Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Compte AMS Tools (migration des charges de travail)
<a name="tools-account"></a>

Votre compte Multi-Account Landing Zone Tools (avec VPC) permet d'accélérer les efforts de migration, d'améliorer votre position en matière de sécurité, de réduire les coûts et la complexité et de normaliser votre modèle d'utilisation.

Un compte d'outils fournit les éléments suivants :
+ Une limite bien définie pour l'accès aux instances de réplication pour les intégrateurs de systèmes en dehors de vos charges de travail de production.
+ Vous permet de créer une chambre isolée pour vérifier la présence de logiciels malveillants ou de routes réseau inconnues dans une charge de travail avant de la placer dans un compte associé à d'autres charges de travail.
+ En tant que configuration de compte définie, elle permet d'accélérer l'intégration et la configuration pour la migration des charges de travail.
+ Routes réseau isolées pour sécuriser le trafic depuis un compte sur site CloudEndure -> -> Outils -> Image ingérée AMS. Une fois qu'une image a été ingérée, vous pouvez la partager sur le compte de destination via une RFC AMS Management \$1 Advanced stack components \$1 AMI \$1 Share (ct-1eiczxw8ihc18).

Schéma d'architecture de haut niveau :

![\[Compte AWS structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/high-level-diagram_v1.png)


Utilisez le type de changement de type Déploiement \$1 Zone d'atterrissage gérée \$1 Compte de gestion \$1 Créer un compte d'outils (avec VPC) (ct-2j7q1hgf26x5c) pour déployer rapidement un compte d'outils et instancier un processus d'ingestion de charge de travail dans un environnement de zone d'atterrissage multicompte. Voir [Compte de gestion, compte Outils : création (avec VPC](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)).

**Note**  
Nous recommandons d'avoir deux zones de disponibilité (AZs), car il s'agit d'un hub de migration.  
Par défaut, AMS crée les deux groupes de sécurité suivants (SGs) dans chaque compte. Confirmez que ces deux SGs éléments sont présents. S'ils ne sont pas présents, veuillez ouvrir une nouvelle demande de service auprès de l'équipe AMS pour en faire la demande.  
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
Assurez-vous que les instances de CloudEndure réplication sont créées dans le sous-réseau privé où se trouvent des itinéraires permettant de revenir sur site. Vous pouvez le confirmer en vous assurant que les tables de routage du sous-réseau privé disposent d'une route par défaut vers TGW. Cependant, l'exécution d'une coupure de CloudEndure machine doit se faire dans le sous-réseau privé « isolé » où il n'y a pas de route de retour vers le réseau local, seul le trafic sortant d'Internet est autorisé. Il est essentiel de s'assurer que le transfert a lieu dans le sous-réseau isolé afin d'éviter d'éventuels problèmes avec les ressources sur site.

Prérequis :

1. Niveau de support **Plus** ou **Premium**.

1. Le compte d'application IDs pour la clé KMS sur laquelle AMIs ils sont déployés.

1. Le compte d'outils, créé comme décrit précédemment.

# AWS Service de migration d'applications (AWS MGN)
<a name="tools-account-mgn"></a>

[AWS Le service de migration d'applications](https://aws.amazon.com/application-migration-service/) (AWS MGN) peut être utilisé dans votre compte MALZ Tools via le rôle `AWSManagedServicesMigrationRole` IAM créé automatiquement lors du provisionnement du compte Tools. Vous pouvez utiliser AWS MGN pour migrer des applications et des bases de données qui s'exécutent sur des versions prises en charge des [systèmes d'exploitation](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html) Windows et Linux.

Pour plus d' up-to-dateinformations sur le Région AWS support, consultez [la liste des services AWS régionaux](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

Si votre système préféré n' Région AWS est pas actuellement pris en charge par AWS MGN, ou si le système d'exploitation sur lequel vos applications s'exécutent n'est pas actuellement pris en charge par AWS MGN, envisagez plutôt d'utiliser la [CloudEndure migration](https://console.cloudendure.com/#/register/register) dans votre compte Tools.

**Demande d' AWS initialisation de MGN**

AWS MGN doit être [initialisé](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html) par AMS avant la première utilisation. Pour en faire la demande pour un nouveau compte Tools, soumettez une RFC Management \$1 Other \$1 Other depuis le compte Tools avec les informations suivantes :

```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here: 
    [ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values 
    to 'Create template' and complete the initialization process.
```

Une fois qu'AMS a terminé avec succès le RFC et initialisé AWS MGN dans votre compte Tools, vous pouvez l'utiliser `AWSManagedServicesMigrationRole` pour modifier le modèle par défaut en fonction de vos besoins.

![\[AWS MGN, service de migration d'applications d'installation.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/aws_mgn_firstrun.png)


# Activer l'accès au nouveau compte AMS Tools
<a name="tools-account-enable"></a>

Une fois le compte Tools créé, AMS vous fournit un identifiant de compte. L'étape suivante consiste à configurer l'accès au nouveau compte. Procédez comme suit :

1. Mettez à jour les groupes Active Directory appropriés vers le compte approprié IDs.

   Les nouveaux comptes créés par AMS sont dotés de la politique de ReadOnly rôle ainsi que d'un rôle permettant aux utilisateurs de déposer des dossiers. RFCs

   Le compte Tools dispose également d'un rôle et d'un utilisateur IAM supplémentaires :
   + Rôle IAM : `AWSManagedServicesMigrationRole`
   + Utilisateur IAM : `customer_cloud_endure_user`

1. Demandez des politiques et des rôles pour permettre aux membres de l'équipe d'intégration des services de configurer le niveau d'outils suivant.

   Accédez à la console AMS et enregistrez les fichiers suivants RFCs :

   1. Créez une clé KMS. Utilisez [Create KMS Key (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) ou [Create KMS Key (automatisation gérée)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html).

      Lorsque vous utilisez KMS pour chiffrer les ressources ingérées, l'utilisation d'une clé KMS unique partagée avec les autres comptes de l'application Multi-Account Landing Zone permet de sécuriser les images ingérées afin qu'elles puissent être déchiffrées dans le compte de destination. 

   1. Partagez la clé KMS.

      Utilisez le type de modification Management \$1 Advanced stack components \$1 KMS key \$1 Share (automatisation gérée) (ct-05yb337abq3x5) pour demander que la nouvelle clé KMS soit partagée avec les comptes de votre application où résidera la clé ingérée. AMIs 

Exemple graphique de la configuration finale d'un compte :

![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/WIGS_Account_ExpandedV1.png)


# Exemple de politique CloudEndure IAM pré-approuvée par AMS
<a name="tools-account-ex-policy"></a>

Pour consulter une CloudEndure politique IAM préapprouvée par AMS : décompressez le fichier d'[exemple de zone d'atterrissage WIGS Cloud Endure](samples/wigs-ce-lz-examples.zip) et ouvrez le. `customer_cloud_endure_policy.json`

# Test de la connectivité et de la end-to-end configuration du compte AMS Tools
<a name="tools-account-test"></a>

1. Commencez par configurer CloudEndure et installer l' CloudEndure agent sur un serveur qui sera répliqué sur AMS.

1. Créez un projet dans CloudEndure.

1. Entrez les AWS informations d'identification partagées lorsque vous avez effectué les prérequis, via le gestionnaire de secrets.

1. Dans les **paramètres de réplication** :

   1. Sélectionnez les deux groupes de sécurité AMS « Sentinel » (privé uniquement EgressAll) pour l'option **Choisissez les groupes de sécurité à appliquer aux serveurs de réplication**.

   1. Définissez les options de transfert pour les machines (instances). Pour plus d'informations, reportez-vous [à l'étape 5. Découper](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)

   1. **Sous-réseau** : sous-réseau privé.

1. **Groupe de sécurité** :

   1. Sélectionnez les deux groupes de sécurité AMS « Sentinel » (privé uniquement et EgressAll).

   1. Les instances de transition doivent communiquer avec l'Active Directory (MAD) géré par AMS et avec les points de terminaison publics : AWS 

      1. **IP élastique** : aucune

      1. **IP publique** : non

      1. **Rôle IAM** : customer-mc-ec profil à 2 instances

   1. Définissez les balises conformément à votre convention de balisage interne.

1. Installez l' CloudEndure agent sur la machine et recherchez l'instance de réplication qui apparaîtra dans votre compte AMS dans la console EC2.

Le processus d'ingestion d'AMS :

![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/Ingestion_Process_v1.png)


# Hygiène des comptes AMS Tools
<a name="tools-account-hygiene"></a>

Vous devrez procéder au nettoyage une fois que vous aurez terminé de partager l'AMI dans le compte et que vous n'aurez plus besoin des instances répliquées :
+ Après l' WIGs ingestion de l'instance :
  + Instance de transition : au minimum, arrêtez ou mettez fin à cette instance, une fois le travail terminé, via la console AWS
  + Sauvegardes d'AMI avant ingestion : supprimez une fois que l'instance a été ingérée et que l'instance sur site a été arrêtée
  + Instances ingérées par AMS : désactivez la pile ou mettez-la hors service une fois que l'AMI a été partagée
  + AMS-ingested AMIs : Supprimer une fois le partage avec le compte de destination terminé
+ Nettoyage de fin de migration : documentez les ressources déployées via le mode développeur pour vous assurer que le nettoyage a lieu régulièrement, par exemple :
  + Groupes de sécurité
  + Ressources créées via Cloud-formation
  + Réseau ACK
  + Sous-réseau
  + VPC
  + Table de routage
  + Rôles
  + Utilisateurs et comptes

# Migration à grande échelle - Migration Factory
<a name="migration-factory"></a>

Voir [Présentation de la solution AWS CloudEndure Migration Factory](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/).