Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Landing Zone-Konten mit mehreren Konten
**Topics**
+ [Verwaltungskonto](management-account.md)
+ [Netzwerkkonto](networking-account.md)
+ [Shared Services-Konto](shared-services-account.md)
+ [Konto protokollieren und archivieren](logging-account.md)
+ [Sicherheitskonto](security-account.md)
+ [Arten von Anwendungskonten](application-account.md)
+ [AMS Tools-Konto (Workloads migrieren)](tools-account.md)
# Verwaltungskonto
Das Verwaltungskonto ist Ihr erstes AWS-Konto, wenn Sie mit dem Onboarding bei AMS beginnen. Es verwendet AWS Organizations als Verwaltungskonto (auch bekannt als das Zahlungskonto, das die Gebühren aller Mitgliedskonten bezahlt), wodurch das Konto Mitgliedskonten erstellen und finanziell verwalten kann. Es enthält das AWS-Landing landing zone (ALZ) -Framework, Kontokonfigurationsstapelsätze, AWS Organization Service Control Policies (SCPs) usw.
Weitere Informationen zur Verwendung eines Verwaltungskontos finden Sie unter [Bewährte Methoden für das Verwaltungskonto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html).
Das folgende Diagramm bietet einen allgemeinen Überblick über die im Verwaltungskonto enthaltenen Ressourcen.
![\[Verwaltungskonto overview showing AMS Customer Region and various AWS-Services and features.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/management-account.png)
## Ressourcen im Verwaltungskonto
Abgesehen von den oben genannten Standardservices werden beim Onboarding keine zusätzlichen AWS-Ressourcen im Verwaltungskonto erstellt. Die folgenden Eingaben sind beim Onboarding bei AMS erforderlich:
+ *Verwaltungskonto-ID*: AWS-Konto-ID, die ursprünglich von Ihnen erstellt wurde.
+ *E-Mails für Kernkonten*: Geben Sie die E-Mails an, die den einzelnen Kernkonten zugeordnet werden sollen: Networking, Shared Services, Logging und Sicherheitskonto.
+ *Serviceregion*: Geben Sie die AWS-Region an, in der alle Ressourcen Ihrer AMS-Landezone bereitgestellt werden.
# Netzwerkkonto
Das Netzwerkkonto dient als zentraler Knotenpunkt für das Netzwerk-Routing zwischen AMS-Landingzone-Konten mit mehreren Konten, Ihrem lokalen Netzwerk und ausgehendem Datenverkehr ins Internet. Darüber hinaus enthält dieses Konto öffentliche DMZ-Bastionen, über die AMS-Techniker auf Hosts in der AMS-Umgebung zugreifen können. Einzelheiten finden Sie im folgenden allgemeinen Diagramm des Netzwerkkontos.
![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malzNetworkAccount.png)
# Architektur von Netzwerkkonten
Das folgende Diagramm zeigt die AMS-Landingzone-Umgebung mit mehreren Konten und zeigt den Netzwerkdatenverkehr zwischen den Konten. Es ist ein Beispiel für eine Konfiguration mit hoher Verfügbarkeit.
![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)
![\[Diagram showing network traffic flow between AWS-Konten, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)
AMS konfiguriert alle Netzwerkaspekte für Sie auf der Grundlage unserer Standardvorlagen und der von Ihnen beim Onboarding ausgewählten Optionen. Ein standardmäßiges AWS-Netzwerkdesign wird auf Ihr AWS-Konto angewendet, und eine VPC wird für Sie erstellt und entweder über VPN oder Direct Connect mit AMS verbunden. Weitere Informationen zu Direct Connect finden Sie unter [AWS Direct Connect](https://aws.amazon.com/directconnect/). Zum Standard VPCs gehören die DMZ, Shared Services und ein Anwendungssubnetz. Während des Onboarding-Prozesses VPCs können zusätzliche Informationen angefordert und erstellt werden, die Ihren Anforderungen entsprechen (z. B. Kundenabteilungen, Partner). Nach dem Onboarding erhalten Sie ein Netzwerkdiagramm: ein Umgebungsdokument, das erklärt, wie Ihr Netzwerk eingerichtet wurde.
**Anmerkung**
Informationen zu Standard-Servicelimits und Einschränkungen für alle aktiven Services finden Sie in der Dokumentation zu [AWS-Servicelimits](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Unser Netzwerkdesign basiert auf dem [„Prinzip der geringsten Rechte“ von](https://en.wikipedia.org/wiki/Principle_of_least_privilege) Amazon. Um dies zu erreichen, leiten wir den gesamten eingehenden und ausgehenden Verkehr durch eine DMZ, mit Ausnahme des Datenverkehrs, der aus einem vertrauenswürdigen Netzwerk stammt. Das einzige vertrauenswürdige Netzwerk ist das, das zwischen Ihrer lokalen Umgebung und der VPC mithilfe and/or eines VPN und AWS Direct Connect (DX) konfiguriert wurde. Der Zugriff wird durch die Verwendung von Bastion-Instances gewährt, wodurch ein direkter Zugriff auf Produktionsressourcen verhindert wird. Alle Ihre Anwendungen und Ressourcen befinden sich in privaten Subnetzen, die über öffentliche Load Balancer erreichbar sind. Öffentlicher Ausgangsverkehr fließt über die NAT-Gateways in der Ausgangs-VPC (im Netzwerkkonto) zum Internet Gateway und dann zum Internet. Alternativ kann der Datenverkehr über Ihr VPN oder Direct Connect in Ihre lokale Umgebung fließen.
# Private Netzwerkkonnektivität zur AMS-Landezonenumgebung mit mehreren Konten
AWS bietet private Konnektivität entweder über VPN-Konnektivität (Virtual Private Network) oder über Standleitungen mit AWS Direct Connect. Die private Konnektivität in Ihrer Umgebung mit mehreren Konten wird mit einer der im Folgenden beschriebenen Methoden eingerichtet:
+ Zentralisierte Edge-Konnektivität mit Transit Gateway
+ Direct Connect (DX) and/or VPN mit virtuellen privaten Clouds verbinden (VPCs)
# Zentralisierte Edge-Konnektivität mit Transit Gateway
AWS Transit Gateway ist ein Service, mit dem Sie Ihre VPCs und Ihre lokalen Netzwerke mit einem einzigen Gateway verbinden können. Transit Gateway (TGW) kann verwendet werden, um Ihre bestehende Edge-Konnektivität zu konsolidieren und sie über einen einzigen ingress/egress Punkt weiterzuleiten. Das Transit-Gateway wird im Netzwerkkonto Ihrer AMS-Umgebung mit mehreren Konten erstellt. Weitere Informationen zu Transit Gateway finden Sie unter [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Das AWS Direct Connect (DX) -Gateway wird verwendet, um Ihre DX-Verbindung über eine virtuelle Transitschnittstelle mit dem VPCs oder VPNs , die an Ihr Transit-Gateway angeschlossen sind, zu verbinden. Sie ordnen ein Direct-Connect-Gateway dem Transit Gateway zu. Erstellen Sie anschließend eine virtuelle Transitschnittstelle für Ihre AWS Direct Connect Connect-Verbindung zum Direct Connect-Gateway. Informationen zu virtuellen DX-Schnittstellen finden Sie unter [Virtuelle Schnittstellen von AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).
Diese Konfiguration bietet die folgenden Vorteile. Sie haben folgende Möglichkeiten:
+ Verwalten Sie eine einzelne Verbindung für mehrere VPCs oder VPNs , die sich in derselben AWS-Region befinden.
+ Werben Sie für Präfixe von On-Premise zu AWS und von AWS zu On-Premise.
**Anmerkung**
[Informationen zur Verwendung eines DX mit AWS-Services finden Sie im Abschnitt Classic im Resiliency Toolkit.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Weitere Informationen finden Sie unter [Transit Gateway Gateway-Verknüpfungen](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-cent-edge.png)
Um die Stabilität Ihrer Konnektivität zu erhöhen, empfehlen wir, dass Sie mindestens zwei virtuelle Transitschnittstellen von verschiedenen AWS Direct Connect Connect-Standorten an das Direct Connect-Gateway anschließen. Weitere Informationen finden Sie in der [AWS Direct Connect Connect-Resilienzempfehlung](https://aws.amazon.com/directconnect/resiliency-recommendation/).
# DX oder VPN mit dem Konto verbinden VPCs
Mit dieser Option werden die landing zone Zone-Umgebungen VPCs in Ihrem AMS mit mehreren Konten direkt mit Direct Connect oder VPN verbunden. Der Datenverkehr fließt direkt von Direct Connect oder VPN, ohne das Transit-Gateway zu passieren. VPCs
# Ressourcen im Netzwerkkonto
Wie im Netzwerkkontodiagramm dargestellt, werden die folgenden Komponenten im Konto erstellt und erfordern Ihre Eingabe.
**Das Netzwerkkonto enthält zwei VPCs: **Egress VPC und DMZ VPC****, auch bekannt als Perimeter-VPC**.**
# AWS-Netzwerkmanager
AWS Network Manager ist ein Service, mit dem Sie Ihre Transit-Gateway-Netzwerke (TGW) ohne zusätzliche Kosten für AMS visualisieren können. Es bietet eine zentrale Netzwerküberwachung sowohl für AWS-Ressourcen als auch für lokale Netzwerke, eine zentrale globale Ansicht ihres privaten Netzwerks in einem Topologiediagramm und auf einer geografischen Karte sowie Nutzungsmetriken wie den in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down Byte-Verbindungsstatus. Weitere Informationen finden Sie unter [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).
Verwenden Sie eine der folgenden Rollen, um auf diese Ressource zuzugreifen:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole
# Ausgangs-VPC
Die Egress-VPC wird hauptsächlich für den ausgehenden Datenverkehr ins Internet verwendet und besteht aus public/private Subnetzen in bis zu drei Verfügbarkeitszonen (). AZs Network Address Translation (NAT) -Gateways werden in den öffentlichen Subnetzen bereitgestellt, und Transit Gateway (TGW) VPC-Anlagen werden in den privaten Subnetzen erstellt. Ausgehender oder ausgehender Internetverkehr aus allen Netzwerken wird über TGW durch das private Subnetz geleitet, wo er dann über VPC-Routing-Tabellen an ein NAT weitergeleitet wird.
Für Sie VPCs , die öffentlich zugängliche Anwendungen in einem öffentlichen Subnetz enthalten, ist der aus dem Internet stammende Datenverkehr in dieser VPC enthalten. Rückverkehr wird nicht an die TGW- oder Egress-VPC weitergeleitet, sondern über das Internet-Gateway (IGW) in der VPC zurückgeleitet.
**Anmerkung**
Netzwerk-VPC-CIDR-Bereich: Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 Adressbereich für die VPC in Form eines CIDR-Blocks (Classless Inter-Domain Routing) angeben, z. B. 10.0.16.0/24. Dies ist der primäre CIDR-Block für Ihre VPC.
Das AMS Multi-Account-Landingzone-Team empfiehlt den Bereich 24 (mit mehr IP-Adressen), um einen gewissen Puffer für den Fall bereitzustellen, dass in future andere Ressourcen/Appliances eingesetzt werden.
# Verwaltete Palo Alto-Ausgangsfirewall
AMS bietet eine Managed Palo Alto Egress Firewall-Lösung, die das Filtern von ausgehendem Internetverkehr für alle Netzwerke in der Multi-Account Landing Zone-Umgebung (mit Ausnahme von öffentlich zugänglichen Diensten) ermöglicht. Diese Lösung kombiniert die branchenführende Firewall-Technologie (Palo Alto VM-300) mit den Infrastrukturmanagementfunktionen von AMS zur Bereitstellung, Überwachung, Verwaltung, Skalierung und Wiederherstellung der Infrastruktur in konformen Betriebsumgebungen. Dritte, einschließlich Palo Alto Networks, haben keinen Zugriff auf die Firewalls. Sie werden ausschließlich von AMS-Technikern verwaltet.
## Steuerung des Verkehrs
Die verwaltete Firewall-Lösung für ausgehenden Datenverkehr verwaltet eine Domain-Zulassungsliste, die aus AMS-erforderlichen Domänen für Dienste wie Backup und Patch sowie aus Ihren definierten Domänen besteht. Wenn ausgehender Internetverkehr an die Firewall weitergeleitet wird, wird eine Sitzung geöffnet, der Datenverkehr wird ausgewertet, und wenn er einer zulässigen Domain entspricht, wird der Datenverkehr an das Ziel weitergeleitet.
## Architektur
Die verwaltete Firewall-Lösung für ausgehenden Datenverkehr folgt einem Hochverfügbarkeitsmodell, bei dem je nach Anzahl der Verfügbarkeitszonen () zwei bis drei Firewalls eingesetzt werden. AZs Die Lösung nutzt einen Teil des IP-Bereichs der Standard-Ausgangs-VPC, stellt aber auch eine VPC-Erweiterung (/24) für zusätzliche Ressourcen bereit, die für die Verwaltung der Firewalls erforderlich sind.
![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-pa-firewall-arch.png)
## Netzwerkfluss
![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-pa-firewall-net-flow.png)
![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-pa-firewall-net-flow-legend.png)
Auf hoher Ebene bleibt das Routing des öffentlichen ausgehenden Datenverkehrs unverändert, mit Ausnahme der Art und Weise, wie der Datenverkehr von der ausgehenden VPC ins Internet geleitet wird:
1. Ausgangsverkehr, der für das Internet bestimmt ist, wird über die VPC-Routentabelle an das Transit Gateway (TGW) gesendet
1. TGW leitet den Verkehr über die TGW-Routentabelle an die Ausgangs-VPC weiter
1. VPC leitet den Verkehr über die Routentabellen des privaten Subnetzes ins Internet weiter.
1. In der standardmäßigen Multi-Account-Landingzone-Umgebung wird der Internetverkehr direkt an ein NAT-Gateway (Network Address Translation) gesendet. Die verwaltete Firewall-Lösung konfiguriert die Routing-Tabellen für private Subnetze neu, sodass die Standardroute (0.0.0.0/0) stattdessen auf eine Firewall-Schnittstelle verweist.
Die Firewalls selbst enthalten drei Schnittstellen:
1. Vertrauenswürdige Schnittstelle: Private Schnittstelle für den Empfang von Datenverkehr, der verarbeitet werden soll.
1. Nicht vertrauenswürdige Schnittstelle: Öffentliche Schnittstelle zum Senden von Datenverkehr ins Internet. Da die Firewalls NAT ausführen, akzeptieren externe Server Anfragen von diesen öffentlichen IP-Adressen.
1. Verwaltungsschnittstelle: Private Schnittstelle für Firewall-API, Updates, Konsole usw.
Während des gesamten Routings wird der Verkehr innerhalb derselben Availability Zone (AZ) aufrechterhalten, um den AZ-übergreifenden Verkehr zu reduzieren. Der Verkehr wird nur dann überquert AZs , wenn ein Failover auftritt.
## Änderung der Zulassungsliste
Nach dem Onboarding `ams-allowlist` wird eine standardmäßige Zulassungsliste mit dem Namen erstellt, die für AMS erforderliche öffentliche Endpunkte sowie öffentliche Endpunkte für das Patchen von Windows- und Linux-Hosts enthält. Sobald der Betrieb abgeschlossen ist, können Sie in der AMS-Konsole unter der Kategorie Management \$1 Managed Firewall \$1 Outbound (Palo Alto) RFCs erstellen, um Zulassungslisten zu erstellen oder zu löschen oder die Domänen zu ändern. Beachten Sie, dass dies nicht geändert werden kann. `ams-allowlist` Die RFCs werden vollständig automatisiert behandelt (sie sind nicht manuell).
## Benutzerdefinierte Sicherheitsrichtlinie
Sicherheitsrichtlinien bestimmen anhand von Datenverkehrsattributen wie der Quell- und Zielsicherheitszone, der Quell- und Ziel-IP-Adresse und dem Dienst, ob eine Sitzung blockiert oder zugelassen wird. Benutzerdefinierte Sicherheitsrichtlinien werden vollständig automatisiert unterstützt RFCs. CTs Informationen zum Erstellen oder Löschen von Sicherheitsrichtlinien finden Sie in der Kategorie Management \$1 Managed Firewall \$1 Outbound (Palo Alto). Das CT zum Bearbeiten einer vorhandenen Sicherheitsrichtlinie finden Sie unter der Kategorie Bereitstellung \$1 Managed Firewall \$1 Outbound (Palo Alto). Sie können neue Sicherheitsrichtlinien erstellen, Sicherheitsrichtlinien ändern oder Sicherheitsrichtlinien löschen.
**Anmerkung**
Die Standardsicherheitsrichtlinie `ams-allowlist` kann nicht geändert werden
## CloudWatch PA-Dashboards für ausgehenden Datenverkehr
Zwei Dashboards bieten eine aggregierte Ansicht von Palo Alto (PA). Das **AMS-MF-PA-Egress-Config-Dashboard** bietet eine Übersicht über die PA-Konfiguration, Links zu Zulassungslisten und eine Liste aller Sicherheitsrichtlinien einschließlich ihrer Attribute. CloudWatch Das **AMS-MF-PA-Egress-Dashboard** kann so angepasst werden, dass Verkehrsprotokolle gefiltert werden. Um beispielsweise ein Dashboard für eine Sicherheitsrichtlinie zu erstellen, können Sie einen RFC mit einem Filter wie dem folgenden erstellen:
```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like //
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```
## Failover-Modell
Die Firewall-Lösung umfasst zwei bis drei Palo Alto (PA) -Hosts (einer pro AZ). Healthy Check Canaries wird nach einem konstanten Zeitplan ausgeführt, um den Zustand der Hosts zu bewerten. Wenn ein Host als fehlerhaft identifiziert wird, wird AMS benachrichtigt, und der Datenverkehr für diese AZ wird durch Änderung der Routing-Tabelle automatisch auf einen fehlerfreien Host in einer anderen AZ umgeleitet. Da der Workflow zur Integritätsprüfung ständig ausgeführt wird, wird der Datenverkehr wieder auf die richtige AZ mit dem fehlerfreien Host umgeleitet, wenn der Host aufgrund vorübergehender Probleme oder manueller Behebung wieder funktionsfähig ist.
## Skalierung
AMS überwacht die Firewall auf Durchsatz- und Skalierungsgrenzen. Wenn die Durchsatzgrenzen die unteren Schwellenwerte (CPU/Netzwerk) überschreiten, erhält AMS eine Warnung. Ein niedriger Schwellenwert deutet darauf hin, dass die Ressourcen fast ausgelastet sind und ein Punkt erreicht ist, an dem AMS die Messwerte im Laufe der Zeit auswertet und Skalierungslösungen vorschlägt.
## Backup und Backup
Backups werden beim ersten Start, nach allen Konfigurationsänderungen und in regelmäßigen Abständen erstellt. Beim ersten Start werden Backups pro Host erstellt, aber Konfigurationsänderungen und regelmäßige Intervall-Backups werden auf allen Firewall-Hosts durchgeführt, wenn der Backup-Workflow aufgerufen wird. AMS-Techniker können zusätzliche Backups außerhalb dieser Fenster erstellen oder auf Anfrage Backup-Details bereitstellen.
AMS-Techniker können bei Bedarf die Wiederherstellung von Konfigurations-Backups durchführen. Wenn eine Wiederherstellung erforderlich ist, erfolgt sie auf allen Hosts, um die Konfiguration zwischen den Hosts synchron zu halten.
Eine Wiederherstellung kann auch erfolgen, wenn ein Host eine Instanz vollständig recyceln muss. Eine automatische Wiederherstellung des neuesten Backups erfolgt, wenn eine neue EC2 Instanz bereitgestellt wird. Im Allgemeinen werden Hosts nicht regelmäßig recycelt und sind für schwerwiegende Ausfälle oder erforderliche AMI-Swaps reserviert. Host-Wiederverwendungen werden manuell initiiert, und Sie werden benachrichtigt, bevor eine Wiederverwertung stattfindet.
Abgesehen von den Backups der Firewall-Konfiguration werden Ihre spezifischen Regeln für die Zulassungsliste separat gesichert. Eine Sicherungskopie wird automatisch erstellt, wenn Ihre definierten Regeln für die Zulassungsliste geändert werden. Die Wiederherstellung der Sicherungskopie auf der Zulassungsliste kann bei Bedarf von einem AMS-Techniker durchgeführt werden.
## Aktualisierungen
Die AMS Managed Firewall Solution erfordert im Laufe der Zeit verschiedene Updates, um das System zu verbessern, zusätzliche Funktionen hinzuzufügen oder das Firewall-Betriebssystem (OS) oder die Firewall-Software zu aktualisieren.
Die meisten Änderungen wirken sich nicht auf die Betriebsumgebung aus, z. B. die Aktualisierung der Automatisierungsinfrastruktur. Andere Änderungen wie die Rotation der Firewall-Instanz oder das Betriebssystem-Update können jedoch zu Störungen führen. Wenn eine mögliche Betriebsunterbrechung aufgrund von Updates bewertet wird, stimmt sich AMS mit Ihnen ab, um die Wartungsfenster zu berücksichtigen.
## Zugriff durch den Bediener
AMS-Betreiber verwenden ihre ActiveDirectory Anmeldeinformationen, um sich beim Palo Alto-Gerät anzumelden, um Operationen durchzuführen (z. B. Patchen, Reagieren auf ein Ereignis usw.). Die Lösung behält die standardmäßigen AMS-Operator-Authentifizierungs- und Konfigurationsänderungsprotokolle bei, um die auf den Palo Alto-Hosts ausgeführten Aktionen nachzuverfolgen.
## Standardprotokolle
Standardmäßig befinden sich die von der Firewall generierten Protokolle für jede Firewall im lokalen Speicher. Im Laufe der Zeit werden lokale Protokolle je nach Speicherauslastung gelöscht. Die AMS-Lösung ermöglicht den Versand von Protokollen von den Maschinen in Echtzeit an CloudWatch Protokolle. Weitere Informationen finden Sie unter[CloudWatch Integration von Protokollen](#networking-pa-firewall-cw-logs).
Die AMS-Techniker haben weiterhin die Möglichkeit, Protokolle bei Bedarf direkt von den Maschinen abzufragen und zu exportieren. Darüber hinaus können Protokolle an ein kundeneigenes Panorama gesendet werden. Weitere Informationen finden Sie unter[Panoramaintegration](#networking-pa-firewall-panorama).
Die Lösung erfasst die folgenden Protokolle:
**RFC-Statuscodes**
| Protokolltyp | Beschreibung |
| --- | --- |
| Datenverkehr | Zeigt einen Eintrag für den Start und das Ende jeder Sitzung an. Jeder Eintrag enthält Datum und Uhrzeit, Quell- und Zielzonen, Adressen und Ports, den Namen der Anwendung, den Namen der auf den Flow angewendeten Sicherheitsregel, die Regelaktion (Zulassen, Verweigern oder Löschen), die Eingangs- und Ausgangsschnittstelle, die Anzahl der Byte und den Grund für das Sitzungsende. In der Spalte Typ wird angegeben, ob der Eintrag für den Beginn oder das Ende der Sitzung bestimmt ist oder ob die Sitzung verweigert oder abgebrochen wurde. Ein „Drop“ bedeutet, dass die Sicherheitsregel, die den Datenverkehr blockiert hat, eine „beliebige“ Anwendung angegeben hat, während ein „Deny“ bedeutet, dass die Regel eine bestimmte Anwendung identifiziert hat. Wenn der Datenverkehr unterbrochen wird, bevor die Anwendung identifiziert wurde, z. B. wenn eine Regel den gesamten Datenverkehr für einen bestimmten Dienst blockiert, wird die Anwendung als „nicht zutreffend“ angezeigt. |
| Bedrohung | Zeigt einen Eintrag für jeden von der Firewall generierten Sicherheitsalarm an. Jeder Eintrag enthält Datum und Uhrzeit, einen Namen oder eine URL der Bedrohung, die Quell- und Zielzonen, Adressen und Ports, den Namen der Anwendung sowie die Alarmaktion (zulassen oder blockieren) und den Schweregrad. In der Spalte Typ wird die Art der Bedrohung angegeben, z. B. „Virus“ oder „Spyware“, in der Spalte Name die Beschreibung oder URL der Bedrohung und in der Spalte Kategorie die Bedrohungskategorie (z. B. „Keylogger“) oder URL-Kategorie. |
| URL-Filterung | Zeigt Protokolle für URL-Filter an, die den Zugriff auf Websites kontrollieren und festlegen, ob Benutzer Anmeldeinformationen an Websites senden können. |
| Konfiguration | Zeigt für jede Konfigurationsänderung einen Eintrag an. Jeder Eintrag enthält Datum und Uhrzeit, den Administratorbenutzernamen, die IP-Adresse, von der aus die Änderung vorgenommen wurde, den Clienttyp (Webinterface oder CLI), die Art der Befehlsausführung, ob der Befehl erfolgreich war oder nicht, den Konfigurationspfad und die Werte vor und nach der Änderung. |
| System (System) | Zeigt einen Eintrag für jedes Systemereignis an. Jeder Eintrag enthält Datum und Uhrzeit, den Schweregrad des Ereignisses und eine Beschreibung des Ereignisses. |
| Alarme | Das Alarmprotokoll zeichnet detaillierte Informationen zu Alarmen auf, die vom System generiert werden. Die Informationen in diesem Protokoll werden auch unter Alarme gemeldet. Weitere Informationen finden Sie unter „Alarmeinstellungen definieren“. |
| Authentifizierung | Zeigt Informationen zu Authentifizierungsereignissen an, die auftreten, wenn Endbenutzer versuchen, auf Netzwerkressourcen zuzugreifen, deren Zugriff durch Authentifizierungsrichtlinienregeln gesteuert wird. Benutzer können diese Informationen verwenden, um Zugriffsprobleme zu beheben und die Benutzerauthentifizierungsrichtlinie nach Bedarf anzupassen. In Verbindung mit Korrelationsobjekten können Benutzer auch Authentifizierungsprotokolle verwenden, um verdächtige Aktivitäten im Netzwerk des Benutzers zu identifizieren, z. B. Brute-Force-Angriffe. Optional können Benutzer Authentifizierungsregeln so konfigurieren, dass Authentifizierungs-Timeouts protokolliert werden. Diese Timeouts beziehen sich auf den Zeitraum, in dem sich ein Benutzer nur einmal für eine Ressource authentifizieren muss, aber wiederholt darauf zugreifen kann. Anhand von Informationen zu den Timeouts können Benutzer entscheiden, ob und wie sie angepasst werden sollen. |
| Vereinheitlicht | Zeigt die neuesten Protokolleinträge für Verkehr, Bedrohung, URL-Filterung, WildFire Übermittlungen und Datenfilterung in einer einzigen Ansicht an. Die kollektive Protokollansicht ermöglicht es Benutzern, diese verschiedenen Protokolltypen gemeinsam zu untersuchen und zu filtern (anstatt jeden Protokollsatz einzeln zu durchsuchen). Oder Benutzer können wählen, welche Protokolltypen angezeigt werden sollen: Klicken Sie auf den Pfeil links neben dem Filterfeld und wählen Sie Traffic, Bedrohung, URL, Daten, and/or Wildfire aus, um nur die ausgewählten Protokolltypen anzuzeigen. |
## Verwaltung von Ereignissen
AMS überwacht kontinuierlich die Kapazität, den Zustand und die Verfügbarkeit der Firewall. Von der Firewall generierte Metriken sowie AWS/AMS generierte Metriken werden verwendet, um Alarme zu erstellen, die von den Betriebstechnikern von AMS empfangen werden, die das Problem untersuchen und lösen. Die aktuellen Alarme decken die folgenden Fälle ab:
Ereignisalarme:
+ CPU-Auslastung der Firewall-Datenebene
+ CPU-Auslastung — CPU der Datenebene (Verarbeitung des Datenverkehrs)
+ Die Auslastung der Firewall-Pakete auf Datenebene liegt bei über 80%
+ Paketauslastung — Datenebene (Verarbeitung des Datenverkehrs)
+ Nutzung der Firewall-Sitzung auf der Datenebene
+ Firewall-Datenebene-Sitzung aktiv
+ Aggregierte Firewall-CPU-Auslastung
+ CPU-Auslastung für alle CPUs
+ Failover von AZ
+ Alarmt, wenn in einer AZ ein Failover auftritt
+ Ungesunder Syslog-Host
+ Der Syslog-Host schlägt die Integritätsprüfung fehl
Management-Alarme:
+ Ausfallalarm des Health Check Monitors
+ Wenn der Workflow zur Integritätsprüfung unerwartet fehlschlägt
+ Dies gilt für den Workflow selbst, nicht für den Fall, dass eine Firewall-Integritätsprüfung fehlschlägt
+ Alarm bei Ausfall der Passwortrotation
+ Wenn die Passwortrotation fehlschlägt
+ Das API-/Service-Benutzerkennwort wird alle 90 Tage gewechselt
## Metriken
Alle Metriken werden erfasst und CloudWatch im Netzwerkkonto gespeichert. Diese können angezeigt werden, indem Sie Konsolenzugriff auf das Netzwerkkonto erhalten und zur CloudWatch Konsole navigieren. **Einzelne Metriken können auf der Registerkarte Metriken oder in einer einzigen Dashboard-Ansicht mit ausgewählten Metriken angezeigt werden. Aggregierte Metriken können angezeigt werden, indem Sie zur Registerkarte Dashboard navigieren und AMS-MF-PA-Egress-Dashboard auswählen.**
Benutzerdefinierte Metriken:
+ Zustandsprüfung
+ Namespace: AMS/MF/PA/Egress
+ PARouteTableConnectionsByA-Z
+ PAUnhealthyByInstance
+ PAUnhealthyAggregatedByAZ
+ PAHealthCheckLockState
+ Firewall generiert
+ Namespace:/AMS/MF/PA/Egress
+ DataPlaneCPUUtilizationPakt
+ DataPlanePacketBuffferUtilization
+ Pfanne GPGateway UtilizationPct
+ panSessionActive
+ panSessionUtilization
## CloudWatch Integration von Protokollen
CloudWatch Durch die Integration von Protokollen werden Protokolle von den Firewalls in Logs weitergeleitet, wodurch das Risiko des Verlusts von CloudWatch Protokollen aufgrund der lokalen Speichernutzung verringert wird. Protokolle werden in Echtzeit ausgefüllt, sobald sie von den Firewalls generiert werden, und können bei Bedarf über die Konsole oder API eingesehen werden.
Komplexe Abfragen können für die Protokollanalyse erstellt oder mit CloudWatch Insights als CSV exportiert werden. Darüber hinaus bietet das benutzerdefinierte AMS Managed CloudWatch Firewall-Dashboard auch eine Schnellansicht bestimmter Verkehrsprotokollabfragen und eine grafische Darstellung der Zugriffe und der Richtlinieneinflüsse im Zeitverlauf. Die Verwendung von CloudWatch Protokollen ermöglicht auch die native Integration in andere AWS-Services wie AWS Kinesis.
**Anmerkung**
PA-Protokolle können nicht direkt an einen vorhandenen lokalen Syslog-Collector oder einen Syslog-Collector eines Drittanbieters weitergeleitet werden. Die AMS Managed Firewall-Lösung ermöglicht den Versand von Protokollen von den PA-Maschinen in Echtzeit an AWS CloudWatch Logs. Sie können die CloudWatch Logs Insight-Funktion verwenden, um Ad-hoc-Abfragen auszuführen. Darüber hinaus können Protokolle an die Panorama-Managementlösung Ihres Palo Alto gesendet werden. CloudWatch Protokolle können mithilfe von CloudWatch Abonnementfiltern auch an andere Ziele weitergeleitet werden. Erfahren Sie im folgenden Abschnitt mehr über Panorama. Weitere Informationen über Splunk finden Sie unter [Integration mit](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html) Splunk.
## Panoramaintegration
AMS Managed Firewall kann optional in Ihr bestehendes Panorama integriert werden. Auf diese Weise können Sie Firewallkonfigurationen von Panorama aus anzeigen oder Protokolle von der Firewall an das Panorama weiterleiten. Die Panorama-Integration mit AMS Managed Firewall ist schreibgeschützt, und Konfigurationsänderungen an den Firewalls von Panorama aus sind nicht zulässig. Panorama wird vollständig von Ihnen verwaltet und konfiguriert. AMS ist nur für die Konfiguration der Firewalls für die Kommunikation mit dem System verantwortlich.
## Lizenzen
Der Preis der AMS Managed Firewall hängt von der Art der verwendeten Lizenz (stündlich oder Bring Your Own License, BYOL) und der Instanzgröße ab, in der die Appliance ausgeführt wird. Sie müssen die Instance-Größe und die Lizenzen der Palo Alto-Firewall, die Sie bevorzugen, über den AWS Marketplace bestellen.
+ Marketplace-Lizenzen: Akzeptieren Sie die Allgemeinen Geschäftsbedingungen des VM-Series Next-Generation Firewall Bundle 1 über das Netzwerkkonto in MALZ.
+ BYOL-Lizenzen: Akzeptieren Sie die Nutzungsbedingungen der VM-Series Next-Generation Firewall (BYOL) über das Netzwerkkonto in MALZ und geben Sie den „BYOL-Authentifizierungscode“, den Sie nach dem Kauf der Lizenz erhalten haben, an AMS weiter.
## Einschränkungen
Derzeit unterstützt AMS Firewalls der Serien VM-300 oder VM-500. Konfigurationen finden Sie hier: [Modelle der VM-Serie auf EC2 AWS-Instances](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html),
**Anmerkung**
Die AMS-Lösung wird im Active-Active-Modus ausgeführt, da jede PA-Instance in ihrer AZ den ausgehenden Datenverkehr für ihre jeweilige AZ abwickelt. Bei zwei AZs Instanzen verarbeitet jede PA-Instance also ausgehenden Datenverkehr mit bis zu 5 Gbit/s und bietet effektiv einen Gesamtdurchsatz von 10 Gbit/s über zwei. AZs Das Gleiche gilt für alle Grenzwerte in jeder AZ. Sollte die AMS-Zustandsprüfung fehlschlagen, verlagern wir den Verkehr von der AZ mit der fehlerhaften PA auf eine andere AZ, und beim Austausch der Instance wird die Kapazität auf die verbleibenden AZs Grenzwerte reduziert.
AMS unterstützt derzeit keine anderen Palo Alto-Pakete, die auf dem AWS Marketplace erhältlich sind. Sie können beispielsweise nicht nach dem „VM-Series Next-Generation Firewall Bundle 2“ fragen. Beachten Sie, dass die AMS Managed Firewall-Lösung, die Palo Alto verwendet, derzeit nur ein Angebot zur Filterung des ausgehenden Datenverkehrs bietet, sodass die Verwendung erweiterter Pakete der VM-Serie keine zusätzlichen Funktionen oder Vorteile bieten würde.
## Anforderungen für das Onboarding
+ Sie müssen die Allgemeinen Geschäftsbedingungen der VM-Series Next-Generation Firewall von Palo Alto im AWS Marketplace lesen und akzeptieren.
+ Sie müssen die Instance-Größe, die Sie verwenden möchten, auf der Grundlage Ihrer erwarteten Arbeitslast bestätigen.
+ Sie müssen einen /24-CIDR-Block angeben, der nicht zu Konflikten mit Netzwerken in Ihrer Multi-Account-Landing Zone-Umgebung oder vor Ort führt. Sie muss derselben Klasse angehören wie die Egress-VPC (die Lösung stellt eine /24-VPC-Erweiterung für die Egress-VPC VPC).
## Preise
Die Basiskosten für die Infrastruktur von AMS Managed Firewall sind in drei Hauptfaktoren aufgeteilt: die EC2 Instanz, die die Palo Alto-Firewall hostet, die Softwarelizenz, die Lizenzen der Palo Alto VM-Serie und Integrationen. CloudWatch
Die folgenden Preise basieren auf der Firewall der Serie VM-300.
+ EC2 Instanzen: Die Palo Alto-Firewall wird in einem Hochverfügbarkeitsmodell mit 2-3 EC2 Instanzen ausgeführt, wobei die Instanz auf den erwarteten Workloads basiert. Die Kosten für die Instanz hängen von der Region und der Anzahl der ab AZs
+ Bsp. us-east-1, m5.xlarge, 3 AZs
+ 0,192\$1 \$1 24 \$1 30 \$1 3 = 414,72\$1
+ https://aws.amazon.com/ec2/Preise/auf Abfrage/
+ Palo Alto-Lizenzen: Die Softwarelizenzkosten einer Palo Alto VM-300-Firewall der nächsten Generation hängen von der Anzahl der AZ sowie vom Instanztyp ab.
+ Bsp. us-east-1, m5.xlarge, 3 AZs
+ 0,87\$1 \$1 24 \$1 30 \$1 3 = 1879,20\$1
+ https://aws.amazon.com/marketplace/PP/B083M7JPKB? ref\$1=srh\$1res\$1product\$1title \$1pdp -Preisgestaltung
+ CloudWatch Integration von Protokollen: Die Protokollintegration nutzt SysLog Server (- t3.medium), NLB und CloudWatch Protokolle. EC2 CloudWatch Die Kosten für die Server hängen von der Region und der Anzahl der Server ab AZs, und die Kosten für die NLB/CloudWatch Protokolle variieren je nach Auslastung des Datenverkehrs.
+ Bsp. us-east-1, t3.medium, 3AZ
+ 0,0416\$1 \$1 24 \$1 30 \$1 3 = 89,86\$1
+ https://aws.amazon.com/ec2/Preise/auf Abfrage/
+ https://aws.amazon.com/cloudwatch/Preisgestaltung/
# Umkreis (DMZ) VPC
Die Perimeter- oder DMZ-VPC enthält die Ressourcen, die AMS-Betriebsingenieure für den Zugriff auf AMS-Netzwerke benötigen. Es enthält öffentliche Subnetze in 2-3 AZs Bereichen mit SSH-Bastions-Hosts in einer Auto Scaling Scaling-Gruppe (ASG), in die sich die Techniker von AMS Operations einloggen oder einen Tunnel durchqueren können. Die Sicherheitsgruppen, die den DMZ-Bastionen zugeordnet sind, enthalten Port-22-Regeln für eingehenden Datenverkehr von **Amazon** Corp Networks.
*DMZ-VPC-CIDR-Bereich:* Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 Adressbereich für die VPC in Form eines CIDR-Blocks (Classless Inter-Domain Routing) angeben, z. B. 10.0.16.0/24. Dies ist der primäre CIDR-Block für Ihre VPC.
**Anmerkung**
Das AMS-Team empfiehlt den Bereich von 24 (mit mehr IP-Adressen), um einen gewissen Puffer für den Fall bereitzustellen, dass in future andere Ressourcen, wie z. B. eine Firewall, bereitgestellt werden.
# AWS Transit Gateway
AWS Transit Gateway (TGW) ist ein Service, mit dem Sie Ihre Amazon Virtual Private Clouds (VPCs) und Ihre lokalen Netzwerke mit einem einzigen Gateway verbinden können. Transit Gateway ist das Netzwerk-Backbone, das das Routing zwischen AMS-Kontonetzwerken und externen Netzwerken abwickelt. Informationen zu Transit Gateway finden Sie unter [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Geben Sie die folgenden Eingaben ein, um diese Ressource zu erstellen:
+ *Transit Gateway-ASN-Nummer* \$1: Geben Sie die private Autonome Systemnummer (ASN) für Ihr Transit Gateway an. Dabei sollte es sich um die ASN für die AWS-Seite einer BGP-Sitzung (Border Gateway Protocol) handeln. Der Bereich liegt zwischen 64512 und 65534 für 16-Bit. ASNs
# Shared Services-Konto
Das Shared Services-Konto dient als zentraler Knotenpunkt für die meisten AMS-Datenebenendienste. Das Konto enthält die Infrastruktur und die Ressourcen, die für Access Management (AD) und Endpoint Security Management (Trend Micro) erforderlich sind, und es enthält die Kundenbastionen (SSH/RDP). Die folgende Grafik bietet einen allgemeinen Überblick über die im Shared Services-Konto enthaltenen Ressourcen.
![\[Diagram of Shared Services Account architecture with VPC, subnets, and various AWS-Services.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malzSharedServicesAccount2.png)
Die Shared Services-VPC besteht aus dem AD-Subnetz, dem EPS-Subnetz und dem Customer-Bastions-Subnetz in den drei Verfügbarkeitszonen (). AZs Die in der Shared Services-VPC erstellten Ressourcen sind unten aufgeführt und erfordern Ihre Eingabe.
+ *Shared Services VPC CIDR-Bereich:* Wenn Sie eine VPC erstellen, müssen Sie einen IPv4 Adressbereich für die VPC in Form eines CIDR-Blocks (Classless Inter-Domain Routing) angeben, z. B. 10.0.1.0/24. Dies ist der primäre CIDR-Block für Ihre VPC.
**Anmerkung**
Das AMS-Team empfiehlt den Bereich /23.
+ *Active Directory-Details*: Microsoft Active Directory (AD) wird für user/resource Verwaltung, Authentifizierung/Autorisierung und DNS für all Ihre AMS-Landingzone-Konten mit mehreren Konten verwendet. AMS AD ist außerdem mit einer unidirektionalen Vertrauensstellung für Ihr Active Directory für eine vertrauensbasierte Authentifizierung konfiguriert. Die folgende Eingabe ist erforderlich, um das AD zu erstellen:
+ Domain Fully Qualified Domain Name (FQDN): Der vollqualifizierte Domainname für das AWS Managed Microsoft AD-Verzeichnis. Die Domain sollte keine bestehende Domain oder untergeordnete Domain einer bestehenden Domain in Ihrem Netzwerk sein.
+ Domain-NetBIOS-Name: Wenn Sie keinen NetBIOS-Namen angeben, verwendet AMS standardmäßig den ersten Teil Ihres Verzeichnis-DNS als Namen. Zum Beispiel corp für das Verzeichnis DNS corp.example.com.
+ *Trend Micro — Endpoint Protection Security (EPS)*: Trend Micro Endpoint Protection (EPS) ist die Hauptkomponente von AMS für die Betriebssystemsicherheit. Das System besteht aus Deep Security Manager (DSM), EC2 Instanzen, EC2 Relay-Instanzen und einem Agenten, der auf allen Datenebenen und EC2 Kundeninstanzen präsent ist.
Sie müssen das `EPSMarketplaceSubscriptionRole` im Shared Services-Konto verwenden und entweder das Trend Micro Deep Security (BYOL) AMI oder Trend Micro Deep Security (Marketplace) abonnieren.
Die folgenden Standardeingaben sind erforderlich, um EPS zu erstellen (falls Sie die Standardwerte ändern möchten):
+ Relay-Instanztyp: Standardwert — m5.large
+ DSM-Instanztyp: Standardwert — m5.xlarge
+ DB-Instance-Größe: Standardwert — 200 GB
+ RDS-Instance-Typ: Standardwert — db.m5.large
+ *Kundenbastionen*: Im Shared Services-Konto stehen Ihnen SSH- oder RDP-Bastionen (oder beide) zur Verfügung, um auf andere Hosts in Ihrer AMS-Umgebung zugreifen zu können. Um als Benutzer auf das AMS-Netzwerk zuzugreifen (SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPNzum Transit Gateway (TGW)) und wird dann zur Shared Services-VPC weitergeleitet. Sobald Sie auf die Bastion zugreifen können, können Sie zu anderen Hosts in der AMS-Umgebung springen, sofern die Zugriffsanfrage genehmigt wurde.
+ Die folgenden Eingaben sind für SSH-Bastionen erforderlich.
+ Gewünschte Instanzkapazität von SSH Bastion: Standardwert: 2.
+ Maximale Anzahl an SSH Bastion-Instanzen: Standardwert: 4.
+ Minimale Anzahl an SSH-Bastion-Instanzen: Standardwert -2.
+ SSH Bastion-Instanztyp: Standardwert — m5.large (kann geändert werden, um Kosten zu sparen; zum Beispiel ein t3.medium).
+ SSH Bastion Ingress CIDRs: IP-Adressbereiche, von denen aus Benutzer in Ihrem Netzwerk auf SSH Bastions zugreifen.
+ Die folgenden Eingaben sind für Windows RDP-Bastionen erforderlich.
+ RDP-Bastion-Instanztyp: Standardwert — t3.medium.
+ Gewünschte Mindestanzahl an Sitzungen für RDP Bastion: Standardwert: 2.
+ Maximale Anzahl an RDP-Sitzungen: Standardwert -10.
+ RDP Bastion-Konfigurationstyp: Sie können eine der folgenden Konfigurationen wählen
+ SecureStandard = Ein Benutzer erhält eine Bastion und nur ein Benutzer kann sich mit der Bastion verbinden.
+ SecureHA = Ein Benutzer erhält zwei Bastionen in zwei verschiedenen AZs, mit denen er sich verbinden kann, und nur ein Benutzer kann sich mit der Bastion verbinden.
+ SharedStandard = Ein Benutzer erhält eine Bastion, mit der er sich verbinden kann, und zwei Benutzer können sich gleichzeitig mit derselben Bastion verbinden.
+ shareDHA = Ein Benutzer erhält zwei Bastionen in zwei verschiedenen AZs, mit denen er sich verbinden kann, und zwei Benutzer können sich gleichzeitig mit derselben Bastion verbinden.
+ Kunden-RDP-Eingang CIDRs: IP-Adressbereiche, von denen aus Benutzer in Ihrem Netzwerk auf RDP Bastions zugreifen.
# Aktualisierungen für gemeinsame Dienste: Landing Zone für mehrere Konten
AMS wendet auf monatlicher Basis und ohne vorherige Ankündigung Datenebenen-Releases auf verwaltete Konten an.
AMS verwendet die zentrale Organisationseinheit, um gemeinsam genutzte Dienste wie Zugriff, Netzwerk, EPS, Protokollspeicherung und Alert-Aggregation in Ihrer Multi-Account-Landing Zone bereitzustellen. AMS ist für die Behebung von Sicherheitslücken, das Patchen und die Bereitstellung dieser gemeinsamen Dienste verantwortlich. AMS aktualisiert regelmäßig die Ressourcen, die für die Bereitstellung dieser gemeinsamen Dienste verwendet werden, sodass Benutzer Zugriff auf die neuesten Funktionen und Sicherheitsupdates haben. Die Updates erfolgen in der Regel monatlich. Zu den Ressourcen, die Teil dieser Updates sind, gehören:
+ Konten, die Teil der Kernorganisationseinheit sind.
Das Verwaltungskonto, das Shared Services-Konto, das Netzwerkkonto, das Sicherheitskonto und das Protokollarchivkonto verfügen über Ressourcen für RDP- und SSH-Bastionen, Proxys, Management-Hosts und Endpoint Security (EPS), die normalerweise jeden Monat aktualisiert werden. AMS verwendet unveränderliche EC2 Bereitstellungen als Teil der Shared Services-Infrastruktur.
+ Neues AMS AMIs mit den neuesten Updates.
**Anmerkung**
AMS-Operatoren verwenden bei der Ausführung von Änderungen an der Datenebene einen internen Alarmunterdrückungsänderungstyp (CT), und der RFC für diesen CT wird in Ihrer RFC-Liste angezeigt. Dies liegt daran, dass bei der Bereitstellung der Datenebenenversion verschiedene Infrastrukturen heruntergefahren, neu gestartet oder offline geschaltet werden können oder dass CPU-Spitzen oder andere Auswirkungen der Bereitstellung auftreten können, die Alarme auslösen, die während der Bereitstellung der Datenebene irrelevant sind. Sobald die Bereitstellung abgeschlossen ist, wird überprüft, ob die gesamte Infrastruktur ordnungsgemäß funktioniert, und die Alarme werden wieder aktiviert.
# Konto protokollieren und archivieren
Das Log Archive-Konto dient als zentrale Anlaufstelle für die Archivierung von Protokollen in Ihrer AMS-Landingzone-Umgebung mit mehreren Konten. Das Konto enthält einen S3-Bucket, der Kopien der AWS CloudTrail - und AWS Config-Protokolldateien von jedem der AMS-Landingzone-Umgebungskonten mit mehreren Konten enthält. Sie könnten dieses Konto für Ihre zentralisierte Logging-Lösung mit AWS Firehose oder Splunk usw. verwenden. Der Zugriff von AMS auf dieses Konto ist auf einige wenige Benutzer beschränkt. Der Zugriff ist auf Prüfer und Sicherheitsteams beschränkt, die für Compliance-Untersuchungen und forensische Untersuchungen im Zusammenhang mit Kontoaktivitäten zuständig sind.
![\[Log Archive Account diagram showing Aggregated CloudTrail Logs and Aggregated Config Logs icons.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malzLogAccount.png)
# Sicherheitskonto
Das Sicherheitskonto ist die zentrale Anlaufstelle für Operationen im Zusammenhang mit der Wohnungssicherheit und die zentrale Anlaufstelle für die Weiterleitung von Benachrichtigungen und Warnmeldungen an die AMS-Steuerflugzeugdienste. Darüber hinaus beherbergt das Sicherheitskonto das Amazon Guard Duty-Verwaltungskonto und den AWS Config-Aggregator.
![\[Security Account diagram showing GuardDuty Master, Simple Notification System, and Config Aggregator.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malzSecurityAccount.png)
# Arten von Anwendungskonten
Anwendungskonten sind AWS-Konten innerhalb der von AMS verwalteten landing zone Zone-Architektur, die Sie zum Hosten Ihrer Workloads verwenden. AMS bietet drei Arten von Anwendungskonten an:
+ [Von AMS verwaltete Anwendungskonten](application-account-ams-managed.md)
+ [AMS Accelerate-Konten](malz-accelerate-account.md)
+ [Vom Kunden verwaltete Anwendungskonten](application-account-cust-man.md)
Anwendungskonten werden OUs in AWS Organizations je nach Art des Anwendungskontos unterschiedlich gruppiert:
+ Stamm-OU:
1. Anwendungen (OU)
+ Verwaltete Organisationseinheit: Von AMS verwaltete Konten
+ Entwicklungs-OU: Von AMS verwaltete Konten mit aktiviertem Entwicklermodus
1. Accelerate OU: AMS Accelerate Application-Konten
1. Kundenverwaltete Organisationseinheit: Vom Kunden verwaltete Anwendungskonten
Anwendungskonten werden über einen RFC bereitgestellt, der vom Verwaltungskonto aus übermittelt wird:
+ [Anwendungskonto mit VPC erstellen ct-1zdasmc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html)
+ [Accelerate-Konto erstellen ct-2p93tyd5angmi](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html)
+ [Erstellen Sie ein vom Kunden verwaltetes Anwendungskonto ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)
# Von AMS verwaltete Anwendungskonten
Anwendungskonten, die vollständig von AMS verwaltet werden, werden als AMS-verwaltete Anwendungskonten bezeichnet, bei denen einige oder alle betrieblichen Aufgaben, wie z. B. Verwaltung von Serviceanfragen, Vorfallmanagement, Sicherheitsmanagement, Kontinuitätsmanagement (Backup), Patchmanagement, Kostenoptimierung oder Überwachung und Eventmanagement der Infrastruktur, von AMS ausgeführt werden.
Die Anzahl der von AMS ausgeführten Aufgaben hängt vom ausgewählten Change-Management-Modus ab. Von AMS verwaltete Konten unterstützen verschiedene Modi für das Änderungsmanagement:
+ [RFC-Modus](rfc-mode.md)
+ [Direkter Änderungsmodus in AMS](direct-change-mode-section.md)
+ [AMS- und AWS Service Catalog](ams-service-catalog-section.md)
+ [AMS Advanced-Entwicklermodus](developer-mode-section.md)
+ [Self-Service-Bereitstellungsmodus in AMS](self-service-provisioning-section.md)
Weitere Informationen zum Änderungsmanagement und zu den verschiedenen Modi finden Sie unter. [Verwaltungsmodi ändern](using-change-management.md)
Es gibt einige AWS-Services, die Sie in Ihrem AMS-verwalteten Konto ohne AMS-Management verwenden können. Die Liste dieser AWS-Services und wie Sie sie Ihrem AMS-Konto hinzufügen können, finden Sie im Abschnitt [Self-Service-Bereitstellung](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html).
# AMS Accelerate-Konten
AMS Accelerate ist der AMS-Betriebsplan, mit dem die AWS-Infrastruktur betrieben werden kann, die Workloads unterstützt. Sie können von den Betriebsservices von AMS Accelerate wie Überwachung und Warnung, Incident Management, Sicherheitsmanagement und Backup-Management profitieren, ohne eine neue Migration durchführen zu müssen, Ausfallzeiten zu erleben oder Ihre Nutzung von AWS zu ändern. AMS Accelerate bietet auch ein optionales Patch-Add-on für EC2 basierte Workloads, die regelmäßig gepatcht werden müssen.
Mit AMS Accelerate haben Sie die Freiheit, alle AWS-Services nativ oder mit Ihren bevorzugten Tools zu verwenden, zu konfigurieren und bereitzustellen. Sie verwenden Ihre bevorzugten Zugriffs- und Änderungsmechanismen, während AMS konsequent bewährte Verfahren anwendet, die Ihnen helfen, Ihr Team zu skalieren, Kosten zu optimieren, Sicherheit und Effizienz zu erhöhen und die Ausfallsicherheit zu verbessern.
**Anmerkung**
AMS Accelerate-Konten in AMS Advanced verfügen weder über AMS Change Management (RFCs) noch über die AMS Advanced-Konsole. Stattdessen verfügen sie über die AMS Accelerate-Konsole und Funktionen.
Accelerate-Konten können nur über Ihr AMS-Landing landing zone Management-Konto mit mehreren Konten bereitgestellt werden. Accelerate bietet verschiedene betriebliche Funktionen. Weitere Informationen finden Sie in der [Leistungsbeschreibung von Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
+ Sie werden weiterhin einige der Funktionen der Kernkonten mit mehreren Konten (MALZ) nutzen können, z. B. zentrale Protokollierung, Einzelabrechnung, Config Aggregator im Sicherheitskonto und. SCPs
+ AMS Accelerate bietet einige AMS Advanced-Dienste wie EPS, Access Management, Change Management und Provisioning nicht an. Wir empfehlen Ihnen, die nächsten Schritte zu befolgen, um Zugriff auf das Transit Gateway (TGW) zu erhalten und es zu konfigurieren.
Weitere Informationen zu Accelerate finden Sie unter [Was ist Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html).
## Erstellen Sie Ihr Accelerate-Konto
Gehen Sie wie folgt vor, um ein Accelerate-Konto zu [erstellen: Accelerate-Konto erstellen](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info).
## Zugriff auf Ihr Accelerate-Konto
Nachdem Sie ein Accelerate-Konto in Ihrem MALZ-Konto (Multi-Account landing zone) bereitgestellt haben, können Sie in dem Konto eine Rolle mit [administrativen Zugriffsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) übernehmen. `AccelerateDefaultAdminRole`
So greifen Sie auf das neue Accelerate-Konto zu:
1. Melden Sie sich bei der IAM-Konsole für das Verwaltungskonto mit der `CustomerDefaultAssumeRole` Rolle an.
1. Wählen Sie in der IAM-Konsole in der Navigationsleiste Ihren Benutzernamen aus.
1. Wählen Sie **Switch Role**. Wenn Sie diese Option erstmalig auswählen, wird eine Seite mit weiteren Informationen angezeigt. Lesen Sie sich diese Informationen durch und klicken Sie dann auf **Switch Role (Rolle wechseln)**. Wenn Sie die Cookies Ihres Browsers löschen, kann die Seite erneut angezeigt werden.
1. Geben Sie auf der Seite „**Rolle wechseln**“ die Accelerate-Konto-ID und den Namen der Rolle ein, die Sie annehmen möchten:`AccelerateDefaultAdminRole`.
Nachdem Sie nun Zugriff haben, können Sie neue IAM-Rollen erstellen, um weiterhin auf Ihre Umgebung zuzugreifen. Wenn Sie SAML Federation für Ihr Accelerate-Konto nutzen möchten, finden Sie weitere Informationen unter [Aktivieren des Zugriffs auf die AWS-Managementkonsole für SAML 2.0-Verbundbenutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).
## Ihr Accelerate-Konto mit Transit Gateway verbinden
AMS verwaltet die Netzwerkeinrichtung eines Accelerate-Kontos nicht. Sie haben die Möglichkeit, Ihr eigenes Netzwerk mit AWS zu verwalten APIs (siehe [Netzwerklösungen](https://aws.amazon.com/solutionspace/networking/)) oder eine Verbindung zum von AMS verwalteten MALZ-Netzwerk herzustellen, indem Sie das bestehende Transit Gateway (TGW) verwenden, das in AMS MALZ bereitgestellt wird.
**Anmerkung**
Sie können nur dann eine VPC mit dem TGW verbinden, wenn sich das Accelerate-Konto in derselben AWS-Region befindet. Weitere Informationen finden Sie unter [Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html).
Um Ihr Accelerate-Konto zu Transit Gateway hinzuzufügen, fordern Sie mithilfe des Änderungstyps [Bereitstellung \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Statische Route hinzufügen (ct-3r2ckznmt0a59) eine neue Route](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) an. Geben Sie folgende Informationen an:
+ **Blackhole**: True bedeutet, dass das Ziel der Route nicht verfügbar ist. Tun Sie dies, wenn der Verkehr für die statische Route vom Transit Gateway unterbrochen werden soll. False, um den Verkehr an die angegebene TGW-Anhangs-ID weiterzuleiten. Der Standardwert ist „false“.
+ **DestinationCidrBlock**: Der IPV4 CIDR-Bereich, der für Zielübereinstimmungen verwendet wird. Routing-Entscheidungen basieren auf der genauesten Übereinstimmung. Beispiel: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: Die TGW-Anhangs-ID, die als Ziel für die Routentabelle dient. Wenn **Blackhole** den Wert false hat, ist dieser Parameter erforderlich, andernfalls lassen Sie diesen Parameter leer. Beispiel: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: Die ID der TGW-Routentabelle. Beispiel: tgw-rtb-06ddc751c0c0c881c.
Erstellen Sie Routen in den TGW-Routentabellen, um eine Verbindung zu dieser VPC herzustellen:
1. Standardmäßig kann diese VPC mit keiner anderen VPCs in Ihrem MALZ-Netzwerk kommunizieren.
1. Entscheiden Sie mit Ihrem Lösungsarchitekten, mit was VPCs diese Accelerate-VPC kommunizieren soll.
1. [Bereitstellung einreichen \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Änderungstyp für statische Route (ct-3r2ckznmt0a59) hinzufügen](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html), geben Sie folgende Informationen an:
+ **Blackhole**: True bedeutet, dass das Ziel der Route nicht verfügbar ist. Tun Sie dies, wenn der Verkehr für die statische Route vom Transit Gateway unterbrochen werden soll. False, um den Verkehr an die angegebene TGW-Anhangs-ID weiterzuleiten. Der Standardwert ist „false“.
+ **DestinationCidrBlock**: Der IPV4 CIDR-Bereich, der für Zielübereinstimmungen verwendet wird. Routing-Entscheidungen basieren auf der genauesten Übereinstimmung. Beispiel: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: Die TGW-Anhangs-ID, die als Ziel für die Routentabelle dient. Wenn **Blackhole** den Wert false hat, ist dieser Parameter erforderlich, andernfalls lassen Sie diesen Parameter leer. Beispiel: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: Die ID der TGW-Routentabelle. Beispiel: tgw-rtb-06ddc751c0c0c881c.
**Eine neue Accelerate-Account-VPC mit dem AMS Multi-Account Landing Zone-Netzwerk verbinden (einen TGW-VPC-Anhang erstellen)**:
1. Öffnen Sie in Ihrem landing zone Networking-Konto mit mehreren Konten die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateways**. Notieren Sie sich die TGW-ID des Transit-Gateways, das Sie sehen.
1. Öffnen Sie in Ihrem Accelerate-Konto die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Transit Gateway Gateway-Anlagen** > **Transit Gateway Gateway-Anlage erstellen**. Treffen Sie diese Entscheidungen:
+ Wählen Sie für die **Transit Gateway Gateway-ID** die Transit-Gateway-ID aus, die Sie in Schritt 2 aufgezeichnet haben.
+ Wählen Sie bei **Attachment type (Anhangstyp)** die Option **VPC** aus.
+ Geben Sie unter **VPC Attachment (VPC-Anfügung)** optional einen Namen für **Attachment name tag (Anfügungs-Namens-Tag)** ein.
+ Wählen Sie aus, ob **DNS-Support und IPv6 Support** **aktiviert werden sollen**.
+ Wählen Sie für **VPC ID** die VPC aus, die dem Transit-Gateway angefügt werden soll. Dieser VPC muss mindestens ein Subnetz zugeordnet sein.
+ Wählen Sie unter **Subnetz** ein Subnetz für jede Availability Zone aus IDs, das vom Transit-Gateway zur Weiterleitung des Datenverkehrs verwendet werden soll. Sie müssen mindestens ein Subnetz auswählen. Sie können nur ein Subnetz pro Availability Zone auswählen.
1. Wählen Sie **Create attachment (Anhang erstellen)** aus. Notieren Sie sich die ID des neu erstellten TGW-Anhangs.
**Zuordnen des TGW-Anhangs zu einer Routentabelle**:
1. Entscheiden Sie, welcher TGW-Routentabelle Sie die VPC zuordnen möchten. Wir empfehlen, eine neue Anwendungsroutentabelle für das Accelerate-Konto VPCs mithilfe des Änderungstyps Deployment \$1 Managed landing zone \$1 Netzwerkkonto \$1 Transit-Gateway-Routentabelle erstellen (ct-3dscwaeyi6cup) zu erstellen.
1. Reichen Sie einen RFC [Management \$1 Managed landing zone \$1 Networking Account \$1 TGW-Attachment (ct-3nmhh0qr338q6) für das Netzwerkkonto ein, um den VPC- oder TGW-Anhang der ausgewählten Routentabelle zuzuordnen](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html).
**Erstellen Sie Routen in den TGW-Routentabellen, um eine Verbindung zu dieser VPC** herzustellen:
1. Standardmäßig kann diese VPC mit keiner anderen VPCs in Ihrem Landingzone-Netzwerk mit mehreren Konten kommunizieren.
1. Entscheiden VPCs Sie mit Ihrem Lösungsarchitekten, mit was diese Accelerate-Account-VPC kommunizieren soll.
1. [Bereitstellung einreichen \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Fügen Sie statische Route](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC für das Netzwerkkonto hinzu, um die benötigten TGW-Routen zu erstellen.
**Konfiguration Ihrer VPC-Routing-Tabellen so, dass sie auf das AMS landing zone Transit Gateway für mehrere Konten verweisen**:
1. Entscheiden Sie gemeinsam mit Ihrem Lösungsarchitekten, welchen Verkehr Sie an das AMS Multi-Account Landing Zone-Transit-Gateway senden möchten.
1. [Bereitstellung einreichen \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Fügen Sie statische Route](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC für das Netzwerkkonto hinzu, um die benötigten TGW-Routen zu erstellen.
# Vom Kunden verwaltete Anwendungskonten
Sie können Konten erstellen, die AMS nicht standardmäßig verwaltet. Diese Konten werden als vom Kunden verwaltete Konten bezeichnet und geben Ihnen die volle Kontrolle über den Eigenbetrieb der Infrastruktur innerhalb der Konten, während Sie gleichzeitig die Vorteile der zentralisierten Architektur nutzen können, die von AMS verwaltet wird.
Kundenverwaltete Konten haben keinen Zugriff auf die AMS-Konsole oder einen der von uns angebotenen Dienste (Patch, Backup usw.).
Kundenverwaltete Konten können nur über Ihr AMS-Landingzone-Verwaltungskonto mit mehreren Konten bereitgestellt werden.
Verschiedene AMS-Modi funktionieren unterschiedlich mit Anwendungskonten. Weitere Informationen zu den Modi finden Sie unter [AWS Managed Services Services-Modi](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html).
Informationen zur Erstellung Ihres kundenverwalteten Anwendungskontos finden Sie unter [Verwaltungskonto \$1 Kundenverwaltetes Anwendungskonto erstellen](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html).
Um ein vom Kunden verwaltetes Anwendungskonto zu löschen, verwenden Sie [Verwaltungskonto \$1 Offboard-Anwendungskonto](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html). (Das [Confirm Offboarding](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) CT gilt nicht für vom Kunden verwaltete Anwendungskonten.)
# Zugriff auf Ihr vom Kunden verwaltetes Konto
Nachdem Sie ein vom Kunden verwaltetes Konto (CMA) in der landing zone mit mehreren Konten (MALZ) bereitgestellt haben, befindet sich im Konto eine Administratorrolle`CustomerDefaultAdminRole`,, die Sie über den SAML-Verbund übernehmen müssen, um das Konto zu konfigurieren.
So greifen Sie auf die CMA zu:
1. Melden Sie sich bei der IAM-Konsole für das Verwaltungskonto mit der Rolle an **CustomerDefaultAssumeRole**.
1. Wählen Sie in der IAM-Konsole in der Navigationsleiste Ihren Benutzernamen aus.
1. Wählen Sie **Switch Role**. Wenn Sie diese Option erstmalig auswählen, wird eine Seite mit weiteren Informationen angezeigt. Lesen Sie sich diese Informationen durch und klicken Sie dann auf **Switch Role (Rolle wechseln)**. Wenn Sie die Cookies Ihres Browsers löschen, kann die Seite erneut angezeigt werden.
1. Geben Sie auf der Seite „**Rolle wechseln**“ die ID des vom Kunden verwalteten Kontos und den Namen der Rolle ein, die Sie übernehmen möchten: **CustomerDefaultAdminRole**.
Nachdem Sie nun Zugriff haben, können Sie neue IAM-Rollen erstellen, um weiterhin auf Ihre Umgebung zuzugreifen. Wenn Sie SAML Federation für Ihr CMA-Konto nutzen möchten, finden Sie weitere Informationen unter [Aktivieren des Zugriffs auf die AWS-Managementkonsole für SAML 2.0-Verbundbenutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).
# Verbinden Sie Ihre CMA mit Transit Gateway
AMS verwaltet nicht die Netzwerkeinrichtung von vom Kunden verwalteten Konten (CMAs). Sie haben die Möglichkeit, Ihr eigenes Netzwerk mit AWS zu verwalten APIs (siehe [Networking Solutions](https://aws.amazon.com/solutionspace/networking/)) oder eine Verbindung zu dem von AMS verwalteten Mehrkonto-Landingzone-Netzwerk herzustellen, indem Sie das bestehende Transit Gateway (TGW) verwenden, das in AMS MALZ bereitgestellt wird.
**Anmerkung**
Sie können nur dann eine VPC mit dem TGW verbinden, wenn sich die CMA in derselben AWS-Region befindet. [Weitere Informationen finden Sie unter Transit-Gateways.](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)
Um Ihre CMA zu Transit Gateway hinzuzufügen, fordern Sie eine neue Route mit dem Änderungstyp [Netzwerkkonto \$1 Statische Route hinzufügen (ct-3r2ckznmt0a59](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)) an und geben Sie folgende Informationen an:
+ **Blackhole**: True bedeutet, dass das Ziel der Route nicht verfügbar ist. Tun Sie dies, wenn der Verkehr für die statische Route vom Transit Gateway unterbrochen werden soll. False, um den Verkehr an die angegebene TGW-Anhangs-ID weiterzuleiten. Der Standardwert ist „false“.
+ **DestinationCidrBlock**: Der IPV4 CIDR-Bereich, der für Zielübereinstimmungen verwendet wird. Routing-Entscheidungen basieren auf der genauesten Übereinstimmung. Beispiel: `10.0.2.0/24`.
+ **TransitGatewayAttachmentId**: Die TGW-Anhangs-ID, die als Ziel für die Routentabelle dient. Wenn **Blackhole** den Wert false hat, ist dieser Parameter erforderlich, andernfalls lassen Sie diesen Parameter leer. Beispiel: `tgw-attach-04eb40d1e14ec7272`.
+ **TransitGatewayRouteTableId**: Die ID der TGW-Routentabelle. Beispiel: `tgw-rtb-06ddc751c0c0c881c`.
**Verbindung einer neuen kundenverwalteten VPC mit dem AMS Multi-Account Landing Zone-Netzwerk (Erstellen eines TGW-VPC-Anhangs**):
1. Öffnen Sie in Ihrem landing zone Networking-Konto mit mehreren Konten die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Transit** Gateways aus. Notieren Sie sich die TGW-ID des Transit-Gateways, das Sie sehen.
1. Öffnen Sie in Ihrem vom Kunden verwalteten Konto die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Transit Gateway Gateway-Anlagen** > **Transit Gateway Gateway-Anlage erstellen**. Treffen Sie diese Entscheidungen:
1. Wählen Sie für die **Transit Gateway Gateway-ID** die Transit-Gateway-ID aus, die Sie in Schritt 2 aufgezeichnet haben.
1. Wählen Sie bei **Attachment type (Anhangstyp)** die Option **VPC** aus.
1. Geben Sie unter **VPC Attachment (VPC-Anfügung)** optional einen Namen für **Attachment name tag (Anfügungs-Namens-Tag)** ein.
1. Wählen Sie aus, ob **DNS-Support und IPv6 Support** **aktiviert werden sollen**.
1. Wählen Sie für **VPC ID** die VPC aus, die dem Transit-Gateway angefügt werden soll. Dieser VPC muss mindestens ein Subnetz zugeordnet sein.
1. Wählen Sie unter **Subnetz** ein Subnetz für jede Availability Zone aus IDs, das vom Transit-Gateway zur Weiterleitung des Datenverkehrs verwendet werden soll. Sie müssen mindestens ein Subnetz auswählen. Sie können nur ein Subnetz pro Availability Zone auswählen.
1. Wählen Sie **Create attachment (Anhang erstellen)** aus. Notieren Sie sich die ID des neu erstellten TGW-Anhangs.
**Zuordnen des TGW-Anhangs zu einer Routentabelle**:
Entscheiden Sie, mit welcher TGW-Routentabelle Sie die VPC verknüpfen möchten. Wir empfehlen, eine neue Anwendungsroutentabelle für Customer Managed zu erstellen, VPCs indem Sie einen RFC für Bereitstellung \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Transit-Gateway-Routentabelle erstellen (ct-3dscwaeyi6cup) einreichen. Um die VPC- oder TGW-Anlage der ausgewählten Routing-Tabelle zuzuordnen, reichen Sie einen RFC Deployment \$1 Managed landing zone \$1 Networking Account \$1 Associate TGW Attachment (ct-3nmhh0qr338q6) für das Netzwerkkonto ein.
**Erstellen Sie Routen in den TGW-Routentabellen, um eine Verbindung zu dieser VPC** herzustellen:
1. Standardmäßig kann diese VPC mit keiner anderen VPCs in Ihrem Multi-Account-Landingzone-Netzwerk kommunizieren.
1. Entscheiden Sie mit Ihrem Lösungsarchitekten, mit was VPCs diese vom Kunden verwaltete VPC kommunizieren soll. Bereitstellung einreichen \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Fügen Sie statische Route (ct-3r2ckznmt0a59) RFC für das Netzwerkkonto hinzu, um die benötigten TGW-Routen zu erstellen.
**Anmerkung**
Dieses CT (ct-3r2ckznmt0a59) erlaubt es nicht EgressRouteDomain, statische Routen zur Core-Routentabelle hinzuzufügen. Wenn Ihre CMA ausgehenden Verkehr zulassen muss, reichen Sie einen Management \$1 Other \$1 Other (MOO) -RFC mit ct-0xdawir96cy7k ein.
**Konfiguration Ihrer VPC-Routentabellen so, dass sie auf das AMS Multi-Account Landing Zone-Transit-Gateway verweisen**:
Entscheiden Sie gemeinsam mit Ihrem Lösungsarchitekten, welchen Verkehr Sie an das AMS Multi-Account Landing Zone-Transit-Gateway senden möchten. Aktualisieren Sie Ihre VPC-Routentabellen, um Traffic an den zuvor erstellten TGW-Anhang zu senden
# Holen Sie sich operative Hilfe mit Ihren vom Kunden verwalteten Konten
AMS kann Ihnen helfen, die Workloads zu verwalten, die Sie in Ihren vom Kunden verwalteten Konten bereitgestellt haben, indem das Konto in AMS Accelerate integriert wird. Mit AMS Accelerate können Sie von operativen Services wie Überwachung und Alarmierung, Incident Management, Sicherheitsmanagement und Backup-Management profitieren, ohne eine neue Migration durchführen zu müssen, Ausfallzeiten zu haben oder Ihre Nutzung zu ändern. AWS AMS Accelerate bietet auch ein optionales Patch-Add-on für EC2 basierte Workloads, die regelmäßig gepatcht werden müssen. Mit AMS Accelerate nutzen, konfigurieren und implementieren Sie weiterhin alle AWS Dienste nativ oder mit Ihren bevorzugten Tools, wie Sie es mit AMS Advanced Customer Managed Accounts tun. Sie verwenden Ihre bevorzugten Zugriffs- und Änderungsmechanismen, während AMS bewährte Methoden anwendet, die Ihnen helfen, Ihr Team zu skalieren, Kosten zu optimieren, Sicherheit und Effizienz zu erhöhen und die Ausfallsicherheit zu verbessern. Weitere Informationen finden Sie in der [Leistungsbeschreibung von Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
Um Ihr kundenverwaltetes Konto in Accelerate einzubinden, wenden Sie sich an Ihren CSDM und folgen Sie den Schritten unter [Erste Schritte mit AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html).
**Anmerkung**
AMS Accelerate-Konten in AMS Advanced verfügen weder über das AMS-Änderungsmanagement (Änderungsanträge oder RFCs) noch über die AMS Advanced-Konsole. Stattdessen verfügen sie über die AMS Accelerate-Konsole und -Funktionalität.
# AMS Tools-Konto (Workloads migrieren)
Ihr Konto für Landing Zone-Tools mit mehreren Konten (mit VPC) beschleunigt die Migration, verbessert Ihre Sicherheitsposition, reduziert Kosten und Komplexität und standardisiert Ihr Nutzungsmuster.
Ein Tools-Konto bietet Folgendes:
+ Eine klar definierte Grenze für den Zugriff auf Replikationsinstanzen für Systemintegratoren außerhalb Ihrer Produktions-Workloads.
+ Ermöglicht die Einrichtung einer isolierten Kammer, um einen Workload auf Malware oder unbekannte Netzwerkrouten zu überprüfen, bevor er einem Konto mit anderen Workloads zugeordnet wird.
+ Da es sich um ein definiertes Konto handelt, bietet es eine schnellere Einarbeitung und Einrichtung für die Migration von Workloads.
+ Isolierte Netzwerkrouten zur Sicherung des Datenverkehrs vor Ort -> -> Tools-Konto CloudEndure -> AMS-aufgenommenes Image. Sobald ein Image aufgenommen wurde, können Sie es über einen AMS Management \$1 Advanced Stack Components \$1 AMI \$1 Share (ct-1eiczxw8ihc18) -RFC für das Zielkonto freigeben.
Übergeordnetes Architekturdiagramm:
![\[AWS-Konto structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/high-level-diagram_v1.png)
Verwenden Sie den Änderungstyp Deployment \$1 Managed landing zone \$1 Management account \$1 Tools account (with VPC) erstellen (ct-2j7q1hgf26x5c), um schnell ein Tools-Konto bereitzustellen und einen Workload Ingestion-Prozess in einer Multi-Account-Landingzone-Umgebung zu instanziieren. Siehe [Verwaltungskonto, Tools-Konto: Erstellen (mit VPC)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html).
**Anmerkung**
Wir empfehlen, zwei Verfügbarkeitszonen (AZs) einzurichten, da es sich um einen Migrationshub handelt.
Standardmäßig erstellt AMS die folgenden zwei Sicherheitsgruppen (SGs) in jedem Konto. Vergewissern Sie sich, dass diese beiden vorhanden SGs sind. Wenn sie nicht vorhanden sind, öffnen Sie bitte eine neue Serviceanfrage beim AMS-Team, um sie anzufordern.
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
Stellen Sie sicher, dass CloudEndure Replikationsinstanzen im privaten Subnetz erstellt werden, in dem es Routen zurück zum Standort gibt. Sie können dies überprüfen, indem Sie sicherstellen, dass die Routing-Tabellen für das private Subnetz über eine Standardroute zurück zu TGW verfügen. Bei einem CloudEndure Computer-Cutover sollte jedoch das „isolierte“ private Subnetz verwendet werden, in dem es keine Route zurück zum lokalen Standort gibt, sondern nur ausgehender Internetverkehr zulässig ist. Es ist wichtig sicherzustellen, dass die Umstellung im isolierten Subnetz erfolgt, um mögliche Probleme mit den Ressourcen vor Ort zu vermeiden.
Voraussetzungen:
1. Entweder **Plus** - oder **Premium-Supportstufe**.
1. Das Anwendungskonto IDs für den KMS-Schlüssel, auf dem AMIs sie bereitgestellt werden.
1. Das Tools-Konto, das wie zuvor beschrieben erstellt wurde.
# AWS Service zur Anwendungsmigration (AWS MGN)
AWS Der [Application Migration Service](https://aws.amazon.com/application-migration-service/) (AWS MGN) kann in Ihrem MALZ Tools-Konto über die `AWSManagedServicesMigrationRole` IAM-Rolle verwendet werden, die bei der Bereitstellung des Tools-Kontos automatisch erstellt wird. [Sie können AWS MGN verwenden, um Anwendungen und Datenbanken zu migrieren, die auf unterstützten Versionen von Windows- und Linux-Betriebssystemen laufen.](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
Die meisten up-to-date Informationen zum AWS-Region Support finden Sie in der [Liste der AWS regionalen Dienste](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Falls Ihr bevorzugtes AWS-Region Produkt derzeit nicht von AWS MGN unterstützt wird oder das Betriebssystem, auf dem Ihre Anwendungen ausgeführt werden, derzeit nicht von AWS MGN unterstützt wird, sollten Sie in Erwägung ziehen, stattdessen die [CloudEndure Migration](https://console.cloudendure.com/#/register/register) in Ihrem Tools-Konto zu verwenden.
**Beantragen Sie die MGN-Initialisierung AWS **
AWS MGN muss vor der ersten Verwendung von AMS [initialisiert](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html) werden. Um dies für ein neues Tools-Konto zu beantragen, reichen Sie einen RFC Management \$1 Other \$1 Other aus dem Tools-Konto mit den folgenden Angaben ein:
```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here:
[ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values
to 'Create template' and complete the initialization process.
```
Sobald AMS den RFC erfolgreich abgeschlossen und AWS MGN in Ihrem Tools-Konto initialisiert hat, können Sie die Standardvorlage `AWSManagedServicesMigrationRole` für Ihre Anforderungen bearbeiten.
![\[AWS MGN, Dienst zur Anwendungsmigration einrichten.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/aws_mgn_firstrun.png)
# Zugriff auf das neue AMS Tools-Konto aktivieren
Sobald das Tools-Konto erstellt wurde, stellt AMS Ihnen eine Konto-ID zur Verfügung. Ihr nächster Schritt besteht darin, den Zugriff auf das neue Konto zu konfigurieren. Dazu gehen Sie wie folgt vor:
1. Aktualisieren Sie die entsprechenden Active Directory-Gruppen auf das entsprechende Konto IDs.
Neuen, von AMS erstellten Konten wird die ReadOnly Rollenrichtlinie sowie eine Rolle zugewiesen, über die Benutzer Dateien ablegen können. RFCs
Für das Tools-Konto stehen außerdem eine zusätzliche IAM-Rolle und ein zusätzlicher Benutzer zur Verfügung:
+ IAM-Rolle: `AWSManagedServicesMigrationRole`
+ IAM-Benutzer: `customer_cloud_endure_user`
1. Fordern Sie Richtlinien und Rollen an, damit die Mitglieder des Serviceintegrationsteams Tools der nächsten Generation einrichten können.
Navigieren Sie zur AMS-Konsole und legen Sie Folgendes ab RFCs:
1. KMS-Schlüssel erstellen. Verwenden Sie entweder [KMS-Schlüssel erstellen (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) oder [KMS-Schlüssel erstellen (Überprüfung erforderlich)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html).
Wenn Sie KMS zum Verschlüsseln aufgenommener Ressourcen verwenden, bietet die Verwendung eines einzigen KMS-Schlüssels, der mit den übrigen Landingzone-Anwendungskonten für mehrere Konten gemeinsam genutzt wird, Sicherheit für aufgenommene Bilder, sodass sie im Zielkonto entschlüsselt werden können.
1. Teilen Sie den KMS-Schlüssel.
Verwenden Sie den Änderungstyp Verwaltung \$1 Erweiterte Stack-Komponenten \$1 KMS-Schlüssel \$1 Teilen (Überprüfung erforderlich) (ct-05yb337abq3x5), um anzufordern, dass der neue KMS-Schlüssel für Ihre Anwendungskonten freigegeben wird, in denen die Daten gespeichert werden. AMIs
Beispielgrafik einer endgültigen Kontoeinrichtung:
![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/WIGS_Account_ExpandedV1.png)
# Beispiel für eine vorab genehmigte IAM-Richtlinie von CloudEndure AMS
Um eine vorab von AMS genehmigte CloudEndure IAM-Richtlinie einzusehen: Entpacken Sie die [WIGS Cloud Endure Landing Zone-Beispieldatei](samples/wigs-ce-lz-examples.zip) und öffnen Sie die. `customer_cloud_endure_policy.json`
# Testen der Konnektivität und end-to-end Einrichtung des AMS Tools-Kontos
1. Beginnen Sie mit der Konfiguration CloudEndure und Installation des CloudEndure Agenten auf einem Server, der auf AMS repliziert wird.
1. Erstellen Sie ein Projekt in CloudEndure.
1. Geben Sie die AWS Anmeldeinformationen ein, die Sie bei der Erfüllung der Voraussetzungen über den Secrets Manager gemeinsam genutzt haben.
1. In den **Replikationseinstellungen**:
1. Wählen Sie für die Option Wählen Sie die Sicherheitsgruppen aus, die auf die **Replikationsserver angewendet werden sollen, beide AMS- „Sentinel“ -Sicherheitsgruppen (Nur privat und EgressAll) aus**.
1. Definieren Sie Umtauschoptionen für die Maschinen (Instanzen). Weitere Informationen finden Sie in [Schritt 5. Überschneiden](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)
1. **Subnetz**: Privates Subnetz.
1. **Sicherheitsgruppe**:
1. Wählen Sie beide AMS-Sicherheitsgruppen „Sentinel“ aus (Nur privat und EgressAll).
1. Cutover-Instanzen müssen mit dem von AMS verwalteten Active Directory (MAD) und mit öffentlichen Endpunkten kommunizieren: AWS
1. **Elastische IP: Keine**
1. **Öffentliche IP**: nein
1. **IAM-Rolle**: customer-mc-ec 2-Instanzen-Profil
1. Legen Sie Tags gemäß Ihrer internen Tagging-Konvention fest.
1. Installieren Sie den CloudEndure Agenten auf dem Computer und suchen Sie in der EC2 Konsole nach der Replikationsinstanz, die in Ihrem AMS-Konto angezeigt werden soll.
Der AMS-Aufnahmeprozess:
![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/Ingestion_Process_v1.png)
# AMS Tools Kontohygiene
Sie sollten aufräumen, nachdem Sie mit dem Konto fertig sind, das AMI gemeinsam genutzt haben und die replizierten Instances nicht mehr benötigen:
+ Nach der Inanspruchnahme der WIGs Instance:
+ Cutover-Instance: Stoppen oder beenden Sie diese Instanz mindestens, nachdem die Arbeit abgeschlossen ist, über die AWS-Konsole
+ AMI-Backups vor der Ingestion: Wird entfernt, sobald die Instance aufgenommen und die On-Premise-Instance beendet wurde
+ AMS-Ingested Instances: Schalten Sie den Stack aus oder beenden Sie ihn, sobald das AMI gemeinsam genutzt wurde
+ AMS-Ingested AMIs: Wird gelöscht, sobald die gemeinsame Nutzung mit dem Zielkonto abgeschlossen ist
+ Bereinigung am Ende der Migration: Dokumentieren Sie die Ressourcen, die im Entwicklermodus bereitgestellt wurden, um sicherzustellen, dass die Bereinigung regelmäßig erfolgt, zum Beispiel:
+ Sicherheitsgruppen
+ Ressourcen, die über Cloud-Formation erstellt wurden
+ Netzwerk ACK
+ Subnetz
+ VPC
+ Routing-Tabelle
+ Rollen
+ Benutzer und Konten
# Migration im großen Maßstab - Migration Factory
Weitere Informationen finden Sie unter [Einführung in die AWS CloudEndure Migration Factory-Lösung](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/).