Funktionen des erweiterten Betriebsplans AMS von AWS Managed Services (AMS) - AMS-Benutzerhandbuch für Fortgeschrittene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Funktionen des erweiterten Betriebsplans AMS von AWS Managed Services (AMS)

AMS Advanced bietet die folgenden Funktionen für unterstützte AWS Dienste:

  • Protokollierung, Überwachung, Leitplanken und Eventmanagement:

    AMS konfiguriert und überwacht Ihre verwaltete Umgebung für die Protokollierung von Aktivitäten und definiert Warnmeldungen auf der Grundlage einer Vielzahl von Zustandsprüfungen. Warnmeldungen werden von AMS im Hinblick auf entsprechende AWS-Services untersucht, und solche, die sich negativ auf Ihre Nutzung dieser Services auswirken, führen zur Entstehung von Vorfällen. AMS aggregiert und speichert alle Protokolle, die als Ergebnis aller Operationen in CloudWatch CloudTrail, und Systemprotokolle in Amazon S3 generiert wurden. Sie können verlangen, dass zusätzliche Warnmeldungen eingerichtet werden. Zusätzlich zu den präventiven Kontrollen von AMS setzt AMS Konfigurationsleitplanken und Erkennungskontrollen ein, um Sie kontinuierlich vor Fehlkonfigurationen zu schützen, die die Betriebs- und Sicherheitsintegrität der verwalteten Konten beeinträchtigen könnten, und um Ihre Kontrollen wie Tagging und Compliance durchzusetzen. Wenn eine überwachte Steuerung erkannt wird, wird ein Alarm ausgelöst, der auf der Grundlage vordefinierter AMS-Standardwerte, die von Ihnen geändert werden können, zur Benachrichtigung, Änderung oder Kündigung von Ressourcen führt.

  • Kontinuitätsmanagement (Backup und Wiederherstellung):

    AMS bietet Backups von Ressourcen mithilfe der standardmäßigen, vorhandenen AWS-Backup-Funktionalität in einem von Ihnen festgelegten, geplanten Intervall. Wiederherstellungsaktionen aus bestimmten Snapshots können von AMS mit Ihrem RFC ausgeführt werden. Datenänderungen, die zwischen den Snapshot-Intervallen auftreten, liegen in Ihrer Verantwortung für die Sicherung. Sie können außerhalb der geplanten Intervalle einen RFC für Sicherungs- oder Snapshot-Anfragen einreichen. Falls die Availability Zone (AZ) in einer AWS Region nicht verfügbar ist, stellt AMS mit Ihrer Zustimmung die verwaltete Umgebung wieder her, indem neue Stacks auf der Grundlage von Vorlagen und verfügbaren EBS-Snapshots der betroffenen Stacks neu erstellt werden.

  • Sicherheits - und Zugriffsmanagement:

    AMS bietet Endpunktsicherheit (EPS), z. B. die Konfiguration von Viren- und Anti-Malware-Schutz. Sie können auch Ihr eigenes EPS-Tool und Ihre eigenen EPS-Prozesse verwenden und AMS nicht für EPS verwenden, indem Sie die Funktion Bring Your Own EPS (BYOEPS) verwenden. AMS konfiguriert auch AWS Standardsicherheitsfunktionen, die von Ihnen beim Onboarding genehmigt wurden, wie AWS Identity and Access Management (IAM-) Rollen und EC2 Amazon-Sicherheitsgruppen, und verwendet AWS Standardtools (z. B. Amazon Macie AWS Security Hub, Amazon GuardDuty), um Sicherheitsprobleme zu überwachen und darauf zu reagieren. Sie verwalten Ihre Benutzer über einen von Ihnen bereitgestellten zugelassenen Verzeichnisdienst. Eine Liste der zugelassenen Verzeichnisdienste finden Sie unterUnterstützte Konfigurationen.

    AMS umfasst Endpoint Security (EPS), einschließlich Virenschutz (AV), und Anti-Malware-Schutz, Malware und Erkennung von Eindringlingen (Trend Micro). Sicherheitsgruppen werden pro Stack-Vorlage definiert und beim Start je nach Sichtbarkeit der Sicherheitsgruppen der Anwendung (öffentlich/privat) geändert.

    Der Zugriff auf Systeme wird über Change Management Requests for change () RFCs angefordert. Die Zugriffsverwaltung bietet Zugriff auf bestimmte Ressourcen wie EC2 Amazon-Instances AWS-Managementkonsole, die und APIs. Nachdem Sie beim Onboarding und beim Zusammenschluss mit AWS eine unidirektionale Vertrauensstellung mit einer AMS Microsoft Active Directory-Bereitstellung eingerichtet haben, können Sie Ihre vorhandenen Unternehmensanmeldedaten für alle Interaktionen verwenden.

  • Patch-Verwaltung:

    AMS wendet Updates für EC2 Instanzen für unterstützte Betriebssysteme (OSs) und Software an, auf denen unterstützte Betriebssysteme vorinstalliert sind, und installiert diese. Eine Liste der unterstützten Betriebssysteme finden Sie unterUnterstützte Konfigurationen.

    AMS bietet zwei Modelle für das Patchen an:

    • AMS-Standard-Patch für herkömmliches kontobasiertes Patchen und

    • AMS Patch Orchestrator für tagbasiertes Patchen.

    Im AMS-Standard-Patch wählen Sie ein monatliches Wartungsfenster, in dem AMS die meisten Patching-Aktivitäten durchführt. AMS installiert wichtige Sicherheitsupdates außerhalb des ausgewählten Wartungsfensters (mit entsprechenden Benachrichtigungen) und wichtige Updates während des ausgewählten Wartungsfensters. AMS aktualisiert die Tools für das Infrastrukturmanagement zusätzlich während des ausgewählten Wartungsfensters. Sie können Stacks vom Patch-Management ausschließen oder Updates ablehnen, wenn Sie möchten.

    Mit AMS Patch Orchestrator wird von Ihnen ein standardmäßiges Wartungsfenster pro Konto definiert, in dem AMS Patching-Aktivitäten durchführen kann. Sie können zusätzliche benutzerdefinierte Wartungsfenster für AMS planen, um eine bestimmte, von Ihnen definierte Gruppe von Instanzen mit Tags zu patchen. AMS wendet alle verfügbaren Updates an, aber Sie können Updates filtern oder ablehnen, indem Sie eine benutzerdefinierte Patch-Baseline erstellen. Bei beiden Modellen gilt: Wenn Sie ein unter Patch Management bereitgestelltes Update genehmigen oder ablehnen, es sich aber später anders überlegen, sind Sie dafür verantwortlich, das Update über einen RFC zu initiieren. AMS verfolgt den Patch-Status von Ressourcen und hebt Systeme hervor, die im monatlichen Geschäftsbericht nicht aktuell sind. Das Patch-Management ist auf Stacks in der verwalteten Umgebung beschränkt, einschließlich aller von AMS verwalteten Anwendungen und unterstützten AWS-Services mit Patching-Funktionen (z. B. RDS). Um alle Arten von Infrastrukturkonfigurationen zu unterstützen, wenn ein Update veröffentlicht wird, aktualisiert AMS a) die EC2 Instance und b) stellt Ihnen ein aktualisiertes AMS-AMI zur Verfügung, das Sie verwenden können. Es liegt in Ihrer Verantwortung, alle zusätzlichen Anwendungen zu installieren, zu konfigurieren, zu patchen und zu überwachen, die oben nicht ausdrücklich behandelt wurden.

  • Verwaltung von Änderungen:

    Das AMS-Änderungsmanagement ist der Mechanismus, mit dem Sie Änderungen in Ihrer verwalteten Umgebung kontrollieren können. AMS verwendet eine Kombination aus präventiven und detektiven Kontrollen, um diesen Prozess zu vereinfachen, und bietet je nach ausgewähltem AMS-Modus ein unterschiedliches Maß an Kontrolle und damit verbundene Risiken.

    Alle Aktionen in Ihrer AMS-Umgebung sind angemeldet AWS CloudTrail.

    Weitere Informationen zu AMS Change Management und den verschiedenen Modi finden Sie im AMS Change Management-Leitfaden und AMS-Modi.

  • Automatisiertes Bereitstellungsmanagement und Self-Service-Verwaltung:

    Sie können AWS-Ressourcen auf AMS Advanced auf verschiedene Arten bereitstellen:

    • Änderungsanträge zur Bereitstellung und Konfiguration einreichen () RFCs

    • Bereitstellung über AWS Service Catalog

    • Bereitstellung im Direct Change-Modus

    • Bereitstellung im Entwicklermodus. Denken Sie daran, dass die im Entwicklermodus erstellten Ressourcen nicht von AMS verwaltet werden.

    • Konfigurieren Sie AWS-Services direkt mithilfe von Self-Service Provisioning für Select AWS-Services (sieheUnterstützte AWS Dienste).

  • Verwaltung von Vorfällen:

    AMS benachrichtigt Sie proaktiv über Vorfälle, die von AMS entdeckt wurden. AMS reagiert sowohl auf von Kunden eingereichte als auch auf von AMS generierte Vorfälle und behebt Vorfälle auf der Grundlage der Priorität des Vorfalls. Sofern nicht anders von Ihnen angewiesen, werden Vorfälle, die von AMS als Risiko für die Sicherheit Ihrer verwalteten Umgebung eingestuft werden, sowie Vorfälle im Zusammenhang mit der Verfügbarkeit von AMS und anderen AWS-Services proaktiv behandelt. AMS ergreift Maßnahmen bei allen anderen Vorfällen, sobald Ihre Genehmigung eingegangen ist. Wiederkehrende Vorfälle werden durch den Problemmanagementprozess behoben.

  • Problemmanagement:

    AMS führt Trendanalysen durch, um Probleme zu identifizieren und zu untersuchen und die Grundursache zu ermitteln. Probleme werden entweder durch eine Behelfslösung oder durch eine dauerhafte Lösung behoben, die ein erneutes Auftreten ähnlicher future Auswirkungen auf den Service verhindert. Sobald das Problem behoben ist, kann für jeden Vorfall mit hoher Wahrscheinlichkeit ein Bericht nach dem Vorfall (PIR) angefordert werden. Der PIR erfasst die Grundursache und die ergriffenen Präventivmaßnahmen, einschließlich der Umsetzung präventiver Maßnahmen.

  • Berichterstattung:

    AMS stellt Ihnen einen monatlichen Servicebericht zur Verfügung, der die wichtigsten Leistungskennzahlen von AMS zusammenfasst, darunter eine Zusammenfassung und Einblicke, betriebliche Kennzahlen, verwaltete Ressourcen, Einhaltung der AMS Service Level Agreements (SLA) und Finanzkennzahlen zu Ausgaben, Einsparungen und Kostenoptimierung. Die Berichte werden vom AMS Cloud Service Delivery Manager (CSDM) bereitgestellt, der Ihnen zugewiesen wurde.

  • Verwaltung von Serviceanfragen:

    Um Informationen über Ihre verwaltete Umgebung, AMS oder AWS Serviceangebote anzufordern, reichen Sie Serviceanfragen über die AMS-Konsole ein. Sie können eine Serviceanfrage mit Anleitungen zu AWS Diensten und Funktionen oder zur Anforderung zusätzlicher AMS-Services einreichen.

  • Servicedesk:

    AMS besetzt den technischen Betrieb mit Vollzeitmitarbeitern von Amazon, um nicht automatisierte Anfragen zu bearbeiten, einschließlich Incident Management, Service Request Management und Change Management. Der Service Desk ist rund um die Uhr an 365 Tagen im Jahr geöffnet.

  • Vorgesehene Ressourcen:

    Jedem Kunden werden ein Cloud Service Delivery Manager (CSDM) und ein Cloud Architect (CA) zugewiesen.

    • CSDMs kann direkt kontaktiert werden. In allen Phasen der Implementierung, der Migration und des betrieblichen Lebenszyklus führen sie Serviceprüfungen durch und bieten Berichte und Einblicke in die Bereitstellung. CSDMs führen monatliche Geschäftsüberprüfungen durch und führen detaillierte Angaben zu finanziellen Ausgaben, Empfehlungen zur Kosteneinsparung, zur Nutzung der Dienste und zur Risikoberichterstattung durch. Sie befassen sich eingehend mit Statistiken zur betrieblichen Leistung und geben Empfehlungen zu Verbesserungsmöglichkeiten.

    • CAs können direkt kontaktiert werden und bieten technisches Fachwissen, um Ihnen zu helfen, Ihre AWS Cloud-Nutzung zu optimieren. Zu den Aktivitäten von CA gehören beispielsweise die Auswahl von Workloads für die Migration, die Unterstützung beim Onboarding zusätzlicher Konten und Workloads, die technische Leitung bei betrieblichen Aktivitäten wie Spieltagen, Notfallwiederherstellungstests, Problemmanagement und technische Beratung, um das Beste aus AMS herauszuholen und. AWS CAs fördern technische Diskussionen auf allen Ebenen Ihres Unternehmens und unterstützen Sie beim Incident-Management, beim Eingehen von Kompromissen, bei der Festlegung von Best Practices und bei der Minimierung technischer Risiken.

  • Entwicklermodus:

    Mit dieser Funktion können Sie Infrastrukturentwürfe und -bereitstellungen innerhalb von AMS-konfigurierten Konten [1] schnell iterieren, indem Sie neben dem Zugriff auf den AMS-Change-Management-Prozess auch direkten Zugriff auf den AWS-Service APIs und die AWS-Konsole gewähren. Ressourcen, die außerhalb des Change-Management-Prozesses mit Berechtigungen im Entwicklermodus bereitgestellt oder konfiguriert wurden, liegen in Ihrer Verantwortung (siehe „Automatisiertes Bereitstellungsmanagement und Self-Service-Bereitstellungsmanagement“). Ressourcen, die über den AMS-Change-Management-Prozess bereitgestellt werden, werden wie andere vom Change Management bereitgestellte Workloads auf AMS unterstützt.

  • AWS-Unterstützung:

    AMS-Kunden können die Stufe des AWS-Supports wählen, die sie zur Ergänzung ihres AMS Operations-Plans benötigen. Bei AMS registrierte Konten können entweder Business Support oder Enterprise Support abonniert werden. Weitere Informationen zu den Unterschieden bei den Supportplänen finden Sie unter AWS-Supportpläne.

  • Vom Kunden verwaltetes Konto:

    Mit dieser Funktion können Sie AWS-Konten in derselben verwalteten Umgebung anfordern, aber der laufende Betrieb von Workloads und AWS-Ressourcen innerhalb dieser Konten liegt in Ihrer Verantwortung. AMS stellt vom Kunden verwaltete Konten bereit, aber sobald die Konten erstellt wurden, werden für diese Konten keine weiteren AMS-Funktionen oder -Services bereitgestellt. AWS registriert keine von Kunden verwalteten Konten für Premium-Support auf Unternehmensebene. Es liegt in Ihrer Verantwortung, kundenverwaltete Konten für den AWS-Support zu dem von Ihnen gewählten Support-Tarif zu registrieren.

  • Firewall-Verwaltung:

    AMS bietet eine optionale verwaltete Firewall-Lösung für unterstützte Firewall-Dienste, die die Filterung von ausgehendem Internetverkehr für Netzwerke in Ihrer verwalteten Umgebung ermöglicht. Davon ausgenommen sind öffentlich zugängliche Dienste, die die AWS-Netzwerkinfrastruktur nicht nutzen und deren Datenverkehr direkt ins Internet geht. Die Lösung kombiniert branchenführende Firewall-Technologie mit AMS-Infrastrukturmanagementfunktionen zur Bereitstellung, Überwachung, Verwaltung, Skalierung und Wiederherstellung der Firewall-Infrastruktur.

Wenn Sie AMS einbinden, erhalten Sie eine vollständige Liste Ihrer AMS-Netzwerkinfrastruktur. Um jederzeit eine aktualisierte Liste der Dienste zu erhalten, die zur Unterstützung Ihrer AMS-Infrastruktur ausgeführt werden, reichen Sie eine Serviceanfrage mit Einzelheiten zu den gewünschten Informationen ein. Um eine Änderung Ihres Netzwerkdesigns anzufordern, erstellen Sie eine Serviceanfrage, in der die Änderungen beschrieben werden, die Sie vornehmen möchten, z. B. das Hinzufügen einer VPC oder die Anforderung einer Änderung der Sicherheitsgruppenregel.