [Erweiterte AMS-Schnittstellen](ams-interfaces.md) + [AMS VPC-Endpunkte](ams-endpoints.md) + [AMS-geschützte Namespaces](apx-namespaces.md) + [Reservierte AMS-Präfixe](ams-reserved-prefixes-2.md) + [AMS-Wartungsfenster](maintenance-win.md) # Funktionen des erweiterten Betriebsplans AMS von AWS Managed Services (AMS) AMS Advanced bietet die folgenden Funktionen für unterstützte AWS Dienste: + **Protokollierung, Überwachung, Leitplanken und Eventmanagement**: AMS konfiguriert und überwacht Ihre verwaltete Umgebung für die Protokollierung von Aktivitäten und definiert Warnmeldungen auf der Grundlage einer Vielzahl von Zustandsprüfungen. Warnmeldungen werden von AMS im Hinblick auf entsprechende AWS-Services untersucht, und solche, die sich negativ auf Ihre Nutzung dieser Services auswirken, führen zur Entstehung von Vorfällen. AMS aggregiert und speichert alle Protokolle, die als Ergebnis aller Operationen in CloudWatch CloudTrail, und Systemprotokolle in Amazon S3 generiert wurden. Sie können verlangen, dass zusätzliche Warnmeldungen eingerichtet werden. Zusätzlich zu den präventiven Kontrollen von AMS setzt AMS Konfigurationsleitplanken und Erkennungskontrollen ein, um Sie kontinuierlich vor Fehlkonfigurationen zu schützen, die die Betriebs- und Sicherheitsintegrität der verwalteten Konten beeinträchtigen könnten, und um Ihre Kontrollen wie Tagging und Compliance durchzusetzen. Wenn eine überwachte Steuerung erkannt wird, wird ein Alarm ausgelöst, der auf der Grundlage vordefinierter AMS-Standardwerte, die von Ihnen geändert werden können, zur Benachrichtigung, Änderung oder Kündigung von Ressourcen führt. + **Kontinuitätsmanagement** (Backup und Wiederherstellung): AMS bietet Backups von Ressourcen mithilfe der standardmäßigen, vorhandenen AWS-Backup-Funktionalität in einem von Ihnen festgelegten, geplanten Intervall. Wiederherstellungsaktionen aus bestimmten Snapshots können von AMS mit Ihrem RFC ausgeführt werden. Datenänderungen, die zwischen den Snapshot-Intervallen auftreten, liegen in Ihrer Verantwortung für die Sicherung. Sie können außerhalb der geplanten Intervalle einen RFC für Sicherungs- oder Snapshot-Anfragen einreichen. Falls die Availability Zone (AZ) in einer AWS Region nicht verfügbar ist, stellt AMS mit Ihrer Zustimmung die verwaltete Umgebung wieder her, indem neue Stacks auf der Grundlage von Vorlagen und verfügbaren EBS-Snapshots der betroffenen Stacks neu erstellt werden. + **Sicherheits** - und Zugriffsmanagement: AMS bietet Endpunktsicherheit (EPS), z. B. die Konfiguration von Viren- und Anti-Malware-Schutz. Sie können auch Ihr eigenes EPS-Tool und Ihre eigenen EPS-Prozesse verwenden und AMS nicht für EPS verwenden, indem Sie die Funktion Bring Your Own EPS (BYOEPS) verwenden. AMS konfiguriert auch AWS Standardsicherheitsfunktionen, die von Ihnen beim Onboarding genehmigt wurden, wie AWS Identity and Access Management (IAM-) Rollen und EC2 Amazon-Sicherheitsgruppen, und verwendet AWS Standardtools (z. B. Amazon Macie AWS Security Hub CSPM, Amazon GuardDuty), um Sicherheitsprobleme zu überwachen und darauf zu reagieren. Sie verwalten Ihre Benutzer über einen von Ihnen bereitgestellten zugelassenen Verzeichnisdienst. Eine Liste der zugelassenen Verzeichnisdienste finden Sie unter[Unterstützte Konfigurationen](supported-configs.md). AMS umfasst Endpoint Security (EPS), einschließlich Virenschutz (AV), und Anti-Malware-Schutz, Malware und Erkennung von Eindringlingen (Trend Micro). Sicherheitsgruppen werden pro Stack-Vorlage definiert und beim Start je nach Sichtbarkeit der Sicherheitsgruppen der Anwendung (öffentlich/privat) geändert. Der Zugriff auf Systeme wird über Change Management Requests for change () RFCs angefordert. Die Zugriffsverwaltung bietet Zugriff auf bestimmte Ressourcen wie EC2 Amazon-Instances AWS-Managementkonsole, die und APIs. Nachdem Sie beim Onboarding und beim Zusammenschluss mit AWS eine unidirektionale Vertrauensstellung mit einer AMS Microsoft Active Directory-Bereitstellung eingerichtet haben, können Sie Ihre vorhandenen Unternehmensanmeldedaten für alle Interaktionen verwenden. + **Patch-Verwaltung:** AMS wendet Updates für EC2 Instanzen für unterstützte Betriebssysteme (OSs) und Software an, auf denen unterstützte Betriebssysteme vorinstalliert sind, und installiert diese. Eine Liste der unterstützten Betriebssysteme finden Sie unter[Unterstützte Konfigurationen](supported-configs.md). AMS bietet zwei Modelle für das Patchen an: + AMS-Standard-Patch für herkömmliches kontobasiertes Patchen und + AMS Patch Orchestrator für tagbasiertes Patchen. Im AMS-Standard-Patch wählen Sie ein monatliches Wartungsfenster, in dem AMS die meisten Patching-Aktivitäten durchführt. AMS installiert *wichtige Sicherheitsupdates* außerhalb des ausgewählten Wartungsfensters (mit entsprechenden Benachrichtigungen) und *wichtige Updates* während des ausgewählten Wartungsfensters. AMS aktualisiert die Tools für das Infrastrukturmanagement zusätzlich während des ausgewählten Wartungsfensters. Sie können Stacks vom Patch-Management ausschließen oder Updates ablehnen, wenn Sie möchten. Mit AMS Patch Orchestrator wird von Ihnen ein standardmäßiges Wartungsfenster pro Konto definiert, in dem AMS Patching-Aktivitäten durchführen kann. Sie können zusätzliche benutzerdefinierte Wartungsfenster für AMS planen, um eine bestimmte, von Ihnen definierte Gruppe von Instanzen mit Tags zu patchen. AMS wendet alle verfügbaren Updates an, aber Sie können Updates filtern oder ablehnen, indem Sie eine benutzerdefinierte Patch-Baseline erstellen. Bei beiden Modellen gilt: Wenn Sie ein unter Patch Management bereitgestelltes Update genehmigen oder ablehnen, es sich aber später anders überlegen, sind Sie dafür verantwortlich, das Update über einen RFC zu initiieren. AMS verfolgt den Patch-Status von Ressourcen und hebt Systeme hervor, die im monatlichen Geschäftsbericht nicht aktuell sind. Das Patch-Management ist auf Stacks in der verwalteten Umgebung beschränkt, einschließlich aller von AMS verwalteten Anwendungen und unterstützten AWS-Services mit Patching-Funktionen (z. B. RDS). Um alle Arten von Infrastrukturkonfigurationen zu unterstützen, wenn ein Update veröffentlicht wird, aktualisiert AMS a) die EC2 Instance und b) stellt Ihnen ein aktualisiertes AMS-AMI zur Verfügung, das Sie verwenden können. Es liegt in Ihrer Verantwortung, alle zusätzlichen Anwendungen zu installieren, zu konfigurieren, zu patchen und zu überwachen, die oben nicht ausdrücklich behandelt wurden. + **Verwaltung von Änderungen**: Das AMS-Änderungsmanagement ist der Mechanismus, mit dem Sie Änderungen in Ihrer verwalteten Umgebung kontrollieren können. AMS verwendet eine Kombination aus präventiven und detektiven Kontrollen, um diesen Prozess zu vereinfachen, und bietet je nach ausgewähltem AMS-Modus ein unterschiedliches Maß an Kontrolle und damit verbundene Risiken. Alle Aktionen in Ihrer AMS-Umgebung sind angemeldet AWS CloudTrail. Weitere Informationen zu AMS Change Management und den verschiedenen Modi finden Sie im [AMS Change Management-Leitfaden](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) und [AMS-Modi](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-ug.html). + **Automatisiertes Bereitstellungsmanagement und Self-Service-Verwaltung**: Sie können AWS-Ressourcen auf AMS Advanced auf verschiedene Arten bereitstellen: + Änderungsanträge zur Bereitstellung und Konfiguration einreichen () RFCs + Bereitstellung über AWS Service Catalog + Bereitstellung im [Direct Change-Modus](https://docs.aws.amazon.com/managedservices/latest/userguide/direct-change-mode.html) + Bereitstellung im [Entwicklermodus](https://docs.aws.amazon.com/managedservices/latest/userguide/developer-mode.html). Denken Sie daran, dass die im Entwicklermodus erstellten Ressourcen nicht von AMS verwaltet werden. + Konfigurieren Sie AWS-Services direkt mithilfe von Self-Service Provisioning für Select AWS-Services (siehe[Unterstützte AWS Dienste](supported-services.md)). + Verwaltung von **Vorfällen**: AMS benachrichtigt Sie proaktiv über Vorfälle, die von AMS entdeckt wurden. AMS reagiert sowohl auf von Kunden eingereichte als auch auf von AMS generierte Vorfälle und behebt Vorfälle auf der Grundlage der Priorität des Vorfalls. Sofern nicht anders von Ihnen angewiesen, werden Vorfälle, die von AMS als Risiko für die Sicherheit Ihrer verwalteten Umgebung eingestuft werden, sowie Vorfälle im Zusammenhang mit der Verfügbarkeit von AMS und anderen AWS-Services proaktiv behandelt. AMS ergreift Maßnahmen bei allen anderen Vorfällen, sobald Ihre Genehmigung eingegangen ist. Wiederkehrende Vorfälle werden durch den Problemmanagementprozess behoben. + **Problemmanagement**: AMS führt Trendanalysen durch, um Probleme zu identifizieren und zu untersuchen und die Grundursache zu ermitteln. Probleme werden entweder durch eine Behelfslösung oder durch eine dauerhafte Lösung behoben, die ein erneutes Auftreten ähnlicher future Auswirkungen auf den Service verhindert. Sobald das Problem behoben ist, kann für jeden Vorfall mit hoher Wahrscheinlichkeit ein Bericht nach dem Vorfall (PIR) angefordert werden. Der PIR erfasst die Grundursache und die ergriffenen Präventivmaßnahmen, einschließlich der Umsetzung präventiver Maßnahmen. + **Berichterstattung:** AMS stellt Ihnen einen monatlichen Servicebericht zur Verfügung, der die wichtigsten Leistungskennzahlen von AMS zusammenfasst, darunter eine Zusammenfassung und Einblicke, betriebliche Kennzahlen, verwaltete Ressourcen, Einhaltung der AMS Service Level Agreements (SLA) und Finanzkennzahlen zu Ausgaben, Einsparungen und Kostenoptimierung. Die Berichte werden vom AMS Cloud Service Delivery Manager (CSDM) bereitgestellt, der Ihnen zugewiesen wurde. + **Verwaltung von Serviceanfragen**: Um Informationen über Ihre verwaltete Umgebung, AMS oder AWS Serviceangebote anzufordern, reichen Sie Serviceanfragen über die AMS-Konsole ein. Sie können eine Serviceanfrage mit Anleitungen zu AWS Diensten und Funktionen oder zur Anforderung zusätzlicher AMS-Services einreichen. + **Servicedesk**: AMS besetzt den technischen Betrieb mit Vollzeitmitarbeitern von Amazon, um nicht automatisierte Anfragen zu bearbeiten, einschließlich Incident Management, Service Request Management und Change Management. Der Service Desk ist rund um die Uhr an 365 Tagen im Jahr geöffnet. + **Vorgesehene Ressourcen**: Jedem Kunden werden ein Cloud Service Delivery Manager (CSDM) und ein Cloud Architect (CA) zugewiesen. + CSDMs kann direkt kontaktiert werden. In allen Phasen der Implementierung, der Migration und des betrieblichen Lebenszyklus führen sie Serviceprüfungen durch und bieten Berichte und Einblicke in die Bereitstellung. CSDMs führen monatliche Geschäftsüberprüfungen durch und führen detaillierte Angaben zu finanziellen Ausgaben, Empfehlungen zur Kosteneinsparung, zur Nutzung der Dienste und zur Risikoberichterstattung durch. Sie befassen sich eingehend mit Statistiken zur betrieblichen Leistung und geben Empfehlungen zu Verbesserungsmöglichkeiten. + CAs können direkt kontaktiert werden und bieten technisches Fachwissen, um Ihnen zu helfen, Ihre AWS Cloud-Nutzung zu optimieren. Zu den Aktivitäten von CA gehören beispielsweise die Auswahl von Workloads für die Migration, die Unterstützung beim Onboarding zusätzlicher Konten und Workloads, die technische Leitung bei betrieblichen Aktivitäten wie Spieltagen, Notfallwiederherstellungstests, Problemmanagement und technische Beratung, um das Beste aus AMS herauszuholen und. AWS CAs fördern technische Diskussionen auf allen Ebenen Ihres Unternehmens und unterstützen Sie beim Incident-Management, beim Eingehen von Kompromissen, bei der Festlegung von Best Practices und bei der Minimierung technischer Risiken. + **Entwicklermodus:** Mit dieser Funktion können Sie Infrastrukturentwürfe und -bereitstellungen innerhalb von AMS-konfigurierten Konten [1] schnell iterieren, indem Sie neben dem Zugriff auf den AMS-Change-Management-Prozess auch direkten Zugriff auf den AWS-Service APIs und die AWS-Konsole gewähren. Ressourcen, die außerhalb des Change-Management-Prozesses mit Berechtigungen im Entwicklermodus bereitgestellt oder konfiguriert wurden, liegen in Ihrer Verantwortung (siehe „Automatisiertes Bereitstellungsmanagement und Self-Service-Bereitstellungsmanagement“). Ressourcen, die über den AMS-Change-Management-Prozess bereitgestellt werden, werden wie andere vom Change Management bereitgestellte Workloads auf AMS unterstützt. + **AWS-Unterstützung**: AMS-Kunden können die Stufe des AWS-Supports wählen, die sie zur Ergänzung ihres AMS Operations-Plans benötigen. Bei AMS registrierte Konten können entweder Business Support oder Enterprise Support abonniert werden. Weitere Informationen zu den Unterschieden bei den Supportplänen finden Sie unter [AWS-Supportpläne](https://aws.amazon.com/premiumsupport/plans/). + **Vom Kunden verwaltetes Konto**: Mit dieser Funktion können Sie AWS-Konten in derselben verwalteten Umgebung anfordern, aber der laufende Betrieb von Workloads und AWS-Ressourcen innerhalb dieser Konten liegt in Ihrer Verantwortung. AMS stellt vom Kunden verwaltete Konten bereit, aber sobald die Konten erstellt wurden, werden für diese Konten keine weiteren AMS-Funktionen oder -Services bereitgestellt. AWS registriert keine von Kunden verwalteten Konten für Premium-Support auf Unternehmensebene. Es liegt in Ihrer Verantwortung, kundenverwaltete Konten für den AWS-Support zu dem von Ihnen gewählten Support-Tarif zu registrieren. + **Firewall-Verwaltung**: AMS bietet eine optionale verwaltete Firewall-Lösung für unterstützte Firewall-Dienste, die die Filterung von ausgehendem Internetverkehr für Netzwerke in Ihrer verwalteten Umgebung ermöglicht. Davon ausgenommen sind öffentlich zugängliche Dienste, die die AWS-Netzwerkinfrastruktur nicht nutzen und deren Datenverkehr direkt ins Internet geht. Die Lösung kombiniert branchenführende Firewall-Technologie mit AMS-Infrastrukturmanagementfunktionen zur Bereitstellung, Überwachung, Verwaltung, Skalierung und Wiederherstellung der Firewall-Infrastruktur. Wenn Sie AMS einbinden, erhalten Sie eine vollständige Liste Ihrer AMS-Netzwerkinfrastruktur. Um jederzeit eine aktualisierte Liste der Dienste zu erhalten, die zur Unterstützung Ihrer AMS-Infrastruktur ausgeführt werden, reichen Sie eine Serviceanfrage mit Einzelheiten zu den gewünschten Informationen ein. Um eine Änderung Ihres Netzwerkdesigns anzufordern, erstellen Sie eine Serviceanfrage, in der die Änderungen beschrieben werden, die Sie vornehmen möchten, z. B. das Hinzufügen einer VPC oder die Anforderung einer Änderung der Sicherheitsgruppenregel. # Was wir tun, was wir nicht tun AMS bietet Ihnen einen standardisierten Ansatz für die Bereitstellung der AWS-Infrastruktur und bietet das erforderliche kontinuierliche Betriebsmanagement. Eine vollständige Beschreibung der Rollen, Verantwortlichkeiten und unterstützten Services finden Sie in der [Servicebeschreibung](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html). **Anmerkung** Um AMS aufzufordern, einen zusätzlichen AWS-Service bereitzustellen, reichen Sie eine Serviceanfrage ein. Weitere Informationen finden Sie unter [Serviceanfragen stellen](https://docs.aws.amazon.com/managedservices/latest/userguide/mk-service-requests.html). + **Was wir tun**: Nachdem Sie das Onboarding abgeschlossen haben, können Sie in der AMS-Umgebung Änderungsanfragen (RFCs), Incidents und Serviceanfragen entgegennehmen. Ihre Interaktion mit dem AMS-Service dreht sich um den Lebenszyklus eines Anwendungsstapels. Neue Stacks werden anhand einer vorkonfigurierten Liste von Vorlagen bestellt, in bestimmten Virtual Private Cloud (VPC) -Subnetzen gestartet, während ihrer Betriebsdauer durch Änderungsanforderungen (RFCs) geändert und rund um die Uhr auf Ereignisse und Vorfälle überwacht. Aktive Anwendungs-Stacks werden von AMS überwacht und verwaltet, einschließlich Patches, und erfordern während der gesamten Lebensdauer des Stacks keine weiteren Maßnahmen, es sei denn, eine Änderung ist erforderlich oder der Stack wird außer Betrieb genommen. Von AMS festgestellte Vorfälle, die den Zustand und die Funktion des Stacks beeinträchtigen, wird eine Benachrichtigung generiert. Möglicherweise müssen Sie Maßnahmen ergreifen, um diese zu beheben oder zu überprüfen. Fragen zu Anleitungen und andere Anfragen können gestellt werden, indem Sie eine Serviceanfrage einreichen. Darüber hinaus können Sie mit AMS kompatible AWS-Services aktivieren, die nicht von AMS verwaltet werden. Informationen zu AWS-AMS-kompatiblen Diensten finden Sie unter [Self-Service-Bereitstellungsmodus](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-up-compatible.html).   + **Was wir NICHT tun**: AMS vereinfacht zwar die Anwendungsbereitstellung durch die Bereitstellung einer Reihe manueller und automatisierter Optionen, Sie sind jedoch für die Entwicklung, das Testen, die Aktualisierung und das Management Ihrer Anwendung verantwortlich. AMS bietet Unterstützung bei der Behebung von Infrastrukturproblemen, die sich auf Anwendungen auswirken, AMS kann jedoch nicht auf Ihre Anwendungskonfigurationen zugreifen oder diese validieren. # AMS-Verantwortungsmatrix (RACI) **Anmerkung** Um seinen Verpflichtungen rechtzeitig nachzukommen, benötigt AWS Managed Services (AMS) möglicherweise Eingaben von Ihnen, um über eine angemessene Vorgehensweise zu entscheiden. AMS wird sich mit dem zuständigen Kundenkontakt in Verbindung setzen, um all diese Klarstellungen und Informationen zu erhalten. AMS erwartet eine Antwort auf solche Anfragen innerhalb von 24 Geschäftsstunden. Falls innerhalb von 24 Geschäftsstunden keine Antwort erfolgt, kann AMS in Ihrem Namen eine Maßnahme ergreifen. In der AMS-Matrix „Verantwortliche, Rechenschaftspflichtige, Konsultierte und Informierte“ (RACI) wird die Hauptverantwortung für eine Vielzahl von Aktivitäten entweder dem Kunden oder AMS übertragen. AMS verwaltet Ihre AWS-Infrastruktur. Die folgende Tabelle bietet einen Überblick über die Verantwortlichkeiten von Kunde und AMS für Aktivitäten im Lebenszyklus einer Anwendung, die in einer von AMS verwalteten Umgebung ausgeführt wird. AMS ist nicht verantwortlich für die folgenden Aktivitäten im Zusammenhang mit vom Kunden verwalteten Konten oder der darin ausgeführten Infrastruktur. Daher ist dieser RACI nicht anwendbar. + **R** steht für verantwortliche Partei, die die Arbeit zur Erfüllung der Aufgabe erledigt. + **C** steht für konsultiert; eine Partei, deren Meinung eingeholt wird, in der Regel als Fachexperten, und mit der bilaterale Kommunikation besteht. + **I** steht für informiert, d. h. eine Partei, die über den Fortschritt informiert wird, oft erst, wenn die Aufgabe oder das Ergebnis abgeschlossen ist. + **Self-Service Provisioning** bezieht sich auf Ressourcen, die vom Kunden mit Self-Service über die AWS API oder die Konsole bereitgestellt werden, einschließlich Entwicklermodus und Self-Service Provisioned Services. **Anmerkung** Einige Abschnitte enthalten „R“ sowohl für AMS als auch für Kunden. Dies liegt daran, dass im Modell der AWS gemeinsamen Verantwortung sowohl AMS als auch die Kunden gemeinsam Verantwortung übernehmen, um Infrastruktur- und Anwendungsprobleme zu lösen. Um Self-Service-Bereitstellungsfunktionen bereitzustellen, hat AMS erweiterte IAM-Rollen mit Rechtegrenzen eingerichtet, um unbeabsichtigte Änderungen durch direkten Servicezugriff zu verhindern. AWS Rollen verhindern nicht alle Änderungen, und Sie sind dafür verantwortlich, Ihre internen Kontrollen und die Einhaltung der Vorschriften einzuhalten und sicherzustellen, dass alle in AWS Anspruch genommenen Dienste die erforderlichen Zertifizierungen erfüllen. Wir nennen dies den Self-Service-Bereitstellungsmodus. [Einzelheiten zu den AWS Compliance-Anforderungen finden Sie unter AWS Compliance.](https://aws.amazon.com/compliance/) Für Ressourcen, die Sie über Self-Service bereitstellen, bietet AMS Vorfallmanagement, detektive Kontrollen und Leitplanken, Berichterstattung, zugewiesene Ressourcen (Cloud Service Delivery Manager und Cloud Architect), Sicherheit und Zugriff sowie technischen Support bei Serviceanfragen. Darüber hinaus übernehmen Sie gegebenenfalls die Verantwortung für das Kontinuitätsmanagement, das Patch-Management, die Infrastrukturüberwachung und das Änderungsmanagement für Ressourcen, die außerhalb des AMS-Change-Management-Systems bereitgestellt oder konfiguriert wurden. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/raci-table.html) 8 AMS bietet EC2 nur AMIs für Amazon 9 AMS ist OSes nur dann für End of Life verantwortlich, wenn der Kunde eine erweiterte Support-Vereinbarung mit dem Betriebssystemanbieter unterzeichnet # Grundkomponenten der AMS-Umgebung ------ #### [ Multi-Account Landing Zone ] Dies ist eine Schätzung der Komponenten und potenziellen Kosten der Infrastruktur in den Kernkonten. Andere Kosten wie Bandbreite, CloudWatch detaillierte Überwachung, Protokollierung, Alarme, Route53, Amazon S3, Simple Notification Service (Amazon SNS), Snapshots oder reservierte Amazon-Instances sind nicht enthalten. EC2 Sie zahlen für die Komponenten, die für die von AMS verwaltete AWS-Landingzone-Infrastruktur benötigt werden. Schätzungen zufolge belaufen sich die Kosten für eine einfache AMS-Landezone-Umgebung mit mehreren Konten auf 2.450 USD pro Monat und 50 USD für ein einfaches Anwendungskonto. Informationen zu den Preisen finden Sie unter [AWS-Preise](https://aws.amazon.com/pricing/). **Grundlegende Umgebungskomponenten** | Komponente | Est. Kosten | Beschreibung | | --- | --- | --- | | Verwaltungskonto | 60\$1 | Ein AWS Organizations Management-Konto; erstellt und verwaltet Mitgliedskonten finanziell. Es enthält das AWS Landing Zone (ALZ) -Framework, Kontokonfigurationsstapelsätze und AWS Organization Service Control-Richtlinien (SCPs). [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/basic-components.html) | | Konto für gemeinsame Dienste | 2000 USD | Enthält die Infrastruktur und die Ressourcen, die für die Zugriffsverwaltung (d. h. Active Directory), die Endpunktsicherheitsverwaltung (Trend Micro) und Ihre Bastionen (SSH/RDP) erforderlich sind. Die Schätzung liegt bei 2400\$1 pro Monat. In dieser Schätzung sind die Kosten für die Trend Micro Lizenzen nicht enthalten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/basic-components.html) | | Netzwerkkonto | 350\$1 | Der zentrale Knotenpunkt für Netzwerk-Routing zwischen AMS-Konten, Ihrem lokalen Netzwerk und ausgehendem Datenverkehr ins Internet. Enthält außerdem öffentliche DMZ-Bastionen (den Zugangspunkt für AMS-Techniker, um auf Hosts in Ihrer AMS-Umgebung zuzugreifen). Der Preis kann sich je nach Verkehr über das Transit Gateway und Direct Connect erhöhen. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/basic-components.html) | | Konto protokollieren | 20\$1 | Ein S3-Bucket mit Kopien der AWS CloudTrail - und AWS Config-Protokolldateien von jedem Ihrer AMS-Umgebungskonten. Die Kosten steigen, je mehr Protokolle gesammelt werden. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/basic-components.html) | | Sicherheitskonto | 20\$1 | Die zentrale Anlaufstelle für sicherheitsrelevante Operationen und die zentrale Anlaufstelle für die Weiterleitung von Benachrichtigungen und Warnmeldungen an die AMS-Steuerflugzeugdienste. Enthält außerdem das Amazon Guard Duty-Verwaltungskonto. Die Kosten steigen, da mehr Ereignisse mit Amazon analysiert werden GuardDuty. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/basic-components.html) | ------ #### [ Single-Account Landing Zone ] In der folgenden Tabelle sind die Komponenten einer von AMS verwalteten Beispielinfrastruktur aufgeführt. **Grundlegende Umgebungskomponenten, letzte Aktualisierung 2020/07/09** | Name | Instance-Typ | BS | Anzahl der Komponenten | | --- | --- | --- | --- | | mc-eps-dsm | m5.large | Linux | 2 | | MC-Management | m5.large | Windows | 2 | | mc-bastion-dmz-ssh | m5.large | Linux | 2 | | mc-bastion-customer-rdp | m5.large | Windows | 2 | | mc-eps-relay | m5.large | Linux | 2 | | Verzeichnisdienste | N/A | N/A | | | zusätzliche Komponenten | N/A | N/A | | Informationen zu den Preisen finden Sie unter [AWS-Preise](https://aws.amazon.com/pricing/). ------ # AMS-Kontolimits In der AMS-Landezone mit mehreren Konten sind drei verschiedene Arten von Limits zu berücksichtigen: AMS-API-Limits, AMS-Ressourcenlimits und AWS-Limits. In der landing zone für ein einzelnes Konto sind zwei unterschiedliche Arten von Beschränkungen zu berücksichtigen: AMS-API-Limits und AWS-Limits. ## API-Beschränkungen für AMS-Konten In diesem Abschnitt werden die Grenzwerte auf Kontoebene beschrieben, nach deren Ablauf AWS Managed Services (AMS) den AMS SKMS API-Service drosselt. Das heißt, wenn Sie einen der aufgelisteten Anrufe APIs mehr als 10 Mal pro Sekunde aufrufen, wird einer der Anrufe „gedrosselt“ (Sie erhalten eine). `ThrottleException` In seltenen Fällen kann eine externe oder nachgelagerte Abhängigkeit die AMS-API drosseln und dann kann AMS Ihre API-Aufrufe mit einer möglicherweise niedrigeren Geschwindigkeit drosseln. **Anmerkung** Für Informationen zur AMS SKMS-API laden Sie die Referenz über den Tab **Berichte** der AWS Artifact-Konsole herunter. Für jede aufgelistete AMS SKMS-API wird der Vorgang nach 10 TPS (Transaktionen pro Sekunde) gedrosselt: + `GetStack` + `GetSubnet` + `GetVpc` + `ListAmis` + `ListStackSummaries` + `ListSubnetSummaries` + `ListVpcSummaries` ## Ressourcenlimits für AMS-Landingzone-Konten mit mehreren Konten Die Ressourcenlimits für Konten beziehen sich auf AMS-Landingzone-Anwendungskonten VPCs und Subnetze mit mehreren Konten. ### Ressourcenbeschränkungen für Anwendungskonten Es gibt ein Soft-Limit von 50 Anwendungskonten pro Organisation. Wenn Sie einen Anwendungsfall für mehr als 50 Anwendungskonten haben, wenden Sie sich an Ihren Cloud Service Delivery Manager (CSDM), um Ihre Anforderungen mitzuteilen. ### VPCs und Ressourcenbeschränkungen für Subnetze Es gibt ein Soft-Limit von 10 VPCs pro Anwendungskonto innerhalb der vordefinierten AWS-Region für das Unternehmen. Jede VPC kann über 1 bis 10 private Subnetzstufen verfügen, die sich über 2 bis 3 Verfügbarkeitszonen erstrecken. Darüber hinaus kann jede VPC über 0 bis 5 öffentliche Subnetzstufen verfügen, die sich über 2 bis 3 Verfügbarkeitszonen erstrecken. Wenn Sie Anforderungen haben, die über diese Grenzen hinausgehen, informieren Sie Ihren CSDM oder Cloud Architect, um Ihren Anwendungsfall zu überprüfen. ### Verhältnis zwischen Anmeldung landing zone Konto für mehrere Konten bei AMS In der AMS-Landezone mit mehreren Konten wird ein Konto pro Anwendung unterstützt. Für jedes Anwendungskonto fallen jedoch geringe Kosten an, und Ihnen werden die Anzahl der Verbindungen zum Transit Gateway pro Stunde und die Menge des Datenverkehrs, der über AWS Transit Gateway fließt, in Rechnung gestellt. Je stärker also die Anwendungen auf Konten aufgeteilt sind VPCs, desto höher sind die Kosten. Um die Kosten zu senken und dennoch eine angemessene Aufgabentrennung zu gewährleisten, empfiehlt AMS, 1) Anwendungen nach Teams mit eng miteinander verknüpften Geschäftsprozessen zu gruppieren und 2) Anwendungen, die sich in unterschiedlichen Phasen (Produktion oder Nicht-Produktion) befinden oder von unterschiedlichen Teams verwaltet werden, nicht miteinander zu vermischen. Auf diese Weise haben Sie weniger Konten, die Zugriffsverwaltung und die Aufgabentrennung werden einfacher, und die Verkehrskosten könnten gesenkt werden. Ein Beispiel: Ein Unternehmen produziert eine Trading-Anwendung und eine Portfoliomanagement-Anwendung. Beide Anwendungen werden vom IT-Team für Investitionen verwaltet und tauschen viel Traffic miteinander aus. In diesem Szenario kann das Unternehmen davon profitieren, beide Anwendungen in demselben Konto und derselben VPC zu gruppieren, da das IT-Team für Investitionen keinen Zugriff auf mehrere Anwendungskonten beantragen muss und das Unternehmen dadurch Traffic-Kosten spart. In diesem Fall sollte das Unternehmen ein weiteres Konto für dieselben Anwendungen einrichten, die sich in der Entwicklungsphase befinden, und dem Entwicklungsteam Zugriff gewähren. In einem anderen Szenario produziert das Unternehmen derzeit eine Lohn- und Gehaltsabrechnungsanwendung und eine Buchhaltungsanwendung, die jeweils von den IT- und Buchhaltungs-IT-Teams verwaltet werden. Obwohl die Lohnbuchhaltungsanwendung Informationen mit der Buchhaltungsanwendung austauschen muss, empfehlen wir, beide Anwendungen in verschiedene Konten zu unterteilen, eines pro Team, und über das Netzwerkkonto eine Verbindung zwischen beiden Anwendungen VPCs herzustellen. Auf diese Weise verhindert das Unternehmen, dass das IT-Team der Personalabteilung Änderungen anfordert, die sich auf die Infrastruktur der Buchhaltungsanwendungen auswirken, von denen es nichts weiß. Tipps zur Gruppierung von Konten in Organisationseinheiten (OUs). Eine OU ist ein logischer Gruppierungsmechanismus, der es Ihnen ermöglicht, Konten zu kategorisieren (zu gruppieren) und Richtlinien und Konfigurationen auf der Grundlage dieser Gruppen anzuwenden. Der empfohlene Ansatz für die Erstellung OUs besteht darin, sie auf Richtlinien zu stützen, die auf eine bestimmte Gruppe von Konten angewendet werden müssen, und nicht auf der internen Hierarchie der Teams innerhalb Ihrer Berichtsstruktur. Eine Organisationseinheit entspricht nicht der Organisationseinheit eines Active Directory, und von dem Versuch, die AD-Organisationseinheitenstruktur darin zu replizieren, AWS Organizations wird abgeraten, da dies zu einer schwierig zu verwaltenden Betriebsstruktur führt. and/or ## AWS Kontogrenzen AWS Kontolimits gelten für Ihre AWS Managed Services (AMS) -Konten. Die einfachste Methode, Standard- und aktuelle Grenzwerte für AWS Dienste zu ermitteln, ist die Nutzung von [AWS Service Quotas.](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) AMS empfiehlt, die Größe der einzelnen Dienstlimits an die Größe anzupassen, die für die Ausführung der Dienste im Konto erforderlich ist. Limits wirken wie Leitplanken, um Ihre Konten zu schützen, was die Sicherheit und die Kosten angeht. Wenn Sie ein bestimmtes Limit erhöhen möchten, reichen Sie eine Serviceanfrage bei AMS ein, und AMS Operations erhöht das Limit in Ihrem Namen. Das Standardlimit (oder Kontingent) für RDS-Instances ist beispielsweise 40; wenn Ihr Workload 50 RDS-Instances erfordert, stellen Sie eine Serviceanfrage an AMS Operations, um das Limit auf den gewünschten Wert anzuheben. # AMS-Servicelevel-Ziele (SLOs) In der folgenden Tabelle werden die Ziele des AWS Managed Services (AMS) -Service beschrieben. Service Level Agreements (SLAs) für andere Aspekte des AMS-Service, einschließlich Incident Management, werden in dem SLA-Dokument behandelt, das Ihnen bei Ihrem AMS-Abonnement ausgehändigt wurde. Für weitere Informationen wenden Sie sich an Ihren CSDM. **Ziele des AMS Service Levels** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/apx-slo.html) # Unterstützte AWS Dienste AWS Managed Services (AMS) bietet Support-Services für das Betriebsmanagement für die folgenden AWS Services. Jeder AWS Service ist anders, weshalb das Niveau des Betriebsmanagements und der Support von AMS je nach Art und Merkmalen des zugrunde liegenden AWS Services variieren. Spezifische AWS Dienste werden auf der Grundlage der Komplexität und des Umfangs der von AMS erbrachten Unterstützungsdienste für das Betriebsmanagement gruppiert. **Anmerkung** Die drei Gruppen A, B und C geben die Preise als Prozentsatz der gesamten monatlichen Ausgaben pro Konto für den AMS-Service auf der Grundlage des Supportplans (Plus oder Premium) für AMS-Kunden vor dem 16. März 2021 an. AMS-Kunden, die nach dem 16. März 2021 an Bord gegangen sind, sollten eine Serviceanfrage für zusätzliche Preisinformationen stellen. Gruppe A gibt an, dass keine zusätzlichen Gebühren anfallen. Gruppe B gibt eine zusätzliche Gebühr von 12% (Plus) oder 18% (Premium) an. Gruppe C gibt eine zusätzliche Gebühr von 25% (Plus) oder 42% (Premium) an. Ein Stern (\$1) steht für Dienste, die in einer AMS-verwalteten Umgebung von einem Kunden mithilfe der AWS Konsole und bereitgestellt APIs werden. Weitere Informationen zur Verantwortung des Kunden bei der Bereitstellung und Konfiguration von Diensten auf diese Weise [Funktionen des erweiterten Betriebsplans AMS von AWS Managed Services (AMS)](features.md) finden Sie unter „Automatisiertes Bereitstellungsmanagement und Self-Service-Bereitstellungsmanagement“. Zwei Sterne (\$1\$1) bedeuten, dass Amazon EC2 on als Service der Gruppe B abgerechnet AWS Outposts wird. Alle anderen Ressourcen, die auf gehostet werden, AWS Outposts werden zum Standardtarif abgerechnet. **Unterstützte Dienste AWS** | Gruppe A | Gruppe B | Gruppe C | | --- | --- | --- | | 
Amazon Alexa for Business*
Amazon Managed Streaming for Apache Kafka*
Amazon CloudFront
Amazon Elastic File System
Amazon Glacier
Amazon Simple Storage Service
AWS Amplify*
AWS AppMesh*
AWS Auto Scaling
AWS Backup
AWS CloudFormation
AWS Compute Optimizer
AWS Global Accelerator*
AWS Identity and Access Management
AWS License Manager*
AWS Management Console
AWS Marketplace
AWS Lake Formation*
AWS Well Architected Tool*
VM Import/ Export*
| 
Amazon API Gateway*
Amazon AppStream*
Amazon Athena*
Amazon Bedrock*
Amazon CloudSearch*
Amazon Cognito*
Amazon Comprehend*
Amazon Connect*
Amazon Document DB (with MongoDB compatibility)*
Amazon DynamoDB*
Amazon EC2 Container Registry (ECR)*
Amazon Elastic Container Service (ECS) on AWS Fargate*
Amazon Elastic Kubernetes Service (EKS) on Fargate*
Amazon Elemental MediaConvert*
Amazon Elemental MediaPackage*
Amazon Elemental MediaStore*
Amazon Elemental MediaTailor*
Amazon Elastic MapReduce*
AmazonEventBridge*
Amazon Forecast*
Amazon FSx*
Amazon Inspector*
Amazon Kendra*
Amazon Kinesis Analytics*
Amazon Kinesis Data Stream*
Amazon Kinesis Firehose*
Amazon Kinesis Video Streams*
Amazon Lex*
Amazon Managed Service for Prometheus*
Amazon MQ*
Amazon Personalize**
Amazon Quantum Ledger Database (QLDB)*
Amazon QuickSight*
Amazon Rekognition* 
Amazon SageMaker*
Amazon SimpleDB*
Amazon Simple Workflow*
Amazon Textract*
Amazon Transcribe*
Amazon Translate*
Amazon WorkSpaces*
AWS AppSync*
AWS Audit Manager*
AWS Batch*
AWS Certificate Manager*
AWS CloudEndure*
AWS CloudHSM*
AWS CodeBuild*
AWS CodeCommit*
AWS CodeDeploy*
AWS CodePipeline*
AWS DataSync*
AWS Elemental MediaLive*
AWS Glue*
AWS Lambda*
AWS MigrationHub*
AWS Outposts**
AWS Resilience Hub*
AWS Secrets Manager*
AWS Security Hub*
AWS Service Catalog
AWS Service Catalog AppRegistry*
AWS Transfer for SFTP*
AWS Shield*
AWS Snowball*
AWS Step Functions*
AWS Transit Gateway*
AWS WAF*
AWS X-Ray*
| 
Amazon Aurora
Amazon CloudWatch
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud**
Amazon Elastic Load Balancing (classic, application, and network; not gateway)
Amazon ElastiCache
Amazon OpenSearch Service
Amazon GuardDuty
Amazon Macie
Amazon Redshift
Amazon Relational Database Service
Amazon Route 53
Amazon Route 53 Resolver DNS Firewall
Amazon Simple Email Service
Amazon Simple Notification Service
Amazon Simple Queue Service
Amazon Virtual Private Cloud (VPC)
AWS CloudTrail
AWS Config
AWS Database Migration Service
AWS Data Transfer
AWS Direct Connect
AWS Directory Service
AWS Key Management Service
AWS Systems Manager (SSM)
| Wenn Sie AWS Managed Services mit der Bereitstellung von Services für Software oder Services beauftragen, die im Folgenden nicht ausdrücklich als unterstützt gekennzeichnet sind, werden alle AWS Managed Services, die für solche vom Kunden angeforderten Konfigurationen bereitgestellt werden, gemäß den Servicebedingungen als „Beta-Service“ behandelt. # Unterstützte Konfigurationen Dies sind die Konfigurationen, die AWS Managed Services (AMS) unterstützt: + Sprache: AMS ist in englischer Sprache verfügbar. + Firewall-Dienste: + DNS-Firewall mit Amazon Route 53-Resolver + Firewall der nächsten Generation der Palo Alto VM-Serie + Sicherheitssoftware: Deep Security von Trend Micro (erforderlich). AWS Marketplace: [Trend Micro Deep Security](https://aws.amazon.com/marketplace/pp/B01AVYHVHO?ref_=srh_res_product_title) + Zugelassene Verzeichnisdienste: Microsoft Active Directory (AD) + [Unterstützte AWS Dienste](supported-services.md). + Unterstützte AWS Regionen: AMS ist in einer Untergruppe aller AWS Regionen tätig, das AMS API/CLI wird jedoch nur in der Region „USA Ost (Nord-Virginia)“ betrieben. Wenn Sie entweder die AMS Change Management API (`amscm`) oder die AMS Service Knowledge Management API (`amsskms)`, in einer Region außerhalb der USA Ost) ausführen, müssen Sie den Befehl ergänzen`--region us-east-1`. + USA Ost (Virginia) + USA West (Nordkalifornien) + USA West (Oregon) + USA Ost (Ohio) + Kanada (Zentral) + Südamerika (São Paulo) + EU (Irland) + EU (Frankfurt) + EU (London) + EU West (Paris) + Asien-Pazifik (Mumbai) + Asia Pacific (Seoul) + Asien-Pazifik (Singapur) + Asien-Pazifik (Sydney) + Asien-Pazifik (Tokio) + Amazon Machine Images (AMIs): AMS bietet sicherheitsoptimierte Images (AMIs), die auf dem CIS Level 1-Benchmark basieren, für eine Untergruppe von Betriebssystemen, die von AMS unterstützt werden. Informationen zu Betriebssystemen, für die ein Image mit verbesserter Sicherheit verfügbar ist, finden Sie im *AMS Security User Guide*. Um auf dieses Handbuch zuzugreifen AWS Artifact, filtern Sie unter die Registerkarte **Berichte** nach AWS Managed Services. Um darauf zuzugreifen AWS Artifact, wenden Sie sich an Ihren CSDM oder lesen Sie unter [Erste Schritte mit AWS Artifact](https://aws.amazon.com/artifact/getting-started) nach. + Unterstützte Betriebssysteme: **Unterstützte Betriebssysteme (x86-64)** + Amazon Linux 2023 + Amazon Linux 2 (**voraussichtliches Enddatum des AMS-Supports am 30. Juni 2026)** + Oracle Linux 9.x, 8.x + RedHat Enterprise Linux (RHEL) 9.x, 8.x + SUSE Linux Enterprise Server 15 SP6 + SUSE Linux Enterprise Server für SAP 15 SP3 und höher + Microsoft Windows Server 2022, 2019, 2016 + Ubuntu 20.04, 22.04, 24.04 **Unterstützte Betriebssysteme () ARM64** + Amazon Linux 2023 + Amazon Linux 2 (**voraussichtliches Enddatum des AMS-Supports am 30. Juni 2026)** + Unterstützte Betriebssysteme mit End of Support (EOS): **Anmerkung** Betriebssysteme mit Ende des Support (EOS) laufen außerhalb des allgemeinen Supportzeitraums des Betriebssystemherstellers und bergen ein erhöhtes Sicherheitsrisiko. EOS-Betriebssysteme gelten nur dann als unterstützte Konfigurationen, wenn für AMS erforderliche Agenten das Betriebssystem unterstützen und... Sie haben einen erweiterten Support mit dem Betriebssystemanbieter abgeschlossen, der es Ihnen ermöglicht, Updates zu erhalten, oder alle Instanzen, die ein EOS-Betriebssystem verwenden, befolgen die [Sicherheitskontrollen](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html#CritRec), die von AMS im Advanced User Guide beschrieben wurden, oder Sie halten sich an alle anderen von AMS geforderten ausgleichenden Sicherheitskontrollen. Falls AMS nicht mehr in der Lage ist, ein EOS-Betriebssystem zu unterstützen, gibt AMS eine [wichtige Empfehlung](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html#CritRec) zur Aktualisierung des Betriebssystems heraus. Zu den für AMS erforderlichen Agenten gehören unter anderem: Amazon AWS Systems Manager CloudWatch, Endpoint Security (EPS) -Agent und Active Directory (AD) Bridge (nur Linux). + Ubuntu Linux 18.04 + SUSE Linux Enterprise Server 15 SP3 und SP4 SP5 + SUSE Linux Enterprise Server für SAP 15 SP2 + SUSE Linux Enterprise Server 12 SP5 + SUSE Linux Enterprise Service für SAP 12 SP5 + Microsoft Windows Server 2012/2012 R2 + RedHat Enterprise Linux (RHEL) :7.x + Oracle Linux 7.5-7.9 # Funktionen für nicht unterstützte Betriebssysteme in AMS Ein *nicht unterstütztes* Betriebssystem ist jedes Betriebssystem, das nicht in der aufgeführt ist. [Unterstützte Konfigurationen](supported-configs.md) AMS betrachtet Instances mit nicht unterstützten Betriebssystemen als „vom Kunden angeforderte Konfigurationen“, die den Nutzungsbedingungen für [AWS Betas und](https://aws.amazon.com/service-terms/#2._Betas_and_Previews) Previews unterliegen. Die folgenden begrenzten AMS-Funktionen sind für Instances mit nicht unterstützten Betriebssystemen verfügbar: | **Funktionalität** | **Hinweise** | | --- | --- | | Vorfallmanagement | AMS reagiert auf Vorfälle. | | Verwaltung von Serviceanfragen | AMS reagiert auf Serviceanfragen. | | Änderungsanträge (RFCs) | AMS bewertet die RFCs Ausführung. Nicht unterstützte Betriebssysteme können die Ausführungsfähigkeit beeinträchtigen. RFCs | | Überwachung | AMS überwacht und reagiert auf EC2 Amazon-Systemstatusprüfungen und Instance-Statusprüfungen. Zu den Systemstatusprüfungen gehören: Verlust der Netzwerkkonnektivität, Verlust der Systemleistung, Softwareprobleme auf dem physischen Host und Hardwareprobleme auf dem physischen Host, die die Erreichbarkeit des Netzwerks beeinträchtigen. Zu den Instanzstatusprüfungen gehören: falsche Netzwerk- oder Startkonfiguration, erschöpfter Arbeitsspeicher, beschädigtes Dateisystem und inkompatibler Kernel. | | Sicherheitsmanagement | AMS überwacht die EC2 [GuardDuty Ergebnisse](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) von Amazon und reagiert darauf. | | Backup-Verwaltung | AMS bietet [Continuity Management in AMS Advanced](https://docs.aws.amazon.com/managedservices/latest/userguide/continuity-mgmt.html) für die EC2 Verwendung von AMS-kundenspezifischen AWS Backup Plänen und Tresoren. | # Erweiterte AMS-Schnittstellen + *AMS Advanced-Konsole*: Sie verwenden die AMS Advanced-Konsole RFCs, um Vorfälle zu erstellen, zu melden und darauf zu reagieren, Serviceanfragen zu stellen und Informationen zu bestehenden VPCs und Stacks zu finden. Wenn Sie sich nicht sicher sind, was Sie tun sollen, oder wenn Sie Hilfe mit AMS oder Ihren verwalteten Ressourcen benötigen, erstellen Sie über diese Oberfläche eine Serviceanfrage. + *AWS-Managementkonsole*: Viele AWS Konsolen können für die Anzeige von AMS-Informationen nützlich sein, zum Beispiel: + * EC2 Amazon-Konsole*: Wird verwendet, um Instance-Informationen wie Bastion-IP-Adressen, Amazon EC2 Auto Scaling Scaling-Gruppen und Load Balancer anzuzeigen. + Einhaltung der *Landing AWS Config Zone-Regeln für mehrere Konten: Sie können den Compliance-Status* für alle Ihre Konten einsehen und Ressourcen identifizieren, die diese Anforderungen nicht erfüllen. + *AWS CloudFormation Konsole*: Wird verwendet, um Stack-Informationen einschließlich Stapel anzuzeigen IDs (Amazon RDS-Stacks und Amazon RDS-Instance sowie Informationen zu Ereignissen finden Sie IDs hier). + *Amazon RDS-Konsole*: Dient zum Anzeigen von Ereignisinformationen, z. B. einem Beitrag, der in einer WordPress App auf einer Website in Ihrem Konto veröffentlicht wurde. Beachten Sie, dass Sie über die Amazon RDS-Instance-ID verfügen müssen. Je nach Modus Ihrer Anmelderolle haben Sie unterschiedliche Zugriffsebenen auf die AWS Management Console. Weitere Informationen zu Modi finden Sie unter [AMS-Modi](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes.html). + *AMS Advanced Change Management API* — Lesen/Schreiben: Verwenden Sie die Change Management API (CM API), um Ergänzungen und spezifische Änderungen an Ihrer verwalteten Infrastruktur, einschließlich Ressourcenüberwachung, Protokoll-, Backup- und Patch-Konfigurationen, anzufordern. Verwenden Sie diese API auch, um Zugriff auf Ressourcen anzufordern, Ressourcen zu löschen und AMIs IAM-Instanzprofile zu erstellen und zu erstellen. Sie können über die AMS-CLI und auf die CM-API zugreifen SDKs. + *AMS SKMS API* — Schreibgeschützt: Verwenden Sie diese API, um verwaltete Ressourcen aufzulisten und Informationen abzurufen, die für die Meldung oder Vorbereitung von Änderungsanträgen benötigt werden. + *Support API*: Verwenden Sie die Support Standard-API, um Vorfälle und Serviceanfragen programmgesteuert zu erstellen und darauf zu reagieren. Weitere Informationen finden Sie unter [Erste Schritte mit](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Support + *AWS APIs*— Schreibgeschützt: Ihr Haupt-IT-Administrator kann den verwenden, AWS APIs um alle verwalteten Ressourcen einzusehen, CloudTrail Protokolle, Rechnungsinformationen und viele andere Lesefunktionen einzusehen. # AMS VPC-Endpunkte Mit einem VPC-Endpunkt können Sie eine private Verbindung zu Ihrer VPC herstellen, AWS-Services ohne dass ein Internet-Gateway erforderlich ist. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit den Ressourcen in dem Service zu kommunizieren. Endpunkte sind virtuelle Geräte. Es sind horizontal skalierte, redundante und hochverfügbare VPC-Komponenten, die die Kommunikation zwischen Instances in Ihrer VPC und Services ermöglicht, ohne die Verfügbarkeit oder Bandbreite Ihres Netzwerkdatenverkehrs zu gefährden. Weitere Informationen finden Sie unter [VPC-Endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html). Es gibt zwei Arten von VPC-Endpunkten: Schnittstellenendpunkte und Gateway-Endpunkte. + Gateway-Endpunkte: Für die VPC im Konto ist standardmäßig ein Amazon S3 S3-Gateway-Endpunkt aktiviert. + Schnittstellen-Endpunkte: Instances in Ihrer AMS-Umgebung können mit unterstützten Services kommunizieren, ohne das Amazon-Netzwerk zu verlassen. Dies ist optional für **die landing zone mit einem Konto** und ist standardmäßig nicht im Konto aktiviert. Senden Sie eine Serviceanfrage an AMS Operations, um dies zu aktivieren. Für die **landing zone mit mehreren Konten** sind die Schnittstellenendpunkte jedoch standardmäßig im Shared Services-Konto aktiviert. Liste der von AMS unterstützten Schnittstellenendpunkte: + AWS CloudFormation + AWS CloudTrail + AWS Config + EC2 Amazon-API + AWS Key Management Service + Amazon CloudWatch + CloudWatch Amazon-Veranstaltungen + CloudWatch Amazon-Protokolle + AWS Secrets Manager + Amazon SNS + AWS Systems Manager + AWS -Security-Token-Service # AMS-geschützte Namespaces Die Liste der geschützten Namespaces für AWS Managed Services (AMS). Wenn Sie mit AWS Ressourcen arbeiten, vermeiden Sie Konflikte mit AMS, indem Sie diese Namespaces nicht verwenden. Einzelheiten zu anderen AWS Service-Namespaces finden Sie unter [Amazon Resource Names (ARNs) und AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#genref-aws-service-namespaces) Service Namespaces. + `ams-*`(Dies ist der bevorzugte Benennungsstandard für neue Ressourcen) + `/ams/*`(Dies ist der bevorzugte Benennungsstandard für pfadbasierte Ressourcen) + `AWSManagedServices*`(Dies ist gegebenenfalls der bevorzugte Benennungsstandard für Ressourcen) CamelCase + `ams*` und `AMS*` und `Ams*` + `AWS_*` und `aws*` + `*/aws_reserved/*` + `CloudTrail*` und `Cloudtrail*` + `codedeploy_service_role` + `customer-mc-*` + `eps` und `EPS` + `EPSMarketplaceSubscriptionRole` + `EPSDB*` + `IAMPolicy*` + `INGEST*` + `LandingZone*` + `Managed_Services*` + `managementhost` + `mc*` und `MC*` und `Mc*` + `MMS*` + `ms-` + `NewAMS*` + `Root*` + `sentinel*` und `Sentinel*` + `sentinel.int.` + `StateMachine*` + `StackSet-ams*` + `StackSet-AWS-Landing-Zone` + `TemplateId*` + `UnhealthyInServiceBastion` + `VPC_*` # Reservierte AMS-Präfixe AMS-Ressourcenattribute müssen bestimmten Mustern entsprechen. Beispielsweise dürfen Profilnamen, Namen, BackupVault Tagnamen usw. von IAM-Instanzen nicht mit reservierten AMS-Präfixen beginnen. Diese reservierten Präfixe sind: ``` */aws_reserved/* ams-* /ams/* ams* AMS* Ams* aws* AWS* AWS_* AWSManagedServices* codedeploy_service_role CloudTrail* Cloudtrail* customer-mc-* eps EPSDB* IAMPolicy* INGEST* LandingZone* Managed_Services* managementhost mc* MC* Mc* MMS* ms- NewAMS* Root* sentinel* Sentinel* sentinel.int. StackSet-ams* StackSet-AWS-Landing-Zone StateMachine* TemplateId* VPC_* UnhealthyInServiceBastion ``` # AMS-Wartungsfenster Das AWS Managed Services Maintenance Window (oder Maintenance Window) führt Wartungsaktivitäten für AWS Managed Services (AMS) durch und findet jeden zweiten Donnerstag im Monat von 15:00 Uhr bis 16:00 Uhr pazifischer Zeit statt. AMS kann das Wartungsfenster 48 Stunden im Voraus ändern. Dies ist für AWS Managed Services (AMS) vorgesehen, um Wartungsaktivitäten für verwaltete Infrastrukturen durchzuführen, z. B. die Bereitstellung neuer AMS AMIs. In *Ihrem* Wartungsfenster installiert AMS die Patches, und Sie legen Ihr Wartungsfenster beim Onboarding fest. Sie können auch dem vorgeschlagenen Patchfenster zustimmen, das in Ihrer Benachrichtigung zum Patch-Service angegeben ist, oder ein anderes Fenster vorschlagen. Anleitungen zur Erstellung eines Wartungsfensters finden Sie unter [Wartungsfenster](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/og-maintenance-window.html).