Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Service description (Description du service)
AMS Accelerate est un plan d'exploitation du service AWS Managed Services destiné à gérer les opérations de votre AWS infrastructure.
Fonctionnalités du plan d'exploitation AWS Managed Services (AMS) AMS Accelerate
AMS Accelerate propose les fonctionnalités suivantes :
Gestion des incidents :
La gestion des incidents est le processus utilisé par le service AMS pour répondre aux incidents que vous avez signalés.
AMS Accelerate détecte les incidents et y répond de manière proactive et aide votre équipe à résoudre les problèmes. Vous pouvez contacter les ingénieurs des opérations d'AMS Accelerate 24 heures sur 24, 7 jours sur 7 via le AWS Support Center, le temps de réponse SLAs dépendant du niveau de réponse que vous avez sélectionné pour votre compte.
Surveillance :
La surveillance est le processus utilisé par le service AMS pour suivre vos ressources.
Les comptes inscrits à AMS Accelerate sont configurés avec un déploiement de base d' CloudWatch événements et d'alarmes Amazon qui a été optimisé pour réduire le bruit et identifier un éventuel incident à venir. Après avoir reçu les alertes, l'équipe AMS utilise des mesures correctives, des personnes et des processus automatisés pour remettre les ressources en bon état et communiquer avec vos équipes le cas échéant afin de fournir des informations sur les enseignements à tirer sur le comportement et les moyens de le prévenir. En cas d'échec de la correction, AMS lance le processus de gestion des incidents. Vous pouvez modifier les lignes de base en mettant à jour le fichier de configuration par défaut.
Sécurité:
La gestion de la sécurité est le processus utilisé par le service AMS pour protéger vos ressources. AWS Managed Services protège vos actifs informationnels et contribue à la sécurité de votre infrastructure AWS en utilisant plusieurs contrôles, notamment AWS Config Rules et Amazon GuardDuty.
AMS Accelerate gère une bibliothèque AWS Config Rules de mesures correctives pour garantir que tous vos comptes sont conformes aux normes du secteur en matière de sécurité et d'intégrité opérationnelle. AWS Config Rules suit en permanence le changement de configuration parmi vos ressources enregistrées. Si une modification enfreint l'une des conditions des règles, AMS communique ses conclusions et vous permet de remédier aux violations automatiquement ou sur demande, en fonction de la gravité de la violation. AWS Config Rules faciliter le respect des normes établies par : le Center for Internet Security (CIS), le cadre de sécurité cloud (CSF) du National Institute of Standards and Technology (NIST), le Health Insurance Portability and Accountability Act (HIPAA) et le standard de sécurité des données (DSS) du secteur des cartes de paiement (PCI).
En outre, AMS Accelerate utilise Amazon GuardDuty pour identifier les activités potentiellement non autorisées ou malveillantes dans votre environnement AWS. GuardDuty les résultats sont surveillés 24 heures sur 24, 7 jours sur 7 par AMS. AMS collabore avec vous pour comprendre l'impact des résultats et des mesures correctives sur la base des recommandations relatives aux meilleures pratiques. AMS aide également Amazon Macie à protéger vos données sensibles telles que les informations médicales personnelles (PHI), les informations personnelles identifiables (PII) et les données financières. Enfin, AMS surveille et trie tous les événements Amazon Route 53 Resolver ALERT et BLOCK générés dans les comptes gérés afin de mieux inspecter le trafic réseau et d'augmenter ses capacités de détection.
Gestion des correctifs :
La gestion des correctifs est le processus utilisé par le service AMS pour mettre à jour vos ressources.
Pour un AWS compte doté du module complémentaire correctif, AWS Managed Services applique et installe les mises à jour des fournisseurs sur les EC2 instances Amazon pour les systèmes d'exploitation pris en charge pendant les périodes de maintenance que vous avez choisies. AMS crée un instantané de l'instance avant d'appliquer le correctif, surveille l'installation du correctif et vous informe du résultat. Si le correctif échoue, AMS enquête sur la panne et vous recommande un plan d'action pour remédier au problème. Ou bien, AMS restaure l'instance pour qu'elle soit annulée, si cela est demandé. AMS fournit des rapports sur la couverture de conformité des correctifs et vous conseille sur la marche à suivre recommandée pour votre entreprise.
Gestion des sauvegardes :
AMS utilise la gestion des sauvegardes pour prendre des instantanés de vos ressources.
AWS Managed Services crée, surveille et stocke des instantanés pour les AWS services pris en charge par AWS Backup. Vous définissez les calendriers, la fréquence et la période de rétention des sauvegardes en créant des AWS Backup plans lors de l'intégration des comptes et des applications. Vous associez les plans aux ressources. AMS suit toutes les tâches de sauvegarde et, en cas d'échec d'une tâche de sauvegarde, alerte notre équipe pour qu'elle procède à une correction. AMS utilise vos instantanés pour effectuer des actions de restauration lors d'incidents, si nécessaire. AMS vous fournit un rapport de couverture de sauvegarde et un rapport d'état des sauvegardes.
Gestion des problèmes :
AMS effectue une analyse des tendances afin d'identifier et d'étudier les problèmes et d'en identifier la cause première. Les problèmes sont résolus soit par une solution de contournement, soit par une solution permanente qui empêche qu'un impact similaire sur le service ne se reproduise à l'avenir. Un rapport post-incident (PIR) peut être demandé pour tout incident « élevé », une fois résolu. Le PIR capture la cause première et les mesures préventives prises, y compris la mise en œuvre de mesures préventives.
Experts désignés :
AMS Accelerate désigne également un responsable de la prestation de services cloud (CSDM) et un architecte cloud (CA) pour établir un partenariat avec votre organisation et promouvoir l'excellence opérationnelle et en matière de sécurité. Votre CSDM et votre CA vous fournissent des conseils pendant et après la configuration et l'intégration d'AMS Accelerate, fournissent un rapport mensuel sur vos indicateurs opérationnels et travaillent avec vous pour identifier les économies potentielles à l'aide d'outils tels qu'AWS Cost Explorer, les rapports sur les coûts et l'utilisation, et. Trusted Advisor
Outils d'exploitation :
AMS Accelerate peut fournir des opérations continues pour l'infrastructure de votre charge de travail dans AWS. Nos services de correctifs, de sauvegarde, de surveillance et de gestion des incidents dépendent de l'étiquetage des ressources, ainsi que de l'installation et de la configuration du AWS Systems Manager (SSM) et des CloudWatch agents sur vos EC2 instances Amazon avec un profil d'instance IAM qui les autorise à interagir avec les services SSM et Amazon. CloudWatch AMS Accelerate fournit des outils tels que Resource Tagger pour vous aider à étiqueter vos ressources en fonction de règles, et une configuration d'instance automatisée pour installer les agents requis dans vos EC2 instances Amazon. Si vous suivez des pratiques d'infrastructure immuables, vous pouvez remplir les conditions requises directement dans la console ou infrastructure-as-code dans les modèles.
Optimisation des coûts :
AMS Resource Scheduler automatise le démarrage et l'arrêt des instances Amazon Elastic Compute Cloud (Amazon EC2), des instances Amazon Relational Database Service (Amazon RDS) et des groupes Amazon Auto Scaling. EC2 AMS Resource Scheduler vous aide à réduire les coûts opérationnels en arrêtant les ressources qui ne sont pas utilisées et en les redémarrant lorsque leur capacité est nécessaire.
Journalisation et création de rapports :
AWS Managed Services agrège et stocke les journaux générés à la suite d'opérations dans et dans CloudWatch Amazon VPC Flow Logs. CloudTrail La journalisation depuis AMS permet d'accélérer la résolution des incidents et les audits du système. AMS Accelerate vous fournit également un rapport de service mensuel qui résume les principaux indicateurs de performance d'AMS, notamment un résumé et des informations, des indicateurs opérationnels, des ressources gérées, le respect des accords de niveau de service (SLA) AMS et des indicateurs financiers relatifs aux dépenses, aux économies et à l'optimisation des coûts. Les rapports sont fournis par le responsable de prestation de services cloud (CSDM) d'AMS qui vous a été désigné.
Gestion des demandes de service :
Pour demander des informations sur votre environnement géré, AMS ou vos offres de AWS services, soumettez des demandes de service à l'aide de la console AMS Accelerate. Vous pouvez soumettre une demande de service pour des questions « Comment faire » sur les AWS services et les fonctionnalités ou pour demander des services AMS supplémentaires.
Tous les clients d'AMS Accelerate commencent par la gestion des incidents, la surveillance, la surveillance de la sécurité, l'enregistrement des journaux, les outils prérequis, la gestion des sauvegardes et les fonctionnalités de reporting. Vous pouvez ajouter le module complémentaire de gestion des patchs AMS moyennant un supplément.
Note
Pour obtenir la liste des fonctionnalités non prises en charge dans AWS GovCloud (US), voir En quoi AMS Accelerate diffère pour AWS GovCloud (US)
Configurations prises en charge
AMS Accelerate prend en charge les configurations suivantes :
Langue : anglais
Régions : consultez les AWS régions prises en charge par AWS Managed Services sur la page Web des services AWS régionaux
. Note
Les régions AWS introduites avant le 20 mars 2019 sont considérées comme des régions « d'origine » et sont activées par défaut. Les régions introduites après cette date sont des régions « optionnelles » et sont désactivées par défaut. Si votre compte utilise plusieurs régions et que vous intégrez AMS Accelerate à un compte dont la région « opt-in » est activée comme région par défaut, la fonctionnalité de reporting AMS n'est disponible que dans cette région. Si vous ne définissez pas de région par défaut, la dernière région que vous avez visitée est votre région par défaut.
Pour activer une région, reportez-vous à la section Activation d'une région. Pour définir une région par défaut, voir Choisir une région. Pour obtenir la liste du statut d'opt-in pour chaque région, consultez la section Régions disponibles dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.
Architecture du système d'exploitation (x86-64 ou ARM64) : toute architecture prise en charge par Systems Manager et. CloudWatch
Systèmes d’exploitation pris en charge :
AlmaLinux 8.3-8.9, 9.x (uniquement AlmaLinux compatible avec l'architecture x86)
Amazon Linux 2023
Amazon Linux 2 (date de fin de support AMS prévue le 30 juin 2026)
Oracle Linux 9.x, 8.x
Red Hat Enterprise Linux (RHEL) 9.x, 8.x
Serveur SUSE Linux Enterprise 15 SP6
SUSE Linux Enterprise Server pour SAP 15 SP3 et versions ultérieures
Microsoft Windows Server 2022, 2019, 2016
Ubuntu 20.04, 22.04, 24.04
Systèmes d'exploitation EOS (End of Support) pris en charge :
Note
Les systèmes d'exploitation en fin de support (EOS) sont en dehors de la période de support général du fabricant du système d'exploitation et présentent des risques de sécurité accrus. Les systèmes d'exploitation EOS sont considérés comme des configurations prises en charge uniquement si les agents requis par AMS prennent en charge le système d'exploitation et...
vous bénéficiez d'un support étendu auprès du fournisseur du système d'exploitation qui vous permet de recevoir des mises à jour, ou
toutes les instances utilisant un système d'exploitation EOS suivent les contrôles de sécurité spécifiés par AMS dans le guide de l'utilisateur Accelerate, ou
vous vous conformez à tout autre contrôle de sécurité compensatoire exigé par AMS.
Si AMS n'est plus en mesure de prendre en charge un système d'exploitation EOS, AMS émet une recommandation critique pour mettre à niveau le système d'exploitation.
Les agents requis par AMS peuvent inclure, sans toutefois s'y limiter : AWS Systems Manager Amazon CloudWatch, l'agent Endpoint Security (EPS) et le pont Active Directory (AD) (Linux uniquement).
Ubuntu Linux 18.04
SUSE Linux Enterprise Server 15 SP3 SP4, et SP5
Serveur SUSE Linux Enterprise pour SAP 15 SP2
Serveur SUSE Linux Enterprise 12 SP5
SUSE Linux Enterprise Service pour SAP 12 SP5
Microsoft Windows Server 2012/2012 R2
Red Hat Enterprise Linux (RHEL) :7.x
Oracle Linux 7.5-7.9
Si vous avez l' AWS Control Tower habitude de gérer votre environnement multi-comptes, assurez-vous que vous utilisez la dernière version de AWS Control Tower pour garantir la compatibilité avec Accelerate. Les environnements qui utilisent AWS Control Tower des versions antérieures à 2.7 (publiées en avril 2021) ne sont pas pris en charge. Pour plus d'informations sur la procédure de mise à jour AWS Control Tower, voir Mettre à jour votre zone d'atterrissage.
Services pris en charge
AWS Managed Services fournit des services de support à la gestion opérationnelle pour les AWS services suivants. Chaque AWS service étant distinct, le niveau de soutien à la gestion opérationnelle d'AMS varie en fonction de la nature et des caractéristiques du AWS service sous-jacent. Si vous demandez à AWS Managed Services de fournir des services pour un logiciel ou un service qui n'est pas expressément identifié comme pris en charge dans la liste suivante, tout AWS Managed Services fourni pour ces configurations demandées par le client sera traité comme un « service bêta » conformément aux conditions de service.
Incidents : tous les AWS services
Demande de service : Tous les AWS services
Corriger : Amazon EC2
Sauvegardes et restauration : toutes Services AWS prises en charge par AWS Backup. Pour obtenir la liste des services pris en charge par AWS Backup, consultez les ressources AWS Backup prises en charge.
Planificateur de ressources : instances Amazon Elastic Compute Cloud EC2 (Amazon), groupes Amazon Relational Database Service (Amazon RDS) et Amazon Auto Scaling EC2
Services surveillés en fonction des événements opérationnels : vérifications prises en charge et Application Load Balancer Trusted Advisor, Aurora EC2, Amazon, Elastic Load Balancing, Amazon FSx for NetApp ONTAP, Amazon FSx pour Windows File Server, passerelle NAT (un service de traduction d'adresses réseau (NAT)), Amazon AWS Health Dashboard Redshift OpenSearch, Amazon Relational Database Service (Amazon RDS), VPN. Site-to-Site Pour en savoir plus sur ce qu'AMS Accelerate surveille dans le cadre d'un service, consultez la section Alertes issues de la surveillance de base dans AMS.
Services surveillés par des règles de configuration de sécurité : AWS Account GuardDuty, Macie, Amazon API Gateway,, AWS Certificate Manager, AWS Config,, CloudTrail, CloudWatch, AWS CodeBuild AWS Database Migration Service, Amazon DynamoDB, Amazon, Amazon, EC2 ElastiCache Amazon Elastic Block Store (Amazon EBS), Amazon Elastic File System (Amazon EFS), Amazon Elastic Kubernetes Service (Amazon EKS), Elastic Load Balancing OpenSearch , Amazon Service, Amazon AWS Key Management Service EMR, (IAM AWS Lambda),,, AWS Identity and Access Management Amazon Redshift, Amazon Relational Database Service, Amazon S3, Amazon AI, SageMaker AWS Secrets Manager Amazon Simple Notification Service AWS Systems Manager, Amazon VPC (groupe de sécurité, volume, adresse IP élastique, connexion VPN, passerelles Internet), Amazon VPC Flow Logs. Pour de plus amples informations, veuillez consulter Conformité des configurations dans Accelerate et Protection des données dans Accelerate. Vous trouverez des informations supplémentaires sur la sécurité AMS dans notre guide de sécurité privé AWS Artifact, accessible via l'onglet Reports pour AWS Managed Services.
Note
AMS Accelerate pour la région du Moyen-Orient (Émirats arabes unis) prend en charge un ensemble de fonctionnalités incluses, comme décrit dans le tableau suivant. L'accès à la console du compte AMS et aux instances de cette région est régi exclusivement par des déclencheurs de demandes de service entrantes. Pour plus d'informations sur la disponibilité d'Accelerate dans la région du Moyen-Orient (Émirats arabes unis), consultez votre responsable de compte ou votre responsable de prestation de services AWS cloud (CSDM).
| Fonctionnalités incluses dans le champ d'application d'AMS Accelerate pour la région du Moyen-Orient (EAU) | Description de la fonctionnalité |
|---|---|
|
Gestion des incidents |
AMS fournit une réponse aux incidents et une assistance pour aider votre équipe à résoudre les problèmes. Pour qu'AMS puisse vous aider à gérer les incidents, vous devez soumettre une demande de service. AMS ne détecte ni ne répond de manière proactive aux incidents dans cette région. |
|
Surveillance |
Après avoir reçu une demande de service de votre part, AMS peut vous aider à corriger les ressources. AMS utilise des mesures correctives, des personnes et des processus automatisés pour rétablir la santé de vos ressources. AMS ne configure pas les CloudWatch événements et les alarmes de base dans cette région. Si vous disposez d'outils de surveillance existants, un suivi proactif de vos ressources peut être disponible sur la base de l'évaluation de Cloud Architect (CA) et du CSDM. |
|
Sécurité |
Après avoir reçu une demande de service de votre part, AMS peut vous aider à résoudre les problèmes de sécurité. AMS ne déploie pas de contrôles de sécurité tels que et/ou AWS Config Rules ne surveille pas les résultats de sécurité dans cette région. GuardDuty Si vous disposez d'outils de sécurité existants, une surveillance proactive de la sécurité peut être disponible sur la base de l'évaluation de l'autorité de certification et du CSDM. |
|
Gestion des correctifs |
AMS peut appliquer les mises à jour des fournisseurs aux EC2 instances Amazon pour les systèmes d'exploitation pris en charge pendant les périodes de maintenance choisies, et créer des instantanés avant l'application des correctifs. Pour qu'AMS puisse vous aider à gérer les correctifs, vous devez soumettre une demande de service. Les notifications et rapports relatifs aux correctifs AMS ne sont pas disponibles dans cette région. |
|
Gestion des sauvegardes |
AMS peut créer et stocker des instantanés destinés à être Services AWS pris en charge par AWS Backup et aider à la correction des sauvegardes. Pour qu'AMS puisse vous aider à gérer les sauvegardes, vous devez soumettre une demande de service. AMS ne suit pas les tâches de sauvegarde dans cette région. |
|
Experts désignés |
AMS désigne un architecte cloud (CA) et un responsable de la prestation de services cloud (CSDM) pour établir des partenariats avec les organisations clientes et promouvoir l'excellence opérationnelle et en matière de sécurité. |
|
Gestion des demandes de service |
Pour demander des informations sur votre environnement géré, AMS ou vos Service AWS offres, soumettez des demandes de service via la console AMS Accelerate. Vous pouvez soumettre une demande de service pour des questions « Comment faire » sur Services AWS les fonctionnalités ou pour demander les services AMS disponibles dans cette région, comme décrit dans ce tableau. |
Rôles et responsabilités
La matrice AMS Accelerate responsable, responsable, consultée et informée, ou RACI, attribue la responsabilité principale soit au client, soit à AMS pour diverses activités. Le tableau décrit vos responsabilités (le « client ») par rapport aux nôtres (« AMS Accelerate »).
La Étendue des modifications effectuées par AMS Accelerate section répertorie les circonstances spécifiques dans lesquelles AMS est autorisée à apporter des modifications à votre compte, ainsi que certains types de modifications qu'AMS n'effectue jamais.
Matrice RACI AMS Accelerate
AMS Accelerate gère votre infrastructure AWS. Le tableau suivant fournit une vue d'ensemble des rôles et des responsabilités qui vous sont assignés, ainsi qu'à AMS Accelerate, en ce qui concerne les activités du cycle de vie d'une application exécutée dans l'environnement géré.
R signifie Partie responsable qui fait le travail pour accomplir la tâche.
C signifie Consulté, une partie dont les opinions sont sollicitées, généralement en tant qu'experts en la matière, et avec laquelle il existe une communication bilatérale.
Je représente Informed ; une partie qui est informée de l'avancement de la tâche, souvent uniquement à la fin de la tâche.
Note
Certaines sections contiennent un « R » à la fois pour AMS et pour les clients. En effet, dans le modèle de responsabilité AWS partagée, AMS et les clients assument conjointement la responsabilité de répondre aux problèmes d'infrastructure et d'application.
| Activité | Client |
AWS Managed Services (AMS) |
|---|---|---|
Motifs AMS | ||
Créez de nouveaux motifs |
I |
R |
Déployez et personnalisez des modèles |
R |
C, I |
Tester et supprimer des modèles |
R |
I |
Cycle de vie des applications | ||
Développement d'applications |
R |
I |
Exigences, analyse et conception de l'infrastructure des applications |
R |
I |
Déploiement de l'application |
R |
I |
Déploiement des ressources AWS |
R |
I |
Surveillance des applications |
R |
I |
Tests et optimisation des applications |
R |
I |
Résoudre les problèmes liés aux applications |
R |
I |
Résoudre les problèmes et les résoudre |
R |
I |
Surveillance prise en charge pour l'infrastructure AWS |
C |
R |
Réponse aux incidents liés aux problèmes liés au réseau AWS |
C |
R |
Réponse aux incidents liés aux ressources AWS |
C |
R |
Intégration d'un compte géré | ||
Accordez l'accès au compte géré AWS à l'équipe et aux outils AMS |
R |
C |
Mettez en œuvre des modifications dans le compte ou l'environnement pour permettre le déploiement d'outils dans le compte. Par exemple, modifications des politiques de contrôle des services (SCPs) |
R |
C |
Installation d'agents SSM dans les instances EC2 |
R |
C |
Installez et configurez l'outillage requis pour fournir les services AMS. Par exemple, CloudWatch des agents, des scripts pour l'application de correctifs, des alarmes, des journaux, etc. |
I |
R |
Gérez le cycle de vie des accès et des identités pour les ingénieurs AMS |
I |
R |
Collectez toutes les entrées requises pour configurer les services AMS. Par exemple, la durée, le calendrier et les objectifs des fenêtres de maintenance des correctifs |
R |
I |
Demandez la configuration des services AMS et fournissez toutes les entrées requises |
R |
I |
Configurez les services AMS à la demande du client. Par exemple, les fenêtres de maintenance des correctifs, le baliseur de ressources et le gestionnaire d'alarmes |
C |
R |
Gérez le cycle de vie des utilisateurs et leurs autorisations, pour les services d'annuaire locaux, utilisés pour accéder aux comptes et aux instances AWS |
R |
I |
Recommander l'optimisation des instances réservées |
I |
R |
Intégrer un ou plusieurs comptes à Trusted Remediator |
C, I |
R |
Gestion des correctifs | ||
| Collectez toutes les entrées requises pour configurer les fenêtres de maintenance des correctifs, les lignes de base des correctifs et la cible | R |
I |
| Demandez la configuration des fenêtres et des lignes de base de maintenance des correctifs, et fournissez toutes les entrées requises | R |
I |
| Configurer les fenêtres de maintenance des correctifs, les lignes de base des correctifs et les cibles à la demande du client | C |
R |
| Surveillez les mises à jour applicables du système d'exploitation pris en charge et les logiciels préinstallés avec le système d'exploitation pris en charge pour les instances EC2 | I |
R |
Signalement des mises à jour manquantes des systèmes d'exploitation pris en charge et couverture de la période de maintenance |
I |
R |
Prendre des instantanés des instances avant d'appliquer les mises à jour |
I |
R |
Appliquer les mises à jour aux EC2 instances selon la configuration du client |
I |
R |
Examiner les échecs de mise à jour EC2 des instances |
C |
R |
Mise à jour AMIs et piles pour les groupes Auto-Scaling () ASGs |
R |
C |
| Corrigez le système d'exploitation Windows et les packages Microsoft installés sur le système d'exploitation qui sont régis par Windows Update | I |
R |
Corrigez les applications installées, les logiciels ou les dépendances d'applications non gérés par Windows Update |
R |
I |
Appliquez des correctifs au système d'exploitation Linux et à tout package dont la gestion est activée par le gestionnaire de packages natif du système d'exploitation (par exemple Yum, Apt, Zypper) |
I |
R |
Corrigez les applications installées, les logiciels ou les dépendances d'applications non gérés par le gestionnaire de packages natif du système d'exploitation Linux |
R |
I |
Sauvegarde | ||
Collectez toutes les entrées requises pour configurer les plans de sauvegarde et les ressources cibles |
R |
I |
Demandez la configuration des plans de sauvegarde et fournissez toutes les entrées requises |
R |
I |
Configurer les plans et les cibles de sauvegarde à la demande du client |
C |
R |
| Spécifiez les plannings de sauvegarde et les ressources cibles | R |
I |
Effectuez des sauvegardes selon le plan |
I |
R |
Examiner les tâches de sauvegarde ayant échoué |
I |
R |
Rapport sur l'état des tâches de sauvegarde et la couverture des sauvegardes |
I |
R |
| Valider les sauvegardes | R |
I |
| Demandez la restauration des ressources des services AWS pris en charge dans le cadre de la gestion des incidents | R |
I |
Réaliser des activités de restauration des sauvegardes pour les ressources des services AWS pris en charge |
I |
R |
| Restaurez les applications personnalisées ou tierces concernées | R |
I |
Réseaux | ||
Approvisionnement et configuration du compte géré VPCs IGWs, de la connexion directe et d'autres services réseau AWS |
R |
I |
Configuration et exploitation d'AWS Security Groups/NAT/NACL dans le compte géré |
R |
I |
Configuration et mise en œuvre du réseau au sein du réseau du client (par exemple DirectConnect) |
R |
I |
Configuration et mise en œuvre du réseau au sein du réseau AWS |
R |
I |
Moniteur défini par AMS pour la sécurité du réseau, y compris les groupes de sécurité |
I |
R |
Configuration et gestion de la journalisation au niveau du réseau (journaux de flux VPC et autres) |
I |
R |
Journalisation | ||
| Enregistrer tous les journaux des modifications apportées aux applications | R |
I |
| Enregistrer les journaux des modifications de l'infrastructure AWS | I |
R |
| Activer et agréger la piste d'audit AWS | I |
R |
| Journaux agrégés issus des ressources AWS | I |
R |
Surveillance et remédiation | ||
Collectez toutes les entrées requises pour configurer le gestionnaire d'alarmes, le baliseur de ressources et les seuils d'alarme |
R |
I |
| Demandez la configuration du gestionnaire d'alarmes et fournissez toutes les entrées requises | R |
I |
| Configurez le gestionnaire d'alarmes, le baliseur de ressources et les seuils d'alarme à la demande du client. | C |
R |
Déployez les métriques CloudWatch de base et les alarmes AMS selon la configuration du client |
I |
R |
Surveillez les ressources AWS prises en charge à l'aide de CloudWatch métriques et d'alarmes de base |
I |
R |
Étudier les alertes provenant des ressources AWS |
C |
R |
Corriger les alertes en fonction de la configuration définie ou créer un incident |
I |
R |
|
Définissez, surveillez et étudiez les moniteurs spécifiques au client |
R |
I |
Étudier les alertes issues de la surveillance des applications |
R |
C |
Configuration Trusted Advisor des contrôles pour la correction |
R |
C |
Corriger automatiquement les vérifications prises en charge Trusted Advisor |
I |
R |
Corriger manuellement les vérifications prises en charge Trusted Advisor |
R |
C |
Signaler l'état de la correction |
I |
R |
Résoudre les problèmes de correction |
R |
C |
Architecture de sécurité | ||
|
Consultez les ressources et le code AMS pour détecter les problèmes de sécurité et les menaces potentielles |
I |
R |
Implémenter des contrôles de sécurité dans les ressources et le code AMS pour atténuer les risques de sécurité |
I |
R |
Activez les services AWS pris en charge pour la gestion de la sécurité du compte et de ses ressources AWS |
I |
R |
Gérez les informations d'identification privilégiées pour l'accès au compte et au système d'exploitation pour les ingénieurs AMS |
I |
R |
Gestion des risques de sécurité | ||
Surveillez les services AWS pris en charge pour la gestion de la sécurité, comme GuardDuty Macie |
I |
R |
Définissez et créez des règles de configuration définies par AMS pour détecter si les ressources AWS sont conformes aux meilleures pratiques de sécurité du Center for Internet Security (CIS) et du NIST. |
I |
R |
Surveiller les règles de configuration définies par AMS |
I |
R |
Signaler l'état de conformité des règles de configuration |
I |
R |
Définissez une liste des règles de configuration requises et corrigez-les |
I |
R |
Évaluez l'impact de la correction des règles de configuration définies par AMS |
R |
I |
Demander la correction des règles de configuration définies par AMS dans le compte AWS |
R |
I |
Suivez les ressources exemptées des règles de configuration définies par AMS |
R |
I |
Corriger les règles de configuration définies par AMS prises en charge dans le compte AWS |
C |
R |
Corriger les règles de configuration définies par AMS non prises en charge dans le compte AWS |
R |
I |
Définissez, surveillez et étudiez les règles de configuration spécifiques au client |
R |
I |
Gestion des incidents | ||
Notifier les incidents détectés par AMS dans les ressources AWS |
I |
R |
Signaler les incidents dans les AWS ressources |
R |
I |
Notifier les incidents relatifs aux AWS ressources sur la base de la surveillance |
I |
R |
Gérez les problèmes de performance et les pannes des applications |
R |
I |
Catégoriser la priorité des incidents |
I |
R |
Fournir une réponse aux incidents |
I |
R |
| Assurez la résolution des incidents ou la restauration de l'infrastructure des ressources avec des sauvegardes disponibles |
C |
R |
Réponse aux incidents de sécurité — Préparation | ||
Communications | ||
Fournir et mettre à jour les coordonnées de sécurité du client pour qu'AMS puisse les utiliser lors d'événements de sécurité, de notifications et d'escalades de sécurité |
R |
I |
Stockez et gérez les coordonnées de sécurité du client fournies à utiliser lors d'événements de sécurité et d'escalades de sécurité |
C |
R |
Entrainement | ||
Fournir au client de la documentation pour soutenir AMS pendant le processus de réponse aux incidents |
I |
R |
Pratiquez le partage des responsabilités lors des processus de réponse aux incidents grâce à des journées de jeu sur la sécurité |
R |
R |
Gestion des ressources | ||
Configuration de la gestion de la sécurité prise en charge Services AWS pour les alertes, la corrélation des alertes, la réduction du bruit et les règles supplémentaires |
I |
R |
Tenez un inventaire complet des AWS ressources (Amazon EC2, Amazon S3, etc.), y compris des informations détaillées sur la valeur et le caractère critique de chaque actif pour l'entreprise. Ces informations seront déterminantes pour déterminer une stratégie de confinement efficace. |
R |
C |
Utilisez des AWS balises pour identifier les ressources et les charges de travail |
R |
C |
Définition et configuration de la conservation et de l'archivage des journaux |
I |
R |
Établissez une base de référence sécurisée en définissant et en appliquant les politiques et les configurations de sécurité de l'organisation pour les AWS comptes, les services et la gestion des accès |
R |
I |
Réponse aux incidents de sécurité - Détecter | ||
Journalisation, indicateurs et surveillance | ||
Configurer la journalisation et la surveillance pour permettre la gestion des événements pour les instances et les comptes |
I |
R |
Moniteur pris en charge Services AWS pour les alertes de sécurité |
I |
R |
Déployer et gérer les outils de sécurité des terminaux |
R |
I |
Surveillez les instances pour détecter les malwares à l'aide de la sécurité des terminaux |
R |
I |
Informer le client des événements détectés par le biais de messages sortants |
I |
R |
Coordonner les communications internes avec les parties prenantes et les mises à jour de la direction pour améliorer le temps de réponse |
R |
I |
Définissez, déployez et gérez les services de détection standard AMS (par exemple, Amazon GuardDuty et AWS Config) |
C |
R |
Enregistrer les journaux AWS des modifications de l'infrastructure |
R |
I |
Activer et configurer la journalisation et la surveillance pour permettre la gestion des événements pour l'application |
R |
C |
Implémenter et gérer une liste d'autorisation, une liste de refus et des détections personnalisées sur les services de AWS sécurité pris en charge (par exemple, Amazon) GuardDuty |
R |
R |
Signalement des événements de sécurité | ||
Signaler à AMS une activité suspecte ou une enquête de sécurité en cours |
R |
I |
Notifier les événements et incidents de sécurité détectés au client |
I |
R |
Notifier un événement planifié susceptible de déclencher le processus de réponse aux incidents de sécurité |
R |
I |
Réponse aux incidents de sécurité - Analyser | ||
Investigation et analyse | ||
Réaliser une réponse initiale en cas d'alerte de sécurité prise en charge générée par une source de détection prise en charge |
I |
R |
Évaluez false/true les résultats positifs à l'aide des données disponibles |
R |
R |
Générez un instantané des instances concernées à partager avec le client si nécessaire |
I |
R |
Effectuez des tâches de criminalistique telles que la chaîne de traçabilité, l'analyse du système de fichiers, la criminalistique de la mémoire et l'analyse binaire |
R |
C |
Collectez les journaux des applications pour faciliter les enquêtes |
R |
I |
Collectez des données et des journaux pour faciliter les enquêtes sur les alertes de sécurité |
R |
R |
SMEs Participez Services AWS aux enquêtes de sécurité |
C |
R |
Partagez les journaux d'investigation du support avec Services AWS les clients au cours d'une enquête |
I |
R |
Communication | ||
Envoyer des alertes et des notifications depuis les sources de détection AMS pour les ressources gérées |
I |
R |
Gérer les alertes et les notifications relatives aux événements liés à la sécurité des applications |
R |
I |
Contacter le point de contact du client chargé de la sécurité lors d'une enquête sur un incident de sécurité |
R |
I |
Réponse aux incidents de sécurité - Contain | ||
Stratégie de confinement et exécution | ||
Évaluez les risques et déterminez la stratégie de confinement, en tenant compte des impacts potentiels sur les services |
R |
C |
Effectuez une sauvegarde des systèmes concernés pour une analyse plus approfondie |
I |
R |
Limiter les applications et les charges de travail (par le biais d'une configuration ou d'une activité de réponse spécifique à l'application) |
R |
C |
Définissez la stratégie de confinement en fonction de l'incident de sécurité et de la ressource affectée |
I |
R |
Activez le chiffrement et le stockage sécurisé des sauvegardes ponctuelles des systèmes concernés |
C |
R |
Exécutez les actions de confinement prises en charge pour les AWS ressources, notamment EC2 les instances, le réseau et l'IAM |
I |
R |
Réponse aux incidents de sécurité - Eradiquer | ||
Stratégie d'éradication et exécution | ||
Définissez les options d'éradication en fonction de l'incident de sécurité et de la ressource affectée sur les charges de travail des applications du client |
C |
R |
Décider de la stratégie d'éradication convenue, du calendrier d'exécution de l'éradication et des conséquences |
R |
I |
Définissez les étapes d'éradication en fonction de l'incident de sécurité et de la ressource affectée sur les charges de travail gérées par AMS |
C |
R |
Éliminez les menaces et renforcez les AWS ressources, y compris l'éradication EC2 des instances, du réseau et de l'IAM |
R |
C |
Éradiquer les menaces et renforcer les applications et les charges de travail (par le biais d'une configuration ou d'une activité de réponse spécifique à l'application) |
R |
I |
Réponse aux incidents de sécurité - Restaurer | ||
Préparation et exécution du rétablissement | ||
Configurer les plans et les cibles de sauvegarde à la demande du client |
I |
R |
Passez en revue les plans de sauvegarde pour restaurer les charges de travail gérées par AMS |
R |
I |
Effectuez des activités de restauration des sauvegardes pour les ressources prises en charge Services AWS |
I |
R |
Sauvegardez l'application client, la configuration de l'application et les paramètres de déploiement, et passez en revue les plans de sauvegarde pour restaurer les applications et les charges de travail des clients après un incident |
R |
I |
Restaurez les applications et les charges de travail des clients (via des étapes de restauration spécifiques à l'application) |
R |
I |
Réponse aux incidents de sécurité — Rapport post-incident | ||
Signalement après un incident | ||
Partagez les leçons apprises et les mesures à prendre avec le client après l'incident, selon les besoins |
I |
R |
Gestion des problèmes | ||
| Corréler les incidents pour identifier les problèmes | I |
R |
| Réaliser une analyse des causes profondes (RCA) en cas de problème | I |
R |
| Corriger les problèmes | I |
R |
| Identifier et résoudre les problèmes liés aux applications | R |
I |
Gestion des services | ||
| Demander des informations à l'aide de demandes de service | R |
I |
Répondre aux demandes de service |
I |
R |
| Fournir des recommandations d'optimisation des coûts | I |
R |
Préparer et fournir un rapport de service mensuel |
I |
R |
Gestion du changement | ||
| Processus et outils de gestion du changement pour le provisionnement et la mise à jour des ressources dans l'environnement géré | R |
I |
| Maintenance du calendrier de modification des applications | R |
I |
| Avis concernant la prochaine fenêtre de maintenance | R |
I |
| Enregistrer les modifications apportées par AMS Operations | I |
R |
Optimisation des coûts | ||
| Collectez toutes les entrées requises pour configurer le planificateur de ressources | R |
I |
| Demandez l'intégration, la configuration du planificateur de ressources et fournissez toutes les informations requises | R |
I |
| Déployer le planificateur de ressources selon la configuration du client | C, I |
R |
| Désactiver et activer le planificateur de ressources sur le compte client | R |
C |
| Création, suppression, description et mise à jour des plannings | C |
R |
| Création, suppression, description et mise à jour de périodes | C |
R |
| Étudier et résoudre les problèmes liés au planificateur de ressources | I |
R |
| Demande de déconnexion du planificateur de ressources | R |
I |
| Déconnecter le planificateur de ressources du compte | C, I |
R |
Étendue des modifications effectuées par AMS Accelerate
AMS Accelerate apporte des modifications uniquement aux fins et dans les situations spécifiques décrites ci-dessous. AMS apporte des modifications uniquement au niveau de l'infrastructure, à l'aide de la console ou APIs. AMS ne modifie jamais vos couches d'application, de contrôle ou de domaine. Vous pouvez voir toutes les modifications apportées par AMS (ou par d'autres utilisateurs) à l'aide de notre ensemble de requêtes prédéfinies ; pour ce faire, consultezSuivi des modifications apportées à vos comptes AMS Accelerate.
AWS resources
AMS Accelerate déploie ou met à jour AWS les ressources uniquement dans les situations suivantes :
Déployer et mettre à jour les outils et les ressources requis par AMS.
Dans le cadre de la surveillance AMS, en réponse à des événements et à des alarmes.
Corriger les problèmes de sécurité dans le cadre de Réponses aux violations dans Accelerate (mise en conformité des ressources non conformes aux meilleures pratiques de sécurité).
Pendant la remédiation et la restauration dans le cadre de la réponse à un incident.
Lorsque vous répondez aux demandes des clients concernant la configuration des fonctionnalités AMS, telles que les suivantes :
Gestionnaire d'alarmes
Étiqueteur de ressources
Lignes de base des correctifs et fenêtres de maintenance
Planificateur de ressources
Plans de sauvegarde
AMS Accelerate ne déploie ni ne met à jour les ressources en dehors de ces situations. Si vous avez besoin de l'aide d'AMS pour apporter des modifications dans d'autres situations, pensez à utiliser Operations on Demand
Logiciel du système d'exploitation
AMS Accelerate peut apporter des modifications au logiciel de votre système d'exploitation en cas d'indisponibilité via la résolution des incidents, conformément à notre accord de niveau de service. AMS peut également apporter des modifications à vos systèmes d'exploitation dans le cadre deConfiguration d'instance automatisée dans AMS Accelerate.
Code et configuration de l'application
AMS Accelerate ne modifie jamais votre code (par exemple, les CloudFormation modèles AWS, d'autres infrastructure-as-code modèles ou les fonctions Lambda), mais peut indiquer à vos équipes quelles modifications sont nécessaires pour suivre les meilleures pratiques opérationnelles et de sécurité. AMS Accelerate fournit une assistance pour résoudre les problèmes d'infrastructure qui ont un impact sur les applications, mais AMS Accelerate n'accède pas aux configurations de vos applications et ne les valide pas.
