Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Modes de gestion des modifications
AWS Managed Services (AMS) utilise le mode de gestion des modifications pour contrôler les modifications dans AMS Advanced. Les modes de gestion du changement vous aident à maintenir des normes opérationnelles élevées pour l'environnement, à contrôler les risques et à prévenir les impacts négatifs. AMS Advanced propose différents modes qui offrent différents niveaux de contrôle et de risque. Tous les modes, à l'exception du mode géré par le client, sont gérés par AMS. Les modes de gestion des modifications disponibles sont les suivants :
+ Mode RFC (anciennement mode CM standard) : fournit un système de « demande de modification » (RFC) et des types de modification personnalisés par AMS () CTs
+ Mode Direct Change : identique au mode RFC et utilisation d'AWS APIs et de consoles pour créer des ressources gérées par AMS
+ AWS Service Catalog on AMS : similaire au mode Direct Change, mais au lieu d'utiliser le système de gestion des modifications AMS (RFCs), vous utilisez AWS Service Catalog pour créer des ressources qu'AMS gère ensuite.
+ Mode développeur : identique au mode Direct Change, seules les ressources que vous créez avec AWS APIs et les consoles ne sont pas gérées par AMS. Vous êtes responsable de leur gestion
+ Mode Self Service Provisioning (SSP) : identique au mode développeur, sauf qu'il n'y a pas d'accès au système de gestion des modifications AMS (non) RFCs
+ Mode géré par le client : AMS vous fournit une zone d'atterrissage multi-comptes, mais toute la gestion des ressources est de votre responsabilité
Le système de gestion des modifications AWS Managed Services (AMS), qui utilise l'API de gestion des modifications (CM), fournit des opérations permettant de créer et de gérer des demandes de modification (RFCs) pour les comptes de zone d'atterrissage multi-comptes (MALZ) et de zone d'atterrissage à compte unique (SALZ).
Une demande de modification (RFC) est une demande créée par vous ou AMS via l'interface AMS pour apporter une modification à votre environnement géré et inclut un ID de type de modification (CT) pour une opération particulière.
L'API AMS de gestion des modifications (CM) fournit des opérations permettant de créer et de gérer des demandes de modification (RFCs). Vous pouvez créer, mettre à jour, soumettre, approuver, rejeter et annuler RFCs. Les opérateurs AMS peuvent créer, mettre à jour, soumettre, approuver, rejeter, annuler et marquer RFCs comme fermé.
Pour obtenir la liste des préfixes réservés AMS à ne pas utiliser dans les balises ou autres noms, consultez la section [Préfixes réservés.](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html)
Pour plus d'informations sur chaque type de modification, y compris des schémas et des exemples, consultez le manuel [AMS Change Type Reference](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html).
**Note**
Tous les appels d'API de gestion des modifications sont enregistrés dans AWS CloudTrail. Pour plus d'informations, consultez la section [Accès à vos journaux](https://docs.aws.amazon.com/managedservices/latest/userguide/access-to-logs.html).
# Vue d'ensemble des modes
Utilisez ces informations pour vous aider à sélectionner le mode AWS Managed Services (AMS) approprié pour héberger vos applications, en fonction de la combinaison de flexibilité et de gouvernance prescriptive que vous souhaitez pour atteindre vos objectifs commerciaux.
Le public cible de ces informations est :
+ Les équipes clients sont responsables de la stratégie et de la gouvernance de leur zone d'atterrissage. Ces informations aideront l'équipe à jeter les bases d'une zone d'atterrissage gérée par AMS, avec les modes AMS qu'elle aimerait proposer à ses clients internes et externes.
+ Les propriétaires d'entreprises et d'applications chargés de migrer leur application vers AMS. Ces informations aideront à planifier la migration des applications, avec le mode AMS approprié à migrate/host leur application. Notez qu'une même application peut être hébergée dans plusieurs modes AMS au cours des différentes phases de son cycle de vie du développement logiciel (SDLC).
+ Les partenaires AMS sont chargés de guider les clients sur les différentes options de création et de migration vers AMS.
Ces informations sont particulièrement utiles pendant la phase initiale de configuration de votre plateforme gérée par AMS, et lorsque vous passez de la phase de base à la phase de migration de votre parcours d'adoption du cloud, juste après l'intégration à AMS et que vous vous concentrez sur la gouvernance et les opérations des applications.
# Types de modes et de comptes dans AMS
Les modes AWS Managed Services (AMS) peuvent être définis comme les moyens d'interagir avec le service AMS dans le cadre du cadre de gouvernance spécifique à chaque mode. Les différences de zone d'atterrissage, zone d'atterrissage multi-comptes ou MALZ et zone d'atterrissage monocompte ou SALZ sont notées.
**Note**
Pour plus de détails sur le déploiement d'applications et le choix du mode AMS approprié, consultez la section [Modes AMS et applications ou charges de travail](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-apps-ug.html).
Pour des cas d'utilisation réels des différents modes, voir [Cas d'utilisation réels des modes AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-use-cases.html)
Le tableau suivant décrit les modes par service AMS.
| Fonctionnalité AMS | **Mode RFC (ancien mode CM standard)/OOD \$1** | Mode de changement direct | AWS Service Catalog | Provisionnement en libre-service/Mode développeur | Géré par le client |
| --- | --- | --- | --- | --- | --- |
| Configuration de la zone d'atterrissage | MALZ et SALZ | MALZ et SALZ | MALZ et SALZ |
| Gestion des modifications | Planification des modifications, examen des modifications manuelles et enregistrement des modifications | Identique au mode RFC pour les modifications à haut risque telles que l'IAM ou les groupes de sécurité | Aucune |
| Journalisation, surveillance, garde-corps et gestion des événements | Oui (ressources prises en charge) | Non |
| Gestion de la continuité | Oui (ressources prises en charge) | Non applicable/Non | Non |
| Gestion de la sécurité | Contrôles de sécurité au niveau de l'instance et contrôles au niveau du compte | Contrôles au niveau du compte | Contrôles au niveau de l'organisation AWS |
| Gestion des correctifs | Oui | Non applicable/Non | Non |
| Gestion des incidents et des problèmes | SLA de réponse et de résolution pour les ressources prises en charge par AMS | Réponse (SLA) pour les ressources résultantes | Non |
| Génération de rapports | Oui | Non |
| Gestion des demandes de service | Oui | Demandes de support uniquement | Non |
**\$1** Operations On Demand (OOD) propose une offre aux clients utilisant le mode RFC pour gérer leurs modifications grâce à des ressources dédiées. Pour plus de détails, consultez le [catalogue d'offres Operations on Demand](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) et adressez-vous à votre responsable de prestation de services cloud (CSDM).
**Note**
[Mode de provisionnement en libre-service dans AMS](self-service-provisioning-section.md)et les deux [Mode développeur avancé AMS](developer-mode-section.md) peuvent sembler convenir à une application dotée d'une architecture complexe ancrée dans les services AWS natifs. Lorsque vous concevez des charges de travail, vous faites des compromis entre excellence opérationnelle et agilité, en fonction de votre contexte commercial. C'est une bonne façon de choisir le mode SSP ou le mode développeur pour votre application. La sélection peut également changer en fonction de la phase SDLC de l'application. Par exemple : lorsque l'application est prête pour la production, le mode SSP peut être une option plus appropriée en raison des barrières de sécurité AMS plus strictes dans ce mode. Les garde-fous sont appliqués sous la forme de contrôles préventifs tels que le contrôle des modifications basé sur le protocole RFC pour les mises à jour IAM et SCPs au niveau de l'unité d'organisation de l'application. Ces décisions professionnelles peuvent orienter vos priorités en matière d’ingénierie. Vous pouvez optimiser pour accroître la flexibilité des propriétaires d'applications en phase de « pré-production » au détriment de la gouvernance et du support opérationnel.
## Architecture MALZ et modes AMS associés
La zone de landing zone multi-comptes (MALZ) AMS vous donne la possibilité de provisionner automatiquement des comptes d'applications (ou des comptes de ressources) sous les unités organisationnelles (UO) par défaut : UO gérée par le client, UO gérée ou UO de développement. L'infrastructure fournie dans les comptes d'applications créés dans le cadre de chacune de ces unités d'organisation est soumise au mode AMS spécifique proposé par ces unités d'organisation fondamentales. Il est courant de trouver une combinaison de deux modes ou plus dans le même compte d'application. Par exemple : le mode RFC et le mode SSP peuvent coexister dans un compte géré AMS hébergeant une architecture de pipeline composée d'API Gateway et Lambda pour les fonctions de déclenchement, et d'EC2, S3 et SQS pour l'ingestion et l'orchestration. Dans ce cas, le mode SSP s'appliquerait à Lambda et à API Gateway.
La figure 1 montre comment les différents modes sont proposés par le biais des fondamentaux OUs d'AMS. Lorsque vous demandez un nouveau compte d'application dans AMS, vous devez sélectionner l'unité d'organisation du compte.
Architecture MALZ et modes AMS associés
![\[Diagram showing Compte AWS structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/MALZ-high-level-(Mar2021).png)
AMS s'appuie sur les principes fondamentaux OUs basés sur les meilleures pratiques d'AWS pour gérer les comptes de manière logique à l'aide des politiques de contrôle des services (). SCPs Cela permet d'appliquer le cadre de gouvernance à chaque mode AMS. Toutes les barrières de gouvernance et de sécurité (sous forme de SCPs) appliquées aux fondamentaux sont OUs également appliquées automatiquement. custom/child OUs Un supplément SCPs peut être demandé pour l'enfant OUs. Il est important de comprendre que les comptes d'applications sont différents des modes. Les modes sont appliqués à l'infrastructure fournie dans les comptes et définissent les responsabilités opérationnelles entre AMS et les clients.
Figure 1 : Architecture MALZ et modes AMS associés
![\[Table comparing AMS modes, default governance controls, and support for customer-added controls.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/ams-modes-guardrails-dcm.png)
**Note**
Le terme « restrictif » implique que vous pouvez demander des politiques personnalisées pour ces derniers OUs. Elles sont approuvées par AMS afin de garantir qu'elles n'interfèrent pas avec les capacités d'AMS à fournir une excellence opérationnelle. case-by-case Pour une liste détaillée des rambardes AMS, voir Rambardes [AMS dans le guide de l'utilisateur](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#detective-rules).
# Modes AMS et applications ou charges de travail
Tenez compte des exigences opérationnelles et de gouvernance de vos applications lorsque vous sélectionnez le bon mode, soit en demandant un nouveau compte d'application, soit en hébergeant l'application dans un compte d'application existant. La sélection du mode AMS approprié pour chaque application ou charge de travail dépend des facteurs suivants :
+ Le type de fonction de cycle de vie du SDLC que l'environnement fournira (par exemple, sandbox avec des modifications non modérées, UAT avec des modifications fréquentes, production avec des modifications minimes et hautement réglementée)
+ Les politiques de gouvernance nécessaires (appliquées SCPs au niveau de l'UO)
+ Modèle opérationnel (si vous souhaitez assumer la responsabilité opérationnelle ou si vous souhaitez l'externaliser à AMS)
+ Les résultats commerciaux souhaités, tels que le temps nécessaire pour opérer dans le cloud et le coût des opérations.
**Note**
Pour une description des types de mode par service AMS, voir [Types de modes et de comptes dans AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html).
Pour des cas d'utilisation réels des différents modes, voir [Cas d'utilisation réels des modes AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)
Le tableau suivant décrit les principales considérations à prendre en compte par les propriétaires d'applications pour les aider à choisir le mode AMS le plus approprié. Les propriétaires d'applications doivent prévoir une phase d'évaluation avant la migration des applications afin de bien comprendre quel mode s'applique à leur application spécifique. Exemple : pour les applications basées sur des services cloud natifs ou sur une architecture sans serveur, la meilleure option pourrait être de commencer à créer et à itérer en mode développeur et de déployer l'infrastructure finale sous forme de code à l'aide du mode AMS Managed — SSP. Dans ce cas, une légère refactorisation peut être nécessaire pour garantir que tous les CloudFormation modèles créés pour un déploiement automatisé respectent les directives d'ingestion établies par AMS. En outre, toutes les autorisations IAM doivent être approuvées par AMS Security afin de garantir qu'elles respectent le modèle du moindre privilège.
Le mode AMS sélectionné pour héberger l'application peut vous aider à élaborer le modèle d'exploitation cloud que vous souhaitez.
**Note**
Plusieurs modèles d'exploitation cloud peuvent exister dans une seule zone d'accueil gérée par AMS en fonction des différents modes AMS sélectionnés pour héberger les applications.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/ams-modes-and-apps-ug.html)
**\$1** Operations On Demand (OOD) propose une offre aux clients utilisant le mode CM standard pour gérer leurs modifications grâce à des ressources dédiées. Pour plus de détails, consultez le [catalogue d'offres Operations on Demand](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) et adressez-vous à votre responsable de prestation de services cloud (CSDM).
**Note**
La comparaison des prix entre le mode SSP et le mode développeur suppose que les mêmes services AWS sont fournis.
Comparaison des modes AMS avec les objectifs commerciaux et informatiques
![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)
Comme indiqué, si vous recherchez un modèle de gouvernance hautement contrôlé et standardisé pour vos applications, les modes Standard Change, AWS Service Catalog ou Direct Change gérés par AMS sont les meilleurs choix. Si vous avez besoin d'un modèle de gouvernance sur mesure axé sur l'innovation des applications sans avoir besoin de préparation opérationnelle, sélectionnez le mode géré par le client. Avec le mode géré par le client, la mise en œuvre de vos applications peut prendre plus de temps, car il vous incombe de définir les personnes, les processus et les outils nécessaires pour soutenir les capacités opérationnelles telles que la gestion des incidents, la gestion des configurations, la gestion du provisionnement, la gestion de la sécurité, la gestion des correctifs, etc.
# Cas d'utilisation réels des modes AMS
Examinez-les pour déterminer comment utiliser les modes AMS.
+ **Cas d'utilisation 1 : il est impératif pour l'entreprise de réduire ses coûts en quittant son centre de données dans des délais** serrés : une entreprise confrontée à un événement commercial important, tel que la sortie d'un centre de données, souhaite réhéberger ses applications sur site dans le cloud. La majeure partie de l'inventaire sur site se compose de serveurs Windows et Linux avec une combinaison de versions de systèmes d'exploitation. Ce faisant, le client souhaite également tirer parti des économies qu'offre le passage au cloud et améliorer le niveau technique et de sécurité de ses applications. Le client souhaite agir rapidement mais ne dispose pas encore de l'expertise interne en matière d'opérations cloud. Le client doit trouver un équilibre entre le refactoring, car trop de refactoring peut être risqué par rapport à un calendrier serré. Cependant, grâce à certaines refactorisations, telles que la mise à jour des versions du système d'exploitation et l'optimisation des bases de données, les applications peuvent atteindre un niveau de performance supérieur. Dans cet exemple, le client peut sélectionner le mode RFC géré par AMS pour réhéberger la plupart de ses applications. AMS assure les opérations d'infrastructure, tout en guidant les équipes opérationnelles des clients sur les meilleures pratiques en matière de sécurité des opérations dans le cloud.
AWS Service Catalog géré par AMS et le mode Direct Change géré par AMS offrent au client une flexibilité supplémentaire tout en obtenant les mêmes résultats et objectifs commerciaux. En outre, le client peut utiliser l'offre AMS Operations On Demand (OOD) pour disposer d'ingénieurs d'exploitation AMS dédiés chargés de prioriser l'exécution des demandes de changement (RFCs).
Tout en déléguant les tâches opérationnelles indifférenciées de l'infrastructure (correctifs, sauvegardes, gestion des comptes, etc.) à AMS, le client peut continuer à se concentrer sur l'optimisation de son application et renforcer ses équipes internes sur les opérations cloud. AMS fournit des rapports mensuels au client sur les économies de coûts et formule des recommandations sur l'optimisation des ressources. Dans ce cas d'utilisation, si le client a décidé de ne pas refactoriser certaines end-of-life applications hébergées sur des versions de système d'exploitation existantes telles que Windows 2003 et 2008, elles peuvent également être migrées vers AMS et hébergées sur un compte utilisant le mode géré par le client.
+ **Cas d'utilisation 2, création d'un lac de données avec Lambda, Glue et Athena dans les limites sécurisées d'AMS** : une entreprise cherche à configurer un lac de données pour répondre aux besoins de reporting de plusieurs applications dans AMS. Le client souhaite utiliser des compartiments S3 pour le stockage des ensembles de données et AWS Athena pour interroger l'ensemble de données pour chaque rapport. S3 et AWS Athena seront déployés dans des comptes gérés AMS distincts. Le compte S3 propose également d'autres services tels que Glue, Lambda et Step Functions pour créer un pipeline d'ingestion de données. Glue, Lambda, Athena et Step Functions sont considérés comme des services Self-Service Provisioning (SSP) dans ce cas. Le client a également déployé une EC2 instance dans le compte qui fait office de tooling/scripting serveur ad hoc. Le client commence par demander à AMS d'activer les services SSP sur son compte AMS Managed. AMS fournit un rôle IAM pour chaque service que le client peut assumer, une fois le rôle intégré à la solution de fédération du client. Pour faciliter la gestion, le client peut également combiner les politiques relatives aux différents rôles IAM en un seul rôle personnalisé, ce qui évite d'avoir à changer de rôle lorsqu'il travaille entre les services AWS. Une fois le rôle activé dans le compte, le client peut configurer les services selon ses besoins. Cependant, le client doit utiliser le système de gestion des modifications AMS pour demander des autorisations supplémentaires, en fonction de son cas d'utilisation.
Par exemple, pour accéder à Glue Crawlers, Glue a besoin d'autorisations supplémentaires. Des autorisations supplémentaires seront également nécessaires pour créer des sources d'événements pour Lambda. Le client travaillera avec AMS pour mettre à jour les rôles IAM afin de permettre à Athena d'accéder à plusieurs comptes pour interroger les compartiments S3. Des mises à jour des rôles de service ou des rôles liés à un service seront également nécessaires par le biais de la gestion des modifications d'AMS pour que Lambda appelle le service Step Functions et pour Glue pour lire et écrire dans tous les compartiments S3. AMS travaille avec ses clients pour s'assurer que le modèle d'accès avec le moindre privilège est respecté et que les modifications IAM demandées ne sont pas trop permissives et n'exposent pas l'environnement à des risques inutiles. L'équipe du lac de données du client passe du temps à planifier toutes les autorisations IAM nécessaires pour les services spécifiques à l'architecture du client et demande à AMS de les activer. En effet, toutes les modifications IAM sont traitées manuellement et examinées par l'équipe de sécurité AMS. Le temps nécessaire au traitement de ces demandes doit être pris en compte dans le calendrier de déploiement de l'application.
Les services SSP étant opérationnels sur le compte, le client peut demander de l'assistance et signaler les problèmes via la gestion des incidents et les demandes de service AMS. Toutefois, AMS ne surveillera pas activement les indicateurs de performance et de simultanéité pour Lambda, ni les indicateurs de travail pour Glue. Il est de la responsabilité du client de s'assurer que la journalisation et la surveillance appropriées sont activées pour les services SSP. L' EC2 instance et le compartiment S3 du compte sont entièrement gérés par AMS.
+ **Cas d'utilisation 3, configuration rapide et flexible d'un pipeline de déploiement CICD dans AMS** : un client cherche à configurer un pipeline CICD basé sur Jenkins pour déployer un pipeline de code sur tous les comptes d'applications dans AMS. Le client trouvera peut-être qu'il est préférable d'héberger ce pipeline CICD en mode Direct Change (DCM) géré par AMS ou en mode développeur géré par AMS, car cela lui permet de configurer le serveur Jenkins avec la configuration personnalisée requise EC2, avec les autorisations d'accès IAM souhaitées CloudFormation et les compartiments S3 hébergeant le référentiel d'artefacts. Bien que cela puisse également être fait en mode RFC géré par AMS, l'équipe client devra créer plusieurs manuels RFCs pour que les rôles IAM puissent itérer sur l'ensemble d'autorisations approuvées le moins permissif, qui sont examinées manuellement par AMS. DCM permet aux clients d'atteindre leurs objectifs opérationnels sur AWS tout en évitant de devoir créer plusieurs manuels RFCs pour les rôles IAM, lors de l'utilisation du mode RFC géré par AMS, afin d'itérer sur l'ensemble d'autorisations approuvées le moins permissif, qui sont examinées manuellement par AMS. Cela nécessiterait du temps et de la formation de la part du client pour accélérer les processus et les outils AMS. En mode développeur, le client peut commencer par un « rôle de développeur » pour provisionner l'infrastructure à l'aide d'AWS natif APIs. Le moyen le plus rapide et le plus flexible de configurer ce pipeline serait d'utiliser le mode AMS Managed-Developer. Le mode développeur est le moyen le plus rapide et le plus simple, tout en compromettant l'intégration opérationnelle, tandis que le DCM est moins flexible mais fournit le même niveau de support opérationnel que le mode RFC.
+ **Cas d'utilisation 4, modèle d'exploitation sur mesure au sein de la base AMS** : un client souhaite quitter son centre de données dans les délais et l'une de ses applications d'entreprise est entièrement gérée par un MSP tiers, y compris les opérations d'application et les opérations d'infrastructure. En supposant que le client n'ait pas le temps de refactoriser cette application afin qu'elle puisse être exploitée par AMS, le mode géré par le client est une option appropriée. Le client peut profiter de la configuration automatisée et rapide de la zone d'atterrissage gérée par AMS. Ils peuvent tirer parti de la gestion centralisée des comptes qui contrôle la distribution automatique des comptes et la connectivité via le compte réseau centralisé. Cela simplifie également leur facturation en consolidant les frais de tous les comptes gérés par le client via le compte AMS Payer. Le client dispose de la flexibilité nécessaire pour configurer son modèle de gestion des accès sur mesure avec le MSP, indépendamment de la gestion d'accès standard utilisée pour les comptes gérés par AMS. Ainsi, en utilisant le mode géré par le client, ils peuvent configurer un environnement géré AMS tout en répondant à leurs besoins commerciaux en matière de libération de leur environnement sur site. Dans ce cas, si le client possède également des applications Windows qu'il migre vers le cloud et qu'il choisit de les déplacer vers un compte géré par le client, il est responsable de la création d'un modèle d'exploitation cloud. Cela peut être complexe, coûteux et chronophage selon la capacité du client à transformer les processus informatiques traditionnels et à former le personnel. Le client peut économiser du temps et de l'argent en « transférant » ces charges de travail vers un compte géré par AMS et en déléguant les opérations d'infrastructure à AMS.
**Note**
Les clients peuvent parfois ressentir le besoin de déplacer les comptes d'applications entre le cadre de gouvernance du mode RFC ou SSP et le mode développeur. Par exemple, les clients peuvent héberger une application en mode géré par AMS dans le cadre de la migration initiale, mais ils souhaitent réécrire l'application au fil du temps afin de l'optimiser pour les services AWS natifs du cloud. Ils pouvaient changer le mode du compte de pré-production en passant du mode RFC géré par AMS au mode développeur géré par AMS, ce qui leur donnerait la flexibilité et l'agilité nécessaires au provisionnement de l'infrastructure. Cependant, une fois que les modifications de provisionnement de l'infrastructure ont été apportées à l'aide du « rôle de développeur », la même infrastructure ne peut pas être replacée en mode RFC géré par AMS. Cela est dû au fait qu'AMS ne peut garantir le fonctionnement de l'infrastructure qui a été provisionnée en dehors du système de gestion des modifications AMS. Les clients devront peut-être créer un nouveau compte d'application proposant le mode RFC géré par AMS, puis redéployer la configuration d'infrastructure « optimisée » via des CloudFormation modèles ou intégrée de manière personnalisée dans un compte géré par AMIs AMS. Il s'agit d'une méthode propre pour déployer une configuration prête pour la production. Une fois déployée, l'application sera soumise à la gouvernance et aux opérations prescriptives de l'AMS. Il en va de même pour le changement de mode entre le mode géré par le client et le mode géré par AMS.
# Mode RFC
Le mode RFC est le mode par défaut pour les clients du plan d'exploitation AMS Advanced. Il inclut un système de gestion des modifications avec des demandes de modification ou RFCs un catalogue de types de modifications à utiliser pour demander l'ajout ou la modification dont vous avez besoin sur vos comptes. Ce système de gestion des modifications fournit un niveau de sécurité en limitant les personnes autorisées à apporter des modifications à vos comptes.
Pour plus de détails sur les types de modifications AMS Advanced, voir [Que sont les types de modifications AMS ?](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) .
Pour en savoir plus sur l'intégration à AMS Advanced, consultez l'introduction à l'[intégration d'AWS Managed Services](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html).
Pour des exemples de types de modification, consultez la section « Informations supplémentaires » pour le type de modification concerné dans la section *AMS Advanced Change Type Reference Change Type Reference* [Change Types par classification](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html).
**Note**
Le mode RFC était auparavant appelé « mode de gestion des modifications » ou « mode CM standard ».
**Topics**
+ [En savoir plus sur RFCs](ex-rfc-works.md)
+ [Quels sont les types de modifications ?](understanding-cts.md)
+ [Résolution des erreurs RFC dans AMS](rfc-troubleshoot.md)
# En savoir plus sur RFCs
Les demandes de changement ou RFCs de changement fonctionnent de deux manières. Tout d'abord, certains paramètres sont requis pour le RFC lui-même. Voici les options de l'`CreateRfc`API. Et deuxièmement, certains paramètres sont requis pour l'action de la RFC (les paramètres d'exécution). Pour en savoir plus sur les `CreateRfc` options, consultez la [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)section de la *référence de l'API AMS*. Ces options apparaissent généralement dans la zone **Configurations supplémentaires** des pages Créer une RFC.
Vous pouvez créer et soumettre une RFC à l'aide de l'`CreateRfc`API, de la `aws amscm create-rfc` CLI ou à l'aide des pages Create RFC de la console AMS. Pour un didacticiel sur la création d'une RFC, voir[Création d'une RFC](ex-rfc-create-col.md).
**Topics**
+ [Qu'est-ce que c'est RFCs ?](what-r-rfcs.md)
+ [Authentifiez-vous lors de l'utilisation de l'API/CLI AMS](ex-rfc-authentication.md)
+ [Comprendre les évaluations de sécurité RFC](rfc-security.md)
+ [Comprendre les classifications des types de modifications RFC](ex-rfc-csio.md)
+ [Comprendre les états d'action et d'activité des RFC](ex-rfc-action-state.md)
+ [Comprendre les codes d'état RFC](ex-rfc-status-codes.md)
+ [Comprendre la mise à jour des RFC CTs et la détection de la dérive des CloudFormation modèles](ex-rfc-updates-and-dd.md)
+ [Horaire RFCs](ex-rfc-scheduling.md)
+ [Approuver ou rejeter RFCs](ex-rfc-approvals.md)
+ [Demander des périodes d'exécution restreintes de la RFC](ex-rfc-restrict-execute.md)
+ [Création, clonage, mise à jour, recherche et annulation RFCs](ex-rfc-use-examples.md)
+ [Utilisez la console AMS avec RFCs](ex-rfc-gui.md)
+ [En savoir plus sur les paramètres RFC courants](rfc-common-params.md)
+ [Inscrivez-vous pour recevoir le courrier électronique quotidien du RFC](rfc-digest.md)
# Qu'est-ce que c'est RFCs ?
Une demande de modification, ou RFC, vous permet d'apporter une modification à votre environnement géré par AMS ou de demander à AMS d'effectuer une modification en votre nom. Pour créer une RFC, vous devez choisir parmi les types de modification AMS, les paramètres RFC (tels que le calendrier), puis vous soumettez la demande à l'aide de la console AMS ou des commandes [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)API et. [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html)
Un RFC contient deux spécifications, l'une pour le RFC lui-même et l'autre pour les paramètres du type de modification (CT). Sur la ligne de commande, vous pouvez utiliser une commande RFC intégrée, ou un CreateRfc modèle standard au format JSON, que vous remplissez et soumettez avec le fichier de schéma CT JSON que vous créez (en fonction des paramètres CT). Le nom du CT est une description informelle du CT. Un CSIO (catégorie, sous-catégorie, article, opération) est une description plus formelle d'un CT. Seul l'ID CT doit être spécifié lors de la création d'une RFC.
RFCs passer par deux étapes clés : la validation et l'exécution.
1. Au cours de la phase de validation, AMS vérifie l'exhaustivité et l'exactitude de la demande RFC. AMS évalue également la demande de sécurité conformément à nos [normes techniques de sécurité](rfc-security.md#rfc-security.title). AMS vérifie que la modification demandée est valide et exécutable.
1. Au cours de la phase d'exécution, AMS tente d'apporter les modifications demandées à votre compte.
AMS gère les deux étapes par le biais d'un processus automatisé, d'un processus manuel ou d'une combinaison des deux. Le processus manuel est géré par l'équipe des opérations AMS. Pour de plus amples informations, veuillez consulter [Automatisé et manuel CTs](ug-automated-or-manual.md).
AMS propose trois modes d'exécution pour le traitement des demandes :
+ **Mode d'exécution (recommandé par AMS) : Automatisé**. Ils CTs utilisent l'automatisation pour les validations et les exécutions des RFC, ce qui constitue le moyen le plus rapide d'atteindre vos objectifs commerciaux.
+ **(Suggéré par AMS) Mode d'exécution : manuel et désignation : automatisation gérée**. Ils CTs utilisent une combinaison de processus automatisés et manuels pour les validations et les exécutions des RFC. Si l'automatisation ne peut pas exécuter la modification demandée, le RFC est transféré (par routage automatique ou par la création d'un RFC de remplacement) à l'équipe des opérations AMS pour un traitement manuel. Leur soumission CTs permet une prise en charge plus structurée de votre demande, complétée par l'automatisation AMS afin d'améliorer le délai de traitement et d'exécution des résultats.
+ **Mode d'exécution : manuel et désignation : révision requise**. Modifications demandées via [ct-1e1xtak34nx76 Management \$1 Autre \$1 Autre \$1 Mise à jour (révision requise) ou [ct-0xdawir96cy7k](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-create-review-required.html) Management \$1 Autre \$1 Autre \$1 Créer (révision requise)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-update-review-required.html). Celles-ci CTs reposent sur une manipulation manuelle pour les validations et les exécutions. Elles CTs dépendent de l'interprétation manuelle de la demande de modification.
AMS vous avertit lorsque la modification s'est terminée avec succès (réussite) ou non (échec).
**Note**
Pour plus d'informations sur le dépannage des défaillances RFC, consultez[Résolution des erreurs RFC dans AMS](rfc-troubleshoot.md).
Le graphique suivant illustre le flux de travail d'une RFC que vous avez soumise.
![\[Le flux de travail d'une RFC soumise par le client.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/requestForChange-v5g.png)
# Authentifiez-vous lors de l'utilisation de l'API/CLI AMS
Lorsque vous utilisez l'API/CLI AMS, vous devez vous authentifier avec des informations d'identification temporaires. Pour demander des informations d'identification de sécurité temporaires pour les utilisateurs fédérés [ GetFederationToken](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html), appelez [AssumeRole](https://docs.aws.amazon.com/STS/latest/UsingSTS/sts_delegate.html), [AssumeRoleWithSAML ou [ AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithwebidentity)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithsaml)AWS Security Token Service (STS). APIs
Le SAML est un choix courant. Après la configuration, vous ajoutez un argument à chaque opération que vous appelez. Par exemple : `aws --profile saml amscm list-change-type-categories`.
Un raccourci pour les profils SAML 2.0 consiste à définir la variable de profil au début de chaque API/CLI profil `set AWS_DEFAULT_PROFILE=saml` (pour Windows ; pour Linux, ce serait le cas`export AWS_DEFAULT_PROFILE=saml`). Pour plus d'informations sur la définition des variables d'environnement CLI, consultez [Configuration de l'interface de ligne de commande AWS, Variables d'environnement](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-environment).
# Comprendre les évaluations de sécurité RFC
Le processus d'approbation de la gestion des modifications d'AWS Managed Services (AMS) garantit que nous effectuons un examen de sécurité des modifications que nous apportons à vos comptes.
AMS évalue toutes les demandes de modification (RFCs) par rapport aux normes techniques d'AMS. Toute modification susceptible de réduire le niveau de sécurité de votre compte en s'écartant des normes techniques fait l'objet d'un examen de sécurité. Au cours de l'examen de sécurité, AMS met en évidence les risques pertinents et, en cas de risque de sécurité élevé ou très élevé, votre personnel de sécurité autorisé accepte ou rejette le RFC. Tous les changements sont également évalués afin d'évaluer leur impact négatif sur la capacité d'exploitation d'AMS. Si des effets négatifs potentiels sont découverts, des examens et des approbations supplémentaires sont requis au sein de l'AMS.
## Normes techniques AMS
Les normes techniques AMS définissent les critères de sécurité, les configurations et les processus minimaux pour établir la sécurité de base de vos comptes. Ces normes doivent être respectées à la fois par AMS et par vous.
Toute modification susceptible de réduire le niveau de sécurité de votre compte en s'écartant des normes techniques est soumise à un processus d'acceptation des risques, dans le cadre duquel le risque pertinent est mis en évidence par AMS et accepté ou rejeté par le personnel de sécurité autorisé de votre côté. Tous ces changements sont également évalués afin de déterminer s'il y aurait un impact négatif sur la capacité d'AMS à gérer le compte et, dans l'affirmative, des examens et des approbations supplémentaires sont requis au sein d'AMS.
## Processus RFC de gestion des risques liés à la sécurité des clients (CSRM)
Lorsqu'un membre de votre organisation demande une modification de votre environnement géré, AMS examine la modification afin de déterminer si la demande risque de détériorer le niveau de sécurité de votre compte en ne respectant pas les normes techniques. Si la demande réduit le niveau de sécurité du compte, AMS informe le contact de votre équipe de sécurité du risque pertinent et exécute la modification ; ou, si la modification introduit un risque de sécurité élevé ou très élevé dans l'environnement, AMS demande l'approbation explicite de votre contact de l'équipe de sécurité sous la forme d'une acceptation des risques (expliqué ci-dessous). Le processus d'acceptation des risques par le client AMS est conçu pour :
+ Assurez-vous que les risques sont clairement identifiés et communiqués aux bons propriétaires
+ Minimisez les risques identifiés pour votre environnement
+ Obtenez et documentez l'approbation des contacts de sécurité désignés qui comprennent le profil de risque de votre organisation
+ Réduisez les frais opérationnels permanents liés aux risques identifiés
## Comment accéder aux normes techniques et aux risques élevés ou très élevés
Nous avons mis à votre disposition la documentation relative aux normes techniques AMS [https://console.aws.amazon.com/artifact/](https://console.aws.amazon.com/artifact/)sous forme de rapport à titre de référence. Consultez la documentation relative aux normes techniques d'AMS pour savoir si une modification nécessiterait l'acceptation des risques par votre contact de sécurité autorisé avant de soumettre une demande de modification (RFC).
Pour accéder au rapport sur les normes techniques, recherchez « AWS Managed Services (AMS) Technical Standards » dans la barre de recherche de l'onglet AWS Artifact **Rapports** après vous être connecté avec la valeur par défaut **AWSManagedServicesChangeManagementRole**.
**Note**
Le document de norme technique AMS est accessible au client\$1 ReadOnly \$1Role dans la zone d'atterrissage à compte unique. Dans la zone de landing zone multi-comptes, les AWSManaged ServicesAdminRole données utilisées par les administrateurs de sécurité et AWSManaged ServicesChangeManagementRole celles utilisées par les équipes d'application peuvent être utilisées pour accéder au document. Si votre équipe utilise un rôle personnalisé, créez un autre RFC pour demander l'accès et nous mettrons à jour le rôle personnalisé spécifié.
# Comprendre les classifications des types de modifications RFC
Les types de modifications que vous utilisez lors de la soumission d'une RFC sont divisés en deux grandes catégories :
+ **Déploiement** : cette classification est destinée à la création de ressources.
+ **Gestion** : cette classification sert à mettre à jour ou à supprimer des ressources. La catégorie **Gestion** contient également des types de modifications permettant d'accéder aux instances, de chiffrer ou de partager AMIs, ainsi que de démarrer, d'arrêter, de redémarrer ou de supprimer des piles.
# Comprendre les états d'action et d'activité des RFC
`RfcActionState`(API)/**Activity State** (console) vous aident à comprendre le statut de l'intervention humaine, ou de l'action, sur une RFC. Utilisé principalement à des fins manuelles RFCs, il vous `RfcActionState` aide à comprendre quand une action est requise par vous ou par AMS Operations, et vous aide à voir quand AMS Operations travaille activement sur votre RFC. Cela fournit une transparence accrue sur les actions entreprises sur un RFC au cours de son cycle de vie.
`RfcActionState`(API)/Définitions de **l'état de l'activité** (console) :
+ **AwsOperatorAssigned**: Un opérateur AWS travaille activement sur votre RFC.
+ **AwsActionPending**: Une réponse ou une action d'AWS est attendue.
+ **CustomerActionPending**: Une réponse ou une action du client est attendue.
+ **NoActionPending**: Aucune action n'est requise de la part d'AWS ou du client.
+ **NotApplicable**: Cet état ne peut pas être défini par les opérateurs ou les clients AWS et n'est utilisé que pour RFCs ceux qui ont été créés avant le lancement de cette fonctionnalité.
Les états d'action de la RFC varient selon que le type de modification soumis nécessite une révision manuelle et que la planification est définie sur **ASAP** ou non.
+ **ActionState**Modifications RFC lors de la révision, de l'approbation et du début d'un type de modification manuelle avec planification différée :
+ Une fois que vous avez soumis une RFC manuelle planifiée, **ActionState**elle change automatiquement **AwsActionPending**pour indiquer qu'un opérateur doit revoir et approuver la RFC.
+ Lorsqu'un opérateur commence à examiner activement votre RFC, le **ActionState**changement devient. **AwsOperatorAssigned**
+ Lorsque l'opérateur approuve votre RFC, le statut de la RFC passe à Planifié et passe **ActionState**automatiquement à. **NoActionPending**
+ Lorsque l'heure de début planifiée de la RFC est atteinte, le statut de la RFC passe à **InProgress**, et le statut passe **ActionState**automatiquement **AwsActionPending**à, pour indiquer qu'un opérateur doit être affecté à la révision de la RFC.
+ Lorsqu'un opérateur commence à exécuter activement le RFC, il le remplace par **ActionState**. **AwsOperatorAssigned**
+ Une fois terminé, l'opérateur ferme le RFC. Cela change automatiquement le **ActionState**en **NoActionPending**.
![\[ActionStateModifications des RFC pendant la révision, l'approbation et le début d'un type de modification manuelle avec planification différée\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/actionStateRfc.png)
**Important**
Vous ne pouvez pas définir les états d'action. Ils sont soit définis automatiquement en fonction des modifications apportées à la RFC, soit définis manuellement par les opérateurs AMS.
Si vous ajoutez de la correspondance à une RFC, elle **ActionState**est automatiquement définie sur. **AwsActionPending**
Lorsqu'une RFC est créée, elle **ActionState**est automatiquement définie sur. **NoActionPending**
Lorsqu'un RFC est soumis, le **ActionState**est automatiquement défini sur. **AwsActionPending**
Lorsqu'un RFC est rejeté, annulé ou terminé avec un statut de réussite ou d'échec, **ActionState**il est automatiquement remis à **NoActionPending**.
Les états d'action sont activés à la fois pour le mode automatique et le mode manuel RFCs, mais ils sont surtout importants pour le mode manuel, RFCs car ce type d' RFCs état nécessite souvent des communications.
# Passez en revue les exemples de cas d'utilisation des états d'action RFC
**Cas d'utilisation : visibilité sur le processus RFC manuel**
+ Une fois que vous avez soumis une RFC manuelle, l'état d'action de la RFC change automatiquement `AwsActionPending` pour indiquer qu'un opérateur doit examiner et approuver la RFC. Lorsqu'un opérateur commence à examiner activement votre RFC, l'état d'action de la RFC passe à. `AwsOperatorAssigned`
+ Prenons l'exemple d'un RFC manuel qui a été approuvé et planifié et qui est prêt à être exécuté. Une fois que le statut RFC passe à`InProgress`, l'état de l'action RFC passe automatiquement à. `AwsActionPending` Il change à `AwsOperatorAssigned` nouveau lorsqu'un opérateur commence à exécuter activement le RFC.
+ Lorsqu'un RFC manuel est terminé (fermé comme « Succès » ou « Échec »), l'état de l'action RFC change `NoActionPending` pour indiquer qu'aucune autre action n'est nécessaire de la part du client ou de l'opérateur.
**Cas d'utilisation : correspondance RFC**
+ Lorsqu'il s'agit d'une RFC manuelle`Pending Approval`, un opérateur AMS peut avoir besoin d'informations supplémentaires de votre part. Les opérateurs publieront une correspondance à la RFC et changeront l'état d'action de la RFC en. `CustomerActionPending` Lorsque vous répondez en ajoutant une nouvelle correspondance RFC, l'état de l'action RFC passe automatiquement à. `AwsActionPending`
+ Lorsqu'une RFC automatique ou manuelle échoue, vous pouvez ajouter une correspondance aux détails de la RFC, en demandant à l'opérateur AMS pourquoi la RFC a échoué. Lorsque votre correspondance est ajoutée, l'état de l'action RFC est automatiquement défini sur. `AwsActionPending` Lorsque l'opérateur AMS prend la RFC pour consulter votre correspondance, l'état de l'action RFC passe à. `AwsOperatorAssigned` Lorsque l'opérateur répond en ajoutant une nouvelle correspondance RFC, l'état de l'action RFC peut être défini sur`CustomerActionPending`, indiquant qu'une autre réponse du client est attendue, ou sur`NoActionPending`, indiquant qu'aucune réponse du client n'est requise ou attendue.
# Comprendre les codes d'état RFC
Les codes d'état RFC vous aident à suivre vos demandes. Vous pouvez observer ces codes d'état lors de l'exécution d'une RFC dans la sortie de la CLI ou en actualisant la page de liste des RFC dans la console.
Vous pouvez également voir les codes d'une RFC sur la page de détails de cette RFC, qui peut ressembler à ceci :
![\[Codes d'état RFC.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/guiRfcStatusCodes.png)
Il se peut que votre liste contienne une RFC que vous n'avez pas soumise. Lorsque les opérateurs AMS utilisent un CT interne uniquement, ils le soumettent dans une RFC et celui-ci s'affiche dans votre liste de RFC. Pour de plus amples informations, veuillez consulter [Types de modifications internes uniquement](ct-internals.md).
**Important**
Vous pouvez demander des notifications en cas de changement d'état de la RFC. Pour plus de détails, voir [Notifications de changement d'état RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html).
**Codes d'état RFC**
| Réussite | Échec |
| --- | --- |
| Modification : le RFC a été créé mais n'a pas été soumis PendingApproval /Soumis : Le RFC a été soumis et le système détermine s'il doit être approuvé, et obtient cette approbation, si nécessaire Approuvé par AWS/Approuvé par le client : le RFC a été approuvé. RFCs Les automatismes sont approuvés par AWS, RFCs les manuels sont approuvés par les opérateurs et, parfois, par les clients Planifié : la RFC a passé avec succès les vérifications de syntaxe et d'exigences et son exécution est prévue InProgress: le RFC est en cours d'exécution, notez RFCs que le provisionnement de plusieurs ressources ou s'il est de longue durée prend plus de temps à exécuter UserData Exécuté : La RFC a été exécutée Succès/Réussite : La RFC a été terminée avec succès | Rejetés : RFCs sont généralement rejetés parce qu'ils échouent à la validation ; par exemple, une ressource inutilisable, c'est-à-dire un sous-réseau, est spécifiée Annulés : RFCs sont généralement annulés parce qu'ils ne passent pas la validation avant l'expiration de l'heure de début configurée Échec : le RFC a échoué ; consultez le résultat pour StatusReason les raisons de l'échec, et les opérations AMS créent automatiquement un ticket d'incident et communiquent avec vous selon vos besoins |
**Note**
Les demandes annulées ou rejetées RFCs peuvent être soumises à nouveau en utilisant [UpdateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRfc.html); voir également[Mettre à jour RFCs](ex-update-rfcs.md).
Si la RFC satisfait à toutes les conditions nécessaires (par exemple, tous les paramètres requis sont spécifiés), le statut passe à `PendingApproval` (même une approbation automatique est CTs requise, ce qui se produit automatiquement si les vérifications de syntaxe et de paramètres sont réussies). S'il ne passe pas, le statut passe à`Rejected`. Le `StatusReason` fournit des informations sur les rejets ; les `ExecutionOutput` champs fournissent des informations sur l'approbation et la finalisation. Les codes d'erreur incluent :
+ InvalidRfcStateException: Le statut de la RFC n'autorise pas l'opération appelée. Par exemple, si la RFC est passée à l'état Soumis, elle ne peut plus être modifiée.
+ InvalidRfcScheduleException: Les TimeoutInMinutes paramètres StartTime EndTime, ou ont été violés.
+ InternalServerError: Le système a rencontré un problème.
+ InvalidArgumentException: Un paramètre est mal spécifié ; par exemple, une valeur inacceptable est utilisée.
+ ResourceNotFoundException: aucune valeur, telle que l'ID de pile, est introuvable.
Si les heures de début et de fin planifiées demandées (également appelées fenêtre d'exécution des modifications) se produisent avant que la modification ne soit approuvée, le statut de la RFC passe à`Canceled`. Si la modification est approuvée, le statut de la RFC passe à`Scheduled`. La fenêtre de modification pour ASAP RFCs correspond à l'heure de soumission plus la `ExpectedExecutionDuration` valeur du CT.
À tout moment avant l'arrivée de la fenêtre d'exécution des modifications, une modification planifiée (soumise avec un `RequestedStartTime` dans la CLI) peut être modifiée ou annulée. Si la modification planifiée est modifiée, elle doit ensuite être soumise à nouveau.
Lorsque l'heure de début des modifications arrive (planifiée ou dès que possible) et une fois les approbations terminées, le statut change `InProgress` et aucune modification ne peut être apportée. Si la modification est terminée dans la fenêtre d'exécution des modifications spécifiée, le statut passe à`Success`. Si une partie de la modification échoue, ou si la modification est toujours en cours à la fin de la fenêtre d'exécution des modifications, le statut passe à`Failure`.
**Note**
Pendant l'état `InProgress` ou le `Failure` changement d'état, le RFC ne peut pas être modifié ou annulé. `Success`
Le schéma suivant illustre les statuts RFC depuis l'appel CreateRFC jusqu'à la résolution.
![\[Les statuts de la RFC depuis l'appel CreaterFC jusqu'à la résolution.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/RfcStateFlow2.png)
# Comprendre la mise à jour des RFC CTs et la détection de la dérive des CloudFormation modèles
Les ressources mises en service dans AMS utilisent un CloudFormation modèle modifié. Si un paramètre d'une ressource est modifié directement via la console de AWS gestion d'un service, l'enregistrement de CloudFormation création de cette ressource est désynchronisé. Si cela se produit et que vous essayez d'utiliser un type de modification de mise à jour AMS pour mettre à jour la ressource dans AMS, AMS fait référence à la configuration de ressource d'origine et réinitialise éventuellement les paramètres modifiés. Cette réinitialisation peut être dommageable, c'est pourquoi AMS interdit les types RFCs de modifications de mise à jour si des modifications supplémentaires de configuration AMS sont détectées.
Pour obtenir la liste des types de modifications apportées aux mises à jour, utilisez le filtre de console.
## Assainissement de la dérive FAQs
Questions et réponses sur la correction de la dérive AMS. Il existe deux types de modifications que vous pouvez utiliser pour initier la correction de la dérive : l'un est mode d'exécution = manuel ou « automatisation gérée », l'autre est mode d'exécution = automatisé.
### Ressources prises en charge pour la correction de la dérive (ct-3kinq0u4l33zf)
Il s'agit des ressources prises en charge par le type de modification de correction de la dérive (ct-3kinq0u4l33zf). Pour corriger n'importe quelle ressource, utilisez plutôt le type de modification « automatisation gérée » (ct-34sxfo53yuzah).
```
AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm
```
### Types de modifications liées à la correction de la dérive
Questions et réponses sur l'utilisation des types de modifications de correction de dérive AMS.
Pour obtenir la liste des ressources prises en charge pour la fonctionnalité de correction de la dérive, consultez[Ressources prises en charge pour la correction de la dérive (ct-3kinq0u4l33zf)](#drift-remeditate-faqs-sr).
**Important**
La correction de la dérive modifie les and/or paramètres du modèle de pile et il est obligatoire de mettre à jour vos référentiels de modèles locaux ou toute automatisation mettant à jour ces piles afin d'utiliser le modèle et les paramètres de pile les plus récents. L'utilisation d'anciens and/or paramètres de modèle sans synchronisation peut entraîner des modifications dommageables des ressources sous-jacentes.
Le CT (ct-3kinq0u4l33zf), sans automatisation gérée, ne prend en charge que 10 ressources par RFC. Pour corriger les ressources restantes par lots de 10, créez-en de nouvelles RFCs jusqu'à ce que toutes les ressources soient corrigées.
Quel type de modification de correction de dérive dois-je utiliser ?
Nous vous recommandons d'utiliser la tomodensitométrie automatisée **sans automatisation gérée** (ct-3kinq0u4l33zf) lorsque :
+ Vous essayez d'effectuer une mise à jour d'une ressource de pile existante à l'aide d'un CT automatique et la RFC est `DRIFTED` rejetée telle quelle.
+ Vous avez utilisé un Update CT dans le passé et celui-ci a échoué car la pile était dérivée. Vous n'avez pas besoin de réessayer une mise à jour et vous pouvez utiliser l'automatisation gérée, le manuel ou le CT à la place.
Nous recommandons d'utiliser l'**automatisation gérée**, la tomographie manuelle (ct-34sxfo53yuzah) uniquement lorsque les types de ressources dérivées ne sont pas pris en charge par la correction de la dérive, aucune automatisation gérée, automatisée, la tomographie automatique (ct-3kinq0u4l33zf), ou lorsque la correction de la dérive (aucune automatisation gérée, automatisée, tomodensitométrie) échoue.
Quelles sont les modifications apportées à la pile lors de la correction ?
La correction nécessite la mise à jour des and/or paramètres du modèle de pile en fonction des propriétés dérivées. La correction met également à jour la politique de pile de la pile pendant la correction et rétablit la politique de pile à sa valeur précédente une fois la correction terminée.
Comment pouvons-nous voir les modifications apportées aux and/or paramètres du modèle de pile ?
Dans la réponse à la RFC, un résumé des modifications est fourni avec les informations suivantes :
+ `ChangeSummaryJson`: contient un résumé des modifications apportées aux and/or paramètres du modèle de pile dans le cadre de la correction de la dérive. La correction s'effectue en plusieurs phases. Ce résumé des modifications comprend les modifications apportées aux différentes phases. Si la correction est réussie, vérifiez les modifications apportées à la dernière phase. Consultez ExecutionPlan le JSON pour les phases exécutées dans l'ordre. Par exemple, RestoreReferences la section lorsqu'elle est présente est toujours exécutée à la fin et contient du JSON pour les modifications apportées après la correction. Si la correction est exécutée en DryRun mode, aucune de ces modifications n'aurait été appliquée à la pile.
+ `PreRemediationStackTemplateAndConfigurationJson`: contient un instantané de configuration de la CloudFormation pile, y compris le modèle, les paramètres et les sorties, StackPolicyBody avant que la correction ne soit déclenchée sur la pile.
Que dois-je faire une fois la correction effectuée ?
Vous devez mettre à jour vos référentiels de modèles locaux, ou toute automatisation, qui mettrait à jour la pile corrigée, avec le modèle et les paramètres les plus récents fournis dans le résumé de la RFC. Il est très important de le faire car l'utilisation des anciens and/or paramètres du modèle peut entraîner d'autres modifications destructrices des ressources de la pile.
Ma demande sera-t-elle prise en compte pendant cette correction ?
La correction est un processus hors ligne qui est effectué uniquement sur la configuration de la CloudFormation pile. Aucune mise à jour n'est effectuée sur la ressource sous-jacente.
Puis-je continuer à utiliser Management \$1 Other \$1 Other RFCs pour effectuer des mises à jour des ressources après la correction ?
Nous vous recommandons de toujours effectuer des mises à jour pour empiler les ressources à l'aide de la mise à jour automatique disponible CTs. Lorsque la mise à jour disponible CTs ne correspond pas à votre cas d'utilisation, utilisez Gestion \$1 Autres \$1 Autres requêtes.
La remédiation crée-t-elle de nouvelles ressources dans la pile ?
La correction ne crée aucune nouvelle ressource dans la pile. Toutefois, la correction crée de nouvelles sorties et met à jour la section des [métadonnées](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/metadata-section-structure.html) du modèle de pile afin de stocker le résumé de la correction à titre de référence.
Les mesures correctives seront-elles toujours couronnées de succès ?
La correction nécessite une analyse et une validation minutieuses de la configuration du modèle afin de déterminer si elle peut être effectuée. Dans les scénarios où ces validations échouent, le processus de correction est arrêté et aucune modification n'est apportée au modèle ou aux paramètres de la pile. En outre, la correction ne peut être effectuée que sur les types de ressources pris en charge.
Comment puis-je effectuer des mises à jour pour empiler les ressources si la correction échoue ?
Vous pouvez utiliser le CT Management \$1 Other \$1 Other \$1 Update (ct-0xdawir96cy7k) pour demander des modifications. AMS surveille ces scénarios et travaille à l'amélioration de la solution de correction.
Puis-je corriger des piles contenant à la fois des types de ressources pris en charge et non pris en charge ?
Oui. Toutefois, la correction n'est effectuée que si les types de ressources pris en charge se trouvent à la dérive dans la pile. Si des types de ressources non pris en charge sont DÉRIVÉS, la correction ne se poursuit pas.
Puis-je demander une correction pour les piles créées par le biais d'une ingestion autre que CFN ? CTs
Oui. La correction peut être effectuée sur les piles quel que soit le type de modification utilisé pour créer la pile.
Puis-je connaître les modifications qui seraient apportées à la pile avant la correction ?
Oui. Les deux types de modifications fournissent une **DryRun**option que vous pouvez utiliser pour demander des modifications qui seraient effectuées si la pile était corrigée. Cependant, les modifications finales de correction peuvent différer en fonction de la dérive présente sur la pile au moment de la correction.
# Horaire RFCs
La fonction **de planification** vous permet de choisir une heure de début pour RFCs. Les options suivantes sont disponibles dans la fonction **de planification** :
+ **Exécutez cette modification dès que possible** : AMS exécute le RFC dès qu'il est approuvé. La plupart CTs sont automatiquement approuvés. Utilisez cette option si vous ne souhaitez pas que le RFC démarre à un moment précis.
+ **Planifiez cette modification** : définissez un jour, une heure et un fuseau horaire pour l'exécution de la RFC. Pour les types de modifications automatisés, il est recommandé de demander une heure de début au moins 10 minutes après la date prévue de soumission de la RFC. Pour les types de modifications d'automatisation gérés, il est nécessaire que vous demandiez une heure de début au moins 24 heures après la date prévue de soumission de la RFC. Si la RFC n'est pas approuvée à l'heure de début configurée, elle est rejetée.
## Définissez un calendrier RFC
Pour planifier un RFC, appliquez l'une des méthodes suivantes :
**Exécutez cette modification dès que possible** :
+ Console : Ne rien faire. Cela utilise le calendrier RFC par défaut.
+ API ou CLI : supprimez les `RequestedEndTime` options `RequestedStartTime` et dans l'opération Create RFC.
Les « automatisations gérées » **ASAP** RFCs sont automatiquement rejetées si elles ne sont pas approuvées dans les trente jours suivant leur soumission.
**Programmez cette modification** :
+ Console : sélectionnez le bouton radio **Planifier cette modification**. Une zone d'**heure de début** s'ouvre. Entrez manuellement un jour ou utilisez le widget calendrier pour sélectionner un jour. Entrez une heure, en UTC, exprimée au format ISO 8601, et utilisez la liste déroulante pour sélectionner un lieu. Par défaut, AMS utilise le format ISO 8601 YYYYMMDDThhmmss Z ou:MM:SSZ, l'un ou YYYY-MM-DDThh l'autre format étant accepté.
**Note**
L'**heure de fin par défaut** est de 4 heures à compter de l'**heure de début** que vous avez saisie. Pour définir l'**heure de fin** de votre modification planifiée au-delà de 4 heures, utilisez l'API ou la CLI pour exécuter la modification.
+ API ou CLI : soumettez des valeurs pour les `RequestedEndTime` paramètres `RequestedStartTime` et dans le cadre de l'opération Create RFC. La transmission d'un `RequestedEndTime` paramètre configuré n'arrête pas l'exécution d'un type de modification automatique qui a déjà commencé. Dans le cas d'un changement de type « automatisation gérée », si le délai `RequestedEndTime` est atteint alors que les recherches sur les opérations d'AMS sont toujours en cours et que vous êtes en communication avec AMS, vous pouvez demander une extension ou vous pouvez être invité à soumettre à nouveau le RFC.
**Astuce**
Pour un exemple d'affichage de l'heure UTC, voir [UTC](https://time.is/UTC) sur le site Web de Time-IS. **Exemple de format ISO 8601 pour une date/time valeur du 5 décembre 2016 à 14 h 20 : **2016-12-05T** 14:20:00 Z ou 20161205T142000Z.**
Si vous fournissez...
+ uniquement a`RequestedStartTime`, le RFC est considéré comme planifié et `RequestedEndTime` est renseigné à l'aide de la `ExecutionDurationInMinutes` valeur.
+ seulement un`RequestedEndTime`, nous en lançons un InvalidArgumentException.
+ les deux `RequestedStartTime` et `RequestedEndTime` nous les `RequestedEndTime` remplaçons par l'heure de début spécifiée plus la `ExecutionDurationInMinutes` valeur.
+ ni l'un `RequestedStartTime` ni l'autre`RequestedEndTime`, nous conservons ces valeurs nulles et la RFC est traitée comme une RFC ASAP.
**Note**
Pour toutes les modifications planifiées RFCs, une heure de fin non spécifiée est écrite comme étant l'heure de la date spécifiée `RequestedStartTime` plus l'`ExpectedExecutionDurationInMinutes`attribut du type de modification soumis. Par exemple, si la valeur `ExpectedExecutionDurationInMinutes` est « 60 » (minutes) et que la valeur spécifiée `RequestedStartTime` est `2016-12-05T14:20:00Z` (5 décembre 2016 à 4 h 20), l'heure de fin réelle sera fixée au 5 décembre 2016 à 5 h 20. Pour trouver le `ExpectedExecutionDurationInMinutes` type de modification correspondant à un type de modification spécifique, exécutez cette commande :
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
## Utilisez l'option RFC Priority
Utilisez l'option **Priorité** dans les types de `execution mode = manual` modifications pour avertir AMS Operations de l'urgence de la demande.
Option **prioritaire** dans `execution mode = manual` :
Spécifiez la priorité d'une RFC manuelle comme **élevée**, **moyenne** ou **faible**. RFCs classés comme **élevés** sont examinés et approuvés avant d' RFCs être classés comme **moyens**, sous réserve des objectifs de niveau de service de la RFC (SLOs) et de leurs délais de soumission. RFCs dont la priorité est **faible** ou aucune priorité spécifiée sont traitées dans l'ordre dans lequel elles ont été soumises.
# Approuver ou rejeter RFCs
RFCs soumis avec approbation obligatoire (manuel) CTs doit être approuvé par vous ou par AMS. Les CTs pré-approbations sont traitées automatiquement. Pour de plus amples informations, veuillez consulter [Exigences d'approbation CT](constrained-unconstrained-ctis.md).
**Note**
Lorsque vous utilisez le mode manuel CTs, AMS vous recommande d'utiliser l'option ASAP **Scheduling** (choisissez **ASAP** dans la console, laissez les heures de début et de fin vides dans l'API/CLI) car elles CTs nécessitent qu'un opérateur AMS examine la RFC et communique éventuellement avec vous avant qu'elle ne puisse être approuvée et exécutée. Si vous les planifiez RFCs, veillez à prévoir au moins 24 heures. Si l'approbation n'intervient pas avant l'heure de début prévue, le RFC est automatiquement rejeté.
Si un RFC nécessitant une approbation est soumis avec succès par AMS, vous devez l'approuver explicitement. Ou, si vous soumettez une RFC nécessitant une approbation, elle doit être approuvée par AMS. Si vous devez approuver une RFC soumise par AMS, un e-mail ou une autre communication prédéterminée vous est envoyé pour demander l'approbation. La communication inclut l'identifiant RFC. Une fois la communication envoyée, effectuez l'une des opérations suivantes :
+ Approuver ou rejeter par console : utilisez la page de détails de la RFC correspondante :
![\[Page de détails de la RFC.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/AMS_Console-App-Rej.png)
+ API/CLI Approve : [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html)marque une modification comme approuvée. L'action doit être prise à la fois par le propriétaire et par l'exploitant, si les deux sont nécessaires. Voici un exemple de commande d'approbation de la CLI. Dans l'exemple suivant, remplacez RFC\$1ID par l'ID RFC approprié.
```
aws amscm approve-rfc --rfc-id RFC_ID
```
+ Rejet API/CLI : [RejectRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_RejectRfc.html)marque une modification comme rejetée. Voici un exemple de commande de rejet de la CLI. Dans l'exemple suivant, remplacez RFC\$1ID par l'ID RFC approprié.
```
aws amscm reject-rfc --rfc-id RFC_ID --reason "no longer relevant"
```
# Demander des périodes d'exécution restreintes de la RFC
Anciennement connus sous le nom de jours d'interdiction, vous pouvez demander à limiter certaines périodes. Aucune modification ne peut être effectuée pendant ces périodes.
Pour définir une période d'exécution restreinte, utilisez l'opération [UpdateRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRestrictedExecutionTimes.html)API et définissez une période spécifique, en UTC. La période que vous spécifiez remplace toutes les périodes précédentes qui ont été spécifiées. Si vous soumettez une RFC pendant la durée d'exécution restreinte spécifiée, la soumission échoue avec le message d'erreur Invalid RFC Schedule. Vous pouvez spécifier jusqu'à 200 périodes restreintes. Par défaut, aucune période restreinte n'est définie. Voici un exemple de commande de demande (avec l'authentification SAML configurée) :
```
aws amscm --profile saml update-restricted-execution-times --restricted-execution-times="[{\"TimeRange\":{\"StartTime\":\"2018-01-01T12:00:00Z\",\"EndTime\":\"2018-01-01T12:00:01Z\"}}]"
```
Vous pouvez également consulter vos RestrictedExecutionTimes paramètres actuels en exécutant l'opération [ListRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRestrictedExecutionTimes.html)API. Exemple :
```
aws amscm --profile saml list-restricted-execution-times
```
Si vous souhaitez soumettre une RFC pendant une durée d'exécution limitée spécifiée, ajoutez le **RestrictedExecutionTimesOverrideId**avec la valeur de **OverrideRestrictedTimeRanges**, puis soumettez la RFC comme vous le feriez normalement. Il est recommandé de n'utiliser cette méthode que pour une RFC critique ou d'urgence. Pour plus d'informations, consultez la référence d'API pour [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html).
# Création, clonage, mise à jour, recherche et annulation RFCs
Les exemples suivants vous présentent différentes opérations RFC.
**Topics**
+ [Création d'une RFC](ex-rfc-create-col.md)
+ [Cloner RFCs (recréer) avec la console AMS](ex-clone-rfcs.md)
+ [Mettre à jour RFCs](ex-update-rfcs.md)
+ [Trouvez RFCs](ex-rfc-find-col.md)
+ [Annuler RFCs](ex-cancel-rfcs.md)
# Création d'une RFC
## Création d'une RFC avec la console
Voici la première page du processus de création de RFC dans la console AMS, avec les **cartes Quick** ouvertes et **les types de modification Browse** actifs :
![\[Quick create section with options for common AWS stack operations and access management.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/quickCreate1.png)
Voici la première page du processus de création de RFC dans la console AMS, avec l'**option Sélectionner par catégorie active :**
![\[Create RFC page with change type categorization options for managed services environment.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/guiRfcCreate1-2.png)
Fonctionnement :
1. Accédez à la page **Créer une RFC** : Dans le volet de navigation de gauche de la console AMS, cliquez **RFCs**pour ouvrir la page de RFCs liste, puis cliquez sur **Créer une RFC**.
1. Choisissez un type de modification (CT) populaire dans la vue **Parcourir les types de modification** par défaut, ou sélectionnez un CT dans la vue **Choisir par catégorie**.
+ **Parcourir par type de modification** : vous pouvez cliquer sur un CT populaire dans la zone de **création rapide** pour ouvrir immédiatement la page **Run RFC**. Notez que vous ne pouvez pas choisir une ancienne version CT avec création rapide.
Pour trier CTs, utilisez la zone **Tous les types de modifications** dans l'affichage **Carte** ou **Tableau**. Dans l'une ou l'autre vue, sélectionnez un CT, puis cliquez sur **Créer une RFC** pour ouvrir la page **Exécuter une RFC**. Le cas échéant, une option **Créer avec une ancienne version** apparaît à côté du bouton **Créer une RFC**.
+ **Choisissez par catégorie** : sélectionnez une catégorie, une sous-catégorie, un article et une opération et la zone de détails du CT s'ouvre avec une option permettant de **créer avec une ancienne version**, le cas échéant. Cliquez sur **Créer une RFC** pour ouvrir la page **Exécuter une RFC**.
1. Sur la page **Run RFC**, ouvrez la zone de nom du CT pour voir la boîte de détails du CT. Un **sujet** est requis (il est renseigné pour vous si vous choisissez votre CT dans la vue **Parcourir les types de modification**). Ouvrez la zone **de configuration supplémentaire** pour ajouter des informations sur le RFC.
Dans la zone **Configuration de l'exécution**, utilisez les listes déroulantes disponibles ou entrez des valeurs pour les paramètres requis. Pour configurer les paramètres d'exécution facultatifs, ouvrez la zone **de configuration supplémentaire**.
1. Lorsque vous avez terminé, cliquez sur **Exécuter**. S'il n'y a aucune erreur, la page **RFC créée avec succès** s'affiche avec les détails de la RFC soumise et le résultat d'**exécution** initial.
1. Ouvrez la zone **Paramètres d'exécution** pour voir les configurations que vous avez soumises. Actualisez la page pour mettre à jour l'état d'exécution de la RFC. Vous pouvez éventuellement annuler la RFC ou en créer une copie à l'aide des options en haut de la page.
## Création d'une RFC avec la CLI
Fonctionnement :
1. Utilisez soit le Inline Create (vous émettez une `create-rfc` commande avec tous les paramètres RFC et d'exécution inclus), soit le Template Create (vous créez deux fichiers JSON, un pour les paramètres RFC et un pour les paramètres d'exécution) et émettez la `create-rfc` commande avec les deux fichiers en entrée. Les deux méthodes sont décrites ici.
1. Soumettez la `aws amscm submit-rfc --rfc-id ID` commande RFC : avec l'ID RFC renvoyé.
Surveillez la `aws amscm get-rfc --rfc-id ID` commande RFC :.
Pour vérifier la version du type de modification, utilisez cette commande :
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**Note**
Vous pouvez utiliser n'importe quel `CreateRfc` paramètre avec n'importe quelle RFC, qu'ils fassent ou non partie du schéma du type de modification. Par exemple, pour recevoir des notifications lorsque le statut de la RFC change, ajoutez cette ligne `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` aux paramètres RFC de la demande (et non aux paramètres d'exécution). Pour obtenir la liste de tous les CreateRfc paramètres, consultez le manuel [AMS Change Management API Reference](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html).
*CRÉATION EN LIGNE* :
Émettez la commande create RFC avec les paramètres d'exécution fournis en ligne (évitez les guillemets lorsque vous fournissez des paramètres d'exécution en ligne), puis soumettez l'ID RFC renvoyé. Par exemple, vous pouvez remplacer le contenu par quelque chose comme ceci :
```
aws amscm create-rfc --change-type-id "CT_ID" --change-type-version "VERSION" --title "TITLE" --execution-parameters "{\"Description\": \"example\"}"
```
*CRÉATION D'UN MODÈLE* :
**Note**
Cet exemple de création d'une RFC utilise le type de changement de pile Load Balancer (ELB).
1. Trouvez le scanner approprié. La commande suivante recherche dans les résumés de classification CT ceux qui contiennent « ELB » dans le nom de l'**élément** et crée une sortie de la catégorie, de l'élément, de l'opération et de l' ChangeTypeidentifiant sous forme de tableau (la sous-catégorie pour les deux est). `Advanced stack components`
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries[?contains(Item,'ELB')].[Category,Item,Operation,ChangeTypeId]" --output table
```
```
---------------------------------------------------------------------
| CtSummaries |
+-----------+---------------------------+---------------------------+
| Deployment| Load balancer (ELB) stack | Create | ct-123h45t6uz7jl |
| Management| Load balancer (ELB) stack | Update | ct-0ltm873rsebx9 |
+-----------+---------------------------+---------------------------+
```
1. Trouvez la version la plus récente du CT :
`ChangeTypeId`et `ChangeTypeVersion` : L'ID de type de modification pour cette procédure pas à pas est `ct-123h45t6uz7jl` (create ELB). Pour connaître la dernière version, exécutez cette commande :
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=ct-123h45t6uz7jl
```
1. Découvrez les options et les exigences. La commande suivante génère le schéma dans un fichier JSON nommé CreateElbParams .json.
```
aws amscm get-change-type-version --change-type-id "ct-123h45t6uz7jl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateElbParams.json
```
1. Modifiez et enregistrez le fichier JSON des paramètres d'exécution. Cet exemple nomme le fichier CreateElbParams .json.
Pour un CT de provisionnement, le StackTemplateId est inclus dans le schéma et doit être soumis dans les paramètres d'exécution.
En TimeoutInMinutes ce qui concerne le nombre de minutes autorisées pour la création de la pile avant l'échec de la RFC, ce paramètre ne retardera pas l'exécution de la RFC, mais vous devez prévoir suffisamment de temps (par exemple, ne spécifiez pas « 5 »). Les valeurs valides sont de « 60 » à « 360 », pour les CT à longue durée UserData : Create EC2 et Create ASG. Nous recommandons le maximum autorisé de « 60 » pour tous les autres CTs approvisionnements.
Fournissez l'ID du VPC dans lequel vous souhaitez que la pile soit créée ; vous pouvez obtenir l'ID du VPC à l'aide de la commande CLI. `aws amsskms list-vpc-summaries`
```
{
"Description": "ELB-Create-RFC",
"VpcId": "VPC_ID",
"StackTemplateId": "stm-sdhopv00000000000",
"Name": "MyElbInstance",
"TimeoutInMinutes": 60,
"Parameters": {
"ELBSubnetIds": ["SUBNET_ID"],
"ELBHealthCheckHealthyThreshold": 4,
"ELBHealthCheckInterval": 5,
"ELBHealthCheckTarget": "HTTP:80/",
"ELBHealthCheckTimeout": 60,
"ELBHealthCheckUnhealthyThreshold": 5,
"ELBScheme": false
}
}
```
1. Exportez le modèle RFC JSON dans un fichier de votre dossier actuel nommé CreateElbRfc .json :
```
aws amscm create-rfc --generate-cli-skeleton > CreateElbRfc.json
```
1. Modifiez et enregistrez le fichier CreateElbRfc .json. Comme vous avez créé les paramètres d'exécution dans un fichier séparé, supprimez la `ExecutionParameters` ligne. Par exemple, vous pouvez remplacer le contenu par quelque chose comme ceci :
```
{
"ChangeTypeVersion": "2.0",
"ChangeTypeId": "ct-123h45t6uz7jl",
"Title": "Create ELB"
}
```
1. Créez le RFC. La commande suivante spécifie le fichier de paramètres d'exécution et le fichier de modèle RFC :
```
aws amscm create-rfc --cli-input-json file://CreateElbRfc.json --execution-parameters file://CreateElbParams.json
```
Vous recevez l'identifiant de la nouvelle RFC dans la réponse et vous pouvez l'utiliser pour soumettre et surveiller la RFC. Tant que vous ne l'avez pas soumise, la RFC reste en cours d'édition et ne démarre pas.
## Conseils
**Note**
Vous pouvez utiliser l'AMS API/CLI pour créer une RFC sans créer de fichier JSON RFC ou de fichier JSON de paramètres d'exécution CT. Pour ce faire, vous utilisez la `create-rfc` commande et ajoutez les paramètres RFC et d'exécution requis à la commande, cela s'appelle « Inline Create ». Notez que tous les approvisionnements CTs contiennent dans le `execution-parameters` bloc un `Parameters` tableau contenant les paramètres de la ressource. Les paramètres doivent comporter des guillemets séparés par une barre oblique inversée (\$1).
L'autre méthode documentée pour créer une RFC s'appelle « Template Create ». C'est ici que vous créez un fichier JSON pour les paramètres RFC et un autre fichier JSON pour les paramètres d'exécution, et que vous soumettez les deux fichiers avec la `create-rfc` commande. Ces fichiers peuvent servir de modèles et être réutilisés pour le futur. RFCs
Lorsque vous créez RFCs à l'aide de modèles, vous pouvez utiliser une commande pour créer le fichier JSON avec le contenu souhaité en exécutant une commande comme indiqué. Les commandes créent un fichier nommé « parameters.json » avec le contenu affiché ; vous pouvez également utiliser ces commandes pour créer le fichier RFC JSON.
# Cloner RFCs (recréer) avec la console AMS
Vous pouvez utiliser la console AMS pour cloner une RFC existante.
Pour cloner ou recréer une RFC à l'aide de la console AMS, procédez comme suit :
1. Trouvez la RFC appropriée. Dans le menu de navigation de gauche, cliquez sur **RFCs**.
Le RFCs tableau de bord s'ouvre.
1. Parcourez les pages jusqu'à ce que vous trouviez le RFC que vous souhaitez cloner. Utilisez l'option **Filtrer** pour affiner la liste. Choisissez le RFC que vous souhaitez cloner.
La page de détails de la RFC s'ouvre.
1. Cliquez sur **Créer une copie**.
La page **Créer une demande de modification** s'ouvre avec toutes les options définies comme dans la RFC d'origine.
1. Apportez les modifications souhaitées. Pour définir des options supplémentaires, remplacez l'option **de base** par **Avancé**. Après avoir défini toutes les options, choisissez **Soumettre**.
La page de détails du RFC actif s'ouvre avec un nouvel identifiant RFC pour le RFC cloné et le RFC cloné apparaît dans le tableau de bord RFC.
# Mettre à jour RFCs
Vous pouvez soumettre à nouveau un RFC qui a été rejeté ou qui n'a pas encore été soumis, en le mettant à jour puis en le soumettant, ou en le soumettant à nouveau. Notez que la plupart RFCs sont rejetées parce que le paramètre spécifié est `RequestedStartTime` passé avant la soumission ou parce qu'il n' TimeoutInMinutes est pas adapté à l'exécution de la RFC (étant donné TimeoutInMinutes que cela ne prolonge pas une RFC réussie, nous vous recommandons de toujours définir ce paramètre sur au moins « 60 » et jusqu'à « 360 » pour un groupe Amazon EC2 ou Amazon EC2 Auto Scaling ayant une longue durée d'exécution). UserData Cette section décrit comment utiliser la version CLI de la `UpdateRfc` commande pour mettre à jour une RFC avec un nouveau paramètre RFC, ou de nouveaux paramètres à l'aide d'un JSON stringifié ou d'un fichier de paramètres mis à jour.
Cet exemple décrit l'utilisation de la version CLI de l' UpdateRfc API AMS (voir [Update RFC](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/update-rfc.html)). Bien qu'il existe des types de modifications pour mettre à jour certaines ressources (DNS privé et public, piles d'équilibreurs de charge et configuration de correctifs de pile), il n'existe aucun CT pour mettre à jour une RFC.
Nous vous recommandons de soumettre une UpdateRfc opération à la fois. Si vous soumettez plusieurs mises à jour, par exemple sur une pile DNS, les mises à jour risquent d'échouer en tentant de mettre à jour le DNS en même temps.
DONNÉES REQUISES `RfcId` : La RFC que vous êtes en train de mettre à jour.
DONNÉES FACULTATIVES `ExecutionParameters` : À moins que vous ne mettiez à jour un champ non obligatoire`Description`, vous devez par exemple soumettre des paramètres d'exécution modifiés pour résoudre les problèmes à l'origine du rejet ou de l'annulation de la RFC. Toutes les valeurs non nulles soumises remplacent ces valeurs dans la RFC d'origine.
1. Trouvez le RFC rejeté ou annulé pertinent, vous pouvez utiliser cette commande (vous pouvez remplacer la valeur par`Canceled`) :
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Rejected
```
1. Vous pouvez modifier n'importe lequel des paramètres RFC suivants :
```
{
"Description": "string",
"ExecutionParameters": "string",
"ExpectedOutcome": "string",
"ImplementationPlan": "string",
"RequestedEndTime": "string",
"RequestedStartTime": "string",
"RfcId": "string",
"RollbackPlan": "string",
"Title": "string",
"WorstCaseScenario": "string"}
```
Exemple de commande mettant à jour le champ Description :
```
aws amscm update-rfc --description "AMSTestNoOpsActionRequired" --rfc-id "RFC_ID" --region us-east-1
```
Exemple de commande mettant à jour le ExecutionParameters VpcId champ :
```
aws amscm update-rfc --execution-parameters "{\"VpcId\":\"VPC_ID\"}" --rfc-id "RFC_ID" --region us-east-1
```
Exemple de commande mettant à jour la RFC avec un fichier de paramètres d'exécution contenant les mises à jour ; voir un exemple de fichier de paramètres d'exécution à l'étape 2 de : [EC2 stack \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ec2-stack-create.html) :
```
aws amscm update-rfc --execution-parameters file://CreateEc2ParamsUpdate.json --rfc-id "RFC_ID" --region us-east-1
```
1. Soumettez à nouveau la RFC en utilisant `submit-rfc` le même identifiant RFC que celui que vous aviez lors de sa création initiale :
```
aws amscm submit-rfc --rfc-id RFC_ID
```
Si le RFC réussit, vous ne recevez aucun message de confirmation ou d'erreur sur la ligne de commande.
1. Pour surveiller l'état de la demande et afficher le résultat d'exécution, exécutez la commande suivante.
```
aws amscm get-rfc --rfc-id RFC_ID
```
# Trouvez RFCs
## Rechercher une demande de modification (RFC) à l'aide de la console
Pour rechercher une RFC à l'aide de la console AMS, procédez comme suit.
**Note**
Cette procédure s'applique uniquement aux personnes planifiées RFCs, c' RFCs est-à-dire qui n'ont pas utilisé l'option **ASAP**.
1. Dans le menu de navigation de gauche, cliquez sur **RFCs**.
Le RFCs tableau de bord s'ouvre.
1. Parcourez la liste ou utilisez l'option **Filtrer** pour affiner la liste.
La liste RFC change en fonction des critères de filtre.
1. Choisissez le lien Objet de la RFC que vous souhaitez.
La page de détails de la RFC s'ouvre pour cette RFC avec des informations telles que l'ID de la RFC.
1. S'il y en a plusieurs RFCs dans le tableau de bord, vous pouvez utiliser l'option **Filtrer** pour effectuer une recherche par RFC :
+ **Objet** : La ligne d'objet ou le titre (dans l'API/CLI) attribué à la RFC lors de sa création.
+ **ID RFC** : identifiant de la RFC.
+ **État de l'activité** : Si vous connaissez l'état de la RFC, vous pouvez choisir entre **AwsOperatorAssigned**le fait qu'un opérateur examine actuellement la RFC, **AwsActionPending**ce qui signifie qu'un opérateur AMS doit effectuer quelque chose avant que l'exécution de la RFC ne puisse se poursuivre, ou **CustomerActionPending**le fait que vous devez prendre certaines mesures avant que l'exécution de la RFC puisse se poursuivre.
+ **État** : Si vous connaissez le statut de la RFC, vous pouvez choisir entre :
+ **Planifié** : RFCs qui étaient programmés.
+ **Annulés** : RFCs qui ont été annulés.
+ **En cours** : RFCs en cours
+ **Succès** : RFCs exécuté avec succès.
+ **Refusés** : RFCs qui ont été rejetés.
+ **Édition** : RFCs qui sont en cours de modification.
+ **Échec** : RFCs cela a échoué.
+ **En attente d'approbation** : RFCs cela ne peut pas se poursuivre tant qu'AMS ou vous n'avez pas approuvé. Cela indique généralement que vous devez approuver le RFC. Vous aurez reçu une notification de service à ce sujet dans votre liste de demandes de service.
+ **Type de modification** : Choisissez la **catégorie**, la **sous-catégorie**, **l'article** et l'**opération**, et l'identifiant du type de modification est récupéré pour vous.
+ **Heure de début ou heure** de **fin demandée** : cette option de filtre vous permet de choisir **Avant** ou **Après**, puis de saisir une **date** et, éventuellement, une **heure** (hh:mm et fuseau horaire). Ce filtre fonctionne correctement uniquement comme prévu RFCs (pas dès que possible RFCs).
+ **État** : **Planifié**, **annulé**, **en cours**, **réussi**, **rejeté**, **modifié** ou **échec**.
+ **Objet** : Le sujet (ou le titre, si la RFC a été créée avec l'API/CLI) que vous avez attribuée à la RFC.
+ **ID du type de modification** : utilisez l'identifiant du type de modification soumis avec la RFC.
La recherche vous permet d'ajouter les filtres, comme le montre la capture d'écran ci-dessous.
![\[Search or filter options including Subject, RFC ID, Activity state, and various time-related fields.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/filterRfcAllOptions3.png)
1. Cliquez sur le lien Objet de la RFC que vous souhaitez.
La page de détails de la RFC s'ouvre pour cette RFC avec des informations telles que l'ID de la RFC.
## Recherche d'une demande de modification (RFC) à l'aide de la CLI
Vous pouvez utiliser plusieurs filtres pour trouver une RFC.
Pour vérifier la version du type de modification, utilisez cette commande :
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**Note**
Vous pouvez utiliser n'importe quel `CreateRfc` paramètre avec n'importe quelle RFC, qu'ils fassent ou non partie du schéma du type de modification. Par exemple, pour recevoir des notifications lorsque le statut de la RFC change, ajoutez cette ligne `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` aux paramètres RFC de la demande (et non aux paramètres d'exécution). Pour obtenir la liste de tous les CreateRfc paramètres, consultez le manuel [AMS Change Management API Reference](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html).
Si vous ne notez pas l'ID RFC et que vous devez le retrouver ultérieurement, vous pouvez utiliser le système de gestion des modifications (CM) AMS pour le rechercher et affiner les résultats à l'aide d'un filtre ou d'une requête.
1. Le [ListRfcSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRfcSummaries.html)fonctionnement de l'API CM comporte des filtres. Vous pouvez [filtrer](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_Filter.html) les résultats en fonction d'un `Attribute` et `Value` combiné dans une opération logique ET, ou en fonction d'un `Attribute``Condition`, d'un et`Values`.
**Filtrage RFC**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/ex-rfc-find-col.html)
Exemples :
Pour trouver tous les éléments RFCs liés au SQS (où le SQS est contenu dans la partie Item du CT), vous pouvez utiliser cette commande : IDs
```
list-rfc-summaries --query 'RfcSummaries[?contains(Item.Name,`SQS`)].[Category.Id,Subcategory.Id,Type.Id,Item.Id,RfcId]' --output table
```
Ce qui renvoie quelque chose comme ceci :
```
----------------------------------------------------------------------------
| ListRfcSummaries |
+----------+--------------------------------+-------+-------+----------------+
|Deployment| Advanced Stack Components |SQS |Create |ct-123h45t6uz7jl|
|Management| Monitoring & Notification |SQS |Update |ct-123h45t6uz7jl|
+----------+--------------------------------+-------+-------+----------------+
```
Un autre filtre disponible `list-rfc-summaries` est `AutomationStatusId` de rechercher ceux RFCs qui sont automatisés ou manuels :
```
aws amscm list-rfc-summaries --filter Attribute=AutomationStatusId,Value=Automated
```
Un autre filtre `list-rfc-summaries` disponible pour : `Title` (**Objet** dans la console) :
```
Attribute=Title,Value=RFC-TITLE
```
Exemple de la nouvelle structure de requête au format JSON qui renvoie RFCs où :
+ (Le titre CONTIENT l'expression « Windows 2012 » OU « Amazon Linux ») ET
+ (RfcStatusId ÉGAL À « Succès » OU InProgress « ») ET
+ (20170101T000000Z <= <= 20170103T000000Z) ET ( RequestedStartTime <= 20170103T000000Z) ActualEndTime
```
{
"Filters": [
{
"Attribute": "Title",
"Values": ["Windows 2012", "Amazon Linux"],
"Condition": "Contains"
},
{
"Attribute": "RfcStatusId",
"Values": ["Success", "InProgress"],
"Condition": "Equals"
},
{
"Attribute": "RequestedStartTime",
"Values": ["20170101T000000Z", "20170103T000000Z"],
"Condition": "Between"
},
{
"Attribute": "ActualEndTime",
"Values": ["20170103T000000Z"],
"Condition": "Before"
}
]
}
```
**Note**
Avec une version plus avancée`Filters`, AMS a l'intention de supprimer les champs suivants dans une prochaine version :
Valeur : le champ Valeur fait partie du champ Filtres. Utilisez le champ Valeurs qui prend en charge des fonctionnalités plus avancées.
RequestedEndTimeRange: utilisez le champ RequestedEndTime intégré aux filtres qui prend en charge des fonctionnalités plus avancées
RequestedStartTimeRange: utilisez le champ RequestedStartTime intégré aux filtres qui prend en charge des fonctionnalités plus avancées.
Pour plus d'informations sur l'utilisation des requêtes CLI, consultez [Comment filtrer la sortie avec l'option --query](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) et la référence du langage de requête, [JMESPath Spécification](http://jmespath.org/specification.html).
1. Si vous utilisez la console AMS :
Accédez à la page de **RFCs**liste. Si nécessaire, vous pouvez filtrer sur le **sujet** de la RFC, qui est celui que vous avez saisi comme RFC `Title` lorsque vous l'avez créée.
## Conseils
**Note**
Cette procédure s'applique uniquement aux personnes planifiées RFCs, c' RFCs est-à-dire qui n'ont pas utilisé l'option **ASAP**.
# Annuler RFCs
Vous pouvez annuler une RFC à l'aide de la console ou de l'API/CLI AMS.
**Pour annuler une RFC avec la console, recherchez la RFC dans votre liste de RFC, ouvrez-la, cliquez sur Annuler.**
Données requises :
+ `Reason`: Pourquoi annulez-vous le RFC ?
+ `RfcId`: Le RFC que vous êtes en train d'annuler.
1. En général, vous annulez une RFC juste après l'avoir soumise (l'identifiant de la RFC devrait donc être pratique) ; sinon, vous ne pourrez pas l'annuler à moins de l'avoir planifiée et que ce soit avant l'heure de début spécifiée. Si vous avez besoin de trouver l'ID RFC, vous pouvez utiliser cette commande (vous pouvez `Value` remplacer le par par `PendingApproval` un RFC approuvé manuellement) :
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Scheduled
```
1. Exemple de commande pour annuler une RFC :
```
aws amscm cancel-rfc --reason "Bad Stack ID" --rfc-id "RFC_ID" --profile saml --region us-east-1
```
# Utilisez la console AMS avec RFCs
La console AMS fournit des fonctionnalités qui vous aideront à réussir la création et la soumission RFCs.
## Utiliser la page Liste des RFC (console)
La page de **RFCs**liste de la console AMS propose les options suivantes :
+ Recherche RFC avancée via un **filtre**. Pour plus d'informations, consultez [Trouvez RFCs](ex-rfc-find-col.md).
+ Trouver la dernière fois que la RFC a été **modifiée**. Cette valeur représente la dernière fois que le statut de la RFC a été modifié.
+ **Affichage des détails de la RFC avec le sujet de la RFC.** Le choix de ce lien ouvre la page de détails de cette RFC.
+ Affichage de l'état de la RFC. Pour plus d’informations, consultez [Comprendre les codes d'état RFC](ex-rfc-status-codes.md)
![\[Page de liste RFC.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/guiRfcListTable.png)
## Utiliser la création rapide RFC (console)
Utilisez les cartes de création rapide RFC, ou le tableau de liste, ou choisissez les types de modification RFCs par classification.
Pour en savoir plus, veuillez consulter la section [Création d'une RFC](ex-rfc-create-col.md).
## Ajouter de la correspondance RFC et des pièces jointes (console)
Vous pouvez ajouter de la correspondance à une RFC une fois qu'elle a été soumise et avant qu'elle ne soit approuvée, par exemple lorsqu'elle est dans l'état « PendingApproval ». Une fois qu'une RFC est approuvée (dans l'état « Planifié » ou InProgress « »), la correspondance ne peut pas être ajoutée, car elle pourrait être interprétée comme une modification de la demande. Une fois qu'un RFC est terminé (dans un état « Annulé », « Rejeté », « Succès » ou « Échec »), la correspondance est à nouveau activée, bien que la correspondance soit désactivée une fois qu'un RFC est fermé pendant plus de 30 jours.
**Note**
Chaque correspondance est limitée à 5 000 caractères.
**Limitations relatives aux pièces jointes :**
+ Seulement trois pièces jointes par correspondance.
+ Limite de cinquante pièces jointes par RFC.
+ La taille de chaque pièce jointe doit être inférieure à 5 Mo.
+ Seuls les fichiers texte sont acceptés, tels que le texte en clair (`.txt`), les valeurs séparées par des virgules (`.csv`), le JSON (`.json`) ou le YAML (). `.yaml` Dans le cas du format YAML, le fichier doit être joint en utilisant l'extension `.yaml` de fichier.
**Note**
Les fichiers texte contenant du contenu XML sont interdits. Si vous avez du contenu XML à partager avec AMS, utilisez une demande de service.
+ Les noms de fichiers sont limités à 255 caractères, avec uniquement des chiffres, des lettres, des espaces, des tirets (-), des traits de soulignement (\$1) et des points (.).
+ La mise à jour et la suppression de pièces jointes sur une RFC ne sont actuellement pas prises en charge.
Pour ajouter de la correspondance et des pièces jointes à une RFC, procédez comme suit :
1. Dans la console AMS, sur la page de détails d'une RFC, recherchez la section **Correspondance** au bas de la page.
Avant toute correspondance :
![\[Section de correspondance vide.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/correspondence-rfc-detail-new.png)
Après quelques correspondances :
![\[Section de correspondance affichant le formulaire de réponse et la correspondance reçue.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/correspondence-reply-form2.png)
1. Pour ajouter une nouvelle correspondance, saisissez votre message dans la zone de texte **Répondre**. Pour joindre des fichiers liés à la correspondance, choisissez **Ajouter une pièce jointe**, puis sélectionnez les fichiers souhaités.
![\[Section de correspondance affichant la boîte de commentaires et les pièces jointes.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/correspondence-add-attachments.png)
1. Lorsque vous avez terminé, choisissez **Soumettre**.
La nouvelle correspondance, ainsi que les liens vers les fichiers joints, apparaissent dans la liste de correspondance sur la page de détails du RFC.
![\[Liste de la correspondance reçue.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/correspondence-list2.png)
# Configuration des notifications par e-mail RFC (console)
La page de création des **demandes de modification** de la console AMS vous permet d'ajouter des adresses e-mail afin de recevoir des notifications en cas de modification de l'état des RFC :
![\[Ajoutez des adresses e-mail pour recevoir des notifications en cas de modification de l'état de la RFC.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/emailNoticeOption2.png)
En outre, vous pouvez ajouter des adresses e-mail pour les notifications relatives à tout type de modification, par exemple :
```
aws amscm create-rfc --change-type-id
--change-type-version 1.0 --title "TITLE"
--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"
```
Ajoutez une ligne similaire (`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`) à toute demande de modification en ligne ou de modèle dans la partie des paramètres RFC de la demande, et non dans la partie des paramètres.
# En savoir plus sur les paramètres RFC courants
Les paramètres RFC que vous devez soumettre sont les suivants, ainsi que les paramètres couramment utilisés dans RFCs :
+ Informations sur le type de modification : ChangeTypeId et ChangeTypeVersion. Pour obtenir la liste des types de modifications IDs et des numéros de version, consultez la section [Référence des types de modifications](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html).
Exécutez `list-change-type-classification-summaries` dans la CLI avec l'`query`argument pour affiner les résultats. Par exemple, affinez les résultats pour modifier les types dont le `Item` nom contient « Access ».
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains (Item, 'access')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
Exécutez `get-change-type-version` et spécifiez l'ID du type de modification. La commande suivante permet d'obtenir la version CT pour ct-2tylseo8rxfsc.
```
aws amscm get-change-type-version --change-type-id ct-2tylseo8rxfsc
```
+ Titre : nom de la RFC ; celui-ci devient le **sujet** de la RFC dans la liste des RFC de la console AMS et vous pouvez effectuer une recherche à l'aide de la `GetRfc` commande et d'un filtre `Title`
+ Planification : si vous souhaitez une RFC planifiée, vous devez inclure les `RequestedEndTime` paramètres `RequestedStartTime` et, ou utiliser l'option de console **Planifier cette modification**. Pour une RFC **ASAP** (qui s'exécute dès qu'elle est approuvée), lorsque vous utilisez la CLI, laissez `RequestedStartTime` et `RequestedEndTime` null. Lorsque vous utilisez la console, acceptez l'option **ASAP**.
En cas `RequestedStartTime` d'oubli, la RFC est rejetée.
+ Provisionnement CTs : les paramètres d'exécution, ou `Parameters` les paramètres spécifiques requis pour provisionner la ressource. Ils varient considérablement en fonction du scanner.
+ Non-provisionnement CTs : ceux CTs qui ne fournissent pas de ressource, telle que access CTs ou Other \$1 Other, ou qui ne suppriment pas de pile, ont des paramètres d'exécution minimaux et aucun `Parameters` blocage.
+ Certains exigent RFCs également que vous spécifiiez un`TimeoutInMinutes`, ou combien de minutes sont autorisées pour la création de la pile avant l'échec de la RFC. Les valeurs valides sont comprises entre 60 (minutes) et 360, pour les longues durées. UserData Si l'exécution ne peut pas être terminée avant que le seuil ne `TimeoutInMinutes` soit dépassé, la RFC échoue. Toutefois, ce paramètre ne retarde pas l'exécution de la RFC.
+ RFCs qui créent des instances, telles qu'un compartiment S3 ou un ELB, fournissent généralement un schéma qui vous permet d'ajouter jusqu'à sept balises (paires clé/valeur). Vous pouvez ajouter d'autres balises à votre compartiment S3 en soumettant une RFC à l'aide de la rubrique Déploiement \$1 Composants de pile avancés \$1 Tag \$1 Créer un type de modification (ct-3cx7we852p3af). EC2, EFS, RDS et les schémas à plusieurs niveaux (HA à deux niveaux et HA à un niveau) autorisent jusqu'à cinquante balises. Les balises sont spécifiées dans la `ExecutionParameters` partie du schéma. Fournir des tags peut s'avérer très utile. Pour plus d'informations, consultez la section [Marquage de vos EC2 ressources Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
Lorsque vous utilisez la console AMS, vous devez ouvrir la zone **de configuration supplémentaire** afin d'ajouter des balises.
**Astuce**
De nombreux schémas CT comportent un `Name` champ `Description` et situé en haut du schéma. Ces champs sont utilisés pour nommer la pile ou le composant de la pile, ils ne nomment pas la ressource que vous créez. Certains schémas proposent un paramètre pour nommer la ressource que vous créez, d'autres non. Par exemple, le schéma CT pour Create EC2 stack ne propose pas de paramètre pour nommer l' EC2 instance. Pour ce faire, vous devez créer une balise avec la clé « Nom » et la valeur que vous souhaitez donner au nom. Si vous ne créez pas une telle balise, votre EC2 instance s'affiche dans la EC2 console sans attribut name.
## Utilisez l'option RFC AWS Region
L'API AMS et les points de terminaison CLI (`amscm`et`amsskms`) sont disponibles. `us-east-1` Si vous fédérez avec le langage SAML (Security Assertion Markup Language), des scripts vous sont fournis lors de l'intégration pour définir votre région AWS sur us-east-1. Si vous utilisez SAML, il n'est pas nécessaire de spécifier l'`--region`option lorsque vous émettez une commande. Si votre SAML est configuré pour utiliser us-east-1 mais que votre compte ne se trouve pas dans AWS cette région, vous devez spécifier la région associée au compte lorsque vous émettez d'autres commandes (par exemple,). AWS `aws s3`
**Note**
La plupart des exemples de commandes fournis dans ce guide n'incluent pas l'`--region`option.
# Inscrivez-vous pour recevoir le courrier électronique quotidien du RFC
Vous pouvez vous inscrire pour recevoir un e-mail quotidien résumant l'activité RFC sur votre compte au cours des dernières 24 heures à l'aide de la fonction RFC digest. La fonction RFC Digest est un processus rationalisé qui réduit le nombre de notifications par e-mail que vous recevez concernant votre compte. RFCs Le résumé de la RFC peut réduire le risque que vous manquiez des actions en attente de réponse.
Pour activer la fonction de résumé RFC, contactez votre responsable de prestation de services cloud (CSDM) d'AMS. La CSDM vous abonne. Vous pouvez demander jusqu'à 20 adresses e-mail (ou alias) à inclure dans votre liste d'e-mails RFC Digest. L'horaire actuel des e-mails est fixé à 09:00 UTC-8.
Pour désactiver la fonction de résumé RFC, contactez votre CSDM avec votre demande.
Si vous ne configurez pas de résumé RFC et souhaitez recevoir des notifications vous concernant RFCs, ou si vous souhaitez obtenir des informations plus détaillées sur vous RFCs que celles fournies par le résumé des RFC, utilisez le système de gestion des modifications pour configurer des notifications d' CloudWatch événements ou des notifications par e-mail pour chaque RFC sur lequel vous souhaitez obtenir des informations. Pour plus d'informations sur la configuration des notifications RFC, consultez la section Notifications de [changement d'état des RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html).
Les sujets contenus dans le résumé de la RFC sont les suivants :
+ En attente d'approbation du client : listes RFCs dont le **PendingApproval**statut est en attente de votre approbation
+ Réponse du client en attente : listes RFCs qui attendent votre réponse à la correspondance RFC
+ En attente d'approbation ou de réponse d'AWS : listes RFCs en attente d'une réponse ou d'une approbation de la part d'AMS
+ Terminé : listes RFCs en état de **réussite**, **d'échec**, d'**annulation** et de **rejet**
Voici un exemple de résumé RFC :
![\[Exemple de résumé RFC\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/RFCDigestExample.png)
# Quels sont les types de modifications ?
Le type de modification fait référence à l'action exécutée par une demande de modification (RFC) AWS Managed Services (AMS) et englobe l'action de modification elle-même, ainsi que le type de modification (manuel ou automatique). AMS possède une vaste collection de types de modifications qui ne sont pas utilisés par les autres services Web Amazon. Vous utilisez ces types de modification lorsque vous soumettez une demande de modification (RFC) pour déployer, gérer ou accéder à des ressources.
**Topics**
+ [Automatisé et manuel CTs](ug-automated-or-manual.md)
+ [Exigences d'approbation CT](constrained-unconstrained-ctis.md)
+ [Modifier les versions de type](ct-versions.md)
+ [Création de types de modifications](ct-creates.md)
+ [Mettre à jour les types de modifications](ct-updates.md)
+ [Types de modifications internes uniquement](ct-internals.md)
+ [Schémas de type de changement](ct-schemas.md)
+ [Gestion des autorisations pour les types de modifications](ct-permissions.md)
+ [Supprimer les informations sensibles des types de modifications](ct-redaction.md)
+ [Recherche d'un type de modification à l'aide de l'option de requête](ug-find-ct-ex-section.md)
# Automatisé et manuel CTs
Une contrainte sur les types de modification est de savoir s'ils sont automatisés ou manuels. Il s'agit de l'`AutomationStatusId`attribut de type de modification, appelé **mode d'exécution** dans la console AMS.
Les types de modifications automatisées ont des résultats et des délais d'exécution attendus et sont exécutés par le système automatisé AMS, généralement en une heure ou moins (cela dépend largement des ressources que le CT fournit). Les types de modifications manuelles sont rares, mais ils sont traités différemment car ils nécessitent qu'un opérateur AMS agisse sur le RFC avant de pouvoir l'exécuter. Cela implique parfois de communiquer avec l'émetteur de la RFC, de sorte que les types de modifications manuelles nécessitent des durées variables.
Pour toutes les modifications planifiées RFCs, une heure de fin non spécifiée est écrite comme étant l'heure de la date spécifiée `RequestedStartTime` plus l'`ExpectedExecutionDurationInMinutes`attribut du type de modification soumis. Par exemple, si la valeur `ExpectedExecutionDurationInMinutes` est « 60 » (minutes) et que la valeur spécifiée `RequestedStartTime` est `2016-12-05T14:20:00Z` (5 décembre 2016 à 4 h 20), l'heure de fin réelle sera fixée au 5 décembre 2016 à 5 h 20. Pour trouver le `ExpectedExecutionDurationInMinutes` type de modification correspondant à un type de modification spécifique, exécutez cette commande :
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
**Note**
RFCs Planifié avec **mode d'exécution** = Manuel, dans la console, doit être configuré pour fonctionner au moins 24 heures dans le futur.
**Note**
Lorsque vous utilisez le mode manuel CTs, AMS vous recommande d'utiliser l'option ASAP **Scheduling** (choisissez **ASAP** dans la console, laissez les heures de début et de fin vides dans l'API/CLI) car elles CTs nécessitent qu'un opérateur AMS examine la RFC et communique éventuellement avec vous avant qu'elle ne puisse être approuvée et exécutée. Si vous les planifiez RFCs, veillez à prévoir au moins 24 heures. Si l'approbation n'intervient pas avant l'heure de début prévue, le RFC est automatiquement rejeté.
AMS a pour objectif de répondre à un scanner manuel dans les quatre heures et vous répondra dès que possible, mais l'exécution du RFC peut prendre beaucoup plus de temps.
Pour une liste de ceux CTs qui sont manuels et qui nécessitent une révision par AMS, consultez le fichier CSV Change Type, disponible sur la page **Ressources pour développeurs de** la console.
**YouTube Vidéo** : [Comment puis-je trouver les types de modifications automatisés pour AMS RFCs ?](https://www.youtube.com/watch?v=sOzDuCCOduI&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=2&t=1s)
Pour trouver le **mode d'exécution** d'un CT dans la console AMS, vous devez utiliser l'option de recherche **Parcourir les types de modification**. Les résultats indiquent le mode d'exécution du ou des types de modification correspondants.
Pour rechercher le `AutomationStatus` type de modification correspondant à un type de modification spécifique à l'aide de la CLI AMS, exécutez cette commande :
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
Vous pouvez également rechercher les types de modifications dans le manuel [AMS Change Type Reference](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html), qui fournit des informations sur tous les types de modifications AMS.
**Note**
API/CLI Les AMS ne font pas actuellement partie d'AWSAPI/CLI. To access the AMS API/CLI. Vous pouvez télécharger le SDK AMS via la console AMS.
# Exigences d'approbation CT
AMS CTs a toujours deux conditions d'approbation, **AwsApprovalId**CustomerApprovalId****qui indiquent si la RFC exige qu'AMS, vous ou quelqu'un d'autre approuve l'exécution.
La condition d'approbation est quelque peu liée au mode d'exécution ; pour plus de détails, voir[Automatisé et manuel CTs](ug-automated-or-manual.md).
Pour connaître les conditions d'approbation d'un CT, vous pouvez consulter le manuel [AMS Change Type Reference](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) ou exécuter [GetChangeTypeVersion](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_GetChangeTypeVersion.html). Les deux vous donneront également le **mode CT `AutomationStatusId` ou Exécution**.
Vous pouvez approuver à RFCs l'aide de la console AMS ou à l'aide de la commande suivante :
```
aws amscm approve-rfc --rfc-id RFC_ID
```
**Condition d'approbation CT**
| Si la condition d'approbation du CT est | Il nécessite l'approbation de | And |
| --- | --- | --- |
| `AwsApprovalId: Required` | Le système de changement de type AMS, | Aucune action n’est requise. Cette condition est typique de l'automatisation CTs. |
| `AwsApprovalId: NotRequiredIfSubmitter` | Le système de changement de type AMS et personne d'autre, si la RFC soumise concerne le compte pour lequel elle a été soumise, | Aucune action n’est requise. Cette condition est typique des manuels CTs car ils seront toujours revus par les opérateurs AMS. |
| `CustomerApprovalId: NotRequired` | Le système de changement de type AMS, | Si la RFC passe les vérifications de syntaxe et de paramètres, elle est approuvée automatiquement. |
| `CustomerApprovalId: Required` | Le système AMS change de type et vous, | Une notification vous est envoyée et vous devez approuver explicitement la RFC, soit en répondant à la notification, soit en exécutant l'[ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html)opération. |
| `CustomerApprovalId: NotRequiredIfSubmitter` | L'AMS change de type de système et personne d'autre, si vous avez soumis la RFC. | Si la RFC passe les vérifications de syntaxe et de paramètres, elle est approuvée automatiquement. |
| Incident de sécurité urgent ou correctif | AMS | Est approuvé et mis en œuvre automatiquement. |
# Modifier les versions de type
Les types de modifications sont versionnés et la version change lorsqu'une mise à jour majeure est apportée au type de modification.
Après avoir sélectionné un type de modification à l'aide de la console AMS, vous avez la possibilité d'ouvrir la zone de **configuration supplémentaire** et de sélectionner une version du type de modification. Vous pouvez également spécifier une version du type de modification sur la ligne de API/CLI commande. Vous souhaiterez peut-être le faire pour diverses raisons, notamment :
+ **Vous savez que la version du type de modification de **mise à jour** que vous souhaitez doit correspondre à la version du type de modification que vous avez utilisée pour créer la ressource que vous souhaitez maintenant mettre à jour.** Par exemple, vous pouvez avoir une instance Elastic Load Balancer (ELB) que vous avez créée avec le type de modification ELB Create version 1. Pour le mettre à jour, choisissez ELB Update version 1.
+ Vous souhaitez utiliser une version de type de modification comportant des options différentes de celles du type de modification le plus récent. Nous ne le recommandons pas car les mises à jour AMS changent de type principalement pour des raisons de sécurité et nous vous recommandons de toujours choisir la version la plus récente.
# Création de types de modifications
Les types de création de modification sont mis en correspondance version-to-version avec les types de modification de mise à jour. En d'autres termes, la version du type de modification que vous utilisez pour provisionner une ressource doit correspondre à la version du type de modification Mettre à jour que vous utiliserez ultérieurement pour modifier cette ressource. Par exemple, si vous créez un compartiment S3 avec le type de modification Create S3 Bucket version 2.0, et que vous souhaitez ultérieurement soumettre une RFC pour modifier ce compartiment S3, vous devez également utiliser le type de changement de compartiment Update S3 version 2.0, même s'il existe un type de changement de compartiment Update S3 avec la version 3.0.
Nous vous recommandons de conserver une trace de l'ID et de la version du type de modification que vous utilisez lorsque vous approvisionnez une ressource avec le type Créer une modification au cas où vous souhaiteriez ultérieurement utiliser un type de modification Mettre à jour pour la modifier.
# Mettre à jour les types de modifications
AMS fournit des types de modification de mise à jour pour mettre à jour les ressources créées avec Create change types. Les types de modification de mise à jour doivent correspondre version-to-version au type de création de modification utilisé à l'origine pour provisionner la ressource.
Nous vous recommandons de conserver une trace de l'ID et de la version du type de modification que vous utilisez lors du provisionnement d'une ressource afin de faciliter sa mise à jour.
**YouTube Vidéo** : [Comment utiliser la mise à jour CTs pour modifier les ressources d'un compte AWS Managed Services (AMS) ?](https://www.youtube.com/watch?v=dqb31yaAXhc&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=8&t=30s)
# Types de modifications internes uniquement
Vous pouvez voir les types de modifications destinés à un usage interne uniquement. Cela vous permet de savoir quelles actions AMS peut ou doit entreprendre. S'il existe un type de modification interne que vous souhaiteriez mettre à votre disposition, soumettez une demande de service.
Par exemple, il existe un CT de gestion \$1 Surveillance et notification \$1 Suppression des CloudWatch alarmes \$1 Mise à jour CT qui est uniquement interne. AMS l'utilise pour déployer des mises à jour de l'infrastructure (telles que des correctifs) afin de désactiver les notifications d'alarme susceptibles de déclencher par erreur les mises à jour. Lorsque ce CT est soumis, vous remarquerez le RFC correspondant au CT dans votre liste de RFC. Tout CT interne déployé dans un RFC apparaît dans votre liste RFC.
# Schémas de type de changement
Tous les types de modifications fournissent un schéma JSON pour votre contribution à la création, à la modification ou à l'accès aux ressources. Le schéma fournit les paramètres, ainsi que leurs descriptions, pour que vous puissiez créer une demande de modification (RFC).
L'exécution réussie d'une RFC entraîne une sortie d'exécution. Pour le provisionnement RFCs, le résultat de l'exécution inclut un « stack\$1id » qui représente le stack in CloudFormation et qui peut être recherché dans la console. CloudFormation La sortie d'exécution inclut parfois la sortie de l'ID de l'instance créée et cet ID peut être utilisé pour rechercher l'instance dans la console AWS correspondante. Par exemple, le résultat d'exécution de Create ELB CT inclut un « stack\$1id » dans lequel il est possible de faire des recherches CloudFormation et génère une valeur KEY=ELB value= consultable dans la console Amazon pour Elastic Load Balancing. EC2
Examinons un schéma de tomodensitométrie. Il s'agit du schéma d' CodeDeploy Application Create, un schéma assez petit. Certains schémas comportent de très grandes `Parameter` surfaces.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/ct-schemas.html)
**Note**
Ce schéma autorise jusqu'à sept balises ; toutefois EC2, les schémas EFS, RDS et de création à plusieurs niveaux autorisent jusqu'à 50 balises.
# Gestion des autorisations pour les types de modifications
Vous pouvez utiliser une politique personnalisée pour limiter les types de modifications (CTs) disponibles pour les différents groupes ou utilisateurs.
Pour en savoir plus sur cette procédure, consultez la section [Configuration des autorisations](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-permissions.html) du guide de l'utilisateur AMS.
# Supprimer les informations sensibles des types de modifications
Les schémas de type de modification AMS proposent un attribut de paramètre, `"metadata":"ams:sensitive":"true"` qui est utilisé pour les paramètres susceptibles de contenir des informations sensibles, telles qu'un mot de passe. Lorsque cet attribut est défini, l'entrée fournie est masquée. Notez que vous ne pouvez pas définir cet attribut de paramètre. Toutefois, si vous travaillez avec AMS pour créer un type de modification et que vous souhaitez masquer un paramètre en entrée, vous pouvez le demander.
# Recherche d'un type de modification à l'aide de l'option de requête
Cet exemple montre comment utiliser la console AMS pour trouver le type de modification approprié pour la RFC que vous souhaitez soumettre.
Vous pouvez utiliser la console ou le API/CLI pour rechercher un ID de type de modification (CT) ou une version. Il existe deux méthodes, soit la recherche, soit le choix de la classification. Pour les deux types de sélection, vous pouvez trier la recherche en choisissant le **plus fréquemment utilisé**, **le plus récemment utilisé** ou **Alphabétique**.
**YouTube Vidéo** : [Comment créer une RFC à l'aide de l'AWS Managed Services CLI et où puis-je trouver le schéma CT](https://www.youtube.com/watch?v=IluDFwnJJFU&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=3&t=150s) ?
Dans la console AMS, sur la page **RFCs**-> **Créer une RFC** :
+ Lorsque l'option **Parcourir par type de modification** est sélectionnée (valeur par défaut), vous pouvez soit :
+ Utilisez la zone de **création rapide** pour sélectionner l'une des solutions les plus populaires d'AMS CTs. Cliquez sur une étiquette et la page **Run RFC** s'ouvre avec l'option **Objet** remplie automatiquement pour vous. Complétez les options restantes selon vos besoins et cliquez sur **Exécuter** pour soumettre la RFC.
+ Vous pouvez également faire défiler l'écran jusqu'à la zone **Tous les types de modification** et commencer à taper un nom CT dans la case d'option. Vous n'avez pas besoin du nom exact ou complet du type de modification. Vous pouvez également rechercher un CT par identifiant de type de modification, classification ou mode d'exécution (automatique ou manuel) en saisissant les mots pertinents.
Lorsque la vue **Cartes** par défaut est sélectionnée, les cartes CT correspondantes apparaissent au fur et à mesure que vous tapez, sélectionnez une carte et cliquez sur **Créer une RFC**. Une fois la vue **sous forme de tableau** sélectionnée, choisissez le CT approprié et cliquez sur **Créer une RFC**. Les deux méthodes ouvrent la page **Run RFC**.
+ Sinon, pour explorer les choix de type de modification, cliquez sur **Choisir par catégorie** en haut de la page pour ouvrir une série de boîtes d'options déroulantes.
+ Choisissez une **catégorie**, une **sous-catégorie**, un **article** et une **opération**. La zone d'information correspondant à ce type de modification apparaît et un panneau apparaît en bas de page.
+ Lorsque vous êtes prêt, appuyez sur **Entrée** pour afficher la liste des types de modifications correspondants.
+ Choisissez un type de modification dans la liste. La zone d'information correspondant à ce type de modification apparaît au bas de la page.
+ Une fois que vous avez sélectionné le type de modification correct, choisissez **Create RFC**.
**Note**
L'AMS CLI doit être installée pour que ces commandes fonctionnent. Pour installer l'API ou la CLI AMS, rendez-vous sur la page **Ressources pour développeurs** de la console AMS. Pour des informations de référence sur l'API AMS CM ou l'API AMS SKMS, consultez la section Ressources d'information AMS du guide de l'utilisateur. Vous devrez peut-être ajouter une `--profile` option d'authentification ; par exemple,`aws amsskms ams-cli-command --profile SAML`. Vous devrez peut-être également ajouter `--region` cette option car toutes les commandes AMS sont exécutées à partir de us-east-1, par exemple. `aws amscm ams-cli-command --region=us-east-1`
**Note**
Les points de terminaison AMS API/CLI (amscm et amsskms) se trouvent dans la région AWS de Virginie du Nord,. `us-east-1` En fonction de la configuration de votre authentification et de la région AWS dans laquelle se trouvent votre compte et vos ressources, vous devrez peut-être en ajouter `--region us-east-1` lors de l'émission de commandes. Vous devrez peut-être également ajouter`--profile saml`, s'il s'agit de votre méthode d'authentification.
Pour rechercher un type de modification à l'aide de l'API AMS CM (voir [ListChangeTypeClassificationSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html)) ou de la CLI :
Vous pouvez utiliser un filtre ou une requête pour effectuer une recherche. L' ListChangeTypeClassificationSummaries opération comporte des options de [filtres](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html#amscm-ListChangeTypeClassificationSummaries-request-Filters) pour `Category` `Subcategory``Item`,, et`Operation`, mais les valeurs doivent correspondre exactement aux valeurs existantes. Pour des résultats plus flexibles lors de l'utilisation de la CLI, vous pouvez utiliser l'`--query`option.
**Changer le type de filtrage avec l'API/CLI AMS CM**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/ug-find-ct-ex-section.html)
1. Voici quelques exemples de classification des types de modification de liste :
La commande suivante répertorie toutes les catégories de types de modifications.
```
aws amscm list-change-type-categories
```
La commande suivante répertorie les sous-catégories appartenant à une catégorie spécifiée.
```
aws amscm list-change-type-subcategories --category CATEGORY
```
La commande suivante répertorie les éléments appartenant à une catégorie et à une sous-catégorie spécifiées.
```
aws amscm list-change-type-items --category CATEGORY --subcategory SUBCATEGORY
```
1. Voici quelques exemples de recherche de types de modifications à l'aide de requêtes CLI :
La commande suivante recherche dans les résumés de classification CT ceux qui contiennent « S3 » dans le nom de l'élément et crée une sortie de la catégorie, de la sous-catégorie, de l'élément, de l'opération et de l'ID de type de modification sous forme de tableau.
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains(Item, 'S3')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
```
+---------------------------------------------------------------+
| ListChangeTypeClassificationSummaries |
+----------+-------------------------+--+------+----------------+
|Deployment|Advanced Stack Components|S3|Create|ct-1a68ck03fn98r|
+----------+-------------------------+--+------+----------------+
```
1. Vous pouvez ensuite utiliser l'ID du type de modification pour obtenir le schéma CT et examiner les paramètres. La commande suivante génère le schéma dans un fichier JSON nommé Creates3Params.Schema.json.
```
aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateS3Params.schema.json
```
Pour plus d'informations sur l'utilisation des requêtes CLI, consultez [Comment filtrer la sortie avec l'option --query](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) et la référence du langage de requête, [JMESPath Spécification](http://jmespath.org/specification.html).
1. Une fois que vous avez obtenu l'identifiant du type de modification, nous vous recommandons de vérifier la version du type de modification afin de vous assurer qu'il s'agit de la dernière version. Utilisez cette commande pour trouver la version correspondant à un type de modification spécifié :
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CHANGE_TYPE_ID
```
Pour trouver le `AutomationStatus` type de modification correspondant à un type de modification spécifique, exécutez cette commande :
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
Pour trouver le `ExpectedExecutionDurationInMinutes` type de modification correspondant à un type de modification spécifique, exécutez cette commande :
```
aws amscm --profile saml get-change-type-version --change-type-id ct-14027q0sjyt1h --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
# Résolution des erreurs RFC dans AMS
De nombreuses défaillances RFC de provisionnement AMS peuvent être étudiées dans la CloudFormation documentation. Voir [Résolution des problèmes liés à AWS CloudFormation : résolution des erreurs](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors)
Des suggestions de résolution des problèmes supplémentaires sont fournies dans les sections suivantes.
## Erreurs RFC de « gestion » dans AMS
Les types de changement de catégorie AMS « Management » (CTs) vous permettent de demander l'accès aux ressources ainsi que de gérer les ressources existantes. Cette section décrit certains problèmes courants.
### Erreurs d'accès RFC
+ Assurez-vous que le nom d'utilisateur et le FQDN que vous avez spécifiés dans la RFC sont corrects et existent dans le domaine. Pour obtenir de l'aide pour trouver votre nom de domaine complet, consultez la section [Trouver votre nom](https://docs.aws.amazon.com/managedservices/latest/userguide/find-FQDN.html) de domaine complet.
+ Assurez-vous que l'ID de pile que vous avez spécifié pour l'accès est une pile liée à EC2. Les piles telles que ELB et Amazon Simple Storage Service (S3) ne sont pas candidates à l'accès. Utilisez plutôt votre rôle d'accès RFCs en lecture seule pour accéder aux ressources de ces piles. Pour obtenir de l'aide pour trouver un identifiant de pile, voir [Trouver une pile IDs](https://docs.aws.amazon.com/managedservices/latest/userguide/find-stack.html)
+ Assurez-vous que l'identifiant de pile que vous avez fourni est correct et qu'il appartient au compte concerné.
Pour obtenir de l'aide concernant d'autres défaillances RFC d'accès, consultez la section [Gestion des accès](https://docs.aws.amazon.com/managedservices/latest/userguide/access-mgmt.html).
**YouTube Vidéo** : [Comment lancer correctement une demande de modification (RFC) pour éviter les rejets et](https://www.youtube.com/watch?v=IFOn4Q-5Cas&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=5&t=242s) les échecs ?
### Erreurs de planification RFC (manuelle) CT
La plupart des types de modifications sont ExecutionMode = automatisés, mais certains sont ExecutionMode = manuels, ce qui affecte la façon dont vous devez les planifier pour éviter une défaillance de la RFC.
RFCs Planifié avec ExecutionMode =Manual, il doit être configuré pour s'exécuter au moins 24 heures dans le futur si vous utilisez la console AMS pour créer le RFC.
AMS a pour objectif de répondre à un scanner manuel dans les huit heures et répondra dès que possible, mais l'exécution de la RFC peut prendre beaucoup plus de temps.
### Utilisation RFCs avec mise à jour manuelle CTs
AMS Operations rejette Management \$1 Other \$1 Other RFCs pour les mises à jour des piles, lorsqu'il existe un type de modification de mise à jour pour le type de pile que vous souhaitez mettre à jour.
### Erreurs de suppression de pile RFC
Défaillances de la pile de suppression RFC : si vous utilisez le CT Management \$1 Standard Stacks \$1 Stack \$1 Delete, vous verrez les événements détaillés dans la CloudFormation console pour la pile portant le nom de la pile AMS. Vous pouvez identifier votre pile en la comparant au nom qu'elle porte dans la console AMS. La CloudFormation console fournit plus de détails sur les causes des défaillances.
Avant de supprimer une pile, vous devez réfléchir à la manière dont elle a été créée. Si vous avez créé la pile à l'aide d'un AMS CT et que vous n'avez ni ajouté ni modifié les ressources de la pile, vous pouvez vous attendre à la supprimer sans problème. Cependant, il est conseillé de supprimer toutes les ressources ajoutées manuellement d'une pile avant de soumettre une RFC de suppression de pile à son encontre. Par exemple, si vous créez une pile à l'aide de la pile complète CT (HA Two Tier), elle inclut un groupe de sécurité - SG1. Si vous utilisez ensuite AMS pour créer un autre groupe de sécurité - SG2, et que vous référencez le nouveau groupe SG1 créé SG2 dans le cadre de la pile complète, puis que vous utilisez la pile de suppression CT pour supprimer la pile, il ne SG1 sera pas supprimé car il est référencé par SG2.
**Important**
La suppression de piles peut avoir des conséquences indésirables et imprévues. Pour cette raison, AMS préfère \$1pas\$1 supprimer des piles ou empiler des ressources pour le compte de ses clients. Notez qu'AMS supprimera uniquement les ressources en votre nom (par le biais d'un type de modification soumis par Gestion \$1 Autre \$1 Autre \$1 Mettre à jour) qu'il n'est pas possible de supprimer en utilisant le type de modification automatique approprié à supprimer. Considérations supplémentaires :
Si les ressources sont activées pour la « protection contre la suppression », AMS peut vous aider à débloquer ce type de modification en soumettant une modification de type Gestion \$1 Autre \$1 Autre \$1 Mise à jour et, une fois la protection contre la suppression de la protection contre la suppression, vous pouvez utiliser le CT automatique pour supprimer cette ressource.
Si une pile contient plusieurs ressources et que vous souhaitez supprimer uniquement un sous-ensemble des ressources de la pile, utilisez le type de modification CloudFormation Update (voir [CloudFormation Ingest Stack : Updating).](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html) Vous pouvez également soumettre un type de modification Gestion \$1 Autre \$1 Autre \$1 Mettre à jour et les ingénieurs d'AMS peuvent vous aider à élaborer l'ensemble de modifications, si nécessaire.
Si vous rencontrez des problèmes lors de l'utilisation de l' CloudFormation Update CT en raison de dérives, AMS peut vous aider en soumettant une mise à jour Management \$1 Other \$1 Other \$1 pour résoudre le problème (dans la mesure où cela est pris en charge par le CloudFormation service AWS) et en fournissant une ChangeSet que vous pouvez ensuite valider et exécuter à l'aide du CT, du Management/Custom Stack/Stack From CloudFormation Template/Approve changeset et de la mise à jour automatisés.
AMS applique les restrictions ci-dessus afin de garantir l'absence de suppressions de ressources inattendues ou imprévues.
Pour plus d'informations, consultez [Résolution des problèmes liés à AWS CloudFormation : la suppression de la pile échoue](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails).
### Erreurs DNS de mise à jour RFC
Plusieurs RFCs pour mettre à jour une zone hébergée DNS peuvent échouer, parfois sans raison. La création simultanée de plusieurs RFCs zones hébergées pour mettre à jour les zones hébergées du DNS (privées ou publiques) peut entraîner l'échec de certaines RFCs d'entre elles car elles tentent de mettre à jour la même pile en même temps. La gestion des modifications AMS rejette ou échoue ceux RFCs qui ne sont pas en mesure de mettre à jour une pile parce que la pile est déjà mise à jour par une autre RFC. AMS vous recommande de créer une RFC à la fois et d'attendre qu'elle aboutisse avant d'en créer une nouvelle pour la même pile.
### Erreurs d'entités RFC IAM
AMS fournit un certain nombre de rôles et de profils IAM par défaut dans des comptes AMS conçus pour répondre à vos besoins. Cependant, il se peut que vous deviez demander des ressources IAM supplémentaires de temps en temps.
Le processus de soumission des RFCs demandes de ressources IAM personnalisées suit le flux de travail standard pour le manuel RFCs, mais le processus d'approbation inclut également un examen de sécurité pour garantir que les contrôles de sécurité appropriés sont en place. Par conséquent, le processus prend généralement plus de temps que les autres manuels RFCs. Pour réduire le temps de cycle de ces RFCs appareils, veuillez suivre les instructions suivantes.
Pour plus d'informations sur ce que nous entendons par révision IAM et sur la manière dont elle correspond à nos normes techniques et à notre processus d'acceptation des risques, consultez[Comprendre les évaluations de sécurité RFC](rfc-security.md).
Demandes de ressources IAM courantes :
+ Si vous demandez une politique concernant une application majeure compatible avec le cloud, par exemple CloudEndure, consultez le fichier d'exemple de CloudEndure politique IAM préapprouvée par AMS : décompressez le fichier d'[exemple de zone d'atterrissage WIGs Cloud Endure](samples/wigs-ce-lz-examples.zip) et ouvrez le `customer_cloud_endure_policy.json`
**Note**
Si vous souhaitez une politique plus permissive, discutez de vos besoins avec vous CloudArchitect/CSDM et obtenez, si nécessaire, un examen de sécurité AMS et une approbation avant de soumettre une RFC mettant en œuvre la politique.
+ Si vous souhaitez modifier une ressource déployée par AMS dans votre compte par défaut, nous vous recommandons de demander une copie modifiée de cette ressource plutôt que de modifier la ressource existante.
+ Si vous demandez des autorisations pour un utilisateur humain (au lieu de les associer à l'utilisateur), associez les autorisations à un rôle, puis accordez à l'utilisateur l'autorisation d'assumer ce rôle. Pour plus de détails sur cette procédure, consultez la section [Accès temporaire à la console AMS Advanced](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html).
+ Si vous avez besoin d'autorisations exceptionnelles pour une migration ou un flux de travail temporaire, indiquez une date de fin pour ces autorisations dans votre demande.
+ Si vous avez déjà discuté de l'objet de votre demande avec votre équipe de sécurité, fournissez la preuve de son approbation à votre CSDM avec le plus de détails possible.
Si AMS rejette une RFC IAM, nous fournissons une raison claire pour le rejet. Par exemple, nous pouvons rejeter une demande de création de politique IAM et expliquer en quoi cette politique est inappropriée. Dans ce cas, vous pouvez apporter les modifications identifiées et soumettre à nouveau la demande. Si des précisions supplémentaires sur le statut d'une demande sont nécessaires, soumettez une demande de service ou contactez votre CSDM.
La liste suivante décrit les risques typiques qu'AMS essaie d'atténuer lors de l'examen de votre IAM RFCs. Si votre RFC IAM présente l'un de ces risques, cela peut entraîner le rejet du RFC. Dans les cas où vous avez besoin d'une exception, AMS demande l'approbation de votre équipe de sécurité. Pour obtenir une telle exception, coordonnez-vous avec votre CSDM.
**Note**
AMS peut, pour quelque raison que ce soit, refuser toute modification des ressources IAM au sein d'un compte. Pour toute question concernant le rejet d'une RFC, contactez AMS Operations via une demande de service ou contactez votre CSDM.
+ Augmentation des privilèges, telle que les autorisations qui vous permettent de modifier vos propres autorisations ou de modifier les autorisations d'autres ressources du compte. Exemples :
+ L'utilisation `iam:PassRole` avec un autre rôle plus privilégié.
+ Autorisation d'accéder aux politiques attach/detach IAM à partir d'un rôle ou d'un utilisateur.
+ Modification des politiques IAM dans le compte.
+ Possibilité d'effectuer des appels d'API dans le contexte de l'infrastructure de gestion.
+ Autorisations permettant de modifier les ressources ou les applications requises pour vous fournir les services AMS. Exemples :
+ Modification de l'infrastructure AMS telle que les bastions, l'hôte de gestion ou l'infrastructure EPS.
+ Suppression des fonctions de gestion des journaux AWS Lambda, ou des flux de journaux.
+ Suppression ou modification de l'application de CloudTrail surveillance par défaut.
+ Modification de l'Active Directory (AD) des services d'annuaire.
+ Désactivation des CloudWatch alarmes (CW).
+ Modification des principes, des politiques et des espaces de noms déployés dans le compte dans le cadre de la zone de landing zone.
+ Déploiement d'une infrastructure en dehors des meilleures pratiques, telles que les autorisations qui permettent la création d'une infrastructure dans un état mettant en danger la sécurité de vos informations. Exemples :
+ Création de compartiments S3 publics ou non chiffrés ou partage public de volumes EBS.
+ Le provisionnement d'adresses IP publiques.
+ Modification des groupes de sécurité pour permettre un accès étendu.
+ Des autorisations trop larges susceptibles d'avoir un impact sur les applications, telles que des autorisations susceptibles d'entraîner une perte de données, une perte d'intégrité, une configuration inappropriée ou des interruptions de service pour votre infrastructure et les applications du compte. Exemples :
+ Désactiver ou rediriger le trafic réseau via APIs like `ModifyNetworkInterfaceAttribute` ou. `UpdateRouteTable`
+ Désactivation de l'infrastructure gérée en détachant les volumes des hôtes gérés.
+ Les autorisations pour les services ne font pas partie de la description du service AMS et ne sont pas prises en charge par AMS.
Les services non répertoriés dans la description du service AMS ne peuvent pas être utilisés dans les comptes AMS. Pour demander de l'aide pour une fonctionnalité ou un service, veuillez contacter votre CSDM.
+ Autorisations qui ne répondent pas à l'objectif que vous vous êtes fixé, soit parce qu'elles sont trop généreuses, soit trop conservatrices, soit parce qu'elles ne sont pas appliquées aux bonnes ressources. Exemples :
+ Demande d'`s3:PutObject`autorisation d'accès à un compartiment S3 doté d'un chiffrement KMS obligatoire, sans `KMS:Encrypt` autorisation d'accès à la clé correspondante.
+ Autorisations relatives à des ressources qui n'existent pas dans le compte.
+ IAM RFCs où la description de la RFC ne semble pas correspondre à la demande.
## Erreurs RFC « Déploiement »
Les types de changement de catégorie AMS « Déploiement » (CTs) vous permettent de demander que diverses ressources prises en charge par AMS soient ajoutées à votre compte.
La plupart des AMS CTs qui créent une ressource sont basés sur CloudFormation des modèles. En tant que client, vous avez un accès en lecture seule à tous les services AWS. Vous pouvez notamment CloudFormation identifier rapidement la CloudFormation pile qui représente votre pile en fonction de la description de la pile à l'aide de la CloudFormation console. La pile défaillante sera probablement dans l'état DELETE\$1COMPLETE. Une fois que vous avez identifié la CloudFormation pile, les événements vous indiqueront la ressource spécifique qui n'a pas pu être créée et pourquoi.
### Utilisation de CloudFormation la documentation pour résoudre les problèmes
La plupart des approvisionnements AMS RFCs utilisent un CloudFormation modèle et cette documentation peut être utile pour le dépannage. Consultez la documentation de ce CloudFormation modèle :
+ Créer une défaillance de l'équilibreur de charge d'application : [ AWS::ElasticLoadBalancingV2::LoadBalancer (Application Load](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html) Balancer)
+ Créer un groupe Auto Scaling : [ AWS::AutoScaling::AutoScalingGroup (Auto Scaling Group)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-group.html)
+ Créer un cache memcached : [ AWS::ElastiCache::CacheCluster (cluster de cache)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ Créer un cache Redis : [ AWS::ElastiCache::CacheCluster (cluster de cache)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ Créer une zone hébergée DNS (utilisée avec Create DNS privé/public) : [ AWS::Route53::HostedZone (Zone hébergée R53](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html))
+ Créer un ensemble d'enregistrements DNS (utilisé avec Create DNS privé/public) : [ AWS::Route53::RecordSet (Resource Record](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-route53-recordset.html) Sets)
+ Création d'une pile EC2 : [ AWS::EC2::Instance (Elastic Compute Cloud](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html))
+ Créer un système de fichiers Elastic (EFS) : [ AWS::EFS::FileSystem (Elastic File System)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-efs-filesystem.html)
+ Créer un équilibreur de charge : [ AWS::ElasticLoadBalancing::LoadBalancer (Elastic Load Balancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html))
+ Créer une base de données RDS : [ AWS::RDS::DBInstance (base de données relationnelle)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-rds-database-instance.html)
+ Créez Amazon S3 : [ AWS::S3::Bucket (service de stockage simple)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket.html)
+ Créer une file d'attente : [ AWS::SQS::Queue (service de file d'attente simple)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sqs-queues.html)
### RFC créant des erreurs AMIs
Une Amazon Machine Image (AMI) est un modèle qui contient une configuration logicielle (par exemple, un système d’exploitation, un serveur d’applications et des applications). À partir d’une AMI, vous lancez une instance qui est une copie de l’AMI s’exécutant en tant que serveur virtuel dans le cloud. Les AMI sont très utiles et nécessaires pour créer des instances EC2 ou des groupes Auto Scaling ; vous devez toutefois respecter certaines exigences :
+ L'instance que vous spécifiez `Ec2InstanceId` doit être dans un état arrêté pour que la RFC réussisse. N'utilisez pas d'instances du groupe Auto Scaling (ASG) pour ce paramètre car l'ASG mettra fin à une instance arrêtée.
+ Pour créer une Amazon Machine Image (AMI) AMS, vous devez commencer par une instance AMS. Avant de pouvoir utiliser l'instance pour créer l'AMI, vous devez la préparer en vous assurant qu'elle est arrêtée et dissociée de son domaine. Pour plus de détails, consultez [Créer une image de machine Amazon standard à l'aide de Sysprep](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html#23ami-create-standard)
+ Le nom que vous spécifiez pour la nouvelle AMI doit être unique dans le compte, sinon la RFC échoue. La procédure à suivre est décrite dans [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html), et pour plus de détails, consultez [AWS AMI Design](https://aws.amazon.com/answers/configuration-management/aws-ami-design/).
**Note**
Pour plus d'informations sur la préparation à la création d'AMI, voir [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html).
### RFCs création EC2s d' ASGs erreurs
En cas de défaillance d'EC2 ou d'ASG avec délais d'expiration, AMS vous recommande de vérifier si l'AMI utilisée est personnalisée. Si tel est le cas, reportez-vous aux étapes de création d'AMI incluses dans ce guide (voir [AMI \$1 Créer](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)) pour vous assurer que l'AMI a été créée correctement. Une erreur courante lors de la création d'une AMI personnalisée est de ne pas suivre les étapes du guide pour renommer ou invoquer Sysprep.
### RFCs création d'erreurs RDS
Les défaillances d'Amazon Relational Database Service (RDS) peuvent survenir pour de nombreuses raisons, car vous pouvez utiliser de nombreux moteurs différents lorsque vous créez le RDS, et chaque moteur a ses propres exigences et limites. [Avant de tenter de créer une pile AMS RDS, examinez attentivement les valeurs des paramètres AWS RDS, voir Créer. DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)
Pour en savoir plus sur Amazon RDS en général, y compris les recommandations relatives à la taille, consultez la documentation [Amazon Relational Database Service](https://aws.amazon.com/documentation/rds/).
### RFCs création d'erreurs Amazon S3
L'une des erreurs les plus courantes lors de la création d'un compartiment de stockage S3 est le fait de ne pas utiliser un nom unique pour le compartiment. Si vous soumettez un compartiment S3 Create CT portant le même nom qu'un compartiment précédemment soumis, il échouera car un compartiment S3 portant ce nom existerait déjà BucketName. Cela sera détaillé dans la CloudFormation console, où vous verrez que l'événement stack indique que le nom du bucket est déjà utilisé.
## Validation RFC et erreurs d'exécution
Les échecs RFC et les messages associés diffèrent dans les messages de sortie sur la page de détails RFC de la console AMS pour une RFC sélectionnée :
+ Les raisons des échecs de validation ne sont disponibles que dans le champ État
+ Les raisons des échecs d'exécution sont disponibles dans les champs de sortie et de statut de l'exécution.
![\[Request for change details showing rejected status due to no domain trust found.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/rfcReason.png)
## Messages d'erreur RFC
Lorsque vous rencontrez l'erreur suivante pour les types de modifications répertoriés (CTs), vous pouvez utiliser ces solutions pour vous aider à trouver la source des problèmes et à les résoudre.
`{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}`
Si vous avez besoin d'une assistance supplémentaire après avoir consulté les options de dépannage suivantes, contactez AMS par correspondance RFC. Pour plus d'informations, consultez [Correspondance et pièce jointe RFC (console).](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)
### Erreurs d'ingestion de charge de travail (WIGS)
**Note**
Les outils de validation pour Windows et Linux peuvent être téléchargés et exécutés directement sur vos serveurs locaux, ainsi que sur les instances EC2 d'AWS. Vous pouvez les trouver dans le *guide du développeur d'applications avancées d'AMS intitulé* [Migrating workloads : Linux pre-ingestion validation](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-linux-validation.html) et [Migrating workloads](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-win-validation.html) : Windows pre-ingestion validation.
+ Assurez-vous que l'instance EC2 existe dans le compte AMS cible. Par exemple, si vous avez partagé votre AMI d'un compte non-AMS vers un compte AMS, vous devrez créer une instance EC2 dans votre compte AMS avec l'AMI partagée avant de pouvoir soumettre une RFC d'ingestion de charge de travail.
+ Vérifiez si le trafic de sortie est autorisé pour les groupes de sécurité attachés à l'instance. L'agent SSM doit être en mesure de se connecter à son point de terminaison public.
+ Vérifiez si l'instance dispose des autorisations nécessaires pour se connecter à l'agent SSM. Ces autorisations sont fournies avec le`customer-mc-ec2-instance-profile`, vous pouvez vérifier cela dans la console EC2 :
![\[EC2 instance details showing IAM role set to customer-mc-ec2-instance-profile.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/ec2ConsoleWCircle.png)
### Erreurs d'arrêt de la pile d'instances EC2
+ Vérifiez si l'instance est déjà arrêtée ou terminée.
+ Si l'instance EC2 est en ligne et que le `InternalError` message d'erreur s'affiche, envoyez une demande de service pour qu'AMS examine la situation.
+ Notez que vous ne pouvez pas utiliser le type de changement Management \$1 Advanced stack components \$1 EC2 instance stack \$1 Stop ct-3mvvt2zkyveqj pour arrêter une instance de groupe Auto Scaling (ASG). Si vous devez arrêter une instance ASG, soumettez une demande de service.
### La pile d'instances EC2 crée des erreurs
Le `InternalError` message provient de CloudFormation ; une raison de statut CREATION\$1FAILED. Vous pouvez obtenir des informations détaillées sur la défaillance d'une CloudWatch pile dans les événements de pile en suivant ces étapes :
+ Dans la console de gestion AWS, vous pouvez consulter la liste des événements de la pile lors de la création, de la mise à jour ou de la suppression de votre pile. Recherchez dans cette liste l'événement qui a échoué, puis consultez la raison du statut correspondant.
La raison du statut peut contenir un message d'erreur provenant d'AWS CloudFormation ou d'un service spécifique qui peut vous aider à comprendre le problème.
+ Pour plus d'informations sur l'affichage des événements de stack, consultez la section [Visualisation des données et des ressources AWS CloudFormation Stack sur l'AWS Management Console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html).
### Erreurs de restauration du volume d'instance EC2
AMS crée une RFC de dépannage interne lorsque la restauration du volume d'instance EC2 échoue. Cela est dû au fait que la restauration du volume d'instance EC2 est un élément important de la reprise après sinistre (DR) et AMS crée automatiquement cette RFC de dépannage interne pour vous.
Lorsque le RFC de dépannage interne est créé, une bannière s'affiche vous fournissant des liens vers le RFC. Cette RFC de dépannage interne vous donne une meilleure visibilité sur les échecs RFC et, plutôt que de soumettre une nouvelle tentative RFCs entraînant les mêmes erreurs, ou de vous obliger à contacter AMS manuellement en cas d'échec, vous pouvez suivre vos modifications et savoir qu'AMS est en train de remédier à l'échec. Cela réduit également la métrique time-to-recovery (TTR) associée à leur modification, car les opérateurs AMS travaillent de manière proactive sur l'échec de la RFC au lieu d'attendre votre demande.
## Comment obtenir de l'aide concernant un RFC
Vous pouvez contacter AMS pour identifier la cause première de votre échec. Les heures d'ouverture d'AMS sont 24 heures par jour, 7 jours par semaine, 365 jours par an.
AMS vous propose plusieurs moyens de demander de l'aide.
+ Si vous avez besoin d'assistance pour une RFC ouverte ou une RFC terminée mais incorrecte, contactez AMS via une correspondance bidirectionnelle RFC. Pour plus d'informations, consultez [Correspondance et pièce jointe RFC (console).](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)
+ Pour signaler un problème de performance des services AWS ou AMS ayant une incidence sur votre environnement géré, utilisez la console AMS et soumettez un rapport d'incident. Pour plus de détails, consultez la section [Signaler un incident](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-report-incident.html). Pour des informations générales sur la gestion des incidents AMS, consultez la section [Réponse aux incidents](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html).
+ Pour des questions spécifiques sur la façon dont vous ou vos ressources ou applications travaillez avec AMS, ou pour aggraver un incident, envoyez un e-mail à l'une ou plusieurs des adresses suivantes :
1. Tout d'abord, si vous n'êtes pas satisfait de la demande de service ou de la réponse au rapport d'incident, envoyez un e-mail à votre CSDM : ams-csdm@amazon.com
1. Ensuite, si l'escalade est requise, vous pouvez envoyer un e-mail au responsable des opérations AMS (mais votre CSDM le fera probablement) : ams-opsmanager@amazon.com
1. Toute autre escalade serait adressée au directeur de l'AMS : ams-director@amazon.com
1. Enfin, vous pouvez toujours joindre le vice-président de l'AMS : ams-vp@amazon.com
# Mode de changement direct dans AMS
**Topics**
+ [Commencer à utiliser le mode Direct Change](dcm-get-started.md)
+ [Sécurité et conformité](dcm-security-n-compliance.md)
+ [Gestion du changement en mode Direct Change](dcm-change-mgmt.md)
+ [Création de piles à l'aide du mode Direct Change](dcm-creating-stacks.md)
+ [Cas d'utilisation du mode de changement direct](dcm-use-cases.md)
Le mode Direct Change (DCM) d'AWS Managed Services (AMS) étend la gestion des modifications d'AMS Advanced en fournissant un AWS accès natif aux comptes AMS Advanced Plus et Premium pour provisionner et mettre à jour les AWS ressources. Avec DCM, vous avez la possibilité d'utiliser une AWS API native (console ou CLI/SDK) ou des demandes de modification de gestion des modifications AMS Advanced (RFCs). Dans les deux cas, les ressources et leurs modifications sont entièrement prises en charge par AMS, y compris la surveillance, les correctifs, les sauvegardes et la gestion des réponses aux incidents. Les ressources fournies via DCM sont enregistrées dans le système de gestion des connaissances des services AMS (SKMS), jointes au domaine Active Directory géré par AMS (le cas échéant) et exécutent les agents de gestion AMS. Utilisez les outils existants (par exemple CloudFormation, le AWS SDK et le CDK) pour développer et déployer des stacks gérés par AMS. CloudFormation
**Note**
Le mode Direct Change ne supprime pas la gestion des modifications AMS RFCs. Vous avez un accès complet à AMS RFCs avec DCM.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob)
# Commencer à utiliser le mode Direct Change
Commencez par vérifier les conditions préalables, puis soumettez une demande de modification (RFC) sur votre compte AMS Advanced éligible.
1. Vérifiez que le compte que vous souhaitez utiliser avec DCM répond aux exigences :
+ Le compte est AMS Advanced Plus ou Premium.
+ Service Catalog n'est pas activé sur le compte. À l'heure actuelle, nous ne prenons pas en charge l'intégration de comptes à la fois à DCM et à Service Catalog. Si vous êtes déjà inscrit à Service Catalog mais que vous êtes intéressé par DCM, discutez de vos besoins avec votre responsable de prestation de services cloud (CSDM). Si vous décidez de passer de Service Catalog à DCM, déconnectez Service Catalog. Pour ce faire, incluez la demande dans la demande de modification ci-dessous. Pour plus de détails sur Service Catalog dans AMS, consultez [AMS and Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html).
1. Soumettez une demande de modification (RFC) à l'aide de la commande Gestion \$1 Compte géré \$1 Mode de changement direct \$1 Activer le type de modification (ct-3rd4781c2nnhp). Pour un exemple de procédure pas à pas, voir [Mode de changement direct \$1 Activer](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html).
Une fois le CT traité, les rôles IAM prédéfinis `AWSManagedServicesUpdateRole` sont provisionnés dans le compte spécifié. `AWSManagedServicesCloudFormationAdminRole`
1. Attribuez le rôle approprié aux utilisateurs qui ont besoin d'un accès au DCM à l'aide de votre processus de fédération interne.
**Note**
Vous pouvez spécifier un nombre illimité de SAMLIdentity fournisseurs, de AWS services et d'entités IAM (rôles, utilisateurs, etc.) pour assumer les rôles. Vous devez fournir au moins un : `SAMLIdentityProviderARNs``IAMEntityARNs`, ou`AWSServicePrincipals`. Pour plus d'informations, contactez le service IAM de votre entreprise ou votre architecte cloud AMS (CA).
## Rôles et politiques IAM en mode Changement direct
Lorsque le mode Direct Change est activé dans un compte, les nouvelles entités IAM suivantes sont déployées :
`AWSManagedServicesCloudFormationAdminRole`: ce rôle permet d'accéder à la CloudFormation console, de créer et de mettre à jour des CloudFormation piles, d'afficher des rapports de dérive, de créer et d'exécuter CloudFormation ChangeSets. L'accès à ce rôle est géré par le biais de votre fournisseur SAML.
Les politiques gérées déployées et associées au rôle `AWSManagedServicesCloudFormationAdminRole` sont les suivantes :
+ Compte d'application AMS Advanced multi-comptes landing zone (MALZ)
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ Cette politique représente les autorisations accordées à`AWSManagedServicesCloudFormationAdminRole`. Vous et vos partenaires utilisez cette politique pour accorder l'accès à un rôle existant dans le compte et permettre à ce rôle de lancer et de mettre à jour des CloudFormation stacks dans le compte. Cela peut nécessiter des mises à jour supplémentaires de la politique de contrôle des services (SCP) AMS pour permettre à d'autres entités IAM de lancer CloudFormation des stacks.
+ Compte de zone d'atterrissage à compte unique (SALZ) AMS Advanced
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ cdk-legacy-mode-s3-accès [politique en ligne]
+ AWS ReadOnlyAccess politique
`AWSManagedServicesUpdateRole`: ce rôle accorde un accès restreint au AWS service en aval APIs. Le rôle est déployé avec des politiques gérées qui fournissent des opérations d'API mutantes et non mutantes, mais limitent en général les opérations mutantes (telles queCreate/Delete/PUT) à certains services tels que les ressources et la configuration de l'infrastructure IAM, KMS, GuardDuty VPC, AMS, etc. L'accès à ce rôle est géré par le biais de votre fournisseur SAML.
Les politiques gérées déployées et associées au rôle `AWSManagedServicesUpdateRole` sont les suivantes :
+ Compte d'application de zone d'atterrissage multi-comptes AMS Advanced
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyPolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2Et RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique
+ Compte de zone d'atterrissage à compte unique AMS Advanced
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2Et RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique 1
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitique 2
En outre, la stratégie gérée est également `ViewOnlyAccess` associée au `AWSManagedServicesUpdateRole` rôle de stratégie AWS gérée.
# Sécurité et conformité
La sécurité et la conformité sont une responsabilité partagée entre AMS Advanced et vous, en tant que client. Le mode AMS Advanced Direct Change ne modifie pas cette responsabilité partagée.
## Sécurité en mode Direct Change
AMS Advanced offre une valeur ajoutée avec une zone d'atterrissage prescriptive, un système de gestion du changement et une gestion des accès. Lorsque vous utilisez le mode Changement direct, ce modèle de responsabilité ne change pas. Cependant, vous devez être conscient des risques supplémentaires.
Le rôle « Mise à jour » du mode de changement direct (voir[Rôles et politiques IAM en mode Changement direct](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) fournit des autorisations élevées permettant à l'entité qui y a accès d'apporter des modifications aux ressources d'infrastructure des services pris en charge par AMS au sein de votre compte. Avec des autorisations élevées, les risques varient en fonction de la ressource, du service et des actions, en particulier dans les situations où une modification incorrecte est apportée en raison d'un oubli, d'une erreur ou d'un non-respect de votre processus interne et de votre cadre de contrôle.
Conformément aux normes techniques de l'AMS, les risques suivants ont été identifiés et les recommandations suivantes sont formulées. Des informations détaillées sur les normes techniques AMS sont disponibles via AWS Artifact. Pour y accéder AWS Artifact, contactez votre CSDM pour obtenir des instructions ou rendez-vous sur [Getting Started with](https://aws.amazon.com/artifact/getting-started). AWS Artifact
**AMS-STD-001 : Marquage**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-002 : Identity and Access Management (IAM)**
| Normes | Est-ce que ça se casse | Risques | Recommandations |
| --- | --- | --- | --- |
| 4.7 Les actions qui contournent le processus de gestion des modifications (RFC) ne doivent pas être autorisées, telles que le démarrage ou l'arrêt d'une instance, la création de compartiments S3 ou d'instances RDS, etc. Les comptes en mode développeur et les services en mode Self-Service Provisioned (SSPS) sont exemptés tant que les actions sont effectuées dans les limites du rôle attribué. | Oui. L'objectif des actions en libre-service vous permet d'effectuer des actions en contournant le système AMS RFC. | Le modèle d'accès sécurisé est une facette technique essentielle d'AMS et un utilisateur IAM pour l'accès à la console ou par programme contourne ce contrôle d'accès. L'accès des utilisateurs IAM n'est pas surveillé par la gestion des modifications d'AMS. L'accès est CloudTrail uniquement connecté. | L'utilisateur IAM doit être limité dans le temps et bénéficier d'autorisations basées sur le moindre privilège et. need-to-know |
**AMS-STD-003 : Sécurité réseau**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-007 : Journalisation**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
Collaborez avec votre équipe interne d'autorisation et d'authentification pour contrôler en conséquence les autorisations relatives aux rôles du mode Changement direct.
## Conformité en mode Direct Change
Le mode Direct Change est compatible avec les charges de travail en production et hors production. Il est de votre responsabilité de garantir le respect de toutes les normes de conformité (par exemple, PHI, HIPAA, PCI) et de vous assurer que l'utilisation du mode Direct Change est conforme à vos cadres et normes de contrôle internes.
# Gestion du changement en mode Direct Change
La gestion du changement est le processus qu'AMS Advanced utilise pour mettre en œuvre les demandes de modification. Une demande de modification (RFC) est une demande créée par vous-même ou par AMS Advanced via l'interface AMS Advanced pour apporter une modification à votre environnement géré et inclut un ID de type de modification (CT) AMS Advanced pour une opération particulière. Pour plus d'informations, consultez la section [Gestion des modifications](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html).
**Note**
Le mode Direct Change ne supprime pas la gestion des RFCs modifications d'AMS. Vous avez toujours un accès complet à AMS RFCs avec DCM.
Le mode AMS Direct Change (DCM) étend la gestion des modifications d'AMS Advanced en fournissant un AWS accès natif aux comptes AMS Advanced Plus et Premium pour provisionner et mettre à jour les AWS ressources. Les utilisateurs qui ont obtenu l'autorisation du mode Direct Change via les rôles IAM peuvent utiliser AWS l'accès API natif pour approvisionner et modifier les ressources de leurs comptes AMS Advanced. Les utilisateurs peuvent toujours utiliser la gestion des modifications AMS Advanced RFCs en utilisant les mêmes rôles IAM. Dans les deux cas, les ressources et leurs modifications sont entièrement prises en charge par AMS, y compris la surveillance, les correctifs, les sauvegardes et la gestion de la réponse aux incidents. Les utilisateurs qui n'ont pas le rôle approprié dans ces comptes doivent utiliser le processus RFC de gestion des modifications AMS Advanced pour apporter des modifications.
## Cas d'utilisation de la gestion du changement
Pour des raisons de sécurité, certaines modifications apportées à AMS Advanced ne peuvent être effectuées que par le biais du processus de demande de modification (RFC) de gestion des modifications. Elle `AWSManagedServicesCloudFormationAdminRole` est limitée aux actions entreprises par le biais de CloudFormation (CFN). Pour en savoir plus sur la création de piles via DCM, voir [Création de piles à l'aide du mode Direct Change](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html). Elle `AWSManagedServicesUpdateRole` est limitée aux actions suivantes.
[Pour des exemples de procédures pas à pas pour chaque type de modification, y compris le type de modification Gestion \$1 Compte géré \$1 Mode de changement direct \$1 Activer (ct-3rd4781c2nnhp), consultez la section « Informations supplémentaires » pour le type de modification correspondant dans la section *AMS* Advanced Change Type Reference Change Type Reference Change Types par classification.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/dcm-change-mgmt.html)
# Création de piles à l'aide du mode Direct Change
Pour que la pile soit gérée par AMS`AWSManagedServicesCloudFormationAdminRole`, deux conditions sont requises lors du lancement de piles à l' CloudFormation aide de :
+ Le modèle doit contenir un`AmsStackTransform`.
+ Le nom de la pile doit commencer par le préfixe `stack-` suivi d'une chaîne alphanumérique de 17 caractères.
**Note**
Pour utiliser correctement le`AmsStackTransform`, vous devez reconnaître que votre modèle de pile contient la `CAPABILITY_AUTO_EXPAND` capacité permettant à CloudFormation (CFN) de créer ou de mettre à jour la pile. Pour ce faire, vous devez transmettre le dans le `CAPABILITY_AUTO_EXPAND` cadre de votre demande de création de pile. Le CFN rejette la demande si cette fonctionnalité n'est pas reconnue lors de `AmsStackTransform` son inclusion dans le modèle. La console CFN garantit que vous transmettez cette fonctionnalité si vous avez la transformation dans votre modèle, mais elle peut être manquée lorsque vous interagissez avec CFN via leur. APIs
Vous devez transmettre cette fonctionnalité chaque fois que vous utilisez les appels d'API CFN suivants :
[CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html)
[ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters)
[UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html)
Lors de la création ou de la mise à jour d'une pile avec DCM, les mêmes validations et augmentations de CFN Ingest et Stack Update CTs sont effectuées sur la pile. Pour plus d'informations, consultez les [directives d'CloudFormation ingestion, les meilleures pratiques](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html) et les limites. L'exception à cette règle est que les groupes de sécurité AMS par défaut (SGs) ne seront attachés à aucune EC2 instance autonome ni à aucune instance EC2 des groupes Auto Scaling (ASGs). Lorsque vous créez votre CloudFormation modèle, avec des EC2 instances autonomes ou ASGs, vous pouvez associer le modèle par défaut SGs.
**Note**
Les rôles IAM peuvent désormais être créés et gérés à l'aide du`AWSManagedServicesCloudFormationAdminRole`.
Par défaut, AMS SGs possède des règles d'entrée et de sortie qui permettent aux instances de se lancer correctement et d'y accéder ultérieurement via SSH ou RDP par les opérations AMS et par vous. Si vous trouvez que les groupes de sécurité AMS par défaut sont trop permissifs, vous pouvez créer les vôtres SGs avec des règles plus restrictives et les associer à votre instance, à condition que cela vous permette, ainsi qu'aux opérations AMS, d'accéder à l'instance lors d'incidents.
Les groupes de sécurité AMS par défaut sont les suivants :
+ SentinelDefaultSecurityGroupPrivateOnly: Accessible dans le modèle CFN via ce paramètre SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly`
+ SentinelDefaultSecurityGroupPrivateOnlyEgressAll: Accessible dans le modèle CFN via ce paramètre SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll`
## Transformation AMS
Ajoutez une `Transform` déclaration à votre CloudFormation modèle. Cela ajoute une CloudFormation macro qui valide et enregistre la pile auprès d'AMS au moment du lancement.
Exemple **JSON**
```
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
}
```
**Exemple YAML**
```
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
```
Ajoutez également l'`Transform`instruction lors de la mise à jour du modèle d'une pile existante.
Exemple **JSON**
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Description" : "Create an SNS Topic",
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
},
"Parameters": {
"TopicName": {
"Type": "String",
"Default": "HelloWorldTopic"
}
},
"Resources": {
"SnsTopic": {
"Type": "AWS::SNS::Topic",
"Properties": {
"TopicName": {"Ref": "TopicName"}
}
}
}
}
```
**Exemple YAML**
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Create an SNS Topic
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
Parameters:
TopicName:
Type: String
Default: HelloWorldTopic
Resources:
SnsTopic:
Type: AWS::SNS::Topic
Properties:
TopicName: !Ref TopicName
```
## Nom de la pile
Le nom de la pile doit commencer par le préfixe `stack-` suivi d'une chaîne alphanumérique de 17 caractères. Cela permet de maintenir la compatibilité avec les autres systèmes AMS qui fonctionnent sur la pile AMS IDs.
Voici des exemples de méthodes permettant de générer une pile compatible IDs :
Bash :
```
echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)"
```
Python :
```
import string
import random
'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17))
```
PowerShell :
```
"stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) )
```
# Cas d'utilisation du mode de changement direct
Les cas d'utilisation du mode de changement direct sont les suivants :
**Fourniture et gestion des ressources par CloudFormation**
+ Intégrez l' CloudFormationoutillage et les processus existants.
**Gestion continue des ressources et mises à jour**
+ Petits changements atomiques à faible risque.
+ Modifications qui seraient autrement exécutées par le biais d'une RFC manuelle ou automatisée.
+ Outillage nécessitant un accès natif à AWS l'API.
+ Le rôle DCM peut être utilisé si vous êtes en phase de migration. Les équipes de migration exploitent les autorisations du DCM pour créer ou modifier des piles.
+ Les rôles DCM peuvent être utilisés dans le CI/CD pipeline pour créer de nouvelles tâches AMIs, créer des tâches Amazon ECS, etc.
# Mode développeur avancé AMS
**Topics**
+ [Commencer à utiliser le mode développeur avancé d'AMS](developer-mode-implement.md)
+ [Sécurité et conformité en mode développeur](developer-mode-security-and-compliance.md)
+ [Gestion des modifications en mode développeur](developer-mode-change-management.md)
+ [Infrastructure de provisionnement en mode AMS Developer](developer-mode-provisioning.md)
+ [Contrôles Detective en mode AMS Developer](developer-mode-detective-controls.md)
+ [Journalisation, surveillance et gestion des événements en mode AMS Developer](developer-mode-logging.md)
+ [Gestion des incidents en mode AMS Developer](developer-mode-incident-management.md)
+ [Gestion des correctifs en mode AMS Developer](developer-mode-patch-management.md)
+ [Gestion de la continuité en mode AMS Developer](developer-mode-continuity.md)
+ [Gestion de la sécurité et des accès en mode AMS Developer](developer-mode-security-and-access.md)
Le mode développeur d'AWS Managed Services (AMS) utilise des autorisations élevées dans les comptes AMS Advanced Plus et Premium pour fournir et mettre à jour les ressources AWS en dehors du processus de gestion des modifications d'AMS Advanced. Pour ce faire, le mode AMS Advanced Developer exploite les appels d'API AWS natifs au sein de l'AMS Advanced Virtual Private Cloud (VPC), ce qui vous permet de concevoir et de mettre en œuvre une infrastructure et des applications dans votre environnement géré.
Lorsque vous utilisez un compte sur lequel le mode développeur est activé, la gestion de la continuité, la gestion des correctifs et la gestion des modifications sont fournies pour les ressources mises en service via le processus de gestion des modifications AMS Advanced ou à l'aide d'une image machine AMS Amazon (AMI). Toutefois, ces fonctionnalités de gestion AMS ne sont pas proposées pour les ressources provisionnées via le mode natif AWS APIs.
Vous êtes responsable de la surveillance des ressources d'infrastructure mises en service en dehors du processus de gestion des modifications AMS Advanced. Le mode développeur est compatible avec les charges de travail en production et hors production. Avec des autorisations élevées, vous avez la responsabilité accrue de garantir le respect des contrôles internes.
**Important**
Les ressources que vous créez en mode Développeur ne peuvent être gérées par AMS Advanced que si elles sont créées à l'aide des processus de gestion des modifications d'AMS Advanced.
Le mode développeur est l'un des modes AMS Advanced que vous pouvez utiliser. Pour de plus amples informations, veuillez consulter [Vue d'ensemble des modes](ams-modes-ug.md).
# Commencer à utiliser le mode développeur avancé d'AMS
Découvrez les différents comptes AMS Advanced dotés du mode développeur AMS Advanced et découvrez comment implémenter avec succès le mode développeur.
**Topics**
+ [Avant de commencer](developer-mode-faqs.md)
+ [Prérequis pour le mode développeur](#developer-mode-implement-prerequisites)
+ [Comment implémenter le mode développeur](#developer-mode-implement-steps)
+ [Autorisations du mode développeur](#developer-mode-role)
# Avant de commencer avec le mode développeur AMS
Avant d'implémenter le mode développeur, vous devez savoir certaines choses.
AMS Advanced ne peut pas gérer les piles ou les ressources existantes dans un DevMode compte créé en dehors du processus de gestion des modifications d'AMS Advanced par le biais de demandes de modification (RFCs). Cependant, tant que le compte est ouvert DevMode, AMS Advanced continue de gérer les ressources mises à disposition via le processus de gestion des modifications AMS Advanced avec RFCs.
Vous ne pouvez pas commencer par un DevMode compte et le convertir ultérieurement en compte d'application géré par AMS Advanced.
## Prérequis pour le mode développeur AMS
Les conditions préalables à la mise en œuvre du mode développeur sont les suivantes :
+ Vous devez être un client AMS Advanced avec au moins un compte AMS Advanced Plus ou Premium intégré.
+ Tout compte que vous utilisez doit être un compte AMS Advanced Plus ou Premium.
+ **Zone d'atterrissage multi-comptes (MALZ)** : vous devez utiliser le rôle `AWSManagedServicesDevelopmentRole` prédéfini Gestion des identités et des accès AWS (IAM). Vous demandez ce rôle. La section suivante décrit comment obtenir des autorisations en mode développeur.
+ **Zone d'atterrissage à compte unique (SALZ)** : vous devez utiliser le rôle `customer_developer_role` prédéfini Gestion des identités et des accès AWS (IAM). Vous demandez ce rôle. La section suivante décrit comment obtenir des autorisations en mode développeur.
## Comment implémenter le mode AMS Advanced Developer
Vous implémentez le mode développeur en demandant que votre compte AMS Advanced éligible soit provisionné avec le rôle IAM prédéfini :
+ **MALTE :** `AWSManagedServicesDevelopmentRole`
+ **SEL :** `customer_developer_role`
Vous attribuez ensuite le rôle aux utilisateurs concernés dans votre réseau fédéré.
AMS Advanced vous recommande de vous assurer que votre utilisation du mode développeur est conforme à vos cadres et normes de contrôle internes, car le mode développeur crée deux vecteurs de changement : la gestion des modifications AMS Advanced pour les ressources gérées par AMS Advanced et la fédération des rôles gérée par le client pour les ressources que vous gérez en tant que client. Bien que les processus AMS Advanced restent conformes à nos déclarations, les processus clients et les cadres de contrôle peuvent avoir besoin d'être mis à jour.
**Pour implémenter le mode développeur dans votre compte AMS Advanced**
1. Vérifiez que le compte que vous souhaitez utiliser avec le mode développeur répond aux exigences répertoriées dans[Prérequis pour le mode développeur AMS](#developer-mode-implement-prerequisites).
1. Soumettez une demande de modification (RFC) en utilisant le type de modification (CT) Management \$1 Compte géré \$1 Mode développeur \$1 Activer (automatisation gérée). Pour un exemple d'utilisation de ce CT, voir [Mode développeur \$1 Activer (automatisation gérée)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html).
Une fois le CT traité, le rôle IAM prédéfini (`AWSManagedServicesDevelopmentRole`pour **MALZ**, `customer_developer_role` pour **SALZ**) est configuré dans le compte demandé.
1. Attribuez le rôle approprié aux utilisateurs qui ont besoin d'un accès au mode développeur à l'aide de votre processus de fédération interne.
AMS Advanced vous recommande de limiter l'accès afin d'empêcher le provisionnement ou la modification de ressources non souhaités ou non approuvés.
## Autorisations du mode développeur avancé AMS
Le rôle prédéfini (`AWSManagedServicesDevelopmentRole`pour **MALZ**, `customer_developer_role` pour **SALZ**) autorise la création de ressources d'infrastructure applicative au sein du VPC AMS Advanced, y compris les rôles IAM, tout en limitant l'accès aux composants de *service partagés* gérés par AMS Advanced (par exemple, les hôtes de gestion, les contrôleurs de domaine, Trend Micro EPS, les bastions et les services AWS non pris en charge). Le rôle restreint également l'accès aux éléments suivants Services AWS : Amazon GuardDuty,, AWS Organizations AWS Directory Service APIs, et AMS Advanced logs.
Bien que le rôle vous permette de créer des rôles IAM supplémentaires, les mêmes limites d'autorisations incluses dans l'accès en mode développeur sont appliquées à tout rôle IAM créé par le. `AWSManagedServicesDevelopmentRole`
# Sécurité et conformité en mode développeur
La sécurité et la conformité sont une responsabilité partagée entre AMS Advanced et vous en tant que client. Le mode développeur avancé d'AMS vous transfère la responsabilité partagée pour les ressources mises à disposition en dehors du processus de gestion des modifications ou fournies par le biais de la gestion des modifications, mais mises à jour avec les autorisations du mode développeur. Pour plus d'informations sur le partage des responsabilités, consultez [AWS Managed Services](https://aws.amazon.com/managed-services/).
**Précautions :**
+ DevMode vous permet, à vous et à votre équipe autorisée, de contourner les deny-by-default principes fondamentaux de la sécurité AMS. Les avantages, le libre-service et la réduction du temps d'attente pour l'AMS doivent être mis en balance avec les inconvénients. Tout le monde peut effectuer des actions inattendues et destructrices à l'insu de son équipe de sécurité. Les types de modifications automatisés permettant d'activer le mode Dev et le mode Direct Change sont exposés, et toute personne autorisée de votre organisation peut les exécuter CTs et activer ces modes.
+ Vous êtes responsable de la gestion des autorisations d'exécution du CT à partir de votre base d'utilisateurs.
+ AMS ne gère pas les autorisations d'exécution du CT
**Recommandations :**
+ **Protéger**
+ Les clients peuvent empêcher l'accès à ce CT par le biais d'autorisations, voir [Restreindre les autorisations avec les déclarations de politique relatives aux rôles IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ Empêchez l'accès à ce CT en implémentant un proxy tel qu'un système ITSM
+ Utilisez des politiques de contrôle des services (SCPs) qui empêchent les politiques et les comportements selon les besoins, voir [AMS Preventative and Detective Controls Library](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)
+ **Détecter**
+ Surveillez l'exécution de vos RFC CTs (Activer le mode développeur ct-1opjmhuddw194 et le mode de changement direct, activation ct-3rd4781c2nnhp) et répondez en conséquence
+ Vérifiez vos and/or comptes pour détecter la présence des ressources IAM afin d'identifier les comptes sur lesquels le mode développeur ou le mode changement direct ont été déployés
+ **Répondez**
+ Supprimez des comptes en mode développeur si nécessaire
## Sécurité en mode développeur
AMS Advanced offre une valeur ajoutée avec une zone d'atterrissage prescriptive, un système de gestion du changement et une gestion des accès. Lorsque vous utilisez le mode développeur, la valeur de sécurité d'AMS Advanced est conservée en utilisant la même configuration de compte que les comptes AMS Advanced standard qui établit le réseau renforcé de sécurité AMS Advanced de base. Le réseau est protégé par la limite d'autorisations appliquée dans le rôle (`AWSManagedServicesDevelopmentRole`pour **MALZ**, `customer_developer_role` pour **SALZ**), ce qui empêche l'utilisateur de décomposer les protections des paramètres établies lors de la configuration du compte.
Par exemple, les utilisateurs dotés du rôle peuvent accéder à Amazon Route 53, mais la zone hébergée interne AMS Advanced est restreinte. Les mêmes limites d'autorisations sont appliquées à un rôle IAM créé par le`AWSManagedServicesDevelopmentRole`, ce `AWSManagedServicesDevelopmentRole` qui empêche l'utilisateur de décomposer les protections des paramètres établies lors de l'intégration du compte à AMS Advanced.
## Conformité en mode développeur
Le mode développeur est compatible avec les charges de travail en production et hors production. Il est de votre responsabilité de garantir le respect de toutes les normes de conformité (par exemple, PHI, HIPAA, PCI) et de vous assurer que l'utilisation du mode développeur est conforme à vos cadres et normes de contrôle internes.
# Gestion des modifications en mode développeur
La gestion du changement est le processus utilisé par le service AMS Advanced pour mettre en œuvre les demandes de modification. Une demande de modification (RFC) est une demande créée par vous ou par AMS Advanced via l'interface AMS Advanced pour apporter une modification à votre environnement géré et inclut un ID de type de modification (CT) pour une opération particulière. Pour de plus amples informations, veuillez consulter [Modes de gestion des modifications](using-change-management.md).
La gestion des modifications n'est pas appliquée dans les comptes AMS Advanced où les autorisations du mode développeur sont accordées. Les utilisateurs qui ont obtenu une autorisation en mode développeur avec le rôle IAM (`AWSManagedServicesDevelopmentRole`pour **MALZ**, `customer_developer_role` pour **SALZ**) peuvent utiliser l'accès à l' AWS API native pour approvisionner et modifier les ressources de leurs comptes AMS Advanced. Les utilisateurs qui n'ont pas le rôle approprié dans ces comptes doivent utiliser le processus de gestion des modifications AMS Advanced pour apporter des modifications.
**Important**
Les ressources que vous créez en mode Développeur ne peuvent être gérées par AMS Advanced que si elles sont créées à l'aide des processus de gestion des modifications d'AMS Advanced. Les demandes de modification soumises à AMS Advanced pour des ressources créées en dehors du processus de gestion des modifications d'AMS Advanced sont rejetées par AMS Advanced car elles doivent être traitées par vous.
## Restrictions relatives à l'API des services de provisionnement en libre-service
Tous les services auto-provisionnés d'AMS Advanced sont pris en charge en mode développeur. L'accès aux services auto-approvisionnés est soumis aux limites décrites dans les sections du guide de l'utilisateur correspondant à chacun d'entre eux. Si aucun service auto-approvisionné n'est disponible avec votre rôle en mode développeur, vous pouvez demander un rôle mis à jour via le type de changement de mode développeur.
Les services suivants ne fournissent pas un accès complet au service APIs :
**Services auto-provisionnés restreints en mode développeur**
| Service | Remarques |
| --- | --- |
| Amazon API Gateway | Tous les APIs appels Gateway sont autorisés, sauf`SetWebACL`. |
| Application Autoscaling | Peut uniquement enregistrer ou désenregistrer des cibles évolutives, et définir ou supprimer une politique de dimensionnement. |
| AWS CloudFormation | Impossible d'accéder aux CloudFormation piles dont le nom est préfixé par. `mc-` |
| AWS CloudTrail | Impossible d'accéder ou de modifier les CloudTrail ressources dont le nom est préfixé par `ams-` and/or `mc-`. |
| Amazon Cognito (groupes d'utilisateurs) | Impossible d'associer des jetons logiciels. Impossible de créer des groupes d'utilisateurs, des tâches d'importation d'utilisateurs, des serveurs de ressources ou des fournisseurs d'identité. |
| AWS Directory Service | Seules les Directory Service actions suivantes sont requises par `Connect` les `WorkSpaces` services. Toutes les autres actions du Service d'annuaire sont refusées par la politique de limite d'autorisation du mode développeur : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/developer-mode-change-management.html) Dans les comptes de zone d'atterrissage à compte unique, la politique de limite refuse explicitement l'accès au répertoire géré AMS Advanced utilisé par AMS Advanced pour maintenir l'accès aux comptes compatibles avec le mode développement. |
| Amazon Elastic Compute Cloud | Impossible d'accéder à Amazon EC2 APIs contenant la chaîne : `DhcpOptions``Gateway`,`Subnet`,`VPC`, et`VPN`. Impossible d'accéder aux EC2 ressources Amazon dont le préfixe de balise est`AMS`,, `mc``ManagementHostASG`, and/or `sentinel` ou de les modifier. |
| Amazon EC2 (Rapports) | Seul l'accès à la vue est accordé (ne peut pas être modifié). Remarque : Amazon EC2 Reports est en train de déménager. L'élément de menu **Rapports** sera supprimé du menu de navigation de EC2 la console Amazon. Pour consulter vos rapports EC2 d'utilisation d'Amazon après sa suppression, utilisez la console AWS Billing and Cost Management. |
| Gestion des identités et des accès AWS (JE SUIS) | Impossible de supprimer les limites d'autorisation existantes ou de modifier les politiques de mot de passe utilisateur IAM. Impossible de créer ou de modifier des ressources IAM à moins d'utiliser le rôle IAM approprié (`AWSManagedServicesDevelopmentRole`pour **MALZ, `customer_developer_role` pour **SALZ****)). Impossible de modifier les ressources IAM préfixées par :`ams`,,`mc`,`customer_deny_policy`. and/or `sentinel` Lors de la création d'une nouvelle ressource IAM (rôle, utilisateur ou groupe), la limite d'autorisation (**MALZ** :`AWSManagedServicesDevelopmentRolePermissionsBoundary`, **SALZ** :`ams-app-infra-permissions-boundary`) doit être attachée. |
| AWS Key Management Service (AWS KMS) | Impossible d'accéder aux clés KMS gérées par AMS Advanced ou de les modifier. |
| AWS Lambda | Impossible d'accéder ou de modifier AWS Lambda les fonctions préfixées par`AMS`. |
| CloudWatch Journaux | Impossible d'accéder aux flux de CloudWatch journaux dont le nom est préfixé par :`mc`,, `aws``lambda`, and/or `AMS`. |
| Amazon Relational Database Service (Amazon RDS) | Impossible d'accéder ou de modifier les bases de données Amazon Relational Database Service (Amazon RDS) DBs () dont le nom est préfixé par :. `mc-` |
| Groupes de ressources AWS | Ne peut accéder qu'aux `Get` actions de `List` l'API `Search` Resource Group et Resource Group. |
| Amazon Route 53 | Impossible d'accéder aux ressources gérées par Route53 AMS Advanced ou de les modifier. |
| Amazon S3 | Impossible d'accéder aux compartiments Amazon S3 dont le nom est préfixé par :`ams-*`, `ams``ms-a`, ou. `mc-a` |
| AWS Security Token Service | La seule API de service de jetons de sécurité autorisée est`DecodeAuthorizationMessage`. |
| Amazon SNS | Impossible d'accéder aux rubriques SNS dont le nom est préfixé par : `AMS-``Energon-Topic`, ou. `MMS-Topic` |
| AWS Systems Manager Directeur (SSM) | Impossible de modifier les paramètres SSM préfixés par `ams``mc`, ou. `svc` Impossible d'utiliser l'API SSM sur `SendCommand` des EC2 instances Amazon dont le tag est préfixé par `ams` ou. `mc` |
| AWS Balisage | Vous n'avez accès qu'aux actions de l'API de AWS balisage préfixées par. `Get` |
| AWS Lake Formation | Les actions AWS Lake Formation d'API suivantes sont refusées : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | Vous pouvez uniquement appeler l'action Elastic Inference API. `elastic-inference:Connect` Cette autorisation est incluse dans `customer_sagemaker_admin_policy` le document joint au`customer_sagemaker_admin_role`. Cette action vous donne accès à l'accélérateur Elastic Inference. |
| AWS Shield | Aucun accès à ces services APIs ou à cette console. |
| Amazon Simple Workflow Service | Aucun accès à ces services APIs ou à cette console. |
# Infrastructure de provisionnement en mode AMS Developer
Les utilisateurs qui ne possèdent pas le rôle IAM en mode développeur`AWSManagedServicesDevelopmentRole`, dans les comptes où le mode développeur est activé, sont tenus de suivre le processus de gestion des modifications AMS Advanced qui tire parti d'AMS Advanced. AMIs Les utilisateurs ayant le bon rôle (**MALZ** :`AWSManagedServicesDevelopmentRole`, **SALZ** :`customer_developer_role`) peuvent utiliser le système de gestion des modifications AMS Advanced et AMS Advanced, AMIs mais ce n'est pas obligatoire.
**Note**
Une AWS AMI qui n'a pas été traitée via l'ingestion de charge de travail AMS Advanced ou qui n'a pas été créée dans un compte AMS Advanced n'inclura pas les configurations requises par AMS Advanced.
# Contrôles Detective en mode AMS Developer
Cette section a été supprimée car elle contient des informations sensibles relatives à la sécurité AMS. Ces informations sont disponibles dans la **documentation** de la console AMS. Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Journalisation, surveillance et gestion des événements en mode AMS Developer
La journalisation, la surveillance et la gestion des événements ne sont pas disponibles pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ni pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur.
# Gestion des incidents en mode AMS Developer
Aucune modification des délais de réponse aux incidents. La résolution des incidents est la meilleure solution pour les ressources mises en service en dehors du processus de gestion des modifications, ou pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur.
**Note**
Le contrat de niveau de service (SLA) AMS ne s'applique pas aux ressources créées ou mises à jour en dehors du système de gestion des modifications AMS (demandes de modification ou RFCs), mode développeur inclus ; par conséquent, les ressources mises à jour ou créées en mode développeur sont automatiquement dégradées au niveau P3 et le support AMS fait de son mieux.
# Gestion des correctifs en mode AMS Developer
La gestion des correctifs n'est pas disponible pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ni pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur. Délais d'application des correctifs :
+ Pour une mise à jour de sécurité critique : dans les 10 jours ouvrables suivant la publication par le fournisseur pour les ressources fournies dans le cadre de la gestion des modifications, puis modifiées par un compte à l'aide des autorisations du mode développeur.
+ Pour une mise à jour importante : dans les 2 mois suivant la publication par le fournisseur pour les ressources fournies par le biais de la gestion des modifications, puis modifiées par un compte à l'aide des autorisations du mode développeur.
# Gestion de la continuité en mode AMS Developer
La gestion de la continuité n'est pas disponible pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ni pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur.
Le délai de lancement de la restauration de l'environnement peut prendre jusqu'à 12 heures pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ou pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur.
# Gestion de la sécurité et des accès en mode AMS Developer
La protection contre les programmes malveillants est de votre responsabilité pour les ressources mises en service en dehors du processus de gestion des modifications AMS Advanced, ou pour les ressources fournies par le biais de la gestion des modifications puis modifiées par un compte à l'aide des autorisations du mode développeur. L'accès aux instances Amazon Elastic Compute Cloud (Amazon EC2) non provisionnées via AMS Advanced change management peut être contrôlé par des paires de clés au lieu de fournir un accès fédéré.
# Mode de provisionnement en libre-service dans AMS
Le mode Self-Service Provisioning (SSP) d'AWS Managed Services (AMS) fournit un accès complet aux fonctionnalités natives des AWS services et des API dans les comptes gérés par AMS. Vous accédez aux services par le biais de Gestion des identités et des accès AWS rôles standardisés et délimités. AMS prend en charge les demandes de service et la gestion des incidents. Les alertes, la surveillance, la journalisation, les correctifs, les sauvegardes et la gestion des modifications relèvent de votre responsabilité. Dans de nombreux cas, les services de provisionnement en libre-service (SSPS) sont autogérés, c'est-à-dire sans serveur, et ne nécessitent pas la gestion de certaines tâches opérationnelles telles que l'application de correctifs. Vous bénéficiez de l'utilisation de ces services dans les limites de l'environnement définies par AMS Guardrails et toute modification de l'IAM (y compris les rôles liés aux services, les rôles de service, les rôles entre comptes ou les mises à jour des politiques) doit être approuvée par AMS Operations afin de maintenir la sécurité de base de la plateforme. Vous pouvez utiliser des CloudFormation modèles pour automatiser le déploiement de ces services, mais cela n'est pas pris en charge pour tous les services SSP.
**Important**
Utilisez le mode SSP dans vos comptes AWS Managed Services (AMS) pour accéder aux AWS services et les utiliser, avec les restrictions indiquées.
Il y en a Services AWS que vous pouvez utiliser sans gestion AMS, dans votre compte AMS. Les services du mode Self-Service Provisioning, ou SSPS en abrégé, comment les ajouter à votre compte AMS et FAQs pour chacun d'entre eux, sont décrits dans la section.
Les services d'approvisionnement en libre-service sont proposés tels quels, et vous êtes responsable de leur gestion. AMS ne fournit aucune alerte, surveillance, journalisation ou application de correctifs pour les ressources associées à ces services. AMS fournit des rôles IAM qui vous permettent d'utiliser le service dans votre compte AMS en toute sécurité. Les AMS SLAs ne s'appliquent pas.
Pour les ressources que vous fournissez en libre-service, AMS fournit la gestion des incidents, les contrôles de détection et les garde-fous, les rapports, les ressources désignées (Cloud Service Delivery Manager et Cloud Architect), la sécurité et l'accès, ainsi que le support technique via les demandes de service. En outre, le cas échéant, vous assumez la responsabilité de la gestion de la continuité, de la gestion des correctifs, de la surveillance de l'infrastructure et de la gestion des modifications pour les ressources fournies ou configurées en dehors du système de gestion des modifications AMS.
# Commencer à utiliser le mode SSP dans AMS
Le provisionnement en libre-service est l'un des modes AMS que vous pouvez utiliser pour les zones d'atterrissage multicomptes (MALZ). Pour de plus amples informations, veuillez consulter [Vue d'ensemble des modes](ams-modes-ug.md).
Pour fournir des fonctionnalités de provisionnement en libre-service, AMS a créé des rôles IAM élevés avec des limites d'autorisation afin de limiter les modifications involontaires liées à l'accès direct. Service AWS Les rôles n'empêchent pas tous les changements et vous devez respecter vos contrôles internes et vos politiques de conformité, et vérifier que tous Services AWS ceux utilisés répondent aux certifications requises. Il s'agit du mode de provisionnement en libre-service. Pour plus de détails sur les exigences de AWS conformité, voir [AWS Conformité](https://aws.amazon.com/compliance/).
Pour ajouter un service d'approvisionnement en libre-service à votre compte d'application de zone d'atterrissage multi-comptes, utilisez le service **Gestion \$1 AWS Service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (CT), soit le CT requis pour la révision, soit le CT automatique, comme indiqué pour le service**.
**Note**
Pour demander à AMS de fournir un service de provisionnement en libre-service supplémentaire, déposez une demande de service.
# Utilisez AMS SSP pour configurer Amazon API Gateway sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon API Gateway directement depuis votre compte géré AMS. [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) est un service entièrement géré qui permet aux développeurs de créer, publier, gérer, surveiller et sécuriser facilement APIs à n'importe quelle échelle. À l'aide de REST, AWS Management Console vous pouvez créer une porte d'entrée WebSocket APIs permettant aux applications d'accéder aux données, à la logique métier ou aux fonctionnalités de vos services principaux, tels que les charges de travail exécutées sur Amazon Elastic Compute Cloud EC2 ([Amazon](https://aws.amazon.com/ec2/)), le code exécuté sur [AWS Lambda](https://aws.amazon.com/lambda/)n'importe quelle application Web ou les applications de communication en temps réel.
API Gateway gère toutes les tâches liées à l'acceptation et au traitement de centaines de milliers d'appels d'API simultanés, notamment la gestion du trafic, le contrôle des autorisations et des accès, la surveillance et la gestion des versions d'API. API Gateway n'impose aucun frais minimum ni aucun coût de démarrage. Vous ne payez que pour les appels d'API que vous recevez et pour la quantité de données transférées. Grâce au modèle de tarification échelonnée d'API Gateway, vous pouvez réduire vos coûts à mesure que votre utilisation des API augmente. Pour en savoir plus, consultez [Amazon API Gateway](https://aws.amazon.com/api-gateway/).
## FAQ : API Gateway dans AMS
**Q : Comment puis-je demander l'accès à Amazon API Gateway depuis mon compte AMS ?**
Demandez l'accès à API Gateway en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_apigateway_author_role` et. `customer_apigateway_cloudwatch_role` Une fois les rôles configurés dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon API Gateway sur mon compte AMS ?**
+ La configuration d'API Gateway est limitée aux ressources sans préfixes `AMS-` ou sans `MC-` préfixes afin d'empêcher toute modification de l'infrastructure AMS.
+ `CREATE`les privilèges pour VPCLink sont désactivés afin d'empêcher la création non réglementée d'Elastic Load Balancers. VPCLinks Si nécessaire, consultez [Application Load Balancer \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-application-load-balancer-create.html) Create.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon API Gateway dans mon compte AMS ?**
Cela dépend du type d'API Gateway que vous souhaitez déployer. Il peut s'agir d'un service autonome, mais il peut également demander l'accès à des services existants (par exemple, un équilibreur de charge réseau).
# Utilisez AMS SSP pour approvisionner Alexa for Business sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Alexa for Business directement depuis votre compte géré par AMS. Alexa for Business est un service qui permet à votre entreprise et à vos employés d'utiliser Alexa pour travailler davantage. Avec Alexa for Business, vous pouvez utiliser Alexa comme assistante intelligente pour être plus productif dans les salles de réunion, à votre bureau et même avec les appareils Alexa que vous utilisez déjà à la maison ou en déplacement. Les responsables informatiques et des installations peuvent utiliser Alexa for Business pour mesurer et augmenter l'utilisation des salles de réunion existantes sur leur lieu de travail.
Pour en savoir plus, consultez [Alexa for Business](https://aws.amazon.com/alexaforbusiness/).
## FAQ sur Alexa for Business dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Alexa for Business depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_alexa_console_role` Un `customer_alexa_device_setup_user` est également créé pour l'outil de configuration des appareils fourni par Alexa for Business ; cet outil de configuration des appareils peut ensuite être utilisé pour configurer vos appareils. Une fois les rôles configurés dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
La passerelle Alexa for Business vous permet de connecter Alexa for Business à vos terminaux Cisco Webex et Poly Group Series pour contrôler les réunions avec votre voix. Le logiciel de passerelle fonctionne sur votre matériel sur site et transmet en toute sécurité les directives de conférence d'Alexa for Business à votre terminal Cisco. La passerelle a besoin de deux paires d' AWS informations d'identification pour communiquer avec Alexa for Business. Nous fournissons deux utilisateurs IAM à accès limité : `customer_alexa_gateway_installer_user` et `customer_alexa_gateway_execution_user` pour vos passerelles Alexa for Business, l'un pour l'installation de la passerelle et l'autre pour l'exploitation de la passerelle ; ceux-ci peuvent être demandés en soumettant une RFC avec le type de changement Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Create entity or policy (automatisation gérée) de type (automatisation gérée) (ct-3dpd8mdd9jn1r).
**Note**
Pour générer des rapports d'utilisation et les envoyer à Amazon S3, spécifiez le nom du compartiment Amazon S3 dans la RFC du service auto-provisionné.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Alexa for Business sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités d'Alexa for Business sont disponibles avec le rôle de service autonome Alexa for Business.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Alexa for Business sur mon compte AMS ?**
+ Si vous avez l'intention WPA2 d'utiliser le Wi-Fi d'entreprise pour configurer vos appareils partagés, spécifiez ce type de sécurité réseau dans l'outil de configuration des appareils, pour lequel un AWS Autorité de certification privée est requis.
+ AMS crée uniquement des clés secrètes qui commencent par l'espace de noms « A4B ». Ceci est limité uniquement à cet espace de noms.
**Q : Quelles fonctionnalités d'Alexa for Business doivent être séparées RFCs ?**
Pour enregistrer un appareil Alexa Voice Service (AVS) auprès d'Alexa for Business, donnez accès au créateur d'appareils intégré Alexa. Pour ce faire, un rôle IAM doit être créé dans la console Alexa for Business qui peut être déployé à l'aide du type de modification Management \$1 Other \$1 Other. Cela permet au fabricant d'appareils AVS d'enregistrer et de gérer des appareils auprès d'Alexa for Business en votre nom.
# Utilisez AMS SSP pour approvisionner Amazon WorkSpaces Applications sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon WorkSpaces Applications (WorkSpaces Applications) directement depuis votre compte géré AMS. WorkSpaces Les applications vous permettent de déplacer vos applications de bureau vers AWS, sans les réécrire. Vous pouvez installer vos applications sur WorkSpaces Applications, définir des configurations de lancement et mettre vos applications à la disposition des utilisateurs. WorkSpaces Applications propose une large sélection d'options de machine virtuelle afin que vous puissiez sélectionner le type d'instance qui correspond le mieux aux exigences de votre application et définir les paramètres de mise à l'échelle automatique afin de répondre facilement aux besoins de vos utilisateurs finaux. WorkSpaces Les applications vous permettent de lancer des applications sur votre propre réseau, ce qui signifie que vos applications peuvent interagir avec vos AWS ressources existantes.
Amazon WorkSpaces Applications vous permet d'installer, de tester et de mettre à jour rapidement et facilement vos applications à l'aide du générateur d'images. Toutes les applications qui s'exécutent sous Microsoft Windows Server 2012 R2, Windows Server 2016 ou Windows Server 2019 sont prises en charge et vous n'avez pas besoin d'apporter de modifications. Une fois les tests terminés, vous pouvez définir les configurations de lancement des applications, les paramètres utilisateur par défaut et publier votre image pour que les utilisateurs puissent y accéder.
Pour en savoir plus, consultez la section [WorkSpaces Applications](https://aws.amazon.com/appstream2/).
## WorkSpaces FAQ sur les applications dans AWS Managed Services
**Q : Comment puis-je demander l'accès aux WorkSpaces applications depuis mon compte AMS ?**
Demandez l'accès aux WorkSpaces applications en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_appstream_console_role`
A `customer_appstream_stream_role` est également déployé pour diffuser des applications qui nécessitent que les utilisateurs soient authentifiés à l'aide de leurs informations de connexion Active Directory.
Une fois les rôles configurés dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation WorkSpaces des applications sur mon compte AMS ?**
+ Les fonctionnalités suivantes doivent être configurées par l'équipe de Support AMS et nécessitent des fonctionnalités spécifiques RFCs. Les instructions relatives à la demande de fonctionnalités supplémentaires se trouvent dans la section 4.
+ Création et diffusion à partir de points de terminaison VPC d'interface.
+ Support des points de terminaison Amazon S3 pour les dossiers personnels et la persistance des paramètres d'application sur un réseau privé.
+ Création et choix du rôle IAM qui sera disponible sur toutes les instances de streaming de flotte.
+ Joindre WorkSpaces des flottes d'applications et des générateurs d'images aux domaines Microsoft Active Directory.
+ Création de rapports d'utilisation personnalisés pour les WorkSpaces applications.
+ L'image de marque personnalisée n'est actuellement pas prise en charge.
**Q : Quels sont les prérequis ou les dépendances pour utiliser WorkSpaces les applications dans mon compte AMS ?**
Lorsque vous soumettez la RFC aux WorkSpaces applications intégrées, incluez le nom du compartiment Amazon S3 à utiliser pour le rapport d'utilisation WorkSpaces des applications. Le nom du bucket est ajouté au `customer-appstream-usagereports-policy` bucket créé lors de l' WorkSpaces intégration des applications.
**Q : Quelles fonctionnalités WorkSpaces des applications doivent être séparées RFCs ?**
+ Afin de choisir un point de terminaison VPC d'interface pour les WorkSpaces applications, soumettez une RFC de type Management \$1 Other \$1 Other \$1 Update pour créer un point de terminaison VPC dans votre compte. Pour savoir comment créer des points de terminaison personnalisés pour les WorkSpaces applications, consultez la section [Création et diffusion à partir de points de terminaison VPC d'interface](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html) dans WorkSpaces le guide de l'utilisateur des applications.
+ Support des points de terminaison Amazon S3 pour les dossiers personnels et la persistance des paramètres d'application sur un réseau privé ; il suffit de demander des points de terminaison VPC Amazon S3 à l'aide d'une RFC de type Management \$1 Other \$1 Other \$1 Create change. La RFC doit inclure le compartiment Amazon S3 cible hébergeant le contenu du dossier de base ou les paramètres de l'application (compartiments Amazon S3), respectivement. Cette RFC fournira aux WorkSpaces applications les autorisations dont elles ont besoin pour accéder aux points de terminaison Amazon S3 VPC. Pour savoir comment créer des points de terminaison personnalisés pour les flux, consultez la section [Utilisation des points de terminaison Amazon S3 VPC pour les dossiers personnels et la persistance des paramètres d'application](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html) dans WorkSpaces le guide de l'utilisateur des applications.
+ Pour créer et choisir un rôle IAM qui sera disponible sur toutes les instances de streaming de flotte, soumettez une RFC Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Create entity or policy (automatisation gérée) (ct-3dpd8mdd9jn1r) demandant le rôle IAM avec la politique requise. Le nom du rôle IAM doit toujours commencer par le préfixe « customer\$1appstream ».
+ WorkSpaces Les flottes et les générateurs d'images Amazon Applications peuvent être joints à des domaines dans Microsoft Active Directory en soumettant une RFC de type de modification de type Management \$1 Other \$1 Other \$1 Update pour la création d'un compte de service dans Active Directory (AD). Les autorisations minimales requises pour rejoindre Microsoft Active Directory sont définies dans la documentation WorkSpaces des applications, à la section [Octroi d'autorisations pour créer et gérer des objets informatiques Active Directory](https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions).
+ Afin de créer des rapports d'utilisation WorkSpaces des applications personnalisés, soumettez une RFC de type Management \$1 Other \$1 Other \$1 Create change type demandant ce qui suit :
+ AppStreamUsageReports« Création d'une pile CFN
+ « customer\$1appstream\$1usagereports\$1role » doit être fourni dans le compte
+ Fournissez également les informations suivantes :
+ Fournissez une expression CRON pour planifier l'exécution de Crawler. Par défaut, il est 23h00 UTC tous les jours.
+ L'ARN du compartiment Amazon S3 doit être utilisé pour les résultats des requêtes Athena. Ce compartiment doit avoir le préfixe suivant : `aws-athena-query-results`
+ L'ARN du compartiment Amazon S3 pour les WorkSpaces applications, les rapports d'utilisation et les journaux.
Une fois le rôle configuré, intégrez-le à votre solution de fédération et connectez-vous, puis accédez à Athena pour générer AWS GlueAWS Glue des rapports personnalisés à l'aide du rôle de rapport d'utilisation. Pour plus de détails sur l'utilisation WorkSpaces des rapports d'utilisation des applications, voir [Création de rapports personnalisés et analyse WorkSpaces des données d'utilisation des](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-custom-reports-analyze-usage-data.html) applications dans la documentation WorkSpaces des applications.
# Utilisez AMS SSP pour approvisionner Amazon Athena sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Athena (Athena) directement depuis votre compte géré AMS. Athena est un service de requête interactif qui vous aide à analyser les données dans Amazon S3 à l'aide du SQL standard. Athena fonctionnant sans serveur, vous n'avez pas d'infrastructure à gérer et vous ne payez que pour les requêtes que vous exécutez. Vous pointez sur vos données dans Amazon S3, vous définissez le schéma et vous lancez des requêtes à l'aide du SQL standard. La plupart des résultats sont fournis en quelques secondes. Avec Athena, vous n'avez pas besoin de tâches complexes extract-transform-load (ETL) pour préparer vos données en vue de leur analyse. Cela permet à toute personne possédant des compétences en SQL d'analyser rapidement des ensembles de données à grande échelle. Pour en savoir plus, consultez [Amazon Athena](https://aws.amazon.com/athena/).
## FAQ : Athéna dans AMS
**Q : Comment puis-je demander l'accès à Amazon Athena depuis mon compte AMS ?**
Demandez l'accès à Athena en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_athena_console_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Athena sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités d'Amazon Athena sont disponibles sur votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Athena dans mon compte AMS ?**
Athena dépend largement du AWS Glue service, car il utilise les données catalog/metastore créées avec. AWS Glue Par conséquent, AWS Glue les autorisations sont incluses dans la RFC Athena réussie.
Le rôle `customer_athena_console_role` a une condition préalable pour un compartiment Amazon S3. Pour créer un nouveau compartiment, utilisez le CT automatisé `ct-1a68ck03fn98r` (Déploiement \$1 Composants de pile avancés \$1 Stockage S3 \$1 Création). Lorsque vous utilisez ce scanner automatisé pour créer un compartiment S3 pour Athena, le nom du compartiment doit commencer par un préfixe. `athena-query-results-*`
# Utilisez AMS SSP pour approvisionner Amazon Bedrock sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Bedrock directement dans votre compte géré AMS. Amazon Bedrock est un service entièrement géré qui met à votre AWS disposition des modèles de base très performants (FMs) issus de startups spécialisées dans l'IA via une API unifiée. Vous pouvez choisir parmi une large gamme de modèles de fondation pour trouver le modèle le mieux adapté à votre cas d’utilisation. Amazon Bedrock propose également un large éventail de fonctionnalités permettant de créer des applications d’IA générative alliant sécurité, confidentialité et IA responsable. Avec Amazon Bedrock, vous pouvez facilement expérimenter et évaluer les meilleurs modèles de fondation adaptés à vos cas d’utilisation, les personnaliser en privé avec vos données à l’aide de techniques telles que l’affinement et la génération augmentée de récupération (RAG), et créer des agents qui exécutent des tâches à l’aide des systèmes et des sources de données de votre entreprise.
Grâce à l'expérience sans serveur d'Amazon Bedrock, vous pouvez démarrer rapidement, personnaliser en privé les modèles de base avec vos propres données, les intégrer et les déployer facilement et en toute sécurité dans vos applications à l'aide des outils AWS sans avoir à gérer d'infrastructure. Pour plus d’informations, consultez [Amazon Bedrock](https://aws.amazon.com/bedrock/).
## FAQ : Amazon Bedrock dans AMS
**Q : Comment puis-je demander l'accès à Amazon Bedrock depuis mon compte AMS ?**
Pour demander l'accès à Amazon Bedrock, soumettez une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_bedrock_console_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Bedrock sur mon compte AMS ?**
+ Les bases de connaissances Amazon Bedrock ne sont pas prises en charge par défaut dans le cadre du rôle SSPS en raison de leur dépendance à l'égard d'Amazon OpenSearch Service Serverless, qui n'est actuellement pas pris en charge sur AMS.
+ Bedrock Studio n'est pas pris en charge car il dépend de services non pris en charge tels qu'Amazon. DataZone
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Bedrock dans mon compte AMS ?**
+ Les modèles d'abonnement tiers qui nécessitent AWS Marketplace des autorisations doivent être effectués par le rôle par défaut (`AWSManagedServicesAdminRole`sur MALZ et `Customer_ReadOnly_Role` sur SALZ). Cela est dû au fait que le rôle par défaut inclut AWS Marketplace les autorisations.
+ Si le chiffrement des données est utilisé, vous devez fournir l'ARN de la AWS KMS clé lorsque vous demandez la création du rôle de console. En outre, le nom du bucket Amazon S3 utilisé doit comporter « bedrock ».
# Utilisez AMS SSP pour approvisionner Amazon sur CloudSearch votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux CloudSearch fonctionnalités d'Amazon directement depuis votre compte géré par AMS. Amazon CloudSearch est un service géré dans le AWS cloud que vous utilisez de manière rentable pour configurer, gérer et faire évoluer une solution de recherche pour votre site Web ou votre application. Amazon CloudSearch prend en charge 34 langues et propose des fonctionnalités de recherche populaires telles que le surlignage, la saisie semi-automatique et la recherche géospatiale. Pour en savoir plus, consultez [Amazon CloudSearch](https://aws.amazon.com/cloudsearch/).
**Note**
AWS a fermé l'accès des nouveaux clients à Amazon CloudSearch à compter du 25 juillet 2024. Les clients CloudSearch existants d'Amazon peuvent continuer à utiliser le service normalement. AWS continue d'investir dans l'amélioration de la sécurité, de la disponibilité et des performances d'Amazon CloudSearch, mais nous ne prévoyons pas d'introduire de nouvelles fonctionnalités.
Pour comprendre les différences entre Amazon CloudSearch et Amazon OpenSearch Service, et pour savoir comment passer à OpenSearch Service, contactez votre architecte cloud (CA) pour obtenir des conseils. Pour plus d'informations sur la transition vers le OpenSearch service, consultez la section [Transition d'Amazon CloudSearch vers le OpenSearch service Amazon Service](https://aws.amazon.com/blogs/big-data/transition-from-amazon-cloudsearch-to-amazon-opensearch-service/).
## FAQ sur Amazon CloudSearch dans AWS Managed Services
**Q : Comment puis-je demander l'accès CloudSearch à Amazon via mon compte AMS ?**
Demandez l'accès à Amazon CloudSearch en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_csearch_admin_role` et. `customer_csearch_dev_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon sur CloudSearch mon compte AMS ?**
Toutes les fonctionnalités d'Amazon CloudSearch sont disponibles dans votre compte AMS. Toutes les solutions de base de données prises en charge par AMS sont actuellement prises en charge sur Amazon. CloudSearch Notez qu'à l'heure actuelle, DynamoDB est la seule solution de base de données AWS gérée qui ne peut pas être indexée.
**Q : Quelles sont les conditions préalables ou les dépendances pour utiliser Amazon CloudSearch dans mon compte AMS ?**
Amazon CloudSearch dépend de la collaboration d'Amazon S3 avec les fournisseurs d'identité pour analyser automatiquement les données d'entrée et déterminer les champs de la table. L'accès à Amazon S3 n'est pas fourni avec cette RFC et doit être demandé séparément dans une demande de service.
# Utilisez AMS SSP pour approvisionner Amazon CloudWatch Synthetics sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Synthetics directement CloudWatch depuis votre compte géré AMS. Vous pouvez utiliser Amazon CloudWatch Synthetics pour créer des « canaris » afin de surveiller vos points de terminaison et. APIs
Les canaries sont des scripts configurables, écrits en Node.js ou Python, qui s'exécutent selon un calendrier. Ils créent des fonctions Lambda dans votre compte qui utilisent Node.js ou Python comme cadre. Les scripts Canary fonctionnent sur les protocoles HTTP et HTTPS. Les canaris vérifient la disponibilité et la latence de vos terminaux et peuvent stocker les données relatives au temps de chargement et les captures d'écran de l'interface utilisateur. Ils surveillent votre REST APIs et le contenu de votre site Web, et ils peuvent détecter les modifications non autorisées dues au phishing, à l'injection de code et aux scripts intersites. URLs
Les Canaries suivent les mêmes itinéraires et effectuent les mêmes actions qu'un client, ce qui vous permet de vérifier en permanence votre expérience client, même lorsque vos applications n'ont aucun trafic client. En utilisant les scripts Canary, vous pouvez découvrir les problèmes avant vos clients. Pour en savoir plus, consultez [Amazon CloudWatch : Utilisation de la surveillance synthétique](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html).
## FAQ sur Amazon CloudWatch Synthetics dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon CloudWatch Synthetics depuis mon compte AMS ?**
Demandez l'accès à Amazon CloudWatch Synthetics en soumettant une RFC avec le type de modification Management AWS \$1 service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte : « customer\$1cw\$1synthetics\$1console\$1role » et « customer\$1cw\$1synthetics\$1canary\$1lambda\$1role ». Une fois configuré dans votre compte, vous devez intégrer le rôle « customer\$1cw\$1synthetics\$1console\$1role » dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon CloudWatch Synthetics sur mon compte AMS ?**
Il n'existe aucune restriction quant à l'utilisation d'Amazon CloudWatch Synthetics dans votre compte AMS. Il est interdit de créer des rôles pour les canaris en dehors du rôle de service fourni par AMS « customer\$1cw\$1synthetics\$1canary\$1lambda\$1role ».
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon CloudWatch Synthetics dans mon compte AMS ?**
Les canaris créent et utilisent un compartiment Amazon CloudWatch Synthetics S3 par défaut : "- - » cw-syn-results *\$1\$1accountnumber\$1* *\$1\$1default-region\$1*
# Utilisez AMS SSP pour approvisionner des groupes d'utilisateurs Amazon Cognito sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités des groupes d'utilisateurs Amazon Cognito directement depuis votre compte géré AMS. Les groupes d'utilisateurs Amazon Cognito fournissent un répertoire d'utilisateurs sécurisé pouvant accueillir des centaines de millions d'utilisateurs. En tant que service entièrement géré, les groupes d'utilisateurs d'Amazon Cognito peuvent être configurés sans avoir à se soucier de la mise en place d'une infrastructure de serveur. Ce service vous permet de gérer un pool d'utilisateurs finaux que vous pouvez utiliser pour l'intégrer à vos applications internes. Ce service vous offre une alternative à une base de données personnalisée ou à un annuaire des utilisateurs finaux pour les applications Web ou mobiles. Dans le même temps, les groupes d'utilisateurs Amazon Cognito fournissent l'ensemble complet des fonctionnalités d'un service d'annuaire, telles que les politiques relatives aux mots de passe, l'authentification multifactorielle, la récupération des mots de passe et l'auto-inscription aux services. Cela permet également à l'application de fédérer l'accès dans d'autres services publics populaires tels qu'OpenID, Facebook, Amazon ou Google.
Amazon Cognito est divisé en deux produits principaux. Groupes d'utilisateurs Amazon Cognito et fournisseur d'identité Amazon Cognito. Cette section se concentre sur les groupes d'utilisateurs Amazon Cognito, qui donnent accès à d'autres AWS services tels qu'Amazon S3 ou DynamoDB. Le service vous permet d'utiliser des groupes d'utilisateurs Amazon Cognito, ou un fournisseur d'identité tiers, pour fournir un accès aux AWS services. Il permet également d'accéder aux AWS services en utilisant un accès invité anonyme. En raison de la puissance des groupes d'utilisateurs d'Amazon Cognito, ceux-ci seraient gérés manuellement sous la forme d' case-by-caseun service manuel d'utilisation, afin d'éviter d'éventuelles failles de sécurité dans le compte. Pour en savoir plus, consultez la section [Groupes d'utilisateurs Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html).
## FAQ sur les groupes d'utilisateurs Amazon Cognito dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès aux groupes d'utilisateurs Amazon Cognito sur mon compte AMS ?**
La mise en œuvre des groupes d'utilisateurs Amazon Cognito dans AMS est un processus en deux étapes :
1. Soumettez un type de modification Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) et demandez la création des groupes d'utilisateurs Amazon Cognito dans votre compte AMS. Incluez les informations suivantes :
+ AWS Région.
+ Nom du groupe d'utilisateurs Cognito.
+ Si vous souhaitez utiliser Amazon Simple Email Service (Amazon SES) pour envoyer des messages et des notifications au lieu du service de messagerie interne Cognito par défaut, le client doit fournir une adresse e-mail déjà validée pour le service Amazon SES dans le compte. Cette adresse sera utilisée pour les champs « De » et « REPLY-TO » du message. Ils doivent également indiquer la région dans laquelle Amazon SES a été activé (us-east-1, eu-west-1 ou us-west-2).
+ Si vous souhaitez utiliser des SMS pour des mots de passe à usage unique et pour la vérification, le client doit l'indiquer.
1. Demandez l'accès utilisateur en soumettant un type de gestion \$1 AWS service \$1 service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_cognito_admin_role` et. `customer_cognito_importjob_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération. Ces rôles vous permettent de gérer les groupes d'utilisateurs Amazon Cognito, de gérer vos utilisateurs et groupes dans le pool, de créer des tâches d'importation pour les utilisateurs, de modifier les messages de notification et d'abonnement, d'associer des applications au groupe d'utilisateurs, de gérer vous-même l'ajout de services de fédération au pool et de supprimer des pools déjà créés.
**Q : Quelles sont les restrictions relatives à l'utilisation des groupes d'utilisateurs Amazon Cognito dans mon compte AMS ?**
Vous ne serez pas en mesure de créer les groupes d'utilisateurs Amazon Cognito. Cette action nécessite la création de rôles IAM pour tirer parti des services utilisés par Amazon Cognito, tels qu'Amazon SES et Amazon Simple Notification Service (Amazon SNS).
**Q : Quels sont les prérequis ou les dépendances pour utiliser les groupes d'utilisateurs Amazon Cognito dans mon compte AMS ?**
Si vous souhaitez utiliser Amazon SES pour envoyer des messages et des notifications par e-mail à vos groupes d'utilisateurs, ils doivent déjà activer le service Amazon SES dans le compte et valider l'adresse e-mail qui doit être utilisée dans les champs « FROM » et « REPLY-TO » des e-mails envoyés. Pour plus d'informations sur la validation des adresses e-mail à l'aide d'Amazon SES, consultez la section [Vérification des adresses e-mail dans Amazon SES.](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-email-addresses.html)
# Utilisez AMS SSP pour approvisionner Amazon Comprehend sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Comprehend directement dans votre compte géré AMS. Amazon Comprehend est un service de traitement du langage naturel (NLP) qui utilise l'apprentissage automatique pour trouver des informations et des relations dans le texte. Aucune expérience en apprentissage automatique n'est requise. Amazon Comprehend utilise le machine learning pour vous aider à découvrir les informations et les relations contenues dans vos données non structurées. Le service identifie la langue du texte, extrait des phrases, des lieux, des personnes, des marques ou des événements clés, comprend le caractère positif ou négatif du texte, analyse le texte à l'aide de la tokenisation et de parties du discours, et organise automatiquement une collection de fichiers texte par sujet. Vous pouvez également utiliser les fonctionnalités AutoML d'Amazon Comprehend pour créer un ensemble personnalisé d'entités ou de modèles de classification de texte spécialement adaptés aux besoins de votre organisation. Pour en savoir plus, consultez [Amazon Comprehend](https://aws.amazon.com/comprehend/).
## FAQ sur Amazon Comprehend dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon Comprehend depuis mon compte AMS ?**
La console Amazon Comprehend et les rôles d'accès aux données peuvent être demandés en soumettant deux services AMS : RFCs
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_comprehend_console_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Comprehend sur mon compte AMS ?**
La fonctionnalité Create New IAM Role via la console Amazon Comprehend est restreinte. Sinon, toutes les fonctionnalités d'Amazon Comprehend sont disponibles sur votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Comprehend dans mon compte AMS ?**
Amazon S3 et AWS Key Management Service (AWS KMS) sont nécessaires pour utiliser Amazon Comprehend, si les compartiments Amazon S3 sont chiffrés à l'aide de clés. AWS KMS
# Utilisez AMS SSP pour approvisionner Amazon Connect sur votre compte AMS
**Note**
Après mûre réflexion, nous avons décidé de mettre fin à la prise en charge d’Amazon Connect Voice ID à compter du 20 mai 2026. Amazon Connect Voice ID n’acceptera plus de nouveaux clients à compter du 20 mai 2025. En tant que client existant disposant d’un compte créé pour ce service avant le 20 mai 2025, vous pouvez continuer à utiliser les fonctionnalités d’Amazon Connect Voice ID. Après le 20 mai 2026, vous ne pourrez plus utiliser Amazon Connect Voice ID.
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Connect directement depuis votre compte géré par AMS. Amazon Connect est un centre de contact cloud omnicanal qui aide les entreprises à fournir un service client de qualité supérieure à moindre coût. Amazon Connect fournit une expérience fluide via la voix et le chat aux clients et aux agents. Cela inclut un ensemble d'outils pour le routage basé sur les compétences, de puissantes analyses historiques et en temps réel, ainsi que des outils de gestion easy-to-use intuitifs, le tout assorti d'une pay-as-you-go tarification.
Vous pouvez créer une ou plusieurs instances des instances du centre de contact virtuel dans des comptes de zone d'atterrissage multi-comptes AMS ou dans des comptes de zone d'atterrissage à compte unique. Vous pouvez utiliser les fournisseurs d'identité SAML 2.0 existants pour accéder aux agents ou utiliser le support natif d'Amazon Connect pour la gestion du cycle de vie des utilisateurs.
En outre, vous pouvez demander des free/direct numéros de téléphone payants pour chaque instance Amazon Connect depuis la console Amazon Connect. Vous pouvez créer des flux de contacts riches pour obtenir l'expérience client et le routage souhaités à l'aide d'une interface utilisateur easy-to-use graphique. Les flux de contacts peuvent tirer parti de AWS Lambda fonctions pour s'intégrer aux magasins de données et aux API sur site. Vous pouvez également activer le streaming de données à l'aide de Kinesis Streams et Firehose.
Les enregistrements d'appels, les transcriptions de chat et les rapports sont stockés dans un compartiment Amazon S3 chiffré à l'aide d'une AWS KMS clé. Les journaux des flux de contacts peuvent être enregistrés dans des groupes de CloudWatch journaux.
Pour en savoir plus, consultez [Amazon Connect](https://aws.amazon.com/connect/).
## FAQ sur Amazon Connect dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon Connect depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_connect_console_role` et. `customer_connect_user_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Connect sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités d'Amazon Connect sont disponibles sur votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Connect dans mon compte AMS ?**
+ Vous devez créer une AWS KMS clé et un compartiment Amazon S3 à l'aide d'AMS standard RFCs ; le compartiment Amazon S3 est nécessaire pour stocker les enregistrements d'appels et les transcriptions de chat.
+ Si vous souhaitez intégrer Active Directory (AD), un connecteur AD est requis pour l'intégration entre les instances Amazon Connect hébergées par AMS et vos services d'annuaire locaux. L'AD Connector peut être configuré dans votre compte en demandant une RFC « Management \$1 Other \$1 Other ».
+ Vous pouvez activer les services d'auto-approvisionnement facultatifs suivants en fonction de vos besoins en matière de flux de contacts.
+ **AWS Lambda**: vous pouvez utiliser les fonctions Lambda pour étendre les flux de contacts afin de tirer parti des magasins de données sur site existants ou. APIs Vous pouvez utiliser le service Lambda auto-provisionné pour créer les fonctions Lambda.
+ **Amazon Kinesis Data** Streams : vous pouvez créer des flux de données pour permettre le streaming de données vers des applications externes. Vous pouvez diffuser les enregistrements de suivi des contacts ou les événements des agents.
+ **Amazon Kinesis Data** Firehose : vous pouvez créer Data Firehose pour diffuser de gros volumes d'enregistrements de suivi des contacts vers des applications externes.
+ **Amazon Lex** : vous pouvez utiliser les chatbots Amazon Lex pour créer des flux de contacts intelligents en tirant parti des services Amazon Alexa pour une expérience client enrichie et une automatisation.
+ **Q : Comment puis-je demander l'ajout d'une liste de pays pour les appels sortants ou entrants ?**
Pour ajouter une liste de pays pour les appels sortants ou entrants, soumettez une demande de service à AMS.
# Utilisez AMS SSP pour approvisionner Amazon Data Firehose sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Data Firehose directement depuis votre compte géré par AMS. Firehose est le moyen le plus simple de charger de manière fiable des données de streaming dans des lacs de données, des magasins de données et des outils d'analyse. Il peut capturer, transformer et charger des données de streaming dans Amazon S3, Amazon Redshift, Amazon OpenSearch Service et [Splunk](https://aws.amazon.com/kinesis/data-firehose/splunk/), permettant ainsi des analyses en temps quasi réel avec les outils de business intelligence et les tableaux de bord existants que vous utilisez déjà aujourd'hui. Il s'agit d'un service entièrement géré qui s'adapte automatiquement au débit de vos données et ne nécessite aucune administration continue. Il peut également regrouper, compresser, transformer et chiffrer les données avant de les charger, minimisant ainsi la quantité de stockage utilisée à destination et renforçant la sécurité. Pour en savoir plus, consultez [Qu'est-ce qu'Amazon Data Firehose ?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)
## FAQ sur Firehose dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon Data Firehose depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_kinesis_firehose_user_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation de Firehose sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités d'Amazon Data Firehose sont disponibles sur votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Firehose dans mon compte AMS ?**
De nouveaux rôles IAM liés à un service doivent être demandés pour chaque flux de diffusion. Vous pouvez également réutiliser un seul rôle lié à un service pour tous les flux en mettant à jour la politique des rôles avec les autorisations de ressources requises (y compris les compartiments S3, les clés KMS, les fonctions Lambda et les flux Kinesis).
Après avoir soumis le RFC pour ajouter Firehose, un ingénieur des opérations AMS vous contactera par le biais d'une demande de service pour ARNs les ressources que vous souhaitez connecter à Data Firehose (par exemple AWS KMS, S3, Lambda et Kinesis Streams).
# Utilisez AMS SSP pour approvisionner Amazon DevOps Guru sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon DevOps Guru directement depuis votre compte géré par AMS. Amazon DevOps Guru est un service d'exploitation entièrement géré qui permet aux développeurs et aux opérateurs d'améliorer facilement les performances et la disponibilité de leurs applications. DevOpsGuru vous permet de vous décharger des tâches administratives associées à l'identification des problèmes opérationnels afin que vous puissiez rapidement mettre en œuvre des recommandations pour améliorer votre application. DevOpsGuru crée des informations réactives que vous pouvez utiliser pour améliorer votre application dès maintenant. Il crée également des informations proactives pour vous aider à éviter les problèmes opérationnels susceptibles d'affecter votre application à l'avenir. DevOpsGuru applique l'apprentissage automatique pour analyser vos données opérationnelles ainsi que les indicateurs et événements de votre application afin d'identifier les comportements qui s'écartent des modèles de fonctionnement normaux. Vous êtes averti lorsque DevOps Guru détecte un problème ou un risque opérationnel. Pour chaque problème, DevOps Guru présente des recommandations intelligentes pour résoudre les problèmes opérationnels actuels et futurs.
Pour en savoir plus, consultez [Qu'est-ce qu'Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html) ?
## FAQ sur Amazon DevOps Guru dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon DevOps Guru depuis mon compte AMS ?**
Pour demander un accès, soumettez un type de modification Gestion \$1 AWS Service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_devopsguru_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon DevOps Guru sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités d'Amazon DevOps Guru sont disponibles sur votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon DevOps Guru dans mon compte AMS ?**
Il n'y a aucun prérequis. DevOpsGuru exploite les AWS services suivants : Amazon CloudWatch Logs, RDS Insights, AWS X-Ray AWS Lambda, et. AWS CloudTrail
# Utilisez AMS SSP pour approvisionner Amazon DocumentDB (compatible avec MongoDB) sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon DocumentDB (compatible avec MongoDB) directement depuis votre compte géré AMS. Amazon DocumentDB (compatible avec MongoDB) est un service de base de données de documents rapide, évolutif, hautement disponible et entièrement géré qui prend en charge les charges de travail MongoDB. Amazon DocumentDB vous offre les performances, l'évolutivité et la disponibilité dont vous avez besoin pour exécuter des charges de travail MongoDB critiques à grande échelle. Amazon DocumentDB implémente l'API open source MongoDB 3.6 Apache 2.0 en émulant les réponses qu'un client MongoDB attend d'un serveur MongoDB, ce qui vous permet d'utiliser vos pilotes et outils MongoDB existants avec Amazon DocumentDB. Dans Amazon DocumentDB, le stockage et le calcul sont découplés, ce qui permet à chacun d'évoluer indépendamment, et vous pouvez augmenter la capacité de lecture à des millions de requêtes par seconde en ajoutant jusqu'à 15 répliques de lecture à faible latence, quelle que soit la taille de vos données. Amazon DocumentDB est conçu pour garantir une disponibilité de 99,99 % et réplique six copies de vos données dans trois zones de AWS disponibilité (). AZs Vous pouvez utiliser AWS Database Migration Service (DMS) gratuitement (pendant six mois) pour migrer vos bases de données MongoDB sur site ou Amazon Elastic Compute Cloud (Amazon EC2) vers Amazon DocumentDB sans pratiquement aucune interruption de service. Pour en savoir plus, consultez [Amazon DocumentDB (compatible avec MongoDB](https://aws.amazon.com/documentdb/)).
## FAQ sur Amazon DocumentDB dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon DocumentDB depuis mon compte AMS ?**
Les rôles de console et d'accès aux données Amazon DocumentDB peuvent être demandés en soumettant deux AMS RFCs, l'accès à la console et l'accès aux données :
Demandez l'accès à Amazon DocumentDB en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_documentdb_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon DocumentDB dans mon compte AMS ?**
Amazon DocumentDB nécessite des autorisations spécifiques à Amazon RDS. Dans la mesure où AMS gère entièrement Amazon RDS, le rôle IAM d'Amazon DocumentDB inclut certaines restrictions relatives aux actions sur Amazon RDS. Les restrictions suivantes s’appliquent :
+ L'accès au `DeleteDBInstance` et `DeleteDBCluster` APIs a été restreint. Pour utiliser ces suppressions APIs, soumettez une RFC avec le type de modification d'entité ou de politique de mise à jour (automatisation gérée) Management \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Update (automatisation gérée) (ct-27tuth19k52b4).
+ Vous ne pouvez pas ajouter ou supprimer de balises sur les instances Amazon RDS.
+ Vous ne pouvez pas rendre publique votre instance Amazon DocumentDB.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon DocumentDB dans mon compte AMS ?**
Amazon S3 et AWS KMS sont nécessaires pour utiliser Amazon DocumentDB, si les compartiments Amazon S3 sont chiffrés à l'aide de clés. AWS KMS
# Utilisez AMS SSP pour approvisionner Amazon DynamoDB sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon DynamoDB (DynamoDB) directement dans votre compte géré AMS. Amazon DynamoDB est une base de données de documents et de valeurs clés qui fournit des performances à un chiffre en millisecondes à n'importe quelle échelle. Il s'agit d'une base de données multirégionale et multiactive entièrement gérée, dotée de fonctions intégrées de sécurité, de sauvegarde et de restauration, ainsi que de mise en cache en mémoire pour les applications à l'échelle d'Internet. Pour en savoir plus, veuillez consulter la section [Amazon DynamoDB](https://aws.amazon.com/dynamodb/).
Amazon DynamoDB Accelerator (Dax) est un service de mise en cache à écriture simultanée conçu pour simplifier l'ajout d'un cache à des tables DynamoDB. DAX est destiné aux applications qui requièrent des lectures hautement performantes.
## FAQ sur DynamoDB dans AWS Managed Services
**Q : Comment puis-je demander l'accès à DynamoDB et DAX dans mon compte AMS ?**
Demandez l'accès à DynamoDB et DAX en soumettant une RFC avec le type de modification Management AWS \$1 Service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC fournit les rôles et politiques IAM suivants à votre compte :
+ Nom du rôle DynamoDB : `customer_dynamodb_role`
Nom du rôle du service DAX : `customer_dax_service_role`
+ Nom de la politique DynamoDB : `customer_dynamodb_policy`
Politique de service DAX : `customer_dax_service_policy`
Une fois provisionnée dans votre compte, vous devez l'intégrer `customer_dynamodb_role` à votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation de DynamoDB dans mon compte AMS ?**
Toutes les fonctionnalités DynamoDB sont prises en charge, y compris DynamoDB Accelerator (DAX).
Lorsque vous créez des alarmes pour une table donnée, le nom de l'alarme doit être préfixé par « client\$1 » ; par exemple,. `customer-employee-table-high-put-latency`
Lorsque vous créez une rubrique Amazon SNS pour DynamoDB, elle doit être nommée :. `dynamodb`
Pour supprimer la rubrique Amazon SNS créée par DynamoDB, soumettez une RFC de type Management \$1 Other \$1 Other \$1 Update change.
**Q : Quels sont les prérequis ou les dépendances pour utiliser DynamoDB dans mon compte AMS ?**
Il n'existe aucune condition préalable ni dépendance pour utiliser DynamoDB dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner Amazon Elastic Container Registry sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Elastic Container Registry (Amazon ECR) directement depuis votre compte géré AMS. Amazon Elastic Container Registry est un registre de conteneurs [Docker](https://aws.amazon.com/docker/) entièrement géré qui permet aux développeurs de stocker, de gérer et de déployer facilement des images de conteneurs Docker. Amazon ECR est intégré à [Amazon Elastic Container Service (Amazon ECS](https://aws.amazon.com/ecs/)), ce qui simplifie votre flux de travail du développement à la production. Amazon ECR élimine le besoin d'exploiter vos propres référentiels de conteneurs ou de vous soucier de la mise à l'échelle de l'infrastructure sous-jacente. Amazon ECS héberge vos images dans une architecture hautement disponible et évolutive, ce qui vous permet de déployer des conteneurs de manière fiable pour vos applications. L'intégration avec Gestion des identités et des accès AWS (IAM) fournit un contrôle au niveau des ressources de chaque référentiel. Avec Amazon ECR, il n'y a aucun frais initial ni engagement. Vous ne payez que pour la quantité de données que vous stockez dans vos référentiels et de données transférées sur Internet.
Pour en savoir plus, consultez [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/).
## FAQ sur le registre des conteneurs Amazon Elastic dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon ECR depuis mon compte AMS ?**
Demandez l'accès à Amazon ECR en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC fournit les rôles IAM suivants à votre compte :` customer_ecr_console_role`, et `customer_ecr_poweruser_instance_profile` avec les politiques IAM associées, `customer_ecr_console_policy` et`customer_ecr_poweruser_instance_profile_policy`, respectivement. Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon ECR sur mon compte AMS ?**
Il existe des restrictions concernant les espaces de noms AMS pour l'utilisation d'Amazon ECR dans votre compte AMS. Les images du conteneur ne doivent pas être préfixées par « AMS- » ou « Sentinel- ».
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon ECR dans mon compte AMS ?**
Il n'existe aucune condition préalable ni dépendance pour utiliser Amazon ECR dans votre compte AMS.
# Utilisez AMS SSP pour configurer EC2 Image Builder dans votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'EC2 Image Builder directement dans votre compte géré AMS. EC2 Image Builder est un service entièrement AWS géré qui facilite l'automatisation de la création, de la gestion et du déploiement d'images de serveur personnalisées, sécurisées up-to-date et « dorées », préinstallées et préconfigurées avec des logiciels et des paramètres répondant à des normes informatiques spécifiques.
Vous pouvez utiliser la AWS Management Console AWS CLI ou APIs créer des images personnalisées dans votre AWS compte. Lorsque vous utilisez le AWS Management Console, l'assistant Amazon EC2 Image Builder vous guide à travers les étapes pour :
+ Fournir des artefacts de départ
+ Ajouter et supprimer des logiciels
+ Personnaliser les paramètres et les scripts
+ Exécuter les tests sélectionnés
+ Diffuser des images dans les AWS régions
Les images que vous créez sont créées dans votre compte et peuvent être configurées en permanence pour les correctifs du système d'exploitation. Pour en savoir plus, consultez [EC2 Image Builder](https://aws.amazon.com/image-builder/).
## FAQ sur EC2 Image Builder dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à EC2 Image Builder depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Grâce à cette RFC, le rôle IAM suivant sera fourni dans votre compte :. ` customer_ec2_imagebuilder_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à EC2 Image Builder ?**
AMS ne prend pas en charge l'utilisation des valeurs par défaut des services pour la configuration de l'infrastructure. Vous pouvez créer une nouvelle configuration d'infrastructure ou utiliser une configuration existante.
AMS ne prend actuellement pas en charge la création de recettes de conteneurs.
**Q : Quels sont les prérequis ou les dépendances nécessaires pour activer EC2 Image Builder ?**
+ Rôle lié à un service EC2 Image Builder : il n'est pas nécessaire de créer manuellement un rôle lié à un service. Lorsque vous créez votre première ressource Image Builder dans la AWS Management Console AWS CLI ou l' AWS API, Image Builder crée pour vous le rôle lié au service.
+ Les instances utilisées pour créer des images et exécuter des tests à l'aide d'Image Builder doivent avoir accès au service Systems Manager. L'agent SSM sera installé sur l'image source s'il n'est pas déjà présent, et il sera supprimé avant la création de l'image.
+ AWS IAM : le rôle IAM que vous associez à votre profil d'instance doit être autorisé à exécuter les composants de génération et de test inclus dans votre image. Les politiques de rôle IAM suivantes doivent être associées au rôle IAM associé aux profils d'instance : `EC2InstanceProfileForImageBuilder` et. `AmazonSSMManagedInstanceCore` Le nom du rôle IAM doit contenir le `*imagebuilder*` mot clé.
+ Si vous configurez la journalisation, le profil d'instance spécifié dans la configuration de votre infrastructure doit disposer d'`s3:PutObject`autorisations pour le compartiment cible (`arn:aws:s3:::{bucket-name}/*`). Par exemple :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::{bucket-name}/*"
}
]
}
```
------
+ Créez une rubrique SNS nommée « imagebuilder » pour recevoir les alertes et notifications d'EC2 Image Builder.
# Utilisez AMS SSP pour approvisionner Amazon ECS sur AWS Fargate votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Fargate fonctionnalités d'Amazon ECS directement depuis votre compte géré AMS. AWS Fargate est une technologie que vous pouvez utiliser avec Amazon ECS pour exécuter des conteneurs (voir [Conteneurs sur AWS](https://aws.amazon.com/what-are-containers)) sans avoir à gérer des serveurs ou des clusters d'instances Amazon EC2. Ainsi AWS Fargate, vous n'avez plus besoin de provisionner, de configurer ou de dimensionner des clusters de machines virtuelles pour exécuter des conteneurs. Vous n'avez plus à choisir de types de serveurs, décider quand mettre à l'échelle vos clusters ni optimiser les packs de clusters.
Pour en savoir plus, consultez [Amazon ECS sur AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html).
## FAQ sur Amazon ECS sur Fargate dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon ECS sur Fargate depuis mon compte AMS ?**
Demandez l'accès à Amazon ECS sur Fargate en soumettant une RFC avec le type de modification Management AWS \$1 service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC fournit les rôles IAM suivants à votre compte : `customer_ecs_fargate_console_role` (si aucun rôle IAM existant n'est fourni pour associer la politique ECS),, `customer_ecs_fargate_events_service_role``customer_ecs_task_execution_service_role`, `customer_ecs_codedeploy_service_role` et. `AWSServiceRoleForApplicationAutoScaling_ECSService` Une fois les rôles configurés dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon ECS sur Fargate dans mon compte AMS ?**
+ La surveillance et la journalisation des tâches Amazon ECS sont considérées comme relevant de votre responsabilité, car les activités au niveau du conteneur se déroulent au-dessus de l'hyperviseur et les capacités de journalisation sont limitées par Amazon ECS on Fargate. En tant qu'utilisateur d'Amazon ECS sur Fargate, nous vous recommandons de prendre les mesures nécessaires pour activer la journalisation de vos tâches Amazon ECS. Pour plus d'informations, consultez [Activation du pilote de journal awslogs pour vos conteneurs](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs).
+ La sécurité et la protection contre les programmes malveillants au niveau du conteneur sont également considérées comme relevant de votre responsabilité. Amazon ECS on Fargate n'inclut pas Trend Micro ni les composants de sécurité réseau préconfigurés.
+ Ce service est disponible pour les comptes AMS de zone d'atterrissage à comptes multiples et de zone d'atterrissage à compte unique.
+ Amazon ECS [Service Discovery](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html) est limité par défaut dans le rôle d'auto-provisionnement, car des autorisations élevées sont requises pour créer des zones hébergées privées Route 53. Pour activer Service Discovery sur un service, soumettez un type de modification Gestion \$1 Autre \$1 Autre \$1 Mise à jour. Pour fournir les informations requises pour activer Service Discovery pour votre service Amazon ECS, consultez le [manuel Service Discovery](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html).
+ AMS ne gère ni ne limite actuellement les images utilisées pour le déploiement dans des conteneurs sur Amazon ECS Fargate. Vous pourrez déployer des images depuis Amazon ECR, Docker Hub ou tout autre référentiel d'images privé. Par conséquent, nous vous conseillons de ne pas déployer d'images publiques ou non sécurisées, car elles peuvent entraîner une activité malveillante sur le compte.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon ECS sur Fargate dans mon compte AMS ?**
+ Les dépendances d'Amazon ECS par rapport à Fargate sont les suivantes ; toutefois, aucune action supplémentaire n'est requise pour activer ces services avec votre rôle d'auto-approvisionnement :
+ CloudWatch journaux
+ CloudWatch événements
+ CloudWatch alarmes
+ CodeDeploy
+ App Mesh
+ Cloud Map
+ Route 53
+ Selon votre cas d'utilisation, les ressources suivantes sont celles sur lesquelles Amazon ECS s'appuie et peut avoir besoin avant d'utiliser Amazon ECS sur Fargate dans votre compte :
+ Groupe de sécurité à utiliser avec le service Amazon ECS. Vous pouvez utiliser le module Déploiement \$1 Composants de pile avancés \$1 Groupe de sécurité \$1 Créer (auto) (ct-3pc215bnwb6p7) ou, si votre groupe de sécurité nécessite des règles spéciales, utiliser Déploiement \$1 Composants de pile avancés \$1 Groupe de sécurité \$1 Créer (automatisation gérée) (ct-1oxx2g2d7hc90). Remarque : Le groupe de sécurité que vous sélectionnez avec Amazon ECS doit être créé spécifiquement pour Amazon ECS où réside le service ou le cluster Amazon ECS. Pour en savoir plus, consultez la section **Groupe de sécurité** sur [Configuration avec Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html) et [sécurité dans Amazon Elastic Container Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html).
+ Équilibreur de charge d'application (ALB), équilibreur de charge réseau (NLB), équilibreur de charge classique (ELB) pour l'équilibrage de charge entre les tâches.
+ Groupes cibles pour ALBs.
+ Ressources de maillage d'applications (par exemple, routeurs virtuels, services virtuels, nœuds virtuels) à intégrer à votre cluster Amazon ECS.
+ À l'heure actuelle, AMS n'a aucun moyen d'atténuer automatiquement les risques associés à la prise en charge des autorisations des groupes de sécurité lorsqu'ils sont créés en dehors des types de modifications AMS standard. Nous vous recommandons de demander un groupe de sécurité spécifique à utiliser avec votre cluster Fargate afin de limiter la possibilité d'utiliser un groupe de sécurité non conçu pour être utilisé avec Amazon ECS.
# Utilisez AMS SSP pour activer Amazon EKS sur AWS Fargate votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Fargate fonctionnalités d'Amazon EKS directement depuis votre compte géré AMS. AWS Fargate est une technologie qui fournit une capacité de calcul adaptée à la demande pour les conteneurs (pour comprendre les conteneurs, voir [Que sont les conteneurs ?](https://aws.amazon.com/what-are-containers) ). Ainsi AWS Fargate, vous n'avez plus besoin de provisionner, de configurer ou de dimensionner des groupes de machines virtuelles pour exécuter des conteneurs. Vous n'avez plus à choisir de types de serveurs, à décider quand vos clusters doivent être mis à l'échelle, ni à optimiser les packs de clusters.
Amazon Elastic Kubernetes Service (Amazon EKS) intègre AWS Fargate Kubernetes à l'aide de contrôleurs AWS conçus à l'aide du modèle extensible en amont fourni par Kubernetes. Ces contrôleurs s'exécutent dans le cadre du plan de contrôle Kubernetes géré par Amazon EKS et sont chargés de planifier les pods Kubernetes natifs sur Fargate. Les contrôleurs Fargate comprennent un nouveau planificateur qui s'exécute parallèlement au planificateur Kubernetes par défaut, en plus de plusieurs contrôleurs d'admission mutants et validants. Lorsque vous démarrez un pod qui répond aux critères d'exécution sur Fargate, les contrôleurs Fargate exécutés dans le cluster reconnaissent, mettent à jour et programment le pod sur Fargate.
Pour en savoir plus, consultez [Amazon EKS on AWS Fargate Now Generally Available](https://aws.amazon.com/blogs/aws/amazon-eks-on-aws-fargate-now-generally-available/) et le [Guide des meilleures pratiques d'Amazon EKS en matière de sécurité](https://aws.github.io/aws-eks-best-practices/security/docs/) (qui inclut des « recommandations » telles que « Vérifier et révoquer les accès anonymes inutiles », etc.).
**Astuce**
AMS propose un type de modification, Deployment \$1 Advanced stack components \$1 Identity and Access Managment (IAM) \$1 Create OpenID Connect provider (ct-30ecvfi3tq4k3), que vous pouvez utiliser avec Amazon EKS. Pour un exemple, voir [Identity and Access Management (IAM) \$1 Create OpenID](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-openid-connect-provider.html) Connect Provider.
## FAQ sur Amazon EKS sur AWS Fargate AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon EKS sur Fargate depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte.
+ `customer_eks_fargate_console_role`.
Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
+ Ces rôles de service autorisent Amazon EKS on Fargate à appeler d' AWS autres services en votre nom :
+ `customer_eks_pod_execution_role`
+ `customer_eks_cluster_service_role`
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon EKS sur Fargate dans mon compte AMS ?**
+ La création de groupes de nœuds EC2 [gérés](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html) [ou autogérés](https://docs.aws.amazon.com/eks/latest/userguide/worker.html) n'est pas prise en charge dans AMS. Si vous devez utiliser des nœuds de travail EC2, contactez votre responsable de prestation de services cloud (CSDM) ou votre architecte cloud (CA) AMS.
+ AMS n'inclut pas Trend Micro ni les composants de sécurité réseau préconfigurés pour les images de conteneur. Vous devez gérer vos propres services de numérisation d'images afin de détecter les images de conteneur malveillantes avant le déploiement.
+ EKSCTL n'est pas pris en charge en raison des interdépendances. CloudFormation
+ Lors de la création du cluster, vous êtes autorisé à désactiver la journalisation du plan de contrôle du cluster. Pour plus d'informations, consultez [Journalisation du plan de contrôle Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html). Nous vous conseillons d'activer toutes les API, l'authentification et la journalisation d'audit importantes lors de la création du cluster.
+ Lors de la création du cluster, l'accès aux points de terminaison du cluster pour les clusters Amazon EKS est défini par défaut sur public ; pour plus d'informations, consultez la section [Contrôle d'accès aux points de terminaison du cluster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html). Nous recommandons que les points de terminaison Amazon EKS soient définis comme privés. Si des points de terminaison sont requis pour un accès public, il est recommandé de les définir comme publics uniquement pour des plages d'adresses CIDR spécifiques.
+ AMS ne dispose d'aucune méthode pour forcer et restreindre les images utilisées pour le déploiement dans des conteneurs sur Amazon EKS Fargate. Vous pouvez déployer des images depuis Amazon ECR, Docker Hub ou tout autre référentiel d'images privé. Par conséquent, il existe un risque de déploiement d'une image publique susceptible d'entraîner une activité malveillante sur le compte.
+ Le déploiement de clusters EKS via le kit de développement cloud (CDK) ou CloudFormation Ingest n'est pas pris en charge dans AMS.
+ Vous devez créer le groupe de sécurité requis à l'aide de [ct-3pc215bnwb6p7 Déploiement \$1 Composants de pile avancés \$1 Groupe de sécurité \$1 Créer](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-security-group-create.html) et référencer dans le fichier manifeste pour la création d'entrées. Cela est dû au fait que le rôle `customer-eks-alb-ingress-controller-role` n'est pas autorisé à créer des groupes de sécurité.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon EKS sur Fargate dans mon compte AMS ?**
Pour utiliser le service, les dépendances suivantes doivent être configurées :
+ Pour s'authentifier auprès du service, KUBECTL aws-iam-authenticator doit être installé ; pour plus d'informations, consultez la section [Gestion](https://docs.aws.amazon.com/eks/latest/userguide/managing-auth.html) de l'authentification du cluster.
+ Kubernetes repose sur un concept appelé « comptes de service ». Afin d'utiliser la fonctionnalité des comptes de service au sein d'un cluster Kubernetes sur EKS, une RFC Management \$1 Other \$1 Other \$1 Update est requise avec les entrées suivantes :
+ [Obligatoire] Nom du cluster Amazon EKS
+ [Obligatoire] Espace de noms du cluster Amazon EKS dans lequel le compte de service (SA) sera déployé.
+ [Obligatoire] Nom Amazon EKS Cluster SA.
+ [Obligatoire] Nom de la politique IAM et permissions/document à associer.
+ [Obligatoire] Le nom du rôle IAM est demandé.
+ [Facultatif] URL du fournisseur OpenID Connect. Pour plus d’informations, veuillez consulter la rubrique
+ [Activation des rôles IAM pour les comptes de service de votre cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)
+ [Présentation de rôles IAM précis pour les comptes de service](https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/)
+ Nous recommandons que les règles Config soient configurées et surveillées pour
+ Points de terminaison de clusters publics
+ Journalisation de l'API désactivée
Il est de votre responsabilité de surveiller et de corriger ces règles de Config.
Si vous souhaitez déployer un [contrôleur ALB Ingress](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html), soumettez une RFC Management \$1 Other \$1 Other Update pour configurer le rôle IAM nécessaire à utiliser avec le pod ALB Ingress Controller. Les entrées suivantes sont requises pour créer des ressources IAM à associer à ALB Ingress Controller (incluez-les dans votre RFC) :
+ [Obligatoire] Nom du cluster Amazon EKS
+ [Facultatif] URL du fournisseur OpenID Connect
+ [Facultatif] Espace de noms du cluster Amazon EKS dans lequel le service de contrôleur d'entrée de l'équilibreur de charge d'application (ALB) sera déployé. [par défaut : kube-system]
+ [Facultatif] Nom du compte de service Amazon EKS Cluster (SA). [par défaut : aws-load-balancer-controller]
Si vous souhaitez activer le chiffrement des enveloppes secrètes dans votre cluster (ce que nous recommandons), indiquez la clé KMS IDs que vous souhaitez utiliser, dans le champ de description de la RFC pour ajouter le service (Gestion \$1 service \$1 Service auto-provisionné \$1 Ajouter ( AWS ct-1w8z66n899dct). Pour en savoir plus sur le chiffrement des enveloppes, consultez [Amazon EKS ajoute le chiffrement des enveloppes pour les secrets avec AWS KMS](https://aws.amazon.com/about-aws/whats-new/2020/03/amazon-eks-adds-envelope-encryption-for-secrets-with-aws-kms/).
# Utilisez AMS SSP pour approvisionner Amazon EMR sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon EMR directement depuis votre compte géré par AMS. Amazon EMR est la plateforme cloud de pointe pour le traitement de grandes quantités de données à l'aide d'outils open source tels qu'Apache Spark, Apache Hive, Apache, Apache Flink HBase, Apache Hudi et Presto. Avec Amazon EMR, vous pouvez exécuter des analyses à l'échelle du pétaoctet pour moins de la moitié du coût des solutions sur site traditionnelles et plus de 3 fois plus rapidement qu'Apache Spark standard. Pour les tâches de courte durée, vous pouvez faire tourner des clusters vers le haut ou vers le bas et payer à la seconde pour les instances utilisées. Pour les charges de travail de longue durée, vous pouvez créer des clusters hautement disponibles qui s'adaptent automatiquement à la demande.
Vous pouvez créer une ou plusieurs instances des clusters Amazon EMR dans des comptes de zone d'atterrissage multi-comptes AMS ou dans des comptes de zone d'atterrissage à compte unique pour prendre en charge les clusters Amazon EMR transitoires et persistants. Vous pouvez également activer l'authentification Kerberos pour authentifier les utilisateurs à partir du domaine Active Directory local.
Vous pouvez tirer parti de plusieurs magasins de données avec les clusters Amazon EMR pour prendre en charge les outils et bibliothèques Hadoop spécifiques à des cas d'utilisation. Les clusters Amazon EMR peuvent être créés à l'aide d'instances OnDemand ou Spot et configurer le dimensionnement automatique pour gérer la capacité et réduire les coûts.
Les fichiers journaux du cluster peuvent être archivés dans un compartiment Amazon S3 à des fins de journalisation et de débogage. Vous pouvez également accéder aux interfaces Web hébergées dans le cluster Amazon EMR afin de répondre aux exigences d'administration Hadoop ou de créer des carnets de notes pour les clients.
Pour en savoir plus, consultez [Amazon EMR](https://aws.amazon.com/emr/).
## FAQ sur Amazon EMR dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon EMR depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue les rôles IAM suivants à votre compte :
+ `customer_emr_cluster_instance_profile`
+ `customer_emr_cluster_autoscaling_role`
+ `customer_emr_console_role`
+ `customer_emr_cluster_service_role`
Une fois qu'il est configuré dans votre compte, vous devez intégrer le customer\$1emr\$1console\$1role dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon EMR sur mon compte AMS ?**
Lorsque vous créez Amazon EMR sur un cluster EC2 depuis la console AWS, nous vous conseillons d'utiliser l'option **Create Cluster — Advanced**. Les clusters Amazon EMR doivent être créés en ajoutant la balise avec la clé **« for-use-with-amazon - » avec la valeur **« true emr-managed-policies** »**. Sélectionnez les configurations suivantes dans les options **de sécurité** :
+ Sélectionnez des rôles personnalisés pour votre cluster :
+ Rôle EMR : customer\$1emr\$1cluster\$1service\$1role
+ Profil d'instance EC2 : customer\$1emr\$1cluster\$1instance\$1profile
+ Rôle Auto Scaling : customer\$1emr\$1cluster\$1autoscaling\$1role
+ Groupes de sécurité EC2 :
+ Master : ams-emr-master-security -group
+ Noyau et tâche : ams-emr-worker-security -group
+ Accès au service : ams-emr-serviceaccess-security -group
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon EMR dans mon compte AMS ?**
AMS crée des groupes de sécurité par défaut pour les nœuds Amazon EMR master, worker et services.
Les modèles de lancement et les groupes de sécurité à utiliser avec les clusters Amazon EMR doivent avoir la clé de balise « **for-use-with-amazon- emr-managed-policies »** avec la valeur **« true** ».
Le profil d'instance de cluster Amazon EMR par défaut permet d'accéder aux ressources telles que les compartiments s3 et les tables Dynamodb dont le nom contient « emr ». Vous pouvez demander des politiques IAM supplémentaires pour utiliser les ressources supplémentaires à utiliser avec Amazon EMR. **Les ARN de ressources suivants peuvent être utilisés avec les tâches Amazon EMR à l'aide du customer\$1emr\$1cluster\$1instance\$1profile :**
+ arn:aws:dynamodb : \$1:\$1:table/\$1emr\$1
+ arn:aws:kinesis : \$1:\$1:stream/\$1emr\$1
+ arn:aws:sns : \$1:\$1 : \$1emr\$1arn:aws:sqs : \$1:\$1 : \$1emr\$1
+ arn:aws:sqs : \$1:\$1 : \$1emr\$1
+ arn:aws:sqs :\$1:\$1:AWS- -\$1 ElasticMapReduce
+ arn:aws:sdb : \$1:\$1:domain : \$1emr\$1
+ arn:aws:s3 : ::\$1emr\$1
Si l'authentification Kerberos est requise pour le cluster Amazon EMR :
+ Indiquez le nom de domaine à utiliser pour chaque cluster Amazon EMR kerberisé et les adresses IP Active Directory sur site.
+ Exigences en matière d'infrastructure :
**Zone d'accueil multi-comptes (MALZ)** : soumettez une RFC pour créer un nouveau compte d'application géré ou un nouveau VPC dans un compte d'application existant.
**Zone d'atterrissage à compte unique (SALZ)** : soumettez une RFC pour créer un nouveau sous-réseau dans votre VPC.
+ Configurez la confiance entrante pour le domaine du cluster sur l'Active Directory sur site.
+ Soumettez une RFC pour configurer les zones DNS pour le domaine dans Managed AD.
+ Configuration du domaine :
**MALZ** : Soumettez une RFC de gestion \$1 Autre \$1 Autre \$1 Mise à jour (ct-0xdawir96cy7k) pour mettre à jour l'option DHCP du VPC définie pour utiliser le nom de domaine comme suffixe de nom de domaine.
**SALZ** : Soumettez une RFC de gestion \$1 Autre \$1 Autre \$1 Mise à jour (ct-0xdawir96cy7k) pour générer une nouvelle AMI Amazon EMR afin d'utiliser le domaine spécifique pour le suffixe du nom de domaine.
Pour déployer Amazon EMR studio, le rôle `customer_emr_cluster_service_role` doit obligatoirement disposer d'un bucket Amazon Simple Storage Service. Pour créer le bucket, utilisez le CT automatisé `ct-1a68ck03fn98r` (Déploiement \$1 Composants de pile avancés \$1 Stockage S3 \$1 Création). Lorsque vous utilisez ce CT automatisé pour créer un compartiment Amazon S3 pour Amazon EMR, le nom du compartiment doit commencer par le préfixe. `customer-emr-*` Vous devez également créer le compartiment dans la même AWS région que le cluster Amazon EMR.
# Utilisez AMS SSP pour approvisionner Amazon sur EventBridge votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux EventBridge fonctionnalités d'Amazon directement depuis votre compte géré par AMS. Amazon EventBridge est un service de bus d'événements sans serveur qui permet de connecter facilement vos applications à des données provenant de diverses sources. EventBridge fournit un flux de données en temps réel à partir de vos propres applications, applications Software-as-a-Service (SaaS) et AWS services et achemine ces données vers des cibles telles que AWS Lambda. Vous pouvez configurer des règles de routage pour déterminer où envoyer vos données pour créer des architectures d'application qui réagissent en temps réel à toutes vos sources de données. EventBridge vous permet de créer des architectures pilotées par les événements, qui sont faiblement couplées et distribuées.
Pour en savoir plus, consultez [Amazon EventBridge](https://aws.amazon.com/eventbridge/).
## EventBridge dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès EventBridge à mon compte AMS ?**
Demandez l'accès à EventBridge en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_eventbridge_role` et. `customer_eventbridge_scheduler_execution_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
Le rôle d'exécution `customer_eventbridge_scheduler_execution_role` est un rôle IAM que EventBridge Scheduler assume pour interagir avec d'autres personnes en votre Services AWS nom. Les politiques d'autorisation associées à ce rôle accordent au EventBridge planificateur l'accès pour appeler des cibles.
**Note**
Par défaut, EventBridge Scheduler utilise des clés AWS détenues EventBridge pour chiffrer les données. Pour utiliser une clé gérée par le client pour chiffrer les données, soumettez la RFC EventBridge à l'aide du type de modification Management \$1 AWS Service \$1 Self-provisioned Service \$1 [Add (automatisation gérée) (ct-3qe6io8t6jtny)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-aws-self-provisioned-service-add-review-required.html) pour le provisionnement du service.
**Q : Quelles sont les restrictions d'utilisation EventBridge sur mon compte AMS ?**
Vous devez envoyer AMS RFCs et créer les ressources suivantes : rôles de service pour déclencher le traitement par lots, file d'attente SQS, CodeBuild CodePipeline, et commandes SSM.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser EventBridge mon compte AMS ?**
Vous devez demander un rôle de EventBridge service auprès d'une RFC en utilisant le type de changement d'entité ou de politique (automatisation gérée) Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Create entity or policy (automatisation gérée) (ct-3dpd8mdd9jn1r) avant de l'utiliser pour déclencher EventBridge d'autres ressources AWS , telles que Lambda, Amazon SNS, Amazon SQS ou Amazon Logs. AWS Batch CloudWatch Spécifiez les services à invoquer lorsque vous demandez votre rôle de service. Pour en savoir plus sur les autorisations requises pour appeler des cibles, consultez la section [Utilisation de politiques basées sur les ressources](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html) pour. EventBridge
EventBridge est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS utilisateur EventBridge. CloudTrail doit être activé et autorisé à stocker les fichiers journaux dans des compartiments S3. Remarque : Tous les comptes AMS sont CloudTrail activés, aucune action n'est donc nécessaire.
**Q : Une clé est requise pour le rôle customer\$1eventbridge\$1scheduler\$1execution\$1role (facultatif, s'il est utilisé pour le chiffrement). AWS Key Management Service Comment adopter le chiffrement des données AWS KMS CMKs au repos/en transit ?**
Par défaut, le EventBridge planificateur chiffre les métadonnées des événements et les données des messages qu'il stocke sous une clé AWS propriétaire (chiffrement au repos). EventBridge Le planificateur chiffre également les données transmises entre le EventBridge planificateur et d'autres services à l'aide du protocole TLS (Transport Layer Security) (chiffrement en transit).
Si votre cas d'utilisation spécifique nécessite que vous contrôliez et auditiez les clés de chiffrement qui protègent vos données sur EventBridge Scheduler, vous pouvez utiliser une clé gérée par le client.
Vous devez demander une RFC en utilisant le type de modification Management Service AWS \$1 \$1 Self-provisioned Service \$1 Add (automatisation gérée) avant d'utiliser Amazon EventBridge pour intégrer l'autorisation. AWS KMS
# Utilisez AMS SSP pour approvisionner Amazon Forecast sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Forecast (Forecast) directement depuis votre compte géré AMS. Amazon Forecast est un service entièrement géré qui utilise l'apprentissage automatique pour fournir des prévisions très précises.
**Note**
AWS a fermé l'accès des nouveaux clients à Amazon Forecast à compter du 29 juillet 2024. Les clients existants d'Amazon Forecast peuvent continuer à utiliser le service normalement. AWS continue d'investir dans l'amélioration de la sécurité, de la disponibilité et des performances d'Amazon Forecast, mais AWS ne prévoit pas d'introduire de nouvelles fonctionnalités.
Si vous souhaitez utiliser Amazon Forecast, contactez votre CSDM afin qu'il vous explique comment transférer [votre utilisation d'Amazon Forecast vers Amazon Canvas](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/). SageMaker
Basé sur la même technologie que celle utilisée sur Amazon.com, Forecast utilise l'apprentissage automatique pour combiner des données de séries chronologiques avec des variables supplémentaires afin de créer des prévisions. Forecast ne nécessite aucune expérience d'apprentissage automatique pour démarrer. Il vous suffit de fournir des données historiques, ainsi que toute donnée supplémentaire susceptible, selon vous, d'avoir un impact sur vos prévisions. Par exemple, la demande pour une couleur particulière de chemise peut changer en fonction des saisons et de l'emplacement du magasin. Cette relation complexe est difficile à déterminer seule, mais l'apprentissage automatique est idéal pour la reconnaître. Une fois que vous avez fourni vos données, Forecast les examine automatiquement, identifie ce qui est significatif et produit un modèle de prévision capable de faire des prédictions jusqu'à 50 % plus précises que si vous examiniez uniquement des données de séries chronologiques.
Pour en savoir plus, consultez [Amazon Forecast](https://aws.amazon.com/forecast/).
## FAQ sur Amazon Forecast dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Forecast dans mon compte AMS ?**
Demandez l'accès à AWS Firewall Manager en soumettant une RFC avec le type de modification Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_forecast_admin_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation de Forecast dans mon compte AMS ?**
L'accès au compartiment S3 par défaut vous permet uniquement d'accéder aux compartiments portant le modèle de dénomination « customer-forecast-\$1 ». Si vous avez votre propre convention de dénomination pour les compartiments de données, discutez de la dénomination des compartiments et de la configuration des accès associés avec votre architecte cloud (CA). Exemples :
+ Vous pouvez définir votre rôle spécifique dans le service Amazon Forecast avec un nom tel que « AmazonForecast - ExecutionRole -\$1 » et un accès approprié au compartiment S3 associé. Consultez le rôle de service AmazonForecast-ExecutionRole-Admin et la politique IAM customer\$1forecast\$1default\$1s3\$1access\$1policy dans la console IAM.
+ Vous devrez peut-être associer l'accès aux compartiments S3 associés au rôle de fédération IAM. Consultez la politique IAM - customer\$1forecast\$1default\$1s3\$1access\$1policy, dans la console IAM.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Forecast dans mon compte AMS ?**
+ Un ou plusieurs compartiments Amazon S3 appropriés doivent être créés avant d'utiliser Forecast. En particulier, l'accès par défaut aux compartiments S3 se fait avec le modèle de dénomination « customer-forecast-\$1 »
+ Si vous souhaitez utiliser des modèles de dénomination sur les compartiments S3 autres que « customer-forecast-\$1 », vous devez créer un nouveau rôle de service avec des autorisations d'accès S3 sur les compartiments :
1. Un nouveau rôle de service à créer avec le nom « AmazonForecast - ExecutionRole - \$1suffix\$1 ».
1. Une nouvelle politique IAM à créer, similaire à customer\$1forecast\$1default\$1s3\$1access\$1policy, à associer au nouveau rôle de service et au rôle d'administrateur de fédération associé (par exemple « customer\$1forecast\$1admin\$1role »)
**Q : Comment puis-je améliorer la sécurité des données lors de l'utilisation d'Amazon Forecast ?**
+ Pour le chiffrement des données au repos, vous pouvez utiliser AWS KMS une clé CMK gérée par le client afin de protéger le stockage des données sur le service Amazon S3 :
+ Activez le chiffrement par défaut sur le compartiment à l'aide de la clé de provision et configurez une politique de compartiment pour accepter le chiffrement AWS KMS des données lors de leur saisie.
+ Activez le rôle de service Amazon Forecast « AmazonForecast - ExecutionRole -\$1 » et le rôle d'administrateur de fédération (par exemple « customer\$1forecast\$1admin\$1role ») en tant qu'utilisateur clé. AWS KMS
+ Pour le chiffrement des données en transit, vous pouvez configurer le protocole HTTPS, qui est requis lors du transfert d'objets dans le cadre de la politique de compartiment Amazon S3.
+ Restrictions supplémentaires en matière de contrôle d'accès : activez une politique de compartiment pour l'accès approuvé pour le rôle de service Amazon Forecast « AmazonForecast - ExecutionRole -\$1 » et le rôle d'administrateur (par exemple « customer\$1forecast\$1admin\$1role »).
**Q : Quelles sont les meilleures pratiques en matière d'utilisation d'Amazon Forecast ?**
+ Vous devez avoir une bonne connaissance de vos pratiques de classification des données et définir les besoins en matière de sécurité des données associés lorsque vous utilisez des compartiments S3 avec Amazon Forecast.
+ Pour la configuration du compartiment Amazon S3, nous vous conseillons vivement d'activer l'application du protocole HTTPS dans votre politique de compartiment S3.
+ Vous devez savoir que le rôle d'administrateur « customer\$1forecast\$1admin\$1role » prend en charge l'accès permissif (objets Get/Delete/Put S3) sur les compartiments Amazon S3 sous le nom de « customer-forecast-\$1 ». REMARQUE : Si vous avez besoin d'un contrôle d'accès précis pour plusieurs équipes, suivez les pratiques suivantes :
+ Définissez votre identité IAM d'accès basée sur l'équipe (rôle/utilisateur) avec un accès de moindre privilège aux compartiments Amazon S3 associés.
+ team/project Sur la base de la création, AWS KMS CMKs accordez un accès approprié aux identités IAM correspondantes. (accès utilisateur et « AmazonForecast - ExecutionRole - \$1équipe/projet\$1 ».
+ Configurez le chiffrement par défaut du compartiment S3 avec le code créé AWS KMS CMKs.
+ Appliquez le trafic de l'API S3 à l'aide du protocole HTTPS sur la politique des compartiments S3.
+ Appliquez la configuration des compartiments S3 pour obtenir un accès approuvé pour les identités IAM associées (accès utilisateur et « AmazonForecast - ExecutionRole - \$1team/project\$1 ») aux compartiments.
+ Si vous souhaitez utiliser le « customer\$1forecast\$1admin\$1role » à des fins générales, tenez compte des points répertoriés précédemment pour protéger les compartiments S3.
**Q : Où se trouvent les informations de conformité concernant Amazon Forecast ?**
Consultez le [programme AWS de conformité des services](https://aws.amazon.com/compliance/services-in-scope/).
# Utilisez AMS SSP pour approvisionner Amazon sur FSx votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux FSx fonctionnalités d'Amazon directement depuis votre compte géré par AMS. Amazon FSx fournit des systèmes de fichiers tiers entièrement gérés. Amazon vous FSx fournit la compatibilité native des systèmes de fichiers tiers avec des ensembles de fonctionnalités pour les charges de travail telles que le stockage sous Windows, le calcul haute performance (HPC), l'apprentissage automatique et l'automatisation de la conception électronique (EDA). Amazon FSx automatise les tâches administratives fastidieuses telles que le provisionnement du matériel, la configuration logicielle, les correctifs et les sauvegardes. Amazon FSx intègre les systèmes de fichiers à des AWS services cloud natifs, ce qui les rend encore plus utiles pour un ensemble plus large de charges de travail.
Amazon vous FSx propose deux systèmes de fichiers : Amazon FSx pour Windows File Server pour les applications Windows et Amazon pour Lustre FSx pour les charges de travail gourmandes en ressources informatiques. Pour en savoir plus, consultez [Amazon FSx](https://aws.amazon.com/fsx/).
## FAQ sur Amazon FSx dans AWS Managed Services
**Q : Comment puis-je demander l'accès FSx à Amazon via mon compte AMS ?**
Demandez l'accès à Amazon FSx en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_fsx_admin_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon sur FSx mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités du service sont disponibles.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon FSx dans mon compte AMS ?**
Il n'y a aucun prérequis. Toutefois, pour les configurations avancées telles que le mode multi-AZ, vous devez installer et gérer les services de réplication DFS et d'espaces de noms DFS. Pour plus d'informations, consultez la section [Déploiement de systèmes de fichiers multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/multi-az-deployments.html).
**Q : Comment intégrer mon système de FSx fichiers Amazon à ma zone de destination multi-comptes Managed AD ?**
Lorsque vous créez un système de FSx fichiers Amazon, vous pouvez spécifier votre compte MALZ Managed AD en tant que « Microsoft Active Directory AWS géré » pour l'authentification Windows. Pour plus d'informations, consultez [Utiliser Amazon FSx avec AWS Directory Service pour Microsoft Active Directory](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html)
Vous devez également d'abord partager Managed AD avec le compte de l'application. Pour ce faire, soumettez une RFC avec le type de changement de répertoire Management \$1 Directory Service \$1 Directory \$1 Share (ct-369odosk0pd9w).
**Q : Quels utilisateurs appartiennent au groupe des ** FSx administrateurs délégués AWS** ?**
Uniquement les administrateurs de serveurs de fichiers informatiques. Ce groupe dispose de privilèges **d'accès complet** sur tous les partages de fichiers.
**Q : Dois-je utiliser le partage de fichiers par défaut, le **partage**, créé lors du provisionnement du FSx système ?**
Non, nous ne recommandons pas d'utiliser le partage de fichiers par défaut, le **partage**, tel que configuré. Il accorde **un accès complet** à **tous**, ce qui viole le principe du moindre privilège. Créez plutôt des partages de fichiers personnalisés plus petits qui répondent aux besoins de votre entreprise.
**Q : Comment puis-je créer des partages de fichiers personnalisés pour des organisations spécifiques de mon entreprise ?**
Consultez la section [Partages de fichiers](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/managing-file-shares.html) pour obtenir des instructions sur la création de partages de fichiers personnalisés. Limitez l'accès à chaque partage de fichiers selon le principe du moindre privilège.
# Utilisez AMS SSP pour provisionner Amazon FSx pour OpenZFS sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon FSx pour OpenZFS directement depuis votre compte géré par AMS. FSx for OpenZFS est un service de stockage de fichiers entièrement géré qui facilite le transfert de données résidant dans des serveurs de fichiers ZFS sur site ou sur d'autres serveurs de fichiers basés sur Linux vers AWS sans modifier le code de votre application ou la façon dont vous gérez les données. Il offre un stockage de fichiers hautement fiable, évolutif, performant et riche en fonctionnalités basé sur le système de fichiers open source OpenZFS, offrant les fonctionnalités habituelles des systèmes de fichiers OpenZFS avec l'agilité, l'évolutivité et la simplicité d'un service entièrement géré. AWS Pour les développeurs qui créent des applications natives pour le cloud, il propose un stockage simple et performant doté de fonctionnalités riches pour travailler avec les données.
FSx pour les systèmes de fichiers OpenZFS sont largement accessibles à partir d'instances de calcul et de conteneurs Linux, Windows et macOS utilisant le protocole NFS standard (v3, v4.0, v4.1, v4.2). Alimenté par des processeurs AWS Graviton et les dernières technologies de AWS disque et de réseau (notamment le réseau AWS Scalable Reliable Datagram et le système AWS Nitro), FSx OpenZFS fournit jusqu'à 1 million d'IOPS avec des latences de plusieurs centaines de microsecondes. Grâce à la prise en charge complète des fonctionnalités d'OpenZFS telles que les point-in-time instantanés et le clonage de données, FSx OpenZFS vous permet de remplacer facilement vos serveurs de fichiers sur site par un AWS stockage qui fournit les fonctionnalités habituelles du système de fichiers et élimine le besoin de procéder à de longues qualifications et de modifier ou de restructurer des applications ou des outils existants. De plus, en associant la puissance des fonctionnalités de gestion des données d'OpenZFS aux performances élevées et à la rentabilité des dernières technologies AWS, OpenZFS vous permet de créer et FSx d'exécuter des applications à hautes performances et gourmandes en données.
En tant que service entièrement géré, FSx OpenZFS facilite le lancement, l'exécution et le dimensionnement de systèmes de fichiers entièrement gérés AWS qui remplacent les serveurs de fichiers que vous exécutez sur site, tout en contribuant à améliorer l'agilité et à réduire les coûts. Avec FSx OpenZFS, vous n'avez plus à vous soucier de la configuration et du provisionnement des serveurs de fichiers et des volumes de stockage, de la réplication des données, de l'installation et de l'application des correctifs du logiciel du serveur de fichiers, de la détection et du traitement des défaillances matérielles et de l'exécution manuelle des sauvegardes. Il fournit également une intégration riche avec d'autres AWS services, tels que Gestion des identités et des accès AWS (IAM), AWS Key Management Service (AWS KMS) CloudWatch, Amazon et AWS CloudTrail.
Amazon vous FSx propose deux systèmes de fichiers parmi lesquels choisir : Amazon FSx pour Windows File Server pour les applications Windows et Amazon for Lustre FSx pour les charges de travail gourmandes en ressources informatiques. Pour en savoir plus, consultez [Amazon FSx](https://aws.amazon.com/fsx/).
## FAQ sur Amazon FSx pour OpenZFS dans AWS Managed Services
**Q : Comment puis-je demander l'accès à FSx OpenZFS dans mon compte AMS ?**
Demandez l'accès à Amazon FSx OpenZFS en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_fsx_ontap_admin_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation FSx d'OpenZFS dans mon compte AMS ?**
Le remplacement du groupe de sécurité sur les interfaces réseau Amazon FSx Elastic (ENIs) nécessite que vous soumettiez Management \$1 Other \$1 Other \$1 Update, RFCs car les groupes de sécurité constituent un périmètre critique pour l'environnement AMS. C'est la seule restriction.
**Q : Quels sont les prérequis ou les dépendances FSx pour utiliser OpenZFS dans mon compte AMS ?**
Il n'y a aucun prérequis. Cependant, vous devez l'avoir [Utilisez AMS SSP pour approvisionner Amazon sur FSx votre compte AMS](amz-fsx.md) installé.
# Utilisez AMS SSP pour approvisionner Amazon FSx pour NetApp ONTAP sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon FSx for NetApp ONTAP directement depuis votre compte géré par AMS. Amazon FSx for NetApp ONTAP est un service entièrement géré qui fournit un stockage de fichiers hautement fiable, évolutif, performant et riche en fonctionnalités, basé sur le célèbre système NetApp de fichiers ONTAP. Il fournit les fonctionnalités, les performances, les capacités et les capacités habituelles APIs des systèmes de NetApp fichiers avec l'agilité, l'évolutivité et la simplicité d'un système entièrement géré Service AWS.
Amazon FSx for NetApp ONTAP fournit un stockage de fichiers partagé riche en fonctionnalités, rapide et flexible, largement accessible à partir d'instances de calcul Linux, Windows et macOS exécutées sur site AWS ou sur site. FSx for ONTAP propose un stockage SSD hautes performances avec des latences inférieures à la milliseconde, et permet de gérer rapidement et facilement vos données en vous permettant de créer des instantanés, de cloner et de répliquer vos fichiers en un seul clic. Il hiérarchise également automatiquement vos données vers un stockage élastique à moindre coût, éliminant ainsi le besoin de provisionner ou de gérer la capacité et vous permettant d'atteindre les niveaux de performance des SSD pour votre charge de travail tout en ne payant pour le stockage SSD que pour une petite partie de vos données. Il fournit un stockage durable et hautement disponible avec des sauvegardes entièrement gérées et prend en charge la reprise après sinistre entre les régions, et prend en charge les applications antivirus et de sécurité des données les plus populaires qui facilitent encore la protection et la sécurisation de vos données. Pour les clients qui utilisent NetApp ONTAP sur site, ONTAP est la solution idéale FSx pour migrer, sauvegarder ou transférer en rafale vos applications basées sur des fichiers depuis le site vers le site AWS sans qu'il soit nécessaire de modifier le code de votre application ou la façon dont vous gérez vos données.
En tant que service entièrement géré, Amazon FSx for NetApp ONTAP facilite le lancement et le développement d'un stockage de fichiers partagé fiable, performant et sécurisé dans le cloud. Avec Amazon FSx for NetApp ONTAP, vous n'avez plus à vous soucier de la configuration et du provisionnement des serveurs de fichiers et des volumes de stockage, de la réplication des données, de l'installation et de l'application des correctifs logiciels du serveur de fichiers, de la détection et du traitement des défaillances matérielles, de la gestion du basculement et de l'exécution manuelle des sauvegardes. Il fournit également une intégration riche avec d'autres Services AWS Gestion des identités et des accès AWS, tels que Amazon WorkSpaces AWS Key Management Service, et AWS CloudTrail.
Amazon vous FSx propose deux systèmes de fichiers parmi lesquels choisir : Amazon FSx pour Windows File Server pour les applications Windows et Amazon for Lustre FSx pour les charges de travail gourmandes en ressources informatiques. Pour en savoir plus, consultez [Amazon FSx](https://aws.amazon.com/fsx/).
## FAQ sur Amazon FSx pour NetApp ONTAP dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon FSx pour NetApp ONTAP depuis mon compte AMS ?**
Demandez l'accès à Amazon FSx pour NetApp ONTAP en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_fsx_ontap_admin_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon FSx pour NetApp ONTAP sur mon compte AMS ?**
Le remplacement du groupe de sécurité sur les interfaces réseau élastiques Amazon FSx for NetApp ONTAP (ENIs) nécessite que vous soumettiez Management \$1 Other \$1 Other \$1 Update, RFCs car les groupes de sécurité constituent un périmètre critique pour l'environnement AMS. C'est la seule restriction.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon FSx for NetApp ONTAP sur mon compte AMS ?**
Il n'y a aucun prérequis. Cependant, vous devez l'avoir [Utilisez AMS SSP pour approvisionner Amazon sur FSx votre compte AMS](amz-fsx.md) installé.
# Utilisez AMS SSP pour approvisionner Amazon Inspector Classic sur votre compte AMS
**Note**
Avis de fin de support : le 20 mai 2026, le support d'Amazon Inspector Classic AWS prendra fin. Après le 20 mai 2026, vous ne pourrez plus accéder à la console Amazon Inspector Classic ni aux ressources Amazon Inspector Classic. Amazon Inspector Classic ne sera plus disponible pour les nouveaux comptes, ni pour les comptes n'ayant pas fait l'objet d'une évaluation au cours des six derniers mois. Pour tous les autres comptes, l'accès restera valide jusqu'au 20 mai 2026, après quoi vous ne pourrez plus accéder à la console Amazon Inspector Classic ni aux ressources Amazon Inspector Classic. Pour plus d'informations, consultez la page de [fin de support d'Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html).
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Inspector Classic directement depuis votre compte géré AMS. Amazon Inspector Classic est un service d'évaluation automatique de la sécurité qui permet d'améliorer la sécurité et la conformité des applications déployées sur AWS. Amazon Inspector Classic évalue automatiquement les applications pour détecter leur exposition, leurs vulnérabilités et les écarts par rapport aux meilleures pratiques. Après avoir effectué une évaluation, Amazon Inspector Classic produit une liste détaillée des résultats de sécurité classés par niveau de gravité. Ces résultats peuvent être examinés directement ou dans le cadre de rapports d'évaluation détaillés, disponibles via la console ou l'API Amazon Inspector Classic. Pour en savoir plus, consultez [Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html).
## FAQ sur Amazon Inspector dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon Inspector Classic depuis mon compte AMS ?**
Demandez l'accès à Amazon Inspector Classic en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle `customer_inspector_admin_role` IAM à votre compte. Le rôle inclut la AmazonInspectorFullAccess politique AWS gérée. Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Inspector Classic dans mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités d'Amazon Inspector Classic sont disponibles dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Inspector Classic dans mon compte AMS ?**
Il n'existe aucune condition préalable ni dépendance pour utiliser Amazon Inspector Classic dans votre compte AMS.
## Utiliser le nouvel Amazon Inspector dans AMS
Vous pouvez désormais utiliser le nouvel Amazon Inspector dans votre compte AMS.
Pour Amazon Inspector Classic, les `customer-inspector-admin-role-ssm-inspector-agent-policy` et `AmazonInspectorFullAccess` étaient obligatoires. Cependant, le rôle SSPS a été mis à jour`customer-inspector-admin-role`, qui inclut désormais un rôle supplémentaire. `policyAmazonInspector2FullAccess` Cette nouvelle politique autorise les autorisations d'API pour la nouvelle version d'Amazon Inspector.
# Utilisez AMS SSP pour approvisionner Amazon Kendra sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Kendra directement depuis votre compte géré par AMS. Amazon Kendra est un service de recherche intelligent qui utilise le traitement du langage naturel et des algorithmes d'apprentissage automatique avancés pour renvoyer des réponses spécifiques aux questions de recherche à partir de vos données. Contrairement à la recherche traditionnelle basée sur des mots clés, Amazon Kendra utilise ses capacités de compréhension sémantique et contextuelle pour déterminer si un document est pertinent pour une requête de recherche. Amazon Kendra renvoie des réponses spécifiques aux questions, afin que votre expérience soit proche de celle d'une interaction avec un expert humain. Amazon Kendra est hautement évolutif, capable de répondre aux exigences de performance, est étroitement intégré à d'autres AWS services tels qu'Amazon S3 et Amazon Lex, et offre une sécurité de niveau professionnel. Pour en savoir plus, consultez [Amazon Kendra ;](https://docs.aws.amazon.com/kendra/latest/dg/what-is-kendra.html).
## FAQ sur Amazon Kendra dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon Kendra depuis mon compte AMS ?**
Pour demander l'accès à Amazon Inspector Classic, soumettez une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-3qe6io8t6jtny). Cette RFC attribue le rôle `customer_kendra_console_role` IAM à votre compte. Une fois le rôle configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Kendra sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités d'Amazon Kendra sont disponibles sur votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Kendra dans mon compte AMS ?**
Il n'existe aucun prérequis ni aucune dépendance pour démarrer avec Amazon Kendra. Toutefois, en fonction de votre cas d'utilisation spécifique, il se peut que vous deviez accéder à d'autres AWS services.
# Utilisez AMS SSP pour approvisionner Amazon Kinesis Data Streams sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Kinesis Data Streams (KDS) directement depuis votre compte géré AMS. Amazon Kinesis Data Streams est un service de streaming de données en temps réel hautement évolutif et durable. KDS peut capturer en continu des gigaoctets de données par seconde à partir de centaines de milliers de sources telles que les flux de clics sur les sites Web, les flux d'événements de base de données, les transactions financières, les flux de réseaux sociaux, les journaux informatiques et les événements de géolocalisation. Les données collectées sont disponibles en quelques millisecondes pour permettre des cas d'utilisation d'analyses en temps réel tels que des tableaux de bord en temps réel, la détection des anomalies en temps réel, la tarification dynamique, etc. Pour en savoir plus, consultez [Amazon Kinesis Data Streams](https://aws.amazon.com/kinesis/data-streams/).
## FAQ sur les Kinesis Data Streams dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon Kinesis Data Streams depuis mon compte AMS ?**
Demandez l'accès à Amazon Kinesis Data Streams en soumettant une RFC auprès du service Management \$1 AWS \$1 Self-provisioned Service \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_kinesis_data_streaming_user_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Kinesis Data Streams sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités d'Amazon Kinesis Data Streams sont disponibles sur votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Kinesis Data Streams dans mon compte AMS ?**
Il n'existe aucune condition préalable ni dépendance pour utiliser Amazon Kinesis Data Streams dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner Amazon Kinesis Video Streams sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Kinesis Video Streams (KVS) directement depuis votre compte géré par AMS. Amazon Kinesis Video Streams vous permet de diffuser des vidéos en toute sécurité à partir d'appareils connectés AWS à des fins d'analyse, d'apprentissage automatique (ML), de lecture et d'autres traitements. Kinesis Video Streams fournit automatiquement et adapte de manière élastique toute l'infrastructure nécessaire pour ingérer les données vidéo en streaming provenant de millions d'appareils. Il stocke, chiffre et indexe également de manière durable les données vidéo dans vos flux, et vous permet d'accéder à vos données par le biais de ce logiciel. easy-to-use APIs Kinesis Video Streams vous permet de visionner des vidéos en direct et à la demande, et de créer rapidement des applications qui tirent parti de la vision par ordinateur et de l'analyse vidéo grâce à l'intégration à Amazon Rekognition Video et aux bibliothèques pour les frameworks ML MxNet tels TensorFlow qu'Apache et OpenCV. Pour en savoir plus, consultez [Amazon Kinesis Video Streams](https://aws.amazon.com/kinesis/video-streams/).
## FAQ sur Amazon Kinesis Video Streams dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon Kinesis Video Streams depuis mon compte AMS ?**
Demandez l'accès à Amazon Kinesis Video Streams en soumettant une RFC auprès du type Management AWS \$1 service \$1 Self-provisioned service \$1 Add change (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_kinesis_video_streaming_user_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Kinesis Video Streams sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités d'Amazon Kinesis Video Streams sont disponibles sur votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Kinesis Video Streams dans mon compte AMS ?**
Il n'existe aucune condition préalable ni dépendance pour utiliser Amazon Kinesis Video Streams dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner Amazon Lex sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Lex directement dans votre compte géré AMS. Amazon Lex est un service permettant de créer des interfaces conversationnelles dans n'importe quelle application utilisant la voix et le texte. Amazon Lex fournit les fonctionnalités avancées d'apprentissage profond que sont la reconnaissance vocale automatique (ASR) pour convertir la parole en texte, et la compréhension du langage naturel (NLU) pour reconnaître l'intention du texte, afin de vous permettre de créer des applications proposant des expériences utilisateur très engageantes et des interactions conversationnelles réalistes. Avec Amazon Lex, les mêmes technologies d'apprentissage profond qui alimentent Amazon Alexa sont désormais accessibles à tous les développeurs, ce qui vous permet de créer rapidement et facilement des robots conversationnels ou des chatbots sophistiqués en langage naturel. Pour en savoir plus, consultez [Amazon Lex](https://aws.amazon.com/lex/).
## FAQ sur Amazon Lex dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon Lex depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_lex_author_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Lex sur mon compte AMS ?**
L'intégration d'Amazon Lex à Lambda est limitée aux fonctions Lambda sans préfixe « AMS- », afin d'empêcher toute modification de l'infrastructure AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Lex dans mon compte AMS ?**
Il n'existe aucune condition préalable ni dépendance pour utiliser Amazon Lex dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner Amazon MQ sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon MQ directement depuis votre compte géré AMS. Amazon MQ est un service de messagerie géré pour Apache ActiveMQ qui vous aide à configurer et à exploiter des courtiers de messages dans le cloud. Les courtiers de messages permettent à différents systèmes logiciels, utilisant souvent différents langages de programmation et sur différentes plateformes, de communiquer et d'échanger des informations. Amazon MQ réduit votre charge opérationnelle en gérant le provisionnement, la configuration et la maintenance d'ActiveMQ, un courtier de messages open source populaire. La connexion de vos applications actuelles à Amazon MQ utilise les normes APIs et protocoles du secteur pour la messagerie, notamment JMS, NMS, AMQP, STOMP, MQTT et. WebSocket L'utilisation de normes signifie que, dans la plupart des cas, il n'est pas nécessaire de réécrire le code de messagerie lors de la migration vers AWS. Pour en savoir plus, consultez [Qu'est-ce qu'Amazon MQ ?](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html)
## FAQ sur Amazon MQ dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon MQ depuis mon compte AMS ?**
L'utilisation d'Amazon MQ dans votre compte AMS s'effectue en deux étapes :
1. Provisionnez le courtier Amazon MQ. Pour ce faire, soumettez un modèle CFN, avec le courtier Amazon MQ inclus, via une RFC avec le formulaire Deployment \$1 Ingestion \$1 Stack CloudFormation from Template \$1 Create change type (ct-36cn2avfrrj9v), ou soumettez une RFC à la direction \$1 Autre \$1 Autre \$1 Créer un type de modification (ct-1e1xtak34nx76) demandant que le courtier Amazon MQ soit provisionné sur votre compte.
1. Accédez à la console Amazon MQ. Une fois le courtier Amazon MQ configuré, accédez à la console Amazon MQ en soumettant une RFC avec le type Management \$1 AWS service \$1 Self-provisioned service \$1 Add change (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_mq_console_role`
Une fois le rôle configuré dans votre compte, vous devez l'intégrer à votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon MQ sur mon compte AMS ?**
Toutes les fonctionnalités d'Amazon MQ sont disponibles sur votre compte AMS ; toutefois, le provisionnement d'Amazon MQ Broker n'est pas disponible dans le cadre de cette politique en raison de l'autorisation élevée requise. Consultez les informations ci-dessus pour savoir comment ajouter le courtier Amazon MQ à vos comptes.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon MQ dans mon compte AMS ?**
Il n'existe aucun prérequis ni aucune dépendance pour utiliser Amazon MQ dans votre compte AMS.
# Utilisez AMS SSP pour provisionner Amazon Managed Service pour Apache Flink sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Managed Service for Apache Flink directement depuis votre compte géré AMS. Le service géré pour Apache Flink est le moyen le plus simple d'analyser les données de streaming, d'obtenir des informations exploitables et de répondre aux besoins de votre entreprise et de vos clients en temps réel. Amazon Managed Service pour Apache Flink simplifie la création, la gestion et l'intégration d'applications de streaming à d'autres AWS services. Les utilisateurs de SQL peuvent facilement interroger des données de streaming ou créer des applications de streaming complètes à l'aide de modèles et d'un éditeur SQL interactif. Les développeurs Java peuvent rapidement créer des applications de streaming sophistiquées à l'aide de bibliothèques Java open source et d' AWS intégrations pour transformer et analyser les données en temps réel. Amazon Managed Service pour Apache Flink prend en charge tout ce qui est nécessaire pour exécuter vos applications en temps réel en continu et s'adapte automatiquement au volume et au débit de vos données entrantes. Avec Amazon Managed Service pour Apache Flink, vous ne payez que pour les ressources consommées par vos applications de streaming. Il n'y a pas de frais minimum ni de frais d'installation. Pour en savoir plus, consultez [Amazon Managed Service pour Apache Flink](https://aws.amazon.com/kinesis/data-analytics/).
## FAQ sur le service géré pour Apache Flink dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon Managed Service pour Apache Flink depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_kinesis_analytics_application_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Managed Service pour Apache Flink dans mon compte AMS ?**
+ Les configurations sont limitées aux ressources sans les préfixes « AMS- » ou « MC- » afin d'empêcher toute modification de l'infrastructure AMS.
+ L'autorisation de supprimer ou de créer de nouveaux Kinesis Data Streams ou Firehose a été supprimée de la politique. Nous avons une autre politique qui le permet.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Kinesis Data Streams dans mon compte AMS ?**
Il existe quelques dépendances :
+ Amazon Managed Service pour Apache Flink exige que Kinesis Data Streams ou Firehose soient créés avant de configurer une application avec Managed Service for Apache Flink.
+ Les autorisations de politique basées sur les ressources doivent indiquer une source de données d'entrée particulière.
# Utilisez AMS SSP pour provisionner Amazon Managed Streaming pour Apache Kafka sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Managed Streaming for Apache Kafka (Amazon MSK) directement depuis votre compte géré AMS. Amazon Managed Streaming for Apache Kafka est un service de données de AWS streaming entièrement géré qui vous permet de créer et d'exécuter facilement des applications qui utilisent Apache Kafka pour traiter des données de streaming sans avoir à devenir un expert en exploitation de clusters Apache Kafka. Amazon MSK gère le provisionnement, la configuration et la maintenance des clusters Apache Kafka et des ZooKeeper nœuds Apache pour vous. Amazon MSK affiche également les indicateurs de performance clés d'Apache Kafka dans la AWS console.
Amazon MSK fournit plusieurs niveaux de sécurité pour vos clusters Apache Kafka, notamment l'isolation du réseau VPC, l' AWS IAM pour l'autorisation des API du plan de contrôle, le chiffrement au repos, le chiffrement TLS en transit, l'authentification par certificat basée sur le TLS, l'authentification sécurisée par. SASL/SCRAM AWS Secrets Manager Pour en savoir plus, consultez [Amazon MSK](https://aws.amazon.com/msk/).
## FAQ sur Amazon MSK dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon MSK depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC fournit les politiques et le rôle IAM suivants à votre compte :
+ `customer-msk-admin-policy.json`
+ `AmazonMSKFullAccess`
+ `customer-msk-admin-role.json`
Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon MSK ?**
Pour qu'Amazon MSK envoie les journaux des courtiers aux destinations que vous configurez, assurez-vous que la `AmazonMSKFullAccess` politique est attachée à votre rôle IAM. Les autorisations d'accès complètes sont donc déjà en place.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon MSK ?**
Avant de créer votre cluster MSK, vous devez disposer d'un VPC et de sous-réseaux au sein de ce VPC. Par défaut, AMS couvre cette question dans le cadre de la création du [VPC AMS](https://docs.aws.amazon.com/msk/latest/developerguide/msk-create-cluster.html) par défaut.
Pour en savoir plus sur les limites d'Amazon MSK, consultez [Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/limits.html) Limits.
# Utilisez AMS SSP pour provisionner Amazon Managed Service for Prometheus sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Managed Service for Prometheus (AMP) directement depuis votre compte géré AMS. Amazon Managed Service for Prometheus est un service de surveillance sans serveur compatible avec Prometheus pour les métriques de conteneur qui facilite la surveillance sécurisée des environnements de conteneurs à grande échelle. Avec Amazon Managed Service for Prometheus, vous pouvez utiliser le même modèle de données et le même langage de requête open source Prometheus que vous utilisez aujourd’hui pour surveiller les performances de vos charges de travail conteneurisées et bénéficier d’une évolutivité, d’une disponibilité et d’une sécurité améliorées sans avoir à gérer l’infrastructure sous-jacente.
Amazon Managed Service for Prometheus adapte automatiquement l'ingestion, le stockage et l'interrogation des indicateurs opérationnels à mesure que les charges de travail augmentent ou diminuent. Il s'intègre aux services AWS de sécurité pour permettre un accès rapide et sécurisé aux données. Pour plus d'informations, consultez [Qu'est-ce qu'Amazon Managed Service pour Prometheus ?](https://docs.aws.amazon.com/prometheus/latest/userguide/what-is-Amazon-Managed-Service-Prometheus.html)
## FAQ sur Amazon Managed Service pour Prometheus dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon Managed Service for Prometheus depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer-prometheus-console-role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le `customer-prometheus-console-role` rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Managed Service for Prometheus sur mon compte AMS ?**
Toutes les fonctionnalités sont prises en charge.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Managed Service for Prometheus dans mon compte AMS ?**
Il n'existe aucun prérequis ni aucune dépendance pour démarrer avec Amazon Managed Service for Prometheus. Toutefois, en fonction de votre cas d'utilisation spécifique, il se peut que vous deviez accéder à d'autres AWS services.
# Utilisez AMS SSP pour configurer Amazon Personalize sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Personalize directement depuis votre compte géré par AMS. Amazon Personalize est un service d'apprentissage automatique qui permet aux développeurs de créer facilement des recommandations personnalisées pour les clients utilisant leurs applications.
L'apprentissage automatique est de plus en plus utilisé pour améliorer l'engagement des clients en proposant des recommandations de produits et de contenus personnalisées, des résultats de recherche personnalisés et des promotions marketing ciblées. Cependant, le développement des capacités d'apprentissage automatique nécessaires à la production de ces systèmes de recommandation sophistiqués est aujourd'hui hors de portée de la plupart des organisations en raison de leur complexité. Amazon Personalize permet aux développeurs n'ayant aucune expérience préalable en machine learning d'intégrer facilement des fonctionnalités de personnalisation sophistiquées à leurs applications, en utilisant une technologie d'apprentissage automatique perfectionnée grâce à des années d'utilisation sur Amazon.com.
Avec Amazon Personalize, vous fournissez un flux d'activité depuis votre application (clics, pages vues, inscriptions, achats, etc.) ainsi qu'un inventaire des articles que vous souhaitez recommander, tels que des articles, des produits, des vidéos ou de la musique. Vous pouvez également choisir de fournir à Amazon Personalize des informations démographiques supplémentaires concernant vos utilisateurs, telles que leur âge ou leur situation géographique. Amazon Personalize traitera et examinera les données, identifiera ce qui est significatif, sélectionnera les bons algorithmes, puis formera et optimisera un modèle de personnalisation adapté à vos données. Toutes les données analysées par Amazon Personalize restent confidentielles et sécurisées, et ne sont utilisées que pour vos recommandations personnalisées. Vous pouvez commencer à proposer des recommandations personnalisées via un simple appel d'API. Vous ne payez que pour ce que vous utilisez, et il n'y a pas de frais minimum ni d'engagement initial.
Pour en savoir plus, consultez [Amazon Personalize](https://aws.amazon.com/personalize/).
## FAQ sur Amazon Personalize dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon Personalize depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny), et vous devez spécifier quel compartiment S3 contient les données à utiliser par custom pour générer les recommandations. AWS Cette RFC attribue les rôles IAM suivants à votre compte : `customer_personalize_console_role` et. `customer_personalize_service_role`
+ Une fois `customer_personalize_console_role` le rôle configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération. Vous pouvez également l'associer `customer_personalize_console_policy` à un autre rôle existant autre que`Customer_ReadOnly_Role`.
+ Une fois que le `customer_personalize_service_role` est fourni à votre compte, vous pouvez faire référence à son ARN lors de la création d'un nouveau groupe de données.
À ce stade, AMS Operations déploiera également ce rôle de service dans votre compte :`aws_code_pipeline_service_role_policy`.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Personalize sur mon compte AMS ?**
La configuration d'Amazon Personalize est limitée aux ressources dépourvues des préfixes « ams- » ou « mc- », afin d'empêcher toute modification de l'infrastructure AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Personalize dans mon compte AMS ?**
+ Si le compartiment S3 dans lequel les données sont stockées est chiffré, l'ID de clé KMS doit être fourni afin que nous puissions autoriser le rôle utilisé par Amazon Personalize à déchiffrer le compartiment.
Amazon Personalize ne prend pas en charge la clé KMS S3 par défaut. Si vous souhaitez utiliser KMS, créez une clé personnalisée et ajoutez-y la politique suivante en ouvrant une RFC avec le type de modification KMS Key \$1 Create (Managed automation) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
+ Un compartiment S3 doit être créé avec la politique de compartiment suivante. Pour ce faire, soumettez une RFC avec le type de modification S3 Storage \$1 Create Policy. Cette politique permet à Amazon Personalize d'accéder aux données ; ce compartiment contiendra les données destinées à être utilisées par Amazon Personalize.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
# Utilisez AMS SSP pour approvisionner Amazon Quick sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités Quick directement dans votre compte géré AMS. Quick est un service de business intelligence rapide et basé sur le cloud qui fournit des informations à tous les membres de votre organisation. En tant que service entièrement géré, Quick vous permet de créer et de publier facilement des tableaux de bord interactifs qui incluent des informations sur l'apprentissage automatique (ML). Pour en savoir plus, consultez [Amazon Quick](https://aws.amazon.com/quicksight/).
## FAQ sur Quick in AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Quick dans mon compte AMS ?**
Demandez l'accès en soumettant un type de gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_quicksight_console_admin_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation de Quick sur mon compte AMS ?**
+ AWS les paramètres des ressources sur Quick ne vous seront pas accessibles en raison de la dépendance à la politique IAM. Cependant, l'équipe AMS active chaque ressource pour vous en réponse à votre demande d'activation du service.
+ L'accès aux ressources pour les utilisateurs individuels et les groupes n'est pas pris en charge dans ce modèle car cette fonctionnalité permet aux utilisateurs de modifier les autorisations IAM susceptibles de compromettre l'infrastructure AMS.
+ La possibilité d'inviter des identités IAM depuis l'intérieur n' QuickSight est pas prise en charge en raison du risque lié à la modification des objets IAM.
+ Quick Service propose deux éditions : Enterprise et Standard. Les deux proposent une option d'authentification unique (SSO) prise en charge sur AMS. Cependant, l'édition Enterprise propose une option permettant d'intégrer Quick à Active Directory (AD). Quick on AMS ne prend pas en charge l'intégration avec AD en raison d'incompatibilités entre la structure du compte AMS et les exigences de Quick Trust.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Quick dans mon compte AMS ?**
+ Lorsque AMS reçoit cette RFC pour ajouter Quick, vous recevez une demande de service pour obtenir des informations supplémentaires ; fournissez-leur les informations suivantes :
+ Nom rapide du compte (par exemple, `CustomerName-quicksight`
+ Édition rapide (Standard ou Enterprise)
+ AWS Région dans laquelle activer le service rapide (par défaut, c'est votre AWS région AMS).
+ Une adresse e-mail de notification pour le compte Quick.
+ (Facultatif) Le compartiment S3 dans lequel se trouvent les fichiers de données à analyser.
+ Le VPC et le sous-réseau IDs qui se connectent à Quick prennent en charge une fonctionnalité permettant d'ajouter une connexion VPC, qui permet une connectivité privée entre Quick et les ressources du compte.
Un opérateur AMS effectue le processus d'inscription en votre nom et configure deux QuickSight fonctionnalités :
+ [Découverte automatique](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html) des sources de données.
+ [Connexions VPC.](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)
**Note**
Ces actions doivent être effectuées par un opérateur AMS car des autorisations IAM et VPC élevées sont requises pendant le processus de connexion.
# Utilisez AMS SSP pour configurer Amazon Rekognition sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Rekognition directement depuis votre compte géré AMS. Amazon Rekognition permet d'ajouter facilement une analyse d'images et de vidéos à vos applications à l'aide d'une technologie d'apprentissage profond éprouvée et hautement évolutive qui ne nécessite aucune expertise en apprentissage automatique pour être utilisée. Avec Amazon Rekognition, vous pouvez identifier des objets, des personnes, du texte, des scènes et des activités dans des images et des vidéos, ainsi que détecter tout contenu inapproprié. Amazon Rekognition fournit également des fonctionnalités d'analyse faciale et de recherche faciale très précises que vous pouvez utiliser pour détecter, analyser et comparer des visages dans le cadre d'une grande variété de cas de vérification utilisateur, de comptage de personnes et de sécurité publique.
Avec les étiquettes personnalisées Amazon Rekognition, vous pouvez identifier des objets et des scènes spécifiques aux besoins de votre entreprise dans les images. Par exemple, vous pouvez créer un modèle pour classer des pièces de machine spécifiques sur votre chaîne de montage ou pour détecter des plantes insalubres. Amazon Rekognition Custom Labels prend en charge le gros du développement des modèles à votre place. Aucune expérience en apprentissage automatique n'est donc requise. Il vous suffit de fournir des images des objets ou des scènes que vous souhaitez identifier, et le service s'occupe du reste.
Pour en savoir plus, consultez [Amazon Rekognition.](https://aws.amazon.com/rekognition/)
## FAQ sur Amazon Rekognition dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon Rekognition depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_rekognition_console_role & customer_rekognition_service_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Rekognition sur mon compte AMS ?**
Toutes les fonctionnalités d'Amazon Rekognition sont disponibles avec le rôle de service auto-provisionné Amazon Rekognition.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Rekognition dans mon compte AMS ?**
Si vous utilisez Kinesis Video Streams qui fournit la source vidéo en streaming pour un processeur de flux vidéo Amazon Rekognition ou un flux de données comme destination pour écrire des données dans Kinesis Data Streams, veuillez fournir un à AMS lors de la création de la RFC. `kinesisStreamName`
# Utilisez AMS SSP pour configurer Amazon SageMaker AI sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon SageMaker AI directement depuis votre compte géré AMS. SageMaker L'IA permet à chaque développeur et scientifique des données de créer, de former et de déployer rapidement des modèles d'apprentissage automatique. Amazon SageMaker AI est un service entièrement géré qui couvre l'ensemble du flux de travail d'apprentissage automatique pour étiqueter et préparer vos données, choisir un algorithme, entraîner le modèle, le régler et l'optimiser pour le déploiement, faire des prédictions et prendre des mesures. Vos modèles sont mis en production plus rapidement, avec beaucoup moins d'efforts et à moindre coût. Pour en savoir plus, consultez [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/).
## SageMaker FAQ sur l'IA dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à l' SageMaker IA dans mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Management \$1 AWS Service \$1 Autoprovisionné \$1 Add (ct-1w8z66n899dct). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_sagemaker_admin_role` et le rôle de service. `AmazonSageMaker-ExecutionRole-Admin` Une fois l' SageMaker IA configurée dans votre compte, vous devez intégrer le `customer_sagemaker_admin_role` rôle dans votre solution de fédération. Vous ne pouvez pas accéder directement au rôle de service ; le service d' SageMaker IA l'utilise pour effectuer diverses actions, comme décrit ici : [Transmission de rôles](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role).
**Q : Quelles sont les restrictions relatives à l'utilisation de l' SageMaker IA dans mon compte AMS ?**
+ Les cas d'utilisation suivants ne sont pas pris en charge par le rôle IAM AMS Amazon SageMaker AI :
+ SageMaker AI Studio n'est pas pris en charge pour le moment.
+ SageMaker L'IA Ground Truth pour gérer les effectifs privés n'est pas prise en charge car cette fonctionnalité nécessite un accès trop permissif aux ressources Amazon Cognito. Si la gestion d'une main-d'œuvre privée est requise, vous pouvez demander un rôle IAM personnalisé avec des autorisations combinées SageMaker AI et Amazon Cognito. Dans le cas contraire, nous vous recommandons de faire appel à du personnel public (soutenu par Amazon Mechanical Turk) ou à des fournisseurs de AWS Marketplace services pour l'étiquetage des données.
+ Création de points de terminaison VPC pour prendre en charge les appels d'API aux services d' SageMaker IA (aws.sagemaker). \$1région\$1 .notebook, com.amazonaws. \$1region\$1 .sagemaker.api et com.amazonaws. \$1region\$1 .sagemaker.runtime) n'est pas pris en charge car les autorisations ne peuvent pas être limitées aux seuls services liés à l'IA. SageMaker Pour soutenir ce cas d'utilisation, soumettez une RFC Management \$1 Other \$1 Other pour créer des points de terminaison VPC associés.
+ SageMaker La mise à l'échelle automatique des terminaux AI n'est pas prise en charge car l' SageMaker IA nécessite `DeleteAlarm` des autorisations sur n'importe quelle ressource (« \$1 »). Pour prendre en charge le dimensionnement automatique d'un point de terminaison, soumettez une RFC de gestion \$1 Autre \$1 Autre afin de configurer le dimensionnement automatique pour un point de terminaison basé sur l' SageMaker IA.
**Q : Quels sont les prérequis ou les dépendances pour utiliser l' SageMaker IA dans mon compte AMS ?**
+ Les cas d'utilisation suivants nécessitent une configuration spéciale avant utilisation :
+ Si un compartiment S3 doit être utilisé pour stocker des artefacts et des données du modèle, vous devez demander un compartiment S3 nommé avec les mots clés requis (» SageMaker «, « Sagemaker », « sagemaker » ou « aws-glue ») avec un Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create RFC.
+ Si Elastic File Store (EFS) doit être utilisé, le stockage EFS doit être configuré dans le même sous-réseau et autorisé par les groupes de sécurité.
+ Si d'autres ressources nécessitent un accès direct aux services d' SageMaker IA (ordinateurs portables, API, environnement d'exécution, etc.), la configuration doit être demandée par :
+ Soumission d'une RFC pour créer un groupe de sécurité pour le point de terminaison (déploiement \$1 Composants de pile avancés \$1 Groupe de sécurité \$1 Créer (auto)).
+ Soumission d'une RFC de gestion \$1 Autre \$1 Autre \$1 Création d'une RFC pour configurer les points de terminaison VPC associés.
**Q : Quelles sont les conventions de dénomination prises en charge pour les ressources auxquelles ils `customer_sagemaker_admin_role` peuvent accéder directement ?** (Les informations suivantes concernent les autorisations de mise à jour et de suppression ; si vous avez besoin de conventions de dénomination supplémentaires prises en charge pour vos ressources, contactez un architecte du cloud AMS pour obtenir une consultation.)
+ Ressource : Passing `AmazonSageMaker-ExecutionRole-*` role
+ Autorisations : le rôle de service auto-provisionné SageMaker AI vous permet d'utiliser le rôle de service SageMaker AI (`AmazonSageMaker-ExecutionRole-*`) avec AWS Glue AWS RoboMaker, et. AWS Step Functions
+ Ressource : Secrets on AWS Secrets Manager
+ Autorisations : décrire, créer, obtenir, mettre à jour des secrets avec un `AmazonSageMaker-*` préfixe.
+ Autorisations : Décrivez, obtenez des secrets lorsque la balise de `SageMaker` ressource est définie sur`true`.
+ Ressource : Référentiels sur AWS CodeCommit
+ Autorisations : créer/supprimer des référentiels avec un `AmazonSageMaker-*` préfixe.
+ Autorisations : Git Pull/Push sur les référentiels avec les préfixes suivants, `*sagemaker*``*SageMaker*`, et. `*Sagemaker*`
+ Ressource : référentiels Amazon ECR (Amazon Elastic Container Registry)
+ Autorisations : autorisations : définissez, supprimez des politiques de référentiel et téléchargez des images de conteneur, lorsque la convention de dénomination des ressources suivante est utilisée,`*sagemaker*`.
+ Ressource : compartiments Amazon S3
+ Autorisations : obtenir, placer, supprimer un objet, abandonner le téléchargement partitionné d'objets S3 lorsque les ressources ont les préfixes suivants :`*SageMaker*`, et`*Sagemaker*`. `*sagemaker*` `aws-glue`
+ Autorisations : obtenez des objets S3 lorsque la `SageMaker` balise est définie sur`true`.
+ Ressource : Amazon CloudWatch Log Group
+ Autorisations : créer un groupe de journaux ou un flux, mettre un événement de journal, répertorier, mettre à jour, créer, supprimer la livraison du journal avec le préfixe suivant :`/aws/sagemaker/*`.
+ Ressource : Amazon CloudWatch Metric
+ Autorisations : saisissez les données métriques lorsque les préfixes suivants sont utilisés : `AWS/SageMaker``AWS/SageMaker/`,`aws/SageMaker`,`aws/SageMaker/`, `aws/sagemaker``aws/sagemaker/`, et`/aws/sagemaker/.`.
+ Ressource : Amazon CloudWatch Dashboard
+ Autorisations : Create/Delete tableaux de bord lorsque les préfixes suivants sont utilisés :. `customer_*`
+ Ressource : rubrique Amazon SNS (Simple Notification Service)
+ Autorisations : Subscribe/Create sujet lorsque les préfixes suivants sont utilisés : `*sagemaker*``*SageMaker*`, et`*Sagemaker*`.
**Q : Quelle est la différence entre `AmazonSageMakerFullAccess` et `customer_sagemaker_admin_role` ?**
Le `customer_sagemaker_admin_role` with `customer_sagemaker_admin_policy` fournit presque les mêmes autorisations que, AmazonSageMakerFullAccess sauf que :
+ Autorisation de connexion à AWS RoboMaker Amazon Cognito et AWS Glue aux ressources.
+ SageMaker Mise à l'échelle automatique des terminaux IA. Vous devez soumettre une RFC avec Management \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Modifier le type d'entité ou de politique (automatisation gérée) (ct-27tuth19k52b4) pour augmenter les autorisations de mise à l'échelle automatique temporairement ou définitivement, car l'autoscaling nécessite un accès permissif au service. CloudWatch
**Q : Comment adopter une clé gérée par AWS KMS le client pour le chiffrement des données au repos ?**
Vous devez vous assurer que la politique des clés a été correctement configurée sur les clés gérées par le client afin que les utilisateurs ou rôles IAM associés puissent utiliser les clés. Pour plus d'informations, consultez le [document de politique AWS KMS clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users).
# Utilisez AMS SSP pour configurer Amazon Simple Email Service sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Simple Email Service (Amazon SES) directement depuis votre compte géré AMS. Amazon Simple Email Service est un service d'envoi d'e-mails basé sur le cloud conçu pour aider les spécialistes du marketing numérique et les développeurs d'applications à envoyer des e-mails marketing, de notification et transactionnels.
Vous pouvez utiliser l'interface SMTP ou l'une des interfaces AWS SDKs pour intégrer Amazon SES directement dans vos applications existantes. Vous pouvez également intégrer les fonctionnalités d'envoi d'e-mails d'Amazon SES dans les logiciels que vous utilisez déjà, tels que les systèmes de billetterie et les clients de messagerie.
Pour en savoir plus, consultez [Amazon Simple Email Service](https://aws.amazon.com/ses/).
## FAQ sur Amazon SES dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Amazon SES depuis mon compte AMS ?**
Demandez l'accès à Amazon SES en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_ses_admin_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon SES dans mon compte AMS ?**
+ Vous devez configurer une politique de compartiment S3 pour permettre à Amazon SES de publier des événements dans le compartiment.
+ Vous devez utiliser une clé CMK par défaut (AWS SES) ou configurer une clé CMK pour permettre à Amazon SES de chiffrer les e-mails et de transférer des événements vers d'autres ressources de service telles qu'Amazon S3, Amazon SNS, Lambda et Firehose, appartenant au compte.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon SES sur mon compte AMS ?**
Vous devez collecter RFCs pour créer les ressources suivantes :
+ Un utilisateur SMTP et un rôle de service IAM PutEvents autorisés à accéder à un flux Kinesis Firehose.
+ Vous devez créer de nouvelles AWS ressources telles que le bucket S3, le stream Firehose, le topic SNS en utilisant les types de modification AMS afin que les destinations de vos règles et ensembles de configuration Amazon SES fonctionnent avec ces ressources.
+ Informations d'identification SMTP. Pour demander de nouvelles informations d'identification SMTP, utilisez le type de modification (Gestion \$1 Autre \$1 Autre \$1 Création). AMS crée les informations d'identification et les ajoute à Secrets Manager pour vous.
# Utilisez AMS SSP pour configurer Amazon Simple Workflow Service sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Simple Workflow Service (Amazon SWF) directement depuis votre compte géré AMS. Amazon Simple Workflow Service aide les développeurs à créer, exécuter et dimensionner des tâches en arrière-plan comportant des étapes parallèles ou séquentielles. Vous pouvez considérer Amazon SWF comme un outil de suivi d'état entièrement géré et un coordinateur de tâches dans le cloud. Si les étapes de votre application prennent plus de 500 millisecondes, si vous devez suivre l'état du traitement, ou si vous devez effectuer une restauration ou une nouvelle tentative en cas d'échec d'une tâche, Amazon SWF peut vous aider. Pour en savoir plus, consultez [Amazon Simple Workflow Service](https://aws.amazon.com/swf/).
## FAQ sur Amazon SWF dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Amazon SWF depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_swf_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon SWF dans mon compte AMS ?**
Les `InvokeFunction` autorisations Lambda ont été incluses dans ce service, mais l'AMS ajouté à tous les rôles des clients AMS `customer_deny_policy` refuse explicitement l'accès aux fonctions Lambda d'AMS et aux ressources appartenant à AMS. Pour étiqueter ou débaliser des ressources dans Amazon SWF, soumettez un type de modification Management \$1 Other \$1 Other.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon SWF dans mon compte AMS ?**
Amazon SWF dépend du AWS Lambda service. Par conséquent, les autorisations permettant d'invoquer Lambda ont été fournies dans le cadre de ce rôle et aucune autorisation supplémentaire n'est requise pour appeler Lambda depuis Amazon SWF. Dans le cas contraire, il n'y a aucune condition préalable à l'utilisation d'Amazon SWF.
# Utilisez AMS SSP pour approvisionner Amazon Textract sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Textract directement depuis votre compte géré par AMS. Amazon Textract est un service d'apprentissage automatique entièrement géré qui extrait automatiquement le texte imprimé, l'écriture manuscrite et d'autres données des documents numérisés. Il va au-delà de la simple reconnaissance optique de caractères (OCR) pour identifier, comprendre et extraire les données des formulaires et des tableaux. Pour en savoir plus, consultez [Amazon Textract](https://aws.amazon.com/textract/).
## FAQ sur Amazon Textract dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander qu'Amazon Textract soit configuré dans mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC fournit les rôles IAM suivants à votre compte :`customer_textract_console_role`,`customer_textract_human_review_execution_role`, et. `customer_ec2_textract_instance_profile` Une fois configuré dans votre compte, vous devez intégrer le rôle `customer_textract_console_role` dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Textract sur mon compte AMS ?**
Il n'existe aucune restriction quant à l'utilisation d'Amazon Textract dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Textract dans mon compte AMS ?**
Vous devez demander la création d'un compartiment S3 en soumettant un déploiement RFC \$1 Composants de pile avancés \$1 Stockage S3 \$1 Création (ct-1a68ck03fn98r).
# Utilisez AMS SSP pour approvisionner Amazon Transcribe sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Amazon Transcribe directement depuis votre compte géré AMS. Amazon Transcribe est un service de reconnaissance vocale automatique entièrement géré et formé en continu qui génère automatiquement des transcriptions de texte horodatées à partir de fichiers audio. Amazon Transcribe permet aux développeurs d'ajouter facilement des speech-to-text fonctionnalités à leurs applications. Il est pratiquement impossible pour les ordinateurs de rechercher et d'analyser les données audio. Par conséquent, le discours enregistré doit être converti en texte avant de pouvoir être utilisé dans des applications. Historiquement, les clients devaient travailler avec des fournisseurs de transcription qui les obligeaient à signer des contrats coûteux et étaient difficiles à intégrer dans leurs outils technologiques pour accomplir cette tâche. Nombre de ces fournisseurs utilisent des technologies obsolètes qui ne s'adaptent pas bien aux différents scénarios, comme le son basse fidélité des téléphones, courant dans les centres d'appels, qui se traduit par une faible précision.
Amazon Transcribe utilise un processus d'apprentissage approfondi appelé reconnaissance vocale automatique (ASR) pour convertir la parole en texte, rapidement et avec précision. Amazon Transcribe peut être utilisé pour transcrire les appels du service client, automatiser le sous-titrage et générer des métadonnées pour les ressources multimédias afin de créer une archive entièrement consultable. Vous pouvez utiliser Amazon Transcribe Medical pour ajouter des speech-to-text fonctionnalités médicales aux applications de documentation clinique. Pour en savoir plus, consultez [Amazon Transcribe](https://aws.amazon.com/transcribe/).
## FAQ sur Amazon Transcribe dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander à ce qu'Amazon Transcribe soit configuré sur mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_transcribe_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation d'Amazon Transcribe sur mon compte AMS ?**
Vous devez utiliser « customer-transcribe\$1 » comme préfixe pour vos buckets lorsque vous utilisez Transcribe, sauf indication contraire de RA.
Vous n'êtes pas en mesure de créer un rôle IAM dans Amazon Transcribe.
Vous ne pouvez pas utiliser un compartiment S3 géré par un service pour les données de sortie dans le SSPS par défaut (si cela est nécessaire, contactez l'autorité de certification de votre compte).
Vous devez soumettre une acceptation des risques si vous souhaitez utiliser des clés KMS gérées par le client qui ne relèvent pas de l'espace de noms AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Amazon Transcribe dans mon compte AMS ?**
S3 doit avoir accès aux compartiments portant le nom « customer-transcribe\$1 ». KMS est nécessaire pour utiliser Amazon Transcribe si vos compartiments S3 sont chiffrés à l'aide de clés KMS. Si un bucket n'a pas besoin d'être chiffré, le bouton « KMStranscribe Autoriser » peut être supprimé.
# Utilisez AMS SSP pour approvisionner Amazon sur WorkSpaces votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux WorkSpaces fonctionnalités directement dans votre compte géré AMS. WorkSpaces vous permet de fournir des postes de travail Microsoft Windows ou Amazon Linux virtuels basés sur le cloud à vos utilisateurs, connus sous WorkSpaces le nom de. WorkSpaces élimine le besoin d'acheter et de déployer du matériel ou d'installer des logiciels complexes. Vous pouvez rapidement ajouter ou supprimer des utilisateurs à mesure que vos besoins évoluent. Les utilisateurs y WorkSpaces accèdent à l'aide d'une application cliente à partir d'un appareil compatible ou, pour Windows WorkSpaces, d'un navigateur Web, et ils se connectent à l'aide de leurs informations d'identification Active Directory (AD) locales existantes.
Pour en savoir plus, consultez [Amazon WorkSpaces](https://aws.amazon.com/workspaces/).
## WorkSpaces dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès WorkSpaces à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_workspaces_console_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation WorkSpaces sur mon compte AMS ?**
Toutes les fonctionnalités de Workspaces sont disponibles avec le rôle de WorkSpaces service auto-approvisionné par Amazon.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser WorkSpaces dans mon compte AMS ?**
+ WorkSpaces sont limités par AWS région ; par conséquent, l'AD Connector doit être configuré dans la même AWS région que celle où les WorkSpaces instances sont hébergées.
Les clients peuvent se connecter WorkSpaces à l'AD client en utilisant l'une des deux méthodes suivantes :
1. Utilisation du connecteur AD pour l'authentification par proxy auprès du service Active Directory local (de préférence) :
Configurez le connecteur Active Directory (AD) dans votre compte AMS avant d'intégrer votre WorkSpaces instance à votre service d'annuaire local. L'AD Connector agit comme un proxy permettant à vos utilisateurs AD existants (depuis votre domaine) de se connecter à WorkSpaces l'aide des informations d'identification AD locales existantes. C'est préférable car ils WorkSpaces sont directement liés au domaine sur site du client, qui fait à la fois office de forêt de ressources et de forêt d'utilisateurs, ce qui permet un meilleur contrôle du côté du client.
Pour plus d'informations, consultez les [meilleures pratiques pour le déploiement d'Amazon WorkSpaces (scénario 1)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.html).
1. Utilisation d'AD Connector avec AWS Microsoft AD, Shared Services VPC et d'une confiance unidirectionnelle sur site :
Vous pouvez également authentifier les utilisateurs auprès de votre annuaire local en établissant d'abord une confiance sortante unidirectionnelle entre AD géré par AMS et votre AD local. WorkSpaces rejoindra AD géré par AMS à l'aide d'un AD Connector. WorkSpaces les autorisations d'accès seront ensuite déléguées aux WorkSpaces instances via l'AD géré par AMS, sans qu'il soit nécessaire d'établir une confiance bidirectionnelle avec votre environnement sur site. Dans ce scénario, la forêt utilisateur se trouvera dans l'AD du client et la forêt de ressources dans l'AD géré par AMS (les modifications apportées à l'AD géré par AMS peuvent être demandées via RFC). Notez que la connectivité entre le WorkSpaces VPC et le VPC MALZ Shared Services exécutant l'AD géré par AMS est établie via Transit Gateway.
Pour plus d'informations, consultez les [meilleures pratiques pour le déploiement d'Amazon WorkSpaces (scénario 6)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-6-aws-microsoft-ad-shared-services-vpc-and-a-one-way-trust-to-on-premises.html).
**Note**
L'AD Connector peut être configuré en soumettant une RFC de type Management \$1 Other \$1 Other \$1 Create change avec les détails de configuration AD requis ; pour plus d'informations, voir [Créer un AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html). Si la méthode 2 est utilisée pour créer une forêt de ressources dans un compte de services partagés géré par AMS, soumettez une autre RFC de type Management \$1 Other \$1 Other \$1 Create change type dans un compte de services partagés AMS en exécutant l'AD géré par AMS.
# Utilisez AMS SSP pour fournir des services AMS Code sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités des services AMS Code directement dans votre compte géré AMS. Les services AMS Code sont un ensemble propriétaire de services de gestion de code AWS, comme indiqué ci-dessous. Vous pouvez choisir de déployer tous les services dans AMS avec les services AMS Code, ou vous pouvez les déployer individuellement dans AMS.
Les services AMS Code incluent les services suivants :
+ AWS CodeCommit: un service de [contrôle de source](https://aws.amazon.com/devops/source-control) entièrement géré qui héberge des référentiels sécurisés basés sur Git. Cela permet aux équipes de collaborer sur le code dans un écosystème sécurisé et hautement évolutif. CodeCommit élimine le besoin d'exploiter votre propre système de contrôle de source ou de vous soucier de la mise à l'échelle de son infrastructure. Vous pouvez utiliser CodeCommit pour tout stocker en toute sécurité, du code source aux fichiers binaires. En outre, ce service fonctionne sans problème avec vos outils Git existants. Pour en savoir plus, consultez [AWS CodeCommit](https://aws.amazon.com/codecommit/)
Pour le déployer dans votre compte AMS indépendamment des services AMS Code, consultez[Utilisez AMS SSP pour approvisionner AWS CodeCommit votre compte AMS](codecommit.md).
+ AWS CodeBuild: service d'intégration continue entièrement géré qui compile le code source, exécute des tests et produit des progiciels prêts à être déployés. Grâce à CodeBuild cela, vous n'avez pas besoin de provisionner, de gérer et de dimensionner vos propres serveurs de construction. CodeBuild évolue en continu et traite plusieurs versions simultanément, afin que vos versions ne soient pas laissées en attente dans une file d'attente. Vous pouvez démarrer rapidement en utilisant des environnements de génération prépackagés, ou bien, vous pouvez créer vos propres environnements de génération personnalisés, que vous utiliserez avec vos outils de génération. Avec CodeBuild, les ressources informatiques que vous utilisez vous sont facturées à la minute. Pour en savoir plus, consultez [AWS CodeBuild](https://aws.amazon.com/codebuild/)
Pour le déployer dans votre compte AMS indépendamment des services AMS Code, consultez[Utilisez AMS SSP pour approvisionner AWS CodeBuild votre compte AMS](code-build.md).
+ AWS CodeDeploy: un service de déploiement entièrement géré qui automatise les déploiements de logiciels vers divers services informatiques tels qu'Amazon EC2 et vos serveurs sur site. AWS CodeDeploy vous aide à publier rapidement de nouvelles fonctionnalités, à éviter les temps d'arrêt lors du déploiement des applications et à gérer la complexité de la mise à jour de vos applications. Vous pouvez l'utiliser AWS CodeDeploy pour automatiser les déploiements de logiciels, éliminant ainsi le besoin d'opérations manuelles susceptibles d'entraîner des erreurs. Le service s'adapte à vos besoins de déploiement. Pour en savoir plus, consultez [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)
Pour le déployer dans votre compte AMS indépendamment des services AMS Code, consultez[Utilisez AMS SSP pour approvisionner AWS CodeDeploy votre compte AMS](code-deploy.md).
+ AWS CodePipeline: un service de [livraison continue](https://aws.amazon.com/devops/continuous-delivery/) entièrement géré qui vous aide à automatiser vos pipelines de publication pour des mises à jour rapides et fiables des applications et de l'infrastructure. CodePipeline automatise les phases de création, de test et de déploiement de votre processus de publication chaque fois qu'un changement de code est effectué, en fonction du modèle de version que vous définissez. Cela vous permet de fournir des fonctionnalités et des mises à jour de manière rapide et fiable. Vous pouvez facilement intégrer AWS CodePipeline des services tiers tels que GitHub ou avec votre propre plugin personnalisé. Avec AWS CodePipeline, vous ne payez que pour ce que vous utilisez. Vous ne subissez ni frais initiaux ni engagement à long terme. Pour en savoir plus, consultez [AWS CodePipeline](https://aws.amazon.com/codepipeline/)
Pour le déployer dans votre compte AMS indépendamment des services AMS Code, consultez[Utilisez AMS SSP pour approvisionner AWS CodePipeline votre compte AMS](code-pipeline.md).
## FAQ sur les services de code AMS dans AWS Managed Services
**Q : Comment puis-je demander l'accès aux services AMS Code sur mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_code_suite_console_role` Une fois le rôle configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération. À ce stade, AMS Operations déploiera également les rôles de `aws_code_pipeline_service_role` service `customer_codebuild_service_role``customer_codedeploy_service_role`,, dans votre compte pour CodeBuild, CodeDeploy et les CodePipeline services. Si des autorisations IAM supplémentaires sont requises pour le `customer_codebuild_service_role` sont, soumettez une demande de service AMS.
**Note**
Vous pouvez également ajouter ces services séparément ; pour plus d'informations[Utilisez AMS SSP pour approvisionner AWS CodeBuild votre compte AMS](code-build.md), voir[Utilisez AMS SSP pour approvisionner AWS CodeDeploy votre compte AMS](code-deploy.md), et[Utilisez AMS SSP pour approvisionner AWS CodePipeline votre compte AMS](code-pipeline.md), respectivement.
**Q : Quelles sont les restrictions relatives à l'utilisation des services AMS Code sur mon compte AMS ?**
+ AWS CodeCommit: La fonctionnalité des déclencheurs CodeCommit est désactivée étant donné les droits associés pour créer des sujets SNS. L'authentification directe CodeCommit est limitée ; les utilisateurs doivent s'authentifier avec Credential Helper. Certaines commandes KMS sont également restreintes : kms: Chiffrer, kms: Déchiffrer, kms:ReEncrypt, kms: GenereteDataKey kms:GenerateDataKeyWithoutPlaintext, et. kms: DescribeKey
+ CodeBuild: pour l'accès de l'administrateur de la AWS CodeBuild console, les autorisations sont limitées au niveau des ressources ; par exemple, les CloudWatch actions sont limitées sur des ressources spécifiques et l'`iam:PassRole`autorisation est contrôlée.
+ CodeDeploy: CodeDeploy prend actuellement en charge les déploiements sur Amazon EC2/sur site uniquement. Les déploiements sur ECS et Lambda CodeDeploy via ne sont pas pris en charge.
+ CodePipeline: les CodePipeline fonctionnalités, les étapes et les fournisseurs sont limités aux éléments suivants :
+ Étape de déploiement : Amazon S3 et AWS CodeDeploy
+ Étape source : Amazon S3 AWS CodeCommit, Bit Bucket et GitHub
+ Build Stage : AWS CodeBuild et Jenkins
+ Étape d'approbation : Amazon SNS
+ Étape de test : Jenkins AWS CodeBuild BlazeMeter, test de l'interface utilisateur de Ghost Inspector, Micro Focus StormRunner Load, surveillance de l'API Runscope
+ Étape Invoke : Step Functions et Lambda
**Note**
AMS Operations le déploie `customer_code_pipeline_lambda_policy` dans votre compte ; il doit être associé au rôle d'exécution Lambda pour la phase d'appel Lambda. Indiquez le nom du service/execution rôle Lambda avec lequel vous souhaitez ajouter cette politique. S'il n'existe aucun service/execution rôle Lambda personnalisé, AMS crée un nouveau rôle nommé`customer_code_pipeline_lambda_execution_role`, qui est une copie de` customer_lambda_basic_execution_role`. `customer_code_pipeline_lambda_policy`
**Q : Quels sont les prérequis ou les dépendances pour utiliser les services AMS Code dans mon compte AMS ?**
+ CodeCommit: Si les compartiments S3 sont chiffrés à l'aide de AWS KMS clés, S3 et AWS KMS B doivent être utilisés AWS CodeCommit.
+ CodeBuild: Si des autorisations IAM supplémentaires sont requises pour le rôle de AWS CodeBuild service défini, demandez-les par le biais d'une demande de service AMS.
+ CodeDeploy: Aucune.
+ CodePipeline: Aucune. AWS les services pris en charge—AWS CodeCommit AWS CodeBuild,, AWS CodeDeploy—doivent être lancés avant ou en même temps que le lancement de CodePipeline. Cependant, cela est effectué par un ingénieur AMS.
# Utilisez AMS SSP pour approvisionner AWS Amplify votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Amplify fonctionnalités directement dans votre compte géré AMS. AWS Amplify Il s'agit d'une solution complète qui permet aux développeurs Web et mobiles frontaux de créer, de connecter et d'héberger facilement des applications fullstack. Amplify offre la flexibilité nécessaire pour tirer parti de l'étendue des AWS services au fur et à mesure de l'évolution de vos cas d'utilisation. Amplify fournit des produits pour créer des applications complètes pour iOS, Android, Flutter, Web et React Native. Pour en savoir plus, veuillez consulter la section [AWS Amplify](https://docs.amplify.aws/console).
## AWS Amplify dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander AWS Amplify à être configuré dans mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_amplify_console_role` Après avoir été configuré sur votre compte, vous devez intégrer le rôle dans votre solution de fédération.
En outre, vous devez fournir une acceptation des risques car AWS Amplify vous disposez d'autorisations permettant de modifier l'infrastructure. Pour ce faire, collaborez avec votre responsable de prestation de services cloud (CSDM).
**Q : Quelles sont les restrictions d'utilisation AWS Amplify sur mon compte AMS ?**
Vous devez l'utiliser `'amplify*'` comme préfixe pour vos buckets lorsque vous travaillez avec Amplify, sauf indication contraire en RA.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser AWS Amplify dans mon compte AMS ?**
Il n'y a aucune condition préalable à l'utilisation de AWS Amplify dans votre compte AMS.
**Environnements Malz uniquement** : le rôle intégré par défaut pour Amplify est « customer\$1amplify\$1console\$1role ». Pour utiliser un rôle personnalisé, déployez d'abord les entités IAM. Créez ensuite une RFC supplémentaire pour ajouter votre rôle personnalisé à la liste d'autorisation de la politique de contrôle des services pour les comptes d'applications.
# Utiliser AMS SSP pour le provisionnement AWS AppSync
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS AppSync fonctionnalités directement dans votre compte géré AMS. AWS AppSync simplifie le développement d'applications en vous permettant de créer une API flexible pour accéder, manipuler et combiner en toute sécurité les données provenant d'une ou de plusieurs sources de données. AWS AppSync est un service géré qui utilise GraphQL pour permettre aux applications d'obtenir facilement les données dont elles ont besoin.
Vous pouvez ainsi créer des AWS AppSync applications évolutives, y compris celles nécessitant des mises à jour en temps réel, sur une gamme de sources de données telles que les magasins de données NoSQL, les bases de données relationnelles, le protocole HTTP APIs et vos sources de données personnalisées avec. AWS Lambda Pour les applications mobiles et Web, fournit AWS AppSync également un accès aux données locales lorsque les appareils se déconnectent, ainsi que la synchronisation des données avec résolution des conflits personnalisable, lorsqu'ils sont de nouveau en ligne. Pour en savoir plus, veuillez consulter la section [AWS AppSync](https://aws.amazon.com/appsync/).
## AWS AppSync dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS AppSync à mon compte AMS ?**
Demandez l'accès en soumettant un type de gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_appsync_service_role` et. `customer_appsync_author_role` Une fois provisionnée dans votre compte, vous devez l'intégrer `customer_appsync_author_role` à votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation du AWS AppSync ?**
+ Lorsque vous créez une source de données lorsque AppSync le client doit spécifier le rôle de service créé précédemment, la création d'un nouveau rôle n'est pas autorisée et renverra donc un accès refusé
+ AppSync les rôles sont configurés pour restreindre les autorisations aux ressources contenant les préfixes « AMS- » ou « MC- » afin d'empêcher toute modification de l'infrastructure AMS.
**Q : Quels sont les prérequis ou les dépendances nécessaires à l'utilisation ? AWS AppSync**
Le service permet d'utiliser plusieurs autres services comme source de données. Les autorisations de base pour les utiliser en tant que tels sont incluses dans le rôle de service (`customer_appsync_service_role`), mais vous devez sélectionner manuellement le rôle de service lorsque vous utilisez le service.
# Utilisez AMS SSP pour approvisionner AWS App Mesh votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS App Mesh fonctionnalités directement dans votre compte géré AMS. AWS App Mesh fournit un réseau au niveau des applications pour permettre à vos services de communiquer facilement entre eux sur plusieurs types d'infrastructures informatiques. App Mesh normalise la façon dont vos services communiquent, vous donne de la end-to-end visibilité et garantit la haute disponibilité de vos applications.
AWS App Mesh facilite l'exécution des services en fournissant une visibilité et un contrôle du trafic réseau cohérents pour les services basés sur plusieurs types d'infrastructures informatiques. App Mesh élimine le besoin de mettre à jour le code de l'application pour modifier la manière dont les données de surveillance sont collectées ou le trafic est acheminé entre les services. App Mesh configure chaque service pour exporter les données de surveillance et met en œuvre une logique de contrôle des communications cohérente dans l'ensemble de votre application. Cela permet de localiser rapidement l'emplacement exact des erreurs et de rediriger automatiquement le trafic réseau en cas de panne ou lorsque des modifications de code doivent être déployées. Pour en savoir plus, veuillez consulter la section [AWS App Mesh](https://aws.amazon.com/app-mesh/).
## AWS App Mesh dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS App Mesh à mon compte AMS ?**
Demandez l'accès en soumettant un type de gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_app_mesh_console_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation du AWS App Mesh ?**
Toutes les fonctionnalités de AWS App Mesh sont disponibles dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances nécessaires à l'utilisation ? AWS App Mesh**
Il n'y a aucun prérequis ni aucune dépendance à utiliser AWS App Mesh dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Audit Manager votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités d'Audit Manager directement dans votre compte géré AMS. Audit Manager vous aide à auditer en permanence votre AWS utilisation afin de simplifier la manière dont vous évaluez les risques et la conformité aux réglementations et aux normes du secteur. Audit Manager automatise la collecte de preuves pour faciliter l'évaluation de l'efficacité de vos politiques, procédures et activités. Au moment d'effectuer un audit, Audit Manager vous aide à gérer les révisions de vos contrôles par les parties prenantes et à créer des rapports prêts pour l'audit en réduisant considérablement les efforts manuels. Pour en savoir plus, consultez [Audit Manager](https://aws.amazon.com/audit-manager/).
## AWS Audit Manager dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS Audit Manager à mon compte AMS ?**
Vous pouvez demander l'accès en soumettant le service AWS Services RFC Management \$1 AWS \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC fournit le rôle IAM suivant dans votre compte :. `customer-audit-manager-admin-Role` Une fois le rôle configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Audit Manager ?**
Il n'y a aucune restriction quant à l'utilisation de AWS Audit Manager dans votre compte AMS. Toutes les fonctionnalités AWS Audit Manager sont fournies pour.
**Q : Quels sont les prérequis ou les dépendances nécessaires à l'utilisation ? AWS Audit Manager**
1. Vous devez fournir à AMS le compartiment s3 dans lequel vous reports/assessments souhaitez résider.
1. Si vous souhaitez que le service soit chiffré, vous devez fournir à AMS l'ARN KMS CMK à utiliser.
1. Si vous souhaitez envoyer des notifications SNS à une rubrique, vous devez fournir le nom de la rubrique ou de l'ARN.
1. **(Facultatif)** Il existe une condition préalable supplémentaire si vous souhaitez activer Organizations dans le cadre de votre zone de landing zone multi-comptes dans Audit Manager et si vous souhaitez un compte administrateur délégué : dans le champ de description de RFC (Management \$1 AWS service \$1 Compatible Service\$1 Add), mentionnez que vous souhaitez utiliser le compte administrateur délégué dans le cadre de la configuration d'Audit Manager et fournissez les informations ci-dessous :
+ ARN KMS CMK (initialement utilisé pour configurer Audit Manager)
+ ID de compte administrateur délégué à utiliser par Audit Manager dans le cadre de cette zone de landing zone multi-comptes (il peut s'agir d'un compte d'application MALZ)
# Utilisez AMS SSP pour approvisionner AWS Batch votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Batch fonctionnalités directement dans votre compte géré AMS. AWS Batch permet aux développeurs, aux scientifiques et aux ingénieurs d'exécuter facilement et efficacement des centaines de milliers de tâches de calcul par lots AWS. AWS Batch fournit dynamiquement la quantité et le type optimaux de ressources de calcul (telles que les instances optimisées pour le processeur ou la mémoire) en fonction du volume et des besoins en ressources spécifiques des tâches par lots soumises. Ainsi AWS Batch, il n'est pas nécessaire d'installer et de gérer les logiciels de traitement par lots ou les clusters de serveurs que vous utilisez pour exécuter vos tâches, ce qui vous permet de vous concentrer sur l'analyse des résultats et la résolution des problèmes. Pour en savoir plus, veuillez consulter la section [AWS Batch](https://aws.amazon.com/batch/).
## AWS Batch dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS Batch à mon compte AMS ?**
1. Pour demander l'accès à AWS Batch, soumettez le document RFC Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC prévoit les rôles et politiques IAM suivants dans votre compte :
Rôles IAM :
+ `customer_batch_console_role`
+ `customer_batch_ecs_instance_role`
+ `customer_batch_events_service_role`
+ `customer_batch_service_role`
+ `customer_batch_ecs_task_role`
Stratégies :
+ `customer_batch_console_role_policy`
+ `customer_batch_service_role_policy`
+ `customer_batch_events_service_role_policy`
2. Une fois le rôle configuré dans votre compte, vous devez intégrer le rôle `customer_batch_console_role` dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Batch ?**
Lors de la création de l'environnement informatique, vous devez étiqueter EC2 les instances comme « customer\$1batch » ou « customer-batch ». Si les instances ne sont pas étiquetées, elles ne seront pas supprimées par lots une fois le travail terminé.
**Q : Quels sont les prérequis ou les dépendances nécessaires à l'utilisation ? AWS Batch**
Il n'y a aucun prérequis ni aucune dépendance à utiliser AWS Batch dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Certificate Manager votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités AWS Certificate Manager (ACM) directement dans votre compte géré AMS. AWS Certificate Manager est un service qui vous permet de fournir, de gérer et de déployer des certificats Secure Sockets Layer/Transport Layer Security (SSL/TLS) publics et privés à utiliser avec les AWS services et vos ressources connectées internes. SSL/TLS les certificats sont utilisés pour sécuriser les communications réseau et établir l'identité des sites Web sur Internet ainsi que des ressources sur les réseaux privés. AWS Certificate Manager élimine le processus manuel fastidieux d'achat, de téléchargement et de renouvellement SSL/TLS des certificats.
Vous pouvez ainsi demander un certificat, le déployer sur des AWS ressources intégrées à ACM, telles que les Elastic Load Balancers, les CloudFront distributions Amazon et sur API APIs Gateway, et vous laisser AWS Certificate Manager gérer les renouvellements de certificats. AWS Certificate Manager Il vous permet également de créer des certificats privés pour vos ressources internes et de gérer le cycle de vie des certificats de manière centralisée. Les certificats publics et privés fournis AWS Certificate Manager pour être utilisés avec les services intégrés à ACM sont gratuits. Vous ne payez que pour les AWS ressources que vous créez pour exécuter votre application. Avec [AWS Autorité de certification privée](https://aws.amazon.com/certificate-manager/private-certificate-authority/), vous payez mensuellement pour le fonctionnement du Autorité de certification privée AWS et pour les certificats privés que vous émettez. Pour en savoir plus, consultez la section [AWS Certificate Manager - AWS Documentation](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
## FAQ sur l'ACM dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS Certificate Manager à mon compte AMS ?**
Demandez l'accès en soumettant un type de gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_acm_create_role` Vous pouvez utiliser ce rôle pour créer et gérer des certificats ACM. Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
Les certificats ACM peuvent être créés à l'aide des types de modification suivants, même si vous n'avez pas ajouté le rôle `customer_acm_create_role` IAM :
+ [ACM \$1 Créer un certificat public](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-public-certificate.html)
+ [ACM \$1 Créer un certificat privé](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-private-certificate.html)
+ [Certificat ACM avec SANs \$1 Créer supplémentaire](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-certificate-with-additional-sans-create.html)
**Q : Quelles sont les restrictions relatives à l'utilisation du AWS Certificate Manager ?**
Vous devez envoyer une demande de modification (RFC) à AMS pour supprimer ou modifier des certificats existants, car ces actions nécessitent un accès administrateur complet (utilisez le type de modification Management \$1 Advanced stack components \$1 ACM \$1 Delete certificate certificate (ct-1q8q56cmwqj9m)). Notez que la politique IAM ne peut pas exclure des droits en fonction des noms de balises (mc\$1, ams\$1, etc.). Les certificats ne sont pas payants. Il n'est donc pas urgent de supprimer les certificats non utilisés.
**Q : Quels sont les prérequis ou les dépendances nécessaires à l'utilisation de Certificate Manager ?**
Nom DNS public existant et accès pour créer des enregistrements DNS CNAME, mais ceux-ci n'ont pas besoin d'être hébergés dans le compte géré.
# Utilisez AMS SSP pour approvisionner AWS Autorité de certification privée votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Autorité de certification privée fonctionnalités directement dans votre compte géré AMS. Les certificats privés sont utilisés pour identifier et sécuriser les communications entre les ressources connectées sur les réseaux privés, telles que les serveurs, les appareils mobiles et les applications IoT. Autorité de certification privée AWS est un service d'autorité de certification privée géré qui vous aide à gérer facilement et en toute sécurité le cycle de vie de vos certificats privés. Autorité de certification privée AWS vous fournit un service d'autorité de certification privée hautement disponible, sans l'investissement initial et les coûts de maintenance permanents liés à l'exploitation de votre propre autorité de certification privée. Autorité de certification privée AWS étend les fonctionnalités de gestion des certificats d'ACM aux certificats privés, ce qui vous permet de créer et de gérer des certificats publics et privés de manière centralisée. Vous pouvez facilement créer et déployer des certificats privés pour vos AWS ressources à l'aide de la console AWS de gestion ou de l'API ACM. Pour les instances EC2, les conteneurs, les appareils IoT et les ressources sur site, vous pouvez facilement créer et suivre des certificats privés et utiliser votre propre code d'automatisation côté client pour les déployer. Vous avez également la possibilité de créer des certificats privés et de les gérer vous-même pour les applications qui nécessitent des durées de vie de certificats, des algorithmes clés ou des noms de ressources personnalisés. Pour en savoir plus, consultez [Autorité de certification privée AWS](https://aws.amazon.com/certificate-manager/private-certificate-authority/).
## Autorité de certification privée AWS dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès Autorité de certification privée AWS à mon compte AMS ?**
Demandez l'accès via la soumission de la RFC sur les AWS services (Gestion \$1 AWS service \$1 Service compatible). Grâce à cette RFC, le rôle IAM suivant sera fourni dans votre compte :. `customer_acm_pca_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation du Autorité de certification privée AWS ?**
À l'heure actuelle, AWS Resource Access Manager (AWS RAM) ne peut pas être utilisé pour partager vos Autorité de certification privée AWS comptes entre plusieurs comptes.
**Q : Quels sont les prérequis ou les dépendances nécessaires à l'utilisation ? Autorité de certification privée AWS**
1. Si vous envisagez de créer une CRL, vous avez besoin d'un compartiment S3 pour la stocker. Autorité de certification privée AWS dépose automatiquement la CRL dans le compartiment Amazon S3 que vous désignez et la met à jour régulièrement. Avant de pouvoir configurer une CRL, il est indispensable que le compartiment S3 dispose de la politique de compartiment ci-dessous. Pour traiter cette demande, créez une RFC avec ct-0fpjlxa808sh2 (Gestion \$1 Composants de pile avancés \$1 Stockage S3 \$1 Politique de mise à jour) comme suit :
+ Indiquez le nom ou l'ARN du compartiment S3.
+ Copiez la politique ci-dessous sur RFC et remplacez-la par le nom `bucket-name` de compartiment S3 de votre choix.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource":[
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
2. Si le compartiment S3 ci-dessus est chiffré, le principal de service acm-pca.amazonaws.com a besoin d'autorisations pour le déchiffrer. Pour traiter cette demande, créez une RFC avec ct-3ovo7px2vsa6n (Gestion \$1 Composants de pile avancés \$1 clé KMS \$1 Mise à jour) comme suit :
+ Indiquez l'ARN de la clé KMS sur laquelle la politique doit être mise à jour.
+ Copiez la politique ci-dessous sur RFC et remplacez-la par le nom `bucket-name` de compartiment S3 de votre choix.
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
"arn:aws:s3:::bucket_name/audit-report/*",
"arn:aws:s3:::bucket_name/crl/*"
]
}
}
}
```
3. Autorité de certification privée AWS CRLs ne prennent pas en charge le paramètre S3 « Bloquer l'accès public aux compartiments et aux objets accordés par le biais de nouvelles listes de contrôle d'accès (ACLs) ». Vous devez désactiver ce paramètre avec le compte et le compartiment S3 afin de permettre l' Autorité de certification privée AWS écriture, CRLs comme indiqué dans [Comment créer et stocker en toute sécurité votre CRL pour ACM Private CA](https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/). Si vous souhaitez le désactiver, créez une nouvelle RFC avec ct-0xdawir96cy7k (Management \$1 Other \$1 Other \$1 Update) et joignez une acceptation des risques. Si vous avez des questions sur l'acceptation des risques, contactez votre architecte cloud.
# Utilisez AMS SSP pour approvisionner AWS CloudEndure votre compte AMS
**Note**
Suite au lancement réussi de AWS Application Migration Service, le service de CloudEndure migration est désormais en fin de vie dans toutes les AWS régions. Nous recommandons aux clients de l'utiliser AWS Application Migration Service pour les migrations par ascenseur et par équipes vers GovCloud les régions et les régions commerciales. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Application Migration Service ?](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html) .
Si vous souhaitez utiliser le AWS Application Migration Service, contactez votre autorité de certification afin qu'elle puisse vous guider.
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS CloudEndure fonctionnalités directement dans votre compte géré AMS. AWS CloudEndure la migration simplifie, accélère et automatise les migrations à grande échelle depuis une infrastructure physique, virtuelle et basée sur le cloud vers. AWS CloudEndure Disaster Recovery (DR) protège contre les interruptions de service et les pertes de données causées par toute menace, y compris les ransomwares et la corruption des serveurs.
## AWS CloudEndure dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès CloudEndure à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC fournit l'utilisateur IAM suivant à votre compte :. `customer_cloud_endure_user` Une fois qu'elles sont configurées dans votre compte, la clé d'accès et la clé secrète de l'utilisateur sont partagées dans AWS Secrets Manager.
Ces politiques sont également appliquées au compte : `customer_cloud_endure_policy` et`customer_cloud_endure_deny_policy`.
En outre, vous devez fournir une acceptation des risques, car la solution de reprise après CloudEndure sinistre pour l'intégration des applications dispose d'autorisations permettant de modifier l'infrastructure. Pour ce faire, collaborez avec votre responsable de prestation de services cloud (CSDM).
**Q : Quelles sont les restrictions d'utilisation CloudEndure sur mon compte AMS ?**
Les instances de réplication et de conversion basées sur le cloud ne peuvent être lancées que dans le sous-réseau que vous indiquez.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser CloudEndure mon compte AMS ?** Partagez les informations suivantes via une correspondance bidirectionnelle RFC :
+ Détails du sous-réseau VPC pour les instances de réplication et de conversion à lancer.
+ Le nom de ressource Amazon (ARN) de la clé KMS si les volumes EBS sont chiffrés.
# Utilisez AMS SSP pour approvisionner AWS CloudHSM votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS CloudHSM fonctionnalités directement dans votre compte géré AMS. AWS CloudHSM vous aide à répondre aux exigences de conformité de l'entreprise, contractuelles et réglementaires en matière de sécurité des données en utilisant des instances de module de sécurité matérielle (HSM) dédiées dans le AWS cloud. AWS, et les partenaires de AWS Marketplace, proposent diverses solutions pour protéger les données sensibles au sein de la AWS plateforme, mais pour certaines applications et données soumises à des obligations contractuelles ou réglementaires relatives à la gestion des clés cryptographiques, une protection supplémentaire peut être nécessaire. AWS CloudHSM complète les solutions de protection des données existantes et vous permet de protéger vos clés de chiffrement conçues et validées conformément aux normes gouvernementales pour une gestion sécurisée des clés. HSMs AWS CloudHSM vous permet de générer, de stocker et de gérer en toute sécurité les clés cryptographiques utilisées pour le chiffrement des données de manière à ce que les clés ne soient accessibles que par vous. Pour en savoir plus, veuillez consulter la section [AWS CloudHSM](https://aws.amazon.com/cloudhsm/).
## AWS CloudHSM dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS CloudHSM à mon compte AMS ?**
L'utilisation de dans votre compte AMS se fait en deux étapes :
1. Demandez un AWS CloudHSM cluster. Pour ce faire, soumettez une RFC avec le type de modification Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76). Incluez les informations suivantes :
+ AWS Région.
+ ID/ARN. Provide a VPC ID/VPCARN VPC qui se trouve dans le même compte que la RFC que vous soumettez.
+ Spécifiez au moins deux zones de disponibilité pour le cluster.
+ ID d' EC2 instance Amazon qui se connectera au cluster HSM.
1. Accédez à la AWS CloudHSM console. Pour ce faire, soumettez une RFC avec le type de modification Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_cloudhsm_console_role`
Une fois le rôle configuré dans votre compte, vous devez l'intégrer à votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS CloudHSM sur mon compte AMS ?**
L'accès à la AWS CloudHSM console ne vous permet pas de créer, de résilier ou de restaurer votre cluster. Pour ce faire, soumettez un type de modification Management \$1 Other \$1 Other \$1 Create change type (ct-1e1xtak34nx76).
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser AWS CloudHSM dans mon compte AMS ?**
Vous devez autoriser le trafic TCP via le port 2225 via une EC2 instance Amazon cliente au sein d'un VPC, ou utiliser le VPN Direct Connect pour les serveurs sur site qui souhaitent accéder au cluster HSM. AWS CloudHSM dépend d'Amazon EC2 pour les groupes de sécurité et les interfaces réseau. Pour la surveillance ou l'audit des journaux, HSM s'appuie sur CloudTrail (les opérations AWS d'API) et les CloudWatch journaux pour toutes les activités des appareils HSM locaux.
**Q : Qui appliquera les mises à jour au AWS CloudHSM client et aux bibliothèques logicielles associées ?**
Vous êtes responsable de l'application des mises à jour de la bibliothèque et du client. Vous devez surveiller la page d'historique des versions de [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html) pour connaître les versions, puis appliquer les mises à jour à l'aide de la mise à niveau du client [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-upgrade.html).
**Note**
Les correctifs logiciels pour l'appliance HSM sont toujours appliqués automatiquement par le AWS CloudHSM service.
# Utilisez AMS SSP pour approvisionner AWS CodeBuild votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS CodeBuild fonctionnalités directement dans votre compte géré AMS. AWS CodeBuild est un service d'intégration continue entièrement géré qui compile le code source, exécute des tests et produit des progiciels prêts à être déployés. Grâce à CodeBuild cela, vous n'avez pas besoin de provisionner, de gérer et de dimensionner vos propres serveurs de construction. CodeBuild évolue en continu et traite plusieurs versions simultanément, afin que vos versions ne soient pas laissées en attente dans une file d'attente. Vous pouvez démarrer rapidement en utilisant des environnements de génération prépackagés, ou bien, vous pouvez créer vos propres environnements de génération personnalisés, que vous utiliserez avec vos outils de génération. Avec CodeBuild, les ressources informatiques que vous utilisez vous sont facturées à la minute. Pour en savoir plus, veuillez consulter la section [AWS CodeBuild](https://aws.amazon.com/codebuild/).
**Note**
Pour intégrer CodeCommit, CodeBuild CodeDeploy, et à l' CodePipeline aide d'une seule RFC, soumettez le type de changement Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny) et demandez les trois services :, et. CodeBuild CodeDeploy CodePipeline Ensuite, les trois rôles, `customer_codebuild_service_role``customer_codedeploy_service_role`, et `aws_code_pipeline_service_role` sont fournis dans votre compte. Une fois le provisionnement effectué dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
## CodeBuild dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS CodeBuild à mon compte AMS ?**
L'utilisation de AWS CodeBuild dans votre compte AMS se fait en deux étapes :
1. Provisionnez le processus `CodeBuild Service Role` de génération afin de le coordonner avec les buckets AWS S3, Amazon CloudWatch et les groupes Log
1. Demande d'accès à la CodeBuild console
Vous pouvez demander que les deux soient configurés dans votre compte AMS en soumettant une RFC avec le type Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add change (ct-1w8z66n899dct). Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS CodeBuild sur mon compte AMS ?**
Pour l'accès de l'administrateur de AWS CodeBuild console, les autorisations sont limitées au niveau des ressources ; par exemple, les CloudWatch actions sont limitées sur des ressources spécifiques et l'`iam:PassRole`autorisation est contrôlée.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser CodeBuild mon compte AMS ?**
Si des autorisations IAM supplémentaires sont requises pour le rôle de AWS CodeBuild service défini, demandez-les via une demande de service AMS.
# Utilisez AMS SSP pour approvisionner AWS CodeCommit votre compte AMS
**Note**
AWS a fermé l'accès des nouveaux clients à AWS CodeCommit, à compter du 25 juillet 2024. AWS CodeCommit les clients existants peuvent continuer à utiliser le service normalement. AWS continue d'investir dans l'amélioration de la sécurité, de la disponibilité et des performances AWS CodeCommit, mais nous ne prévoyons pas d'introduire de nouvelles fonctionnalités.
Pour migrer des référentiels AWS CodeCommit Git vers d'autres fournisseurs Git, contactez votre architecte cloud (CA) pour obtenir des conseils. Pour plus d'informations sur la migration de vos référentiels Git, consultez [Comment migrer votre CodeCommit référentiel AWS vers un autre fournisseur Git](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/).
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS CodeCommit fonctionnalités directement dans votre compte géré AMS. AWS CodeCommit est un service de [contrôle de source](https://aws.amazon.com/devops/source-control/) entièrement géré qui héberge des référentiels sécurisés basés sur Git. Il aide les équipes à collaborer sur le code dans un écosystème sécurisé et hautement évolutif. CodeCommit élimine le besoin d'exploiter votre propre système de contrôle de source ou de vous soucier de la mise à l'échelle de son infrastructure. Vous pouvez l'utiliser CodeCommit pour stocker n'importe quoi en toute sécurité, du code source aux fichiers binaires, et il fonctionne parfaitement avec vos outils Git existants. Pour en savoir plus, veuillez consulter la section [AWS CodeCommit](https://aws.amazon.com/codecommit/).
**Note**
Pour intégrer CodeCommit, CodeBuild CodeDeploy, et à l' CodePipeline aide d'une seule RFC, soumettez le type de changement Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny) et demandez les trois services :, et. CodeBuild CodeDeploy CodePipeline Ensuite, les trois rôles, `customer_codebuild_service_role``customer_codedeploy_service_role`, et `aws_code_pipeline_service_role` sont fournis dans votre compte. Une fois le provisionnement effectué dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
## CodeCommit dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès CodeCommit à mon compte AMS ?**
AWS CodeCommit les rôles de console et d'accès aux données peuvent être demandés en soumettant deux AWS services RFCs, l'accès à la console et l'accès aux données :
+ Demandez l'accès à AWS CodeCommit en soumettant une RFC avec le type de modification Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_codecommit_console_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
Les accès aux données (tels que les listes de formation et d'entités) doivent être séparés CTs pour chaque source de données, en spécifiant la source de données S3 (obligatoire), le compartiment de sortie (obligatoire) et le KMS (facultatif). Il n'y a aucune limite à la création AWS CodeCommit d'emplois tant que des rôles d'accès ont été accordés à toutes les sources de données. Pour demander l'accès aux données, soumettez une RFC à Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76).
**Q : Quelles sont les restrictions d'utilisation AWS CodeCommit sur mon compte AMS ?**
La fonctionnalité des CodeCommit déclencheurs est désactivée étant donné les droits associés pour créer des sujets SNS. L'authentification directe CodeCommit est restreinte, les utilisateurs doivent s'authentifier avec Credential Helper. Certaines commandes KMS sont également restreintes : `kms:Encrypt``kms:Decrypt`,`kms:ReEncrypt`,`kms:GenereteDataKey`,`kms:GenerateDataKeyWithoutPlaintext`, et`kms:DescribeKey`.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser AWS CodeCommit dans mon compte AMS ?**
Si les compartiments S3 sont chiffrés à l'aide de clés KMS, S3 et KMS doivent être utilisés AWS CodeCommit.
# Utilisez AMS SSP pour approvisionner AWS CodeDeploy votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS CodeDeploy fonctionnalités directement dans votre compte géré AMS. AWS CodeDeploy est un service de déploiement entièrement géré qui automatise les déploiements de logiciels vers divers services informatiques tels qu'Amazon EC2 et vos AWS Fargate serveurs AWS Lambda sur site. AWS CodeDeploy vous aide à publier rapidement de nouvelles fonctionnalités, à éviter les temps d'arrêt lors du déploiement des applications et à gérer la complexité de la mise à jour de vos applications. Vous pouvez l'utiliser AWS CodeDeploy pour automatiser les déploiements de logiciels, éliminant ainsi le besoin d'opérations manuelles susceptibles d'entraîner des erreurs. Le service s'adapte à vos besoins de déploiement. Pour en savoir plus, veuillez consulter la section [AWS CodeDeploy](https://aws.amazon.com/codedeploy/).
**Note**
Pour intégrer CodeCommit, CodeBuild CodeDeploy, et à l' CodePipeline aide d'une seule RFC, soumettez le type de changement Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny) et demandez les trois services :, et. CodeBuild CodeDeploy CodePipeline Ensuite, les trois rôles, `customer_codebuild_service_role``customer_codedeploy_service_role`, et `aws_code_pipeline_service_role` sont fournis dans votre compte. Une fois le provisionnement effectué dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
## CodeDeploy dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès CodeDeploy à mon compte AMS ?**
Demandez l'accès à CodeDeploy en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_codedeploy_console_role` et. `customer_codedeploy_service_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le `customer_codedeploy_console_role` rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation CodeDeploy sur mon compte AMS ?**
Actuellement, nous prenons uniquement en charge les plateformes de calcul telles qu'Amazon EC2/on-premises. Blue/Green Les déploiements ne sont pas pris en charge.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser CodeDeploy mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser CodeDeploy dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS CodePipeline votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS CodePipeline fonctionnalités directement dans votre compte géré AMS. AWS CodePipeline est un service de [livraison continue](https://aws.amazon.com/devops/continuous-delivery/) entièrement géré qui vous aide à automatiser vos pipelines de publication pour des mises à jour rapides et fiables des applications et de l'infrastructure. CodePipeline automatise les phases de création, de test et de déploiement de votre processus de publication chaque fois qu'un changement de code est effectué, en fonction du modèle de version que vous définissez. Cela vous permet de fournir des fonctionnalités et des mises à jour de manière rapide et fiable. Vous pouvez facilement intégrer AWS CodePipeline des services tiers tels que GitHub ou avec votre propre plugin personnalisé. Avec AWS CodePipeline, vous ne payez que pour ce que vous utilisez. Vous ne subissez ni frais initiaux ni engagement à long terme. Pour en savoir plus, veuillez consulter la section [AWS CodePipeline](https://aws.amazon.com/codepipeline/).
**Note**
Pour intégrer CodeCommit, CodeBuild CodeDeploy, et à l' CodePipeline aide d'une seule RFC, soumettez le type de changement Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny) et demandez les trois services :, et. CodeBuild CodeDeploy CodePipeline Ensuite, les trois rôles, `customer_codebuild_service_role``customer_codedeploy_service_role`, et `aws_code_pipeline_service_role` sont fournis dans votre compte. Une fois le provisionnement effectué dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
CodePipeline in AMS ne prend pas en charge « Amazon CloudWatch Events » pour Source Stage car il nécessite des autorisations élevées pour créer le rôle et la politique de service, ce qui contourne le modèle des moindres privilèges et le processus de gestion des modifications d'AMS.
## CodePipeline dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès CodePipeline à mon compte AMS ?**
Demandez l'accès à CodePipeline en soumettant une demande de service pour le `customer_code_pipeline_console_role` compte concerné. Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
À ce stade, AMS Operations déploiera également ce rôle de service dans votre compte :`aws_code_pipeline_service_role_policy`.
**Q : Quelles sont les restrictions d'utilisation CodePipeline sur mon compte AMS ?**
Oui CodePipeline les fonctionnalités, les étapes et les fournisseurs sont limités aux éléments suivants :
1. Étape de déploiement : limitée à Amazon S3, et AWS CodeDeploy
1. Étape source : limitée à Amazon S3 AWS CodeCommit, BitBucket, et GitHub
1. Étape de construction : limitée à AWS CodeBuild, et Jenkins
1. Étape d'approbation : limitée à Amazon SNS
1. Phase de test : limitée à Jenkins AWS CodeBuild, BlazeMeter aux tests de l'interface utilisateur de Ghost Inspector, à Micro Focus StormRunner Load et à la surveillance de l'API Runscope
1. Invoke Stage : limité à Step Functions et Lambda
**Note**
AMS Operations sera déployé `customer_code_pipeline_lambda_policy` dans votre compte ; il doit être associé au rôle d'exécution Lambda pour la phase d'appel Lambda. Indiquez le nom du service/execution rôle Lambda avec lequel vous souhaitez ajouter cette politique. S'il n'existe aucun service/execution rôle Lambda personnalisé, AMS créera un nouveau rôle nommé`customer_code_pipeline_lambda_execution_role`, qui sera une copie de`customer_lambda_basic_execution_role`. `customer_code_pipeline_lambda_policy`
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser CodePipeline dans mon compte AMS ?**
AWS les services AWS CodeCommit pris en charge AWS CodeDeploy doivent être lancés avant ou en même temps que le lancement de CodePipeline. AWS CodeBuild
# Utilisez AMS SSP pour approvisionner Optimiseur de calcul AWS votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux Optimiseur de calcul AWS fonctionnalités directement dans votre compte géré AMS. Optimiseur de calcul AWS recommande des ressources AWS informatiques optimales pour vos charges de travail afin de réduire les coûts et d'améliorer les performances en utilisant le machine learning pour analyser les indicateurs d'utilisation historiques. Le surprovisionnement du calcul (Amazon EC2 et ASG) peut entraîner des coûts d'infrastructure inutiles et le sous-provisionnement du calcul peut nuire aux performances des applications. Compute Optimizer vous aide à choisir les types d'instances Amazon EC2 optimaux, y compris celles qui font partie d'un groupe Amazon EC2 Auto Scaling, en fonction de vos données d'utilisation. Pour en savoir plus, veuillez consulter la section [Optimiseur de calcul AWS](https://aws.amazon.com/compute-optimizer/).
## FAQ sur le Compute Optimizer dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Compute Optimizer depuis mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_compute_optimizer_readonly_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation de Compute Optimizer dans mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités de Optimiseur de calcul AWS sont disponibles dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Compute Optimizer dans mon compte AMS ?**
+ Vous devez soumettre une RFC (Management \$1 Other \$1 Other \$1 Update) autorisant AMS Ops à activer le service dans le compte. Pendant le déploiement, un rôle lié au service (SLR) est créé pour permettre la collecte de métriques et la génération de rapports. Le reflex est étiqueté « AWSService RoleForComputeOptimizer ». Pour plus d'informations, voir [Utilisation de rôles liés à un service](https://docs.aws.amazon.com/compute-optimizer/latest/ug/using-service-linked-roles.html) pour Optimiseur de calcul AWS
+ CloudWatch les métriques doivent être activées pour les métriques suivantes :
+ **Utilisation du processeur** : pourcentage d'unités de calcul Amazon EC2 allouées qui sont utilisées sur l'instance. Cette métrique identifie la puissance de traitement requise pour exécuter une application sur une instance sélectionnée.
+ **Utilisation de la mémoire** : quantité de mémoire utilisée d'une manière ou d'une autre pendant la période d'échantillonnage. Cette métrique identifie la mémoire requise pour exécuter une application sur une instance sélectionnée. L'utilisation de la mémoire est analysée uniquement pour les ressources sur lesquelles l' CloudWatch agent unifié est installé. Pour plus d'informations, voir Activation de l'utilisation de la mémoire avec l' CloudWatch agent (p. 10).
+ **Entrée réseau** : nombre d'octets reçus par l'instance sur toutes les interfaces réseau. Cette métrique identifie le volume du trafic réseau entrant vers une seule instance.
+ **Sortie réseau** : nombre d'octets envoyés sur toutes les interfaces réseau par l'instance. Cette métrique identifie le volume du trafic réseau sortant à partir d'une seule instance.
+ **Disque local input/output (E/S)** : nombre d' input/output opérations effectuées sur le disque local. Cette métrique identifie les performances du volume racine d'une instance
# Utilisez AMS SSP pour approvisionner AWS DataSync votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS DataSync fonctionnalités directement dans votre compte géré AMS. AWS DataSync déplace de grandes quantités de données en ligne entre le stockage sur site et Amazon S3, Amazon Elastic File System (Amazon Elastic File System) ou Amazon FSx. Les tâches manuelles liées aux transferts de données peuvent ralentir les migrations et alourdir les opérations informatiques. DataSync élimine ou gère automatiquement bon nombre de ces tâches, notamment la rédaction de scripts de copie, la planification et le suivi des transferts, la validation des données et l'optimisation de l'utilisation du réseau. L'agent DataSync logiciel se connecte à votre système de fichiers réseau (NFS) et à votre système de stockage SMB (Server Message Block) afin que vous n'ayez pas à modifier vos applications. DataSync peut transférer des centaines de téraoctets et des millions de fichiers à des vitesses jusqu'à 10 fois supérieures à celles des outils open source, via Internet ou des liens. AWS Direct Connect Vous pouvez l'utiliser DataSync pour migrer des ensembles de données ou des archives actifs AWS, transférer des données vers le cloud pour une analyse et un traitement rapides, ou répliquer des données AWS pour assurer la continuité des activités.
Pour en savoir plus, veuillez consulter la section [AWS DataSync](https://aws.amazon.com/datasync/).
## DataSync dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès DataSync à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_datasync_console_role`
Une fois les rôles configurés dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
Le groupe de CloudWatch journaux à utiliser pour diffuser les journaux des tâches est « /aws/datasync ».
**Q : Quelles sont les restrictions d'utilisation DataSync sur mon compte AMS ?**
Toutes les fonctionnalités de AWS DataSync sont disponibles dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser DataSync mon compte AMS ?**
+ Amazon S3 ARNs (Amazon Resource Names) est requis pour tous les compartiments S3 associés aux DataSync tâches qui seront effectuées à l'aide du rôle `customer_datasync_service_role` de DataSync service.
+ Les points de terminaison VPC et les groupes de sécurité pour les DataSync agents doivent être demandés à l'aide d'une RFC avec le type de modification Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) avant d'utiliser les points de terminaison VPC.
+ AWS DataSync les agents s'exécutent dans AMS en tant qu'appliance. L' AWS DataSync agent est corrigé et mis à jour par le service ; pour plus de détails, consultez la [AWS DataSync FAQ](https://aws.amazon.com/datasync/faqs/).
+ Pour lancer un AWS DataSync agent, soumettez une RFC avec le type de modification Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76), en demandant le déploiement de l'agent. Fournissez l'ID de l'AMI AWS DataSync Amazon EC2, le type d'instance, le sous-réseau, le groupe de sécurité ; et faites référence à une paire de clés Amazon EC2 existante ou demandez la création d'une nouvelle paire de clés.
**Note**
AMS approvisionne l' AWS DataSync agent manuellement pour le compte du client et ne nécessite pas le processus d'ingestion du WIGS sur l'AMI AWS DataSync Amazon EC2.
# Utilisez AMS SSP pour approvisionner AWS Device Farm votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Device Farm fonctionnalités directement dans votre compte géré AMS. AWS Device Farm est un service de test d'applications qui vous permet d'améliorer la qualité de vos applications Web et mobiles en les testant sur une vaste gamme de navigateurs de bureau et de véritables appareils mobiles, sans avoir à fournir ni à gérer d'infrastructure de test. Le service vous permet d'exécuter vos tests simultanément sur plusieurs navigateurs de bureau ou sur de vrais appareils afin d'accélérer l'exécution de votre suite de tests, et génère des vidéos et des journaux pour vous aider à identifier rapidement les problèmes liés à votre application.
Pour en savoir plus, veuillez consulter la section [AWS Device Farm](https://aws.amazon.com/device-farm/).
## AWS Device Farm dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès AWS Device Farm à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_devicefarm_role`
Une fois les rôles configurés dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Device Farm sur mon compte AMS ?**
L'accès complet au AWS Device Farm service est fourni, à l'exception de l'utilisation de l'espace de noms AMS dans la balise « Name ».
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS Device Farm mon compte AMS ?**
Aucune.
# Utilisez AMS SSP pour approvisionner Reprise après sinistre AWS Elastic votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux Reprise après sinistre AWS Elastic fonctionnalités directement dans votre compte géré AMS. Reprise après sinistre AWS Elastic minimise les temps d'arrêt et les pertes de données grâce à une restauration rapide et fiable des applications sur site et dans le cloud à l'aide d'un stockage abordable, d'un calcul minimal et point-in-time d'une restauration. Vous pouvez améliorer la résilience informatique lorsque vous répliquez Reprise après sinistre AWS Elastic des applications sur site ou dans le cloud exécutées sur des systèmes d'exploitation pris en charge. Utilisez le AWS Management Console pour configurer les paramètres de réplication et de lancement, surveiller la réplication des données et lancer des instances à des fins d'analyse ou de restauration.
Pour en savoir plus, veuillez consulter la section [Reprise après sinistre AWS Elastic](https://aws.amazon.com/disaster-recovery/).
## Reprise après sinistre AWS Elastic dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès Reprise après sinistre AWS Elastic à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_drs_console_role`
Une fois le rôle configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation Reprise après sinistre AWS Elastic sur mon compte AMS ?**
Il n'y a aucune restriction d'utilisation Reprise après sinistre AWS Elastic dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser Reprise après sinistre AWS Elastic dans mon compte AMS ?**
+ Une fois que vous avez accès au rôle de console, vous devez initialiser le service Elastic Disaster Recovery pour créer les rôles IAM nécessaires dans le compte.
+ Vous devez soumettre le type de modification Gestion \$1 Applications \$1 Profil d'instance IAM \$1 Créer (automatisation gérée) le type de modification ct-0ixp4ch2tiu04 RFC pour créer un clone du profil d'instance et joindre la politique. `customer-mc-ec2-instance-profile` `AWSElasticDisasterRecoveryEc2InstancePolicy` Vous devez spécifier les machines auxquelles vous souhaitez associer la nouvelle politique.
+ Si l'instance n'utilise pas le profil d'instance par défaut, AMS peut s'attacher `AWSElasticDisasterRecoveryEc2InstancePolicy` par automatisation.
+ Vous devez utiliser une clé KMS appartenant au client pour la restauration entre comptes. La clé KMS du compte source doit être mise à jour conformément à la politique pour autoriser l'accès au compte cible. Pour plus d'informations, voir [Partager la clé de chiffrement EBS avec le compte cible](https://docs.aws.amazon.com/drs/latest/userguide/multi-account.html#multi-account-ebs).
+ La politique des clés KMS doit être mise à jour `customer_drs_console_role` pour autoriser l'affichage de la politique si vous ne souhaitez pas changer de rôle pour l'afficher.
+ Pour la reprise après sinistre entre comptes et entre régions, AMS doit configurer les comptes source et cible en tant que comptes fiables et déployer les rôles de [secours et de redimensionnement via AWS .](https://docs.aws.amazon.com/drs/latest/userguide/trusted-accounts-failback-role.html) CloudFormation
# Utilisez AMS SSP pour approvisionner AWS Elemental MediaConvert votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Elemental MediaConvert fonctionnalités directement dans votre compte géré AMS. AWS Elemental MediaConvert est un service de transcodage vidéo basé sur des fichiers doté de fonctionnalités adaptées à la diffusion. Il vous permet de créer du contenu video-on-demand (VOD) pour la diffusion et la diffusion sur plusieurs écrans à grande échelle. Le service combine des fonctionnalités vidéo et audio avancées avec une interface de services Web et une pay-as-you-go tarification simples. Vous pouvez ainsi vous concentrer sur la création d'expériences multimédias captivantes sans avoir à vous soucier de la complexité liée à la création et à l'exploitation de votre propre infrastructure de traitement vidéo. AWS Elemental MediaConvert
Pour en savoir plus, veuillez consulter la section [AWS Elemental MediaConvert](https://aws.amazon.com/mediaconvert/).
## MediaConvert dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès MediaConvert à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_mediaconvert_author_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
Un deuxième rôle sera fourni`customer_MediaConvert_Default_Role`, qui sera utilisé pour lire à partir du compartiment S3 source et écrire la sortie MediaConvert dans le compartiment S3 de destination, ainsi que pour appeler la passerelle API au cas où vous auriez besoin d'une gestion des droits numériques (DRM).
**Q : Quelles sont les restrictions d'utilisation MediaConvert sur mon compte AMS ?**
Il n'y a aucune restriction quant à l'utilisation de MediaConvert dans AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser MediaConvert mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser MediaConvert dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Elemental MediaLive votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Elemental MediaLive fonctionnalités directement dans votre compte géré AMS. AWS Elemental MediaLive est un service de traitement vidéo en direct de qualité télévisuelle. Il vous permet de créer des flux vidéo de haute qualité destinés à être diffusés sur des télévisions et des appareils multi-écrans connectés à Internet, tels que des tablettes TVs, des smartphones et des décodeurs connectés. Le service fonctionne en encodant vos flux vidéo en direct en temps réel, en prenant une source vidéo en direct de plus grande taille et en la compressant en versions plus petites pour la distribuer à vos spectateurs. Avec AWS Elemental MediaLive, vous pouvez facilement configurer des diffusions pour des événements en direct et des chaînes 24 heures sur 24, 7 jours sur 7, grâce à des fonctionnalités de diffusion avancées, à une haute disponibilité et pay-as-you-go à des prix. AWS Elemental MediaLive vous permet de vous concentrer sur la création d'expériences vidéo en direct captivantes pour vos spectateurs, sans la complexité liée à la création et à l'exploitation d'une infrastructure de traitement vidéo adaptée à la diffusion.
Pour en savoir plus, veuillez consulter la section [AWS Elemental MediaLive](https://aws.amazon.com/medialive/).
## MediaLive dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès MediaLive à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_medialive_author_role`
Dans le cadre de cette RFC, un deuxième rôle est déployé dans votre compte ; ce `customer_medialive_service_role` rôle peut être attribué à vos chaînes Media Live et à vos entrées pour interagir avec d'autres services tels qu'Amazon S3 et CloudWatch Logs. MediaStore
Une fois les rôles configurés dans votre compte, vous devez les intégrer dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation MediaLive sur mon compte AMS ?**
Il n'y a aucune restriction quant à l'utilisation de MediaLive dans AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser MediaLive dans mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser MediaLive dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Elemental MediaPackage votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Elemental MediaPackage fonctionnalités directement dans votre compte géré AMS. AWS Elemental MediaPackage prépare et protège de manière fiable votre vidéo en vue de sa diffusion sur Internet. À partir d'une seule entrée vidéo, AWS Elemental MediaPackage crée des flux vidéo formatés pour être lus sur des téléphones portables TVs, des ordinateurs, des tablettes et des consoles de jeux connectés. Il permet de mettre en œuvre facilement des fonctionnalités vidéo populaires pour les spectateurs (redémarrage, pause, retour en arrière, etc.), comme celles que l'on trouve couramment sur le site. DVRs AWS Elemental MediaPackage peut également protéger votre contenu à l'aide de la gestion des droits numériques (DRM). AWS Elemental MediaPackage évolue automatiquement en fonction de la charge, de sorte que vos spectateurs bénéficieront toujours d'une expérience exceptionnelle sans que vous ayez à prévoir avec précision à l'avance la capacité dont vous aurez besoin.
Pour en savoir plus, veuillez consulter la section [AWS Elemental MediaPackage](https://aws.amazon.com/mediapackage/).
## MediaPackage dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès AWS Elemental MediaPackage à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_mediapackage_author_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
Un deuxième rôle sera fourni`customer_mediapackage_service_role`, qui pourra être attribué à vos chaînes Media Live et à vos entrées pour interagir avec d'autres services tels que S3 et Secrets Manager.
**Q : Quelles sont les restrictions d'utilisation MediaPackage sur mon compte AMS ?**
Il n'y a aucune restriction quant à l'utilisation de MediaPackage dans AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser MediaPackage dans mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser MediaPackage dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Elemental MediaStore votre compte AMS
**Note**
Après mûre réflexion, AWS a pris la décision de mettre fin à ses activités MediaStore, à compter du 13 novembre 2025. Si vous êtes un client actif de MediaStore, vous pouvez l'utiliser normalement MediaStore jusqu'au 13 novembre 2025, date à laquelle le support du service prendra fin. Après cette date, vous ne pourrez plus utiliser MediaStore aucune des fonctionnalités fournies par ce service.
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Elemental MediaStore fonctionnalités directement dans votre compte géré AMS. AWS Elemental MediaStore est un service AWS de stockage optimisé pour les médias. Il vous offre les performances, la cohérence et la faible latence nécessaires pour diffuser du contenu vidéo en direct. AWS Elemental MediaStore fait office de magasin d'origine dans votre flux de travail vidéo. Ses capacités de haute performance répondent aux besoins des charges de travail de diffusion multimédia les plus exigeantes, associées à un stockage rentable à long terme. Pour en savoir plus, veuillez consulter la section [AWS Elemental MediaStore](https://aws.amazon.com/mediastore/).
## MediaStore dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès MediaStore à mon compte AMS ?**
Demandez l'accès à MediaStore en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_mediastore_author_role` Dans le cadre de cette RFC, un deuxième rôle est déployé dans votre compte ; `MediaStoreAccessLogs` rôle, qui est utilisé par le MediaStore service pour enregistrer l'activité CloudWatch, si vous choisissez d'activer cette fonctionnalité. Une fois qu'il est configuré dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
À ce stade, AMS Operations déploiera également ce rôle de service dans votre compte :`aws_code_pipeline_service_role_policy`.
**Q : Quelles sont les restrictions d'utilisation MediaStore sur mon compte AMS ?**
Il n'y a aucune restriction quant à l'utilisation de MediaStore dans AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser MediaStore dans mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser MediaStore dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Elemental MediaTailor votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Elemental MediaTailor fonctionnalités directement dans votre compte géré AMS. AWS Elemental MediaTailor permet aux fournisseurs de vidéos d'insérer des publicités ciblées individuellement dans leurs flux vidéo sans sacrifier le niveau de diffusion quality-of-service. Ainsi AWS Elemental MediaTailor, les spectateurs de votre vidéo en direct ou à la demande reçoivent chacun un flux qui combine votre contenu avec des publicités personnalisées pour eux. Mais contrairement aux autres solutions publicitaires personnalisées, l'intégralité de AWS Elemental MediaTailor votre flux (vidéo et publicités) est diffusée avec une qualité vidéo de qualité supérieure afin d'améliorer l'expérience de vos spectateurs. AWS Elemental MediaTailor fournit des rapports automatisés basés à la fois sur les indicateurs de diffusion des publicités côté client et côté serveur, afin de mesurer avec précision les impressions publicitaires et le comportement des spectateurs. Vous pouvez facilement monétiser les événements de visionnage inattendus et très demandés, sans frais initiaux. AWS Elemental MediaTailor Il améliore également les taux de diffusion des publicités, vous aidant à gagner plus d'argent avec chaque vidéo, et il fonctionne avec une plus grande variété de réseaux de diffusion de contenu, de serveurs de décision publicitaire et d'appareils clients.
Pour en savoir plus, veuillez consulter la section [AWS Elemental MediaTailor](https://aws.amazon.com/mediatailor/).
## MediaTailor dans la FAQ AWS Managed Services
**Q : Comment puis-je demander l'accès MediaTailor à mon compte AMS ?**
Demandez l'accès à MediaTailor en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer-mediatailor-role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation MediaTailor sur mon compte AMS ?**
Il n'y a aucune restriction quant à l'utilisation de MediaTailor dans AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser MediaTailor mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser MediaTailor dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Global Accelerator votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités de Global Accelerator directement dans votre compte géré AMS. Global Accelerator est un service de couche réseau dans lequel vous créez des accélérateurs pour améliorer la disponibilité et les performances des applications Internet utilisées par un public mondial. Pour en savoir plus, consultez [Global Accelerator](https://aws.amazon.com/global-accelerator/).
## FAQ sur l'accélérateur mondial dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander la configuration de Global Accelerator sur mon compte AMS ?**
Demandez l'accès via la soumission de la RFC sur les AWS services (Management \$1 AWS service \$1 Self-provisioned Service). Grâce à cette RFC, les rôles IAM suivants seront fournis dans votre compte :. `customer_global_accelerator_console_role` Une fois le provisionnement effectué dans votre compte, vous devez intégrer le rôle de console dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation de Global Accelerator sur mon compte AMS ?**
Global Accelerator est un service mondial qui prend en charge les points de terminaison situés dans plusieurs AWS régions, qui sont répertoriées dans le [tableau des AWS régions](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
**Q : Quelles sont les conditions préalables ou les dépendances pour utiliser Global Accelerator dans mon compte AMS ?**
Lorsque vous configurez votre accélérateur avec Global Accelerator, vous associez les adresses IP statiques à des points de terminaison régionaux dans une ou plusieurs AWS régions. Pour les accélérateurs standard, les points de terminaison sont les équilibreurs de charge réseau, les équilibreurs de charge d'application, les instances EC2 Amazon ou les adresses IP élastiques. Pour les accélérateurs de routage personnalisés, les points de terminaison sont des sous-réseaux de cloud privé virtuel (VPC) dotés d'une ou de plusieurs instances. EC2
# Utilisez AMS SSP pour approvisionner AWS Glue votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Glue fonctionnalités directement dans votre compte géré AMS. AWS Glue est un service d'extraction, de transformation et de chargement (ETL) entièrement géré qui vous aide à préparer et à charger vos données à des fins d'analyse. Vous pouvez créer et exécuter une tâche ETL en quelques clics dans le AWS Management Console. Vous AWS Glue pointez sur vos données stockées sur AWS, vous découvrez AWS Glue vos données et vous stockez les métadonnées associées (par exemple, définition de table et schéma) dans le AWS Glue Data Catalog. Une fois cataloguées, vos données sont immédiatement consultables, interrogeables et disponibles pour les actions ETL. Pour en savoir plus, veuillez consulter la section [AWS Glue](https://aws.amazon.com/glue/).
## AWS Glue dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander AWS Glue à être configuré dans mon compte AMS ?**
Demandez l'accès à AWS Glue en soumettant une RFC auprès du service Management \$1 AWS \$1 Service auto-provisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue les rôles IAM suivants à votre compte :
+ `customer_glue_console_role`
+ `customer_glue_service_role`
Les rôles précédents incluent les politiques jointes suivantes :
+ `customer_glue_secrets_manager_policy`
+ `customer_glue_deny_policy`
Une fois les rôles configurés dans votre compte, vous devez les intégrer à votre solution de fédération.
Pour accéder aux crawlers, aux jobs et aux points de terminaison de développement (rôles nécessaires pour des cas d'utilisation spécifiques), soumettez une RFC avec le formulaire Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Create entity or policy (ct-3dpd8mdd9jn1r).
**Q : Quelles sont les restrictions d'utilisation AWS Glue sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités de AWS Glue sont disponibles dans votre compte AMS. Pour un environnement interactif dans lequel vous pouvez créer et tester des scripts ETL, utilisez Notebooks on AWS Glue Studio. AWS Glue Les sessions interactives et les carnets de tâches sont des fonctionnalités sans serveur AWS Glue que vous pouvez utiliser AWS Glue et qui utilisent le rôle de AWS Glue service.
**AWS Glue avant la version 2.0 :** les AWS Glue blocs-notes sont une ressource non gérée qui lance des EC2 instances Amazon dans un compte. Il est recommandé de lancer vos propres EC2 instances Amazon et d'installer le logiciel nécessaire pour prendre en charge l'environnement et le développement d'un ordinateur portable. Pour plus d'informations, consultez [Tutoriel : Configuration d'un bloc-notes Apache Zeppelin local pour tester et déboguer des scripts ETL et [Utilisation de points de terminaison de développement pour le développement](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html) de scripts](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint-tutorial-local-notebook.html).
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS Glue mon compte AMS ?**
AWS Glue dépend d'Amazon S3 et CloudWatch de CloudWatch Logs. Les dépendances transitives varient en fonction des sources de données, et d'autres fonctionnalités du AWS Glue service peuvent interagir avec elles (par exemple : Amazon Redshift, Amazon RDS, Athena).
# Utilisez AMS SSP pour approvisionner AWS Lake Formation votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Lake Formation fonctionnalités directement dans votre compte géré AMS. AWS Lake Formation est un service qui permet de configurer facilement un lac de données sécurisé en quelques jours. Un lac de données est un référentiel centralisé, organisé et sécurisé qui stocke toutes vos données, à la fois sous leur forme originale et préparée pour l'analyse. Un lac de données vous permet de décomposer des silos de données et de combiner différents types d'analyses pour obtenir des informations afin de prendre des décisions éclairées.
Créer un lac de données avec Lake Formation est aussi simple que définir des sources de données et les politiques d'accès aux données et de sécurité que vous souhaitez appliquer. Lake Formation vous aide ensuite à collecter et à cataloguer des données à partir de bases de données et de stockage d'objets, à les déplacer vers votre nouveau lac de données Amazon S3, à nettoyer et à classer vos données à l'aide d'algorithmes d'apprentissage automatique, ainsi qu'à sécuriser l'accès à vos données sensibles. Vos utilisateurs peuvent accéder à un catalogue de données centralisé (pour plus de détails, voir [AWS Glue FAQ](https://aws.amazon.com/glue/faqs/#AWS_Glue_Data_Catalog/)) qui décrit les ensembles de données disponibles et leur utilisation appropriée. Vos utilisateurs exploitent ensuite ces ensembles de données avec les services d'analyse et d'apprentissage automatique de leur choix, tels qu'[Amazon Redshift](https://aws.amazon.com/redshift/), [Amazon Athena](https://aws.amazon.com/athena/) et (en version bêta) [Amazon EMR](https://aws.amazon.com/emr/) pour Apache Spark. Lake Formation s'appuie sur les capacités disponibles dans [AWS Glue](https://aws.amazon.com/glue/).
Pour en savoir plus, veuillez consulter la section [AWS Lake Formation](https://aws.amazon.com/lake-formation/).
## FAQ sur la formation des lacs dans AWS Managed Services
**Q : Comment puis-je demander l'accès AWS Lake Formation à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_lakeformation_data_analyst_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
En outre, les deux rôles suivants sont facultatifs :
+ `customer_lakeformation_admin_role`
+ `customer_lakeformation_workflow_role`
Pour les autorisations d'administrateur, vous pouvez choisir d'intégrer le rôle dans le `customer_lakeformation_admin_role` cadre du même type de modification SSPS (ct-3qe6io8t6jtny).
Si vous souhaitez créer des plans dans la AWS Lake Formation console, vous devez soumettre un type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny) et ajouter explicitement pour déployer le. `customer_lakeformation_workflow_role` Dans la RFC, vous devez fournir le nom du compartiment S3 si le compartiment est une source lors de la création des Blueprints. Le bucket S3 est applicable si le type de Blueprint est AWS CloudTrail Classic Load Balancer Logs ou Application Load Balancer Logs.
**Q : Quelles sont les restrictions d'utilisation AWS Lake Formation sur mon compte AMS ?**
Toutes les fonctionnalités de Lake Formation sont disponibles dans AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser AWS Lake Formation dans mon compte AMS ?**
Lake Formation s'intègre au AWS Glue service, AWS Glue les utilisateurs ne peuvent donc accéder qu'aux bases de données et aux tables sur lesquelles ils ont des autorisations Lake Formation. En outre, les utilisateurs d' AWS Athena et d'Amazon Redshift peuvent uniquement interroger les bases de données et AWS Glue les tables sur lesquelles ils disposent des autorisations Lake Formation.
# Utilisez AMS SSP pour approvisionner AWS Lambda votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Lambda fonctionnalités directement dans votre compte géré AMS. AWS Lambda vous permet d'exécuter du code sans provisionner ni gérer de serveurs. Vous ne payez que pour le temps de calcul que vous consommez, il n'y a aucun frais lorsque votre code n'est pas en cours d'exécution. Avec Lambda, vous pouvez exécuter du code pour pratiquement n'importe quel type d'application ou de service principal, le tout sans aucune administration. Téléchargez votre code et Lambda se charge de tout ce qui est nécessaire pour exécuter et faire évoluer votre code avec une haute disponibilité. Vous pouvez configurer votre code pour qu'il se déclenche automatiquement à partir d'autres AWS services, ou l'appeler directement depuis n'importe quelle application Web ou mobile. Pour en savoir plus, veuillez consulter la section [AWS Lambda](https://aws.amazon.com/lambda/).
## FAQ sur Lambda dans AWS Managed Services
**Q : Comment puis-je demander l'accès AWS Lambda à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Gestion \$1 AWS service \$1 Service auto-approvisionné \$1 Ajouter (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_lambda_admin_role` et. `customer_lambda_basic_execution_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Lambda sur mon compte AMS ?**
+ Une fonction Lambda est conçue pour être invoquée par des sources d'événements. Pour obtenir la liste des services pouvant être utilisés comme source d'événements Lambda, consultez la section [Utilisation AWS Lambda avec d'autres](https://docs.aws.amazon.com/lambda/latest/dg/lambda-services.html) services. Tous ces services ne sont actuellement pas disponibles dans les comptes AMS. Si vous avez besoin d'un service qui n'est pas disponible, utilisez votre AMS CSDM pour signaler une exception.
+ Par défaut, AMS vous fournit un rôle d'initiation Lambda de base contenant les `AWSXrayWriteOnlyAccess` autorisations `AWSLambdaBasicExecutionRole` et ; pour plus d'informations, voir Rôle [AWS Lambda d'initiation](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html). Si vous avez besoin d'autorisations supplémentaires, telles que la possibilité de fournir des fonctions Lambda au sein de votre VPC AMS, soumettez une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny).
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser AWS Lambda dans mon compte AMS ?**
Il n'existe aucun prérequis ni aucune dépendance pour commencer AWS Lambda ; toutefois, selon votre cas d'utilisation spécifique, vous pouvez avoir besoin d'accéder à d'autres AWS services pour créer des sources d'événements, ou d'autorisations supplémentaires pour que votre fonction puisse effectuer diverses actions. Si des autorisations supplémentaires sont nécessaires, soumettez une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny).
**Q : Que dois-je faire pour exécuter une fonction Lambda dans l'un de mes comptes ?**
Pour déployer une fonction Lambda dans un compte principal, suivez les instructions suivantes :
+ Assurez-vous que SSPS for AWS Lambda est intégré.
+ Aucune restriction spécifique n'interdit ce déploiement sous la responsabilité d'AMS, tant que vos ressources AMS sont protégées et conformes.
+ Si vous souhaitez qu'AMS crée la fonction Lambda, vous devez d'abord utiliser le rôle SSPS fourni. AWS Lambda Ensuite, si vous souhaitez toujours bénéficier de l'assistance AMS pour déployer ou prendre en charge la fonction, contactez votre autorité de certification et lancez le processus hors champ (OOS).
# Utilisez AMS SSP pour approvisionner AWS License Manager votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS License Manager fonctionnalités directement dans votre compte géré AMS. AWS License Manager s'intègre aux AWS services pour simplifier la gestion des licences sur plusieurs AWS comptes, catalogues informatiques et sur site, via un seul AWS compte. AWS License Manager permet aux administrateurs de créer des règles de licence personnalisées qui imitent les termes de leurs contrats de licence, puis d'appliquer ces règles lorsqu'une instance d'Amazon EC2 est lancée. Les règles de cette AWS License Manager section vous permettent de limiter une violation de licence en empêchant physiquement le lancement de l'instance ou en informant les administrateurs de cette violation. Pour en savoir plus, veuillez consulter la section [AWS License Manager](https://aws.amazon.com/license-manager/).
## FAQ sur le License Manager dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander AWS License Manager à être configuré dans mon compte AMS ?**
Demandez l'accès à AWS License Manager en soumettant une RFC avec le type de modification Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_license_manager_role` Une fois que le rôle License Manager IAM est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS License Manager sur mon compte AMS ?**
Vous pouvez associer des AWS License Manager règles aux AMIs vôtres (filtrées sous « Je suis propriétaire »). Si vous choisissez d'appliquer une association de limites à une AMI (exemple : cette AMI ne peut prendre en charge que 100 vCPU) et que vous dépassez la limite, les futurs lancements avec cette AMI sont bloqués et renvoient un message d'erreur indiquant « Aucune licence disponible ». C'est le comportement prévu de ce service (ne pas autoriser l'épuisement des licences). Si vous avez dépassé la limite mais que vous devez relancer l'AMI, vous devez modifier la règle configurée dans AWS License Manager.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS License Manager mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser AWS License Manager dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Migration Hub votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Migration Hub fonctionnalités directement dans votre compte géré AMS. AWS Migration Hub fournit un emplacement unique où vous pouvez suivre la progression des migrations d'applications entre plusieurs AWS solutions partenaires. L'utilisation de Migration Hub vous permet de choisir les outils de migration AWS et les outils de migration partenaires qui répondent le mieux à vos besoins, tout en offrant une visibilité sur l'état des migrations dans l'ensemble de votre portefeuille d'applications. Migration Hub fournit également des indicateurs clés et la progression des applications individuelles, quels que soient les outils utilisés pour les migrer. Cela vous permet d'obtenir rapidement des mises à jour sur l'état d'avancement de toutes vos migrations, d'identifier et de résoudre facilement les problèmes, et de réduire le temps et les efforts globaux consacrés à vos projets de migration. Pour en savoir plus, veuillez consulter la section [AWS Migration Hub](https://aws.amazon.com/migration-hub/).
## FAQ sur le Hub de migration dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Migration Hub depuis mon compte AMS ?**
Demandez l'accès à Migration Hub en soumettant une RFC avec le type de modification Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_migrationhub_author_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions applicables à Migration Hub ?**
Aucune.
**Q : Quels sont les prérequis pour activer Migration Hub ?**
Il n'y a aucune condition préalable pour commencer à utiliser Migration Hub dans votre compte AMS. Cependant, des autorisations extérieures à Migration Hub peuvent être requises lors de la gestion du service, par exemple pour écrire des autorisations sur Amazon S3 pour télécharger les informations du serveur.
# Utilisez AMS SSP pour approvisionner AWS Outposts votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Outposts fonctionnalités directement dans votre compte géré AMS. AWS Outposts est un service entièrement géré qui étend AWS l'infrastructure, les AWS services et les outils à pratiquement tous les centres de données, espaces de colocation ou installations sur site pour une expérience hybride cohérente. APIs AWS Outposts convient aux charges de travail qui nécessitent un accès à faible latence aux systèmes sur site, un traitement de données local ou un stockage de données local. Pour en savoir plus, veuillez consulter la section [AWS Outposts](https://aws.amazon.com/outposts/).
## AWS Outposts dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander AWS Outposts à être configuré dans mon compte AMS ?**
Demandez l'accès à AWS Outposts en soumettant une RFC avec le type de modification Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_outposts_role` Une fois le rôle configuré dans votre compte, vous devez l'intégrer à votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Outposts sur mon compte AMS ?**
Il n'y a aucune restriction quant à l'utilisation de AWS Outposts dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS Outposts mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser AWS Outposts dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Resilience Hub votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Resilience Hub fonctionnalités directement dans votre compte géré AMS. AWS Resilience Hub vous aide à préparer et à protéger vos AWS applications de manière proactive contre les perturbations. Le Resilience Hub propose une évaluation et une validation de la résilience qui s'intègrent au cycle de vie de votre développement logiciel afin de détecter les faiblesses en matière de résilience. Resilience Hub vous aide à estimer si vos applications peuvent atteindre les objectifs de temps de restauration (RTO) et de point de reprise (RPO), et vous aide à résoudre les problèmes avant leur mise en production. Après avoir déployé une AWS application en production, vous pouvez utiliser Resilience Hub pour continuer à suivre le niveau de résilience de votre application. En cas de panne, Resilience Hub envoie une notification à l'opérateur pour lancer le processus de reprise associé.
## AWS Resilience Hub dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS Resilience Hub à mon compte AMS ?**
Demandez l'accès à Resilience Hub en soumettant une RFC avec le type de modification Management \$1 AWS Service \$1 Self-provisioned Service \$1 Add (ct-1w8z66n899dct). Cette RFC fournit les rôles et politiques IAM suivants à votre compte :
**Rôles IAM**
+ `customer_resiliencehub_console_role`
+ `customer_resiliencehub_service_role`
**Stratégies**
+ `customer_resiliencehub_console_policy`
+ `customer_resiliencehub_service_policy`
Une fois le rôle configuré dans votre compte, vous devez l'intégrer `customer_resiliencehub_console_role` dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Resilience Hub sur mon compte AMS ?**
Il n'y a aucune restriction. Toutes les fonctionnalités de Resilience Hub sont disponibles sur votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS Resilience Hub mon compte AMS ?**
Il n'existe aucune condition préalable ni dépendance pour utiliser Resilience Hub dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Secrets Manager votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Secrets Manager fonctionnalités directement dans votre compte géré AMS. AWS Secrets Manager vous aide à protéger les secrets nécessaires pour accéder à vos applications, services et ressources informatiques. Le service vous permet de faire pivoter, de gérer et de récupérer facilement les informations d'identification de base de données, les clés d'API et autres secrets tout au long de leur cycle de vie. Les utilisateurs et les applications récupèrent les secrets en appelant le Secrets Manager APIs, ce qui élimine le besoin de coder en dur les informations sensibles en texte brut. Secrets Manager propose une rotation secrète avec intégration intégrée à Amazon RDS, Amazon Redshift et Amazon DocumentDB. En outre, le service est extensible à d'autres types de secrets, notamment les clés d'API et les OAuth jetons. Pour en savoir plus, veuillez consulter la section [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/).
**Note**
Par défaut, les opérateurs AMS peuvent accéder aux secrets chiffrés à AWS Secrets Manager l'aide de la AWS KMS clé par défaut du compte (CMK). Si vous souhaitez que vos secrets ne soient pas accessibles à AMS Operations, utilisez une clé CMK personnalisée, avec une politique de clé AWS Key Management Service (AWS KMS) qui définit les autorisations appropriées aux données stockées dans le secret.
## FAQ sur le gestionnaire des Secrets Manager dans AWS Managed Services
**Q : Comment puis-je demander l'accès AWS Secrets Manager à mon compte AMS ?**
Demandez l'accès à Secrets Manager en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-3qe6io8t6jtny). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_secrets_manager_console_role` et. `customer-rotate-secrets-lambda-role` `customer_secrets_manager_console_role`Il est utilisé comme rôle d'administrateur pour fournir et gérer les secrets, et `customer-rotate-secrets-lambda-role` est utilisé comme rôle d'exécution Lambda pour les fonctions Lambda qui font pivoter les secrets. Une fois qu'il est configuré dans votre compte, vous devez intégrer le `customer_secrets_manager_console_role` rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Secrets Manager sur mon compte AMS ?**
Toutes les fonctionnalités de AWS Secrets Manager sont disponibles dans votre compte AMS, ainsi que la fonctionnalité de rotation automatique des secrets. Notez toutefois que la configuration de votre rotation à l'aide de « Créer une nouvelle fonction Lambda pour effectuer une rotation » n'est pas prise en charge car elle nécessite des autorisations élevées pour créer CloudFormation la pile (création d'un rôle IAM et d'une fonction Lambda), ce qui contourne le processus de gestion des modifications. AMS Advanced prend uniquement en charge la fonction « Utiliser une fonction Lambda existante pour effectuer une rotation », dans laquelle vous gérez vos fonctions Lambda pour faire pivoter les secrets à l'aide du AWS rôle d'administrateur Lambda SSPS. AMS Advanced ne crée ni ne gère Lambda pour alterner les secrets.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS Secrets Manager mon compte AMS ?**
Les espaces de noms suivants sont réservés à l'usage d'AMS et ne sont pas disponibles dans le cadre de l'accès direct à AWS Secrets Manager :
+ arn:aws:secretsmanager :\$1:\$1:secret:ams-shared/\$1
+ arn:aws:secretsmanager :\$1:\$1:secret:customer-shared/\$1
+ arn:aws:secretsmanager :\$1:\$1:secret:ams/\$1
## Partage de clés à l'aide de Secrets Manager (AMS SSPS)
Le partage de secrets avec AMS dans le texte brut d'une RFC, d'une demande de service ou d'un rapport d'incident entraîne un incident de divulgation d'informations et AMS expédie ces informations du dossier et vous demande de régénérer les clés.
Vous pouvez utiliser [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)(Secrets Manager) sous cet espace de noms,`customer-shared`.
![\[Flux de travail de Secrets Manager.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/secretsManager.png)
### FAQ sur le partage de clés à l'aide de Secrets Manager
**Q : Quels types de secrets doivent être partagés à l'aide de Secrets Manager ?**
Quelques exemples sont les clés pré-partagées pour la création d'un VPN, les clés confidentielles telles que les clés d'authentification (IAM, SSH), les clés de licence et les mots de passe.
**Q : Comment puis-je partager les clés avec AMS à l'aide de Secrets Manager ?**
1. Connectez-vous à la console AWS de gestion à l'aide de votre accès fédéré et du rôle approprié :
pour SALZ, le `Customer_ReadOnly_Role`
pour MALZ,`AWSManagedServicesChangeManagementRole`.
1. Accédez à la [AWS Secrets Manager console](https://console.aws.amazon.com/secretsmanager/home) et cliquez sur **Enregistrer un nouveau secret**.
1. Sélectionnez **Other type of secrets (Autres types de secrets)**.
1. Entrez la valeur secrète sous forme de texte brut et utilisez le chiffrement KMS par défaut. Cliquez sur **Suivant**.
1. Entrez le nom et la description du secret, le nom commence toujours par **customer-shared/**. Par exemple **customer-shared/mykey2022**. Cliquez sur **Suivant**.
1. Laissez la rotation automatique désactivée, cliquez sur **Suivant**.
1. Vérifiez et cliquez sur **Store** pour enregistrer le secret.
1. Répondez-nous en indiquant le nom secret par le biais de la demande de service, du RFC ou du rapport d'incident, afin que nous puissions identifier et récupérer le secret.
**Q : Quelles sont les autorisations requises pour partager les clés à l'aide de Secrets Manager ?**
**SALZ** : recherchez la politique IAM `customer_secrets_manager_shared_policy` gérée et vérifiez que le document de politique est le même que celui joint dans les étapes de création ci-dessous. Vérifiez que la politique est attachée aux rôles IAM suivants :`Customer_ReadOnly_Role`.
**MALZ** : Vérifiez que le`AMSSecretsManagerSharedPolicy`, est attaché au `AWSManagedServicesChangeManagementRole` rôle qui vous autorise à effectuer l'`GetSecretValue`action dans l'espace de `ams-shared` noms.
Exemple :
```
{
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
],
"Effect": "Allow",
"Sid": "AllowAccessToSharedNameSpaces"
}
```
**Note**
Les autorisations requises sont accordées lors de l'ajout en AWS Secrets Manager tant que service provisionné en libre-service.
# Utilisez AMS SSP pour approvisionner AWS Security Hub CSPM votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Security Hub CSPM fonctionnalités directement dans votre compte géré AMS. AWS Security Hub CSPM vous fournit une vue complète de l'état de votre sécurité interne AWS et de votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité. Security Hub CSPM centralise et hiérarchise les résultats de sécurité et de conformité provenant de AWS comptes, de services et de partenaires tiers pris en charge pour vous aider à analyser vos tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires. Pour en savoir plus, veuillez consulter la section [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/).
## FAQ sur le Security Hub CSPM dans AWS Managed Services
**Q : Comment puis-je demander l'accès AWS Security Hub CSPM à mon compte AMS ?**
Demandez l'accès au Security Hub CSPM en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_securityhub_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation de Security Hub CSPM sur mon compte AMS ?**
La fonctionnalité d'archivage a été considérée comme un risque potentiel en matière de sécurité et d'exploitation et a été limitée dans le cadre du rôle de sécurité du service auto-approvisionné.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser AWS Security Hub CSPM dans mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser AWS Security Hub CSPM dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Service Catalog AppRegistry votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AppRegistry fonctionnalités directement dans votre compte géré AMS. AppRegistry permet de rechercher des applications, de créer des rapports et de gérer des actions à partir d'un emplacement central. Les créateurs créent rarement des applications dans un seul AWS compte. Ils séparent généralement les ressources des applications par phases du cycle de vie, telles que le développement, les tests et la production. AppRegistry vous permet de regrouper et de visualiser toutes vos collections de ressources sur les AWS comptes que vous définissez.
Vous pouvez y stocker vos AWS applications, l'ensemble des ressources associées à vos applications et les groupes d'attributs d'applications. AppRegistry Pour en savoir plus, consultez la section [Qu'est-ce que c'est AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html).
## FAQ : AWS Service Catalog AppRegistry dans AMS
**Q : Comment puis-je demander l'accès AWS Service Catalog AppRegistry à mon compte AMS ?**
Demandez l'accès à AppRegistry en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned Service \$1 Add (automatisation gérée) (ct-3qe6io8t6jtny). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer-appregistry-console-role` Une fois le rôle configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Service Catalog AppRegistry sur mon compte AMS ?**
L'accès complet au AppRegistry service est fourni, à l'exception de l'utilisation de l'espace de noms AMS dans la `'Name'` balise.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser AWS Service Catalog AppRegistry dans mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser AppRegistry dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Shield Advanced votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Shield Advanced fonctionnalités directement dans votre compte géré AMS. AWS Shield Advanced est un service géré de protection par déni de service (DDoS) distribué qui protège les applications qui s'exécutent sur AWS. Shield Advanced fournit une détection permanente et des mesures d'atténuation automatiques en ligne qui minimisent les temps d'arrêt et la latence des applications. Il n'est donc pas nécessaire de contacter le AWS Support pour bénéficier de la protection S. DDo Il existe deux niveaux AWS Shield : Standard et Advanced ; AMS propose Shield Advanced. Pour en savoir plus, consultez [Shield Advanced](https://aws.amazon.com/shield/).
Tous les AWS clients bénéficient des protections automatiques de AWS Shield Standard, sans frais supplémentaires. AWS Shield Standard protège contre les attaques de couche DDo S les plus courantes et fréquentes qui ciblent votre site Web ou vos applications. Lorsque vous utilisez AWS Shield Standard Amazon CloudFront et Amazon Route 53, vous bénéficiez d'une protection de disponibilité complète contre toutes les attaques d'infrastructure connues (couches 3 et 4).
Pour bénéficier de niveaux de protection supérieurs contre les attaques ciblant vos applications exécutées sur les ressources Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) CloudFront AWS Global Accelerator, Amazon et Amazon Route 53, vous pouvez vous abonner à AWS Shield Advanced.
Outre les protections associées au réseau et à la couche de transport AWS Shield Standard, il AWS Shield Advanced fournit une détection et une atténuation supplémentaires contre les attaques DDo S sophistiquées et de grande envergure, une visibilité en temps quasi réel sur les attaques et une intégration à AWS WAF un pare-feu d'applications Web. AWS Shield Advanced vous donne également accès à l'équipe d' AWS Shield intervention (SRT) 24 heures sur 24, 7 jours sur 7 et vous protège contre les pics liés au DDo S dans vos frais Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (Elastic Load Balancing) CloudFront AWS Global Accelerator, Amazon et Amazon Route 53.
## FAQ sur Shield Advanced dans AWS Managed Services
**Q : Comment puis-je demander l'accès à Shield Advanced depuis mon compte AMS ?**
Demandez l'accès à Shield Advanced en soumettant une RFC avec le type de modification Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Cette RFC attribue les rôles IAM suivants à votre compte : `customer_shield_role` et. `aws_drt_shield_role` Une fois les rôles configurés dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
Une fois les rôles déployés dans votre compte, vous pouvez utiliser le `customer_shield_role` pour confirmer votre abonnement AWS Shield Advanced à votre compte.
**Note**
Notez que des frais mensuels et un engagement d'un an sont associés à l'utilisation de AWS Shield Advanced. En outre, l'utilisation AWS Shield Advanced dans AMS autorise AMS à passer à la AWS Shield (SRT), qui peut modifier les règles de votre pare-feu d'application Web (AWS WAF) lors d'incidents de déni de service (DDoS) distribués intensifiés. Ces modifications seront effectuées en coordination avec AMS.
**Q : Quelles sont les restrictions relatives à l'utilisation de Shield Advanced sur mon compte AMS ?**
Bien qu'il ne s'agisse pas d'une restriction, vous devez comprendre que l'utilisation de Shield Advanced déploie le`aws_drt_shield_role`, ce qui permet aux AWS Shield équipes (SRT) d'apporter des modifications d'urgence aux AWS WAF règles des comptes AMS lors d'incidents S intensifiés DDo. Cela est recommandé par AMS pour remédier le plus rapidement possible aux attaques DDo S, et cela se produirait après une escalade de l'AMS vers le SRT.
**Q : Quels sont les prérequis ou les dépendances pour utiliser Shield Advanced dans mon compte AMS ?**
Il n'existe aucune condition préalable ni dépendance pour utiliser Shield Advanced dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Snowball Edge votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités de Snowball Edge directement dans votre compte géré par AMS. Snowball Edge est une solution de transport de données à l'échelle du pétaoctet qui utilise des appareils conçus pour être sécurisés, afin de transférer de grandes quantités de données vers et depuis le cloud. AWS Snowball Edge répond aux défis courants liés aux transferts de données à grande échelle, notamment les coûts de réseau élevés, les longs délais de transfert et les problèmes de sécurité. Vous pouvez utiliser Snowball Edge pour migrer des données analytiques, des données génomiques, des vidéothèques, des référentiels d'images, des sauvegardes et pour archiver une partie des fermetures de centres de données, du remplacement de bandes magnétiques ou des projets de migration d'applications. Le transfert de données à l'aide de Snowball Edge est simple, rapide, plus sécurisé et ne coûte que cinq fois moins cher que le transfert de données via Internet haut débit.
Avec Snowball Edge, vous n'avez pas besoin d'écrire de code ni d'acheter de matériel pour transférer vos données. Commencez par utiliser la console AWS de gestion pour [créer un Job d'importation](https://docs.aws.amazon.com/snowball/latest/ug/create-import-job.html) pour Snowball, et un appareil Snowball vous sera automatiquement expédié. Une fois arrivé, connectez l'appareil à votre réseau local, téléchargez et exécutez le client Snowball (« Client ») pour établir une connexion, puis utilisez le client pour sélectionner les répertoires de fichiers que vous souhaitez transférer vers l'appareil. Le client chiffre et transfère ensuite les fichiers sur l'appareil à grande vitesse. Une fois le transfert terminé et l'appareil prêt à être retourné, l'étiquette d'expédition E Ink est automatiquement mise à jour et vous pouvez suivre l'état de la tâche avec Amazon Simple Notification Service (Amazon SNS), par SMS ou directement dans la console. Pour en savoir plus, veuillez consulter la section [AWS Snowball Edge](https://aws.amazon.com/snowball/).
## FAQ sur Snowball Edge dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS Snowball Edge à mon compte AMS ?**
La mise en œuvre de Snowball Edge dans AMS se fait en deux étapes :
1. Soumettez un type de modification Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) et demandez un rôle de service pour Snowball Edge pour votre compte AMS.
1. Demandez l'accès utilisateur en soumettant un type de gestion \$1 AWS service \$1 service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC fournit les rôles IAM suivants à votre compte :`customer_snowball_console_role`,`customer_snowball_export_role`, et. `customer_snowball_import_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Snowball Edge sur mon compte AMS ?**
Toutes les fonctionnalités du AWS Snowball Edge sont disponibles dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS Snowball Edge mon compte AMS ?**
Vous devez disposer du compte de rôle de service comme indiqué ci-dessus.
# Utilisez AMS SSP pour approvisionner AWS Step Functions votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Step Functions fonctionnalités directement dans votre compte géré AMS. AWS Step Functions est un service Web qui vous permet de coordonner les composants des applications distribuées et des microservices à l'aide de flux de travail visuels. Vous développez les applications à partir de composants individuels qui exécutent chacun une fonction discrète, ou tâche, vous permettant de mettre à l'échelle et de modifier les applications rapidement. Step Functions fournit un moyen fiable de coordonner les composants et de parcourir les fonctions de votre application. Step Functions propose une console graphique permettant de visualiser les composants de votre application sous forme d'une série d'étapes. Il déclenche et suit automatiquement chaque étape, et réessaie en cas d'erreur, afin que votre application s'exécute dans l'ordre et comme prévu, à chaque fois. Step Functions enregistre l'état de chaque étape. Ainsi, en cas de problème, vous pouvez diagnostiquer et corriger rapidement les problèmes. Pour en savoir plus, veuillez consulter la section [AWS Step Functions](https://aws.amazon.com/step-functions/).
## FAQ sur les Step Functions dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS Step Functions à mon compte AMS ?**
Demandez l'accès à AWS Step Functions en soumettant une RFC auprès de Management \$1 AWS Service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_step_functions_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Step Functions sur mon compte AMS ?**
Toutes les fonctionnalités du AWS Step Functions sont disponibles dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser AWS Step Functions dans mon compte AMS ?**
Au moment de l'exécution, le rôle utilisé par Step Functions doit avoir accès aux services utilisés par la fonction step. Par exemple, une fonction d'étape peut dépendre des fonctions Lambda. Une personne qui crée une fonction d'étape est susceptible de créer des fonctions Lambda en même temps et devra également demander l'accès à ce service.
# Utilisez AMS SSP pour approvisionner le AWS Systems Manager Parameter Store sur votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités du AWS Systems Manager Parameter Store directement dans votre compte géré AMS. AWS Systems Manager Parameter Store fournit un stockage hiérarchique sécurisé pour la gestion des données de configuration et la gestion des secrets. Vous pouvez stocker des données telles que des mots de passe, des chaînes de base de données et des codes de licence en tant que valeurs de paramètres. Vous pouvez stocker ces valeurs sous forme de texte brut ou de données chiffrées. Vous pouvez ensuite faire référence à ces valeurs en utilisant le nom unique que vous avez spécifié lors de la création du paramètre. Hautement évolutif, disponible et durable, Parameter Store est soutenu par le AWS cloud. Pour en savoir plus, consultez [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html).
**Note**
Si vous souhaitez un magasin de secrets dédié avec gestion du cycle de vie, [Utilisez AMS SSP pour approvisionner AWS Secrets Manager votre compte AMS](secrets-manager.md) utilisez-le plutôt que Parameter Store. Secrets Manager vous aide à répondre à vos exigences de sécurité et de conformité en vous permettant de transférer automatiquement les secrets. Secrets Manager propose une intégration intégrée pour MySQL, PostgreSQL et Amazon Aurora sur Amazon RDS, qui est extensible à d'autres types de secrets en personnalisant les fonctions Lambda.
## AWS Systems Manager FAQ sur le stockage des paramètres dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Systems Manager Parameter Store depuis mon compte AMS ?**
Demandez l'accès au magasin de AWS Systems Manager paramètres en soumettant une RFC à l'adresse Management \$1 AWS service \$1 Self-provisioned service \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_systemsmanager_parameterstore_console_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions relatives à l'utilisation de AWS Systems Manager Parameter Store dans mon compte AMS ?**
Vous devez utiliser des clés AWS gérées ; l'accès est limité à la création de clés KMS personnalisées. Toutefois, si une clé personnalisée est requise, soumettez une RFC pour créer une clé gérée par le client (CMK) en utilisant le type Deployment \$1 Advanced Stack Components \$1 KMS Key \$1 Create change (ct-1d84keiri1jhg) avec ce rôle IAM comme valeur pour les paramètres et. `customer_systemsmanager_parameterstore_console_role` `IAMPrincipalsRequiringDecryptPermissions` `IAMPrincipalsRequiringEncryptPermissionsPrincipal` Une fois la clé KMS créée, vous pouvez créer une chaîne sécurisée à l'aide de celle-ci.
**Q : Quels sont les prérequis ou les dépendances pour utiliser AWS Systems Manager Parameter Store dans mon compte AMS ?**
Il n'y a aucune condition préalable ; toutefois, le magasin de paramètres SSM dépend de KMS pour créer une chaîne sécurisée afin que vous puissiez chiffrer et déchiffrer leurs valeurs stockées dans le magasin de paramètres.
# Utilisez AMS SSP pour provisionner AWS Systems Manager l'automatisation dans votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités AWS Systems Manager d'automatisation directement dans votre compte géré AMS. AWS Systems Manager L'automatisation simplifie les tâches courantes de maintenance et de déploiement des instances Amazon Elastic Compute Cloud et d'autres AWS ressources à l'aide de runbooks, d'actions et de quotas de service. Il vous permet de créer, d'exécuter et de surveiller des automatisations à grande échelle. Un Systems Manager Automation est un type de document Systems Manager qui définit les actions que Systems Manager exécute sur vos instances gérées. Un runbook que vous utilisez pour effectuer des tâches de maintenance et de déploiement courantes, telles que l'exécution de commandes ou de scripts d'automatisation au sein de vos instances gérées. Systems Manager inclut des fonctionnalités qui vous aident à cibler de grands groupes d'instances à l'aide des balises Amazon Elastic Compute Cloud et des contrôles de vélocité qui vous aident à déployer les modifications conformément aux limites que vous définissez. Les runbooks sont écrits en utilisant la notation JavaScript d'objet (JSON) ou YAML. Toutefois, l'outil Document Builder de la console Systems Manager Automation permet de créer un runbook sans avoir à utiliser JSON ou YAML. Vous pouvez également utiliser les runbooks fournis par Systems Manager avec des étapes prédéfinies adaptées à vos besoins. Pour en savoir plus, consultez la section [Utilisation des runbooks](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) dans AWS Systems Manager la documentation.
**Note**
Bien que Systems Manager Automation prenne en charge 20 types d'actions pouvant être utilisés dans le runbook, vous pouvez utiliser un nombre limité d'actions lors de la création du runbook dans votre compte AMS Advanced. De même, un nombre limité de runbooks fournis par Systems Manager peuvent être utilisés soit directement, soit depuis votre propre runbook. Pour plus de détails, consultez les restrictions dans la FAQ suivante.
## AWS Systems Manager FAQ sur l'automatisation dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à Systems Manager Automation depuis mon compte AMS ?**
Demandez l'accès à AWS Systems Manager l'automatisation en soumettant une RFC à l'adresse Management \$1 AWS service \$1 Self-provisioned Service \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_systemsmanager_automation_console_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les limites de l'utilisation de l' AWS Systems Manager automatisation dans mon compte AMS ?**
Vous devez créer votre runbook, avec un ensemble limité d'actions prises en charge par Systems Manager à des fins d'automatisation, uniquement pour exécuter des and/or scripts de commandes dans vos instances gérées. Les actions qui s'offrent à vous ainsi que les restrictions éventuelles sont décrites ci-dessous.
**AWS Systems Manager Limites de l'automatisation**
| Action | Description | Limitation |
| --- | --- | --- |
| lois : assertAwsResource Propriété — | Affirmer un état de AWS ressource ou un état d'événement | EC2 Instances uniquement |
| aws:aws:branche — | Exécuter des étapes d'automatisation conditionnelles | Aucune limitation |
| AWS : CreateTags — | Création de balises pour les AWS ressources | Uniquement pour les runbooks d'automatisation SSM dont vous êtes l'auteur |
| AWS : Exécuter l'automatisation — | Exécuter une autre automatisation | Uniquement le runbook d'automatisation que vous avez créé |
| AWS : ExecuteScript — | Exécuter un script | Seul script qui n'effectue aucun appel d'API vers aucun service |
| aws:pause — | Suspendre une automatisation | Aucune limitation |
| AWS : Exécuter une commande — | Exécuter une commande sur une instance gérée | En utilisant uniquement le document fourni par System Manager - AWS- RunShellScript et AWS- RunPowerShellScript |
| aws:sleep — | Retarder une automatisation | Aucune limitation |
| lois : waitForAws ResourceProperty — | Attendre sur une propriété AWS de ressource | EC2 Instances uniquement |
Vous pouvez également choisir d'exécuter une commande ou un script directement avec les runbooks AWS RunShellScript et AWS fournis par Systems Manager RunPowerShellScript en utilisant la fonctionnalité « Run Command » depuis la console Systems Manager. Vous pouvez également imbriquer ces runbooks dans votre runbook, ce qui permet une validation préalable and/or supplémentaire ou toute logique d'automatisation complexe.
Le rôle respecte le principe du moindre privilège et fournit uniquement l'autorisation requise pour créer, exécuter et récupérer les détails d'exécution des runbooks destinés à exécuter des and/or scripts de commande dans vos instances gérées. Il ne fournit aucune autorisation pour les autres fonctionnalités fournies par le AWS Systems Manager service. Bien que cette fonctionnalité vous permette de créer des runbooks automatisés, l'exécution des runbooks ne peut pas être ciblée pour les ressources détenues par AMS.
**Q : Quels sont les prérequis ou les dépendances pour utiliser AWS Systems Manager Automation dans mon compte AMS ?**
Il n'y a aucune condition préalable ; toutefois, vous devez vous assurer que les contrôles de and/or conformité de vos processus internes sont respectés lors de la création de runbooks. Nous recommandons également de tester minutieusement les runbooks avant de les exécuter par rapport aux ressources de production.
**Q : La politique Systems Manager peut-elle `customer_systemsmanager_automation_policy` être associée à d'autres rôles IAM ?**
Non, contrairement aux autres services activés par l'auto-approvisionnement, cette politique ne peut être attribuée qu'au rôle par défaut provisionné. `customer_systemsmanager_automation_console_role`
Contrairement aux politiques des autres rôles SSPS, cette politique SSPS SSM ne peut pas être partagée avec d'autres rôles IAM personnalisés, car ce service AMS sert uniquement à exécuter des commandes ou des scripts d'automatisation au sein de vos instances gérées. Si ces autorisations étaient autorisées à être associées à d'autres rôles IAM personnalisés, éventuellement avec des autorisations sur d'autres services, la portée des actions autorisées pourrait s'étendre aux services gérés et potentiellement réduire le niveau de sécurité de votre compte.
Pour évaluer toute demande de modification (RFCs) par rapport à nos normes techniques AMS, contactez votre architecte cloud ou votre responsable de prestation de services respectif, consultez les [revues de sécurité RFC](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html).
**Note**
AWS Systems Manager vous permet d'utiliser des runbooks partagés avec votre compte. Nous vous recommandons de faire preuve de prudence et de faire preuve de diligence raisonnable lorsque vous utilisez des runbooks partagés et de vérifier le contenu pour comprendre comment command/scripts ils s'exécutent avant d'exécuter les runbooks. Pour plus de détails, reportez-vous à la section [Meilleures pratiques pour les documents SSM partagés](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-before-you-share.html).
# Utilisez AMS SSP pour approvisionner AWS Transfer Family votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités (Transfer AWS Transfer Family Family) directement dans votre compte géré AMS. AWS Transfer Family est un AWS service entièrement géré qui vous permet de transférer des fichiers via le protocole SFTP (Secure File Transfer Protocol), vers et depuis le stockage Amazon Simple Storage Service (Amazon S3). SFTP est également connu sous le nom de Secure Shell (SSH) File Transfer Protocol. Le protocole SFTP est utilisé dans les flux de travail d'échange de données dans différents secteurs d'activité, comme les services financiers, la santé, la publicité et la vente au détail.
Avec AWS SFTP, vous avez accès à un serveur SFTP AWS sans avoir à exécuter d'infrastructure de serveur. Vous pouvez utiliser ce service pour migrer vos flux de travail basés sur SFTP AWS tout en conservant les clients et les configurations de vos utilisateurs finaux tels quels. Vous associez d'abord votre nom d'hôte au point de terminaison du serveur SFTP, puis vous ajoutez vos utilisateurs et leur attribuez le niveau d'accès approprié. Ensuite, les demandes de transfert de vos utilisateurs sont traitées directement depuis le point de terminaison de votre serveur AWS SFTP. Pour en savoir plus [AWS Transfer for SFTP](https://aws.amazon.com/aws-transfer-family), voir également [Créer un serveur compatible SFTP](https://docs.aws.amazon.com/transfer/latest/userguide/create-server-sftp.html).
## AWS Transfer for SFTP dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS Transfer for SFTP à mon compte AMS ?**
Demandez l'accès à AWS Transfer for SFTP en soumettant une RFC auprès de Management \$1 AWS Service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Grâce à cette RFC, les rôles IAM suivants, ainsi qu'une politique, sont fournis dans votre compte :
+ `customer_transfer_author_role`. Ce rôle est conçu pour vous permettre de gérer le service SFTP via la console.
+ `customer_transfer_sftp_server_logging_role`. Ce rôle est conçu pour être attaché au serveur SFTP. Il permet au serveur SFTP d'y extraire les journaux. CloudWatch
+ `customer_transfer_sftp_user_role`. Ce rôle est conçu pour être attaché aux utilisateurs SFTP. Il permet aux utilisateurs SFTP d'interagir avec le compartiment S3.
+ `policy customer_transfer_scope_down_policy`. Cette politique est une politique de portée réduite qui peut être appliquée à l'utilisateur SFTP pour limiter son accès au compartiment S3 à ses dossiers personnels.
+ `customer_transfer_sftp_efs_user_role`. Ce rôle est conçu pour être attaché aux utilisateurs SFTP. Il permet aux utilisateurs du SFTP d'interagir avec le système de fichiers EFS.
Une fois qu'il est configuré dans votre compte, vous devez intégrer les rôles dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Transfer for SFTP sur mon compte AMS ?**
AWS Le transfert pour la configuration SFTP est limité aux ressources sans les préfixes « AMS- » ou « MC- » afin d'empêcher toute modification de l'infrastructure AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS Transfer for SFTP mon compte AMS ?**
+ Vous devez disposer d'un compartiment Amazon S3 dont le nom contient le mot clé « transfer » avant de créer le AWS Transfer for SFTP serveur et les utilisateurs.
+ Pour utiliser un « Customer Identify Provider », vous devez déployer l'API Gateway, la fonction Lambda et votre référentiel utilisateur (AD, Secrets Manager, etc.). Pour plus d'informations, voir [Activer l'authentification par mot de passe pour AWS Transfer for SFTP l'utilisation AWS Secrets Manager et l'utilisation](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-for-sftp-using-aws-secrets-manager/) [des fournisseurs d'identité](https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html).
# Utilisez AMS SSP pour approvisionner AWS Transit Gateway votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Transit Gateway fonctionnalités directement dans votre compte géré AMS. AWS Transit Gateway est un service qui vous permet de connecter votre Amazon Virtual Private Cloud (VPCs) et vos réseaux locaux à une passerelle unique. Au fur et à mesure que vous augmentez le nombre de charges de travail exécutées AWS, vous devez être en mesure de faire évoluer vos réseaux sur plusieurs comptes et sur Amazon VPCs pour suivre le rythme de cette croissance. Aujourd'hui, vous pouvez connecter des paires d'Amazon VPCs en utilisant le peering. Cependant, la gestion de la point-to-point connectivité sur de nombreux Amazon VPCs, sans la possibilité de gérer de manière centralisée les politiques de connectivité, peut s'avérer coûteuse et fastidieuse sur le plan opérationnel. Pour la connectivité sur site, vous devez connecter votre AWS VPN à chaque Amazon VPC individuel. La création de cette solution peut prendre beaucoup de temps et être difficile à gérer lorsque le nombre VPCs atteint des centaines. Pour en savoir plus, veuillez consulter la section [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
## AWS Transit Gateway dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS Transit Gateway à mon compte AMS ?**
Demandez l'accès à AWS Transit Gateway en soumettant une RFC auprès de Management \$1 AWS Service \$1 Service auto-approvisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_tgw_console_role` Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Transit Gateway sur mon compte AMS ?**
Toutes les fonctionnalités de AWS Transit Gateway sont disponibles sur votre compte de zone d'atterrissage à compte unique AMS, à l'exception des modifications des tables de routage pour le routage Transit Gateway. Demandez des modifications de table de routage en soumettant un type Management \$1 Other \$1 Other \$1 Create change (ct-1e1xtak34nx76).
**Note**
Ce service n'est pris en charge que pour les zones d'atterrissage à compte unique (SALZ), et non pour les zones d'atterrissage multicomptes (MALZ).
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS Transit Gateway mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser AWS Transit Gateway dans votre compte AMS.
# Utilisez AMS SSP pour configurer le AWS WAF Web Application Firewall dans votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS WAF fonctionnalités directement dans votre compte géré AMS. AWS WAF est un pare-feu pour applications Web (AWS WAF) qui aide à protéger vos applications Web contre les exploits Web courants susceptibles d'affecter la disponibilité des applications, de compromettre la sécurité ou de consommer des ressources excessives. AWS WAF vous permet de contrôler le trafic à autoriser ou à bloquer vers vos applications Web en définissant des règles de sécurité Web personnalisables. Vous pouvez les utiliser AWS WAF pour créer des règles personnalisées qui bloquent les modèles d'attaque courants, tels que l'injection SQL ou les scripts intersites, ainsi que des règles conçues pour votre application spécifique.
Pour en savoir plus, voir [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
AMS ne prend pas en charge la surveillance (CloudWatch alarmes/événements/alertes MMS) pour AWS WAF. En raison de la nature de AWS WAF, vous devez créer des règles personnalisées pour vos applications ; AMS ne peut pas quantifier et créer des alarmes pour vous, sans le contexte de votre application. Pour en savoir plus, voir [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
## AWS WAF dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander AWS WAF à être configuré dans mon compte AMS ?**
Demandez l'accès à AWS WAF en soumettant une RFC auprès du service Management \$1 AWS \$1 Service auto-provisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_waf_role` Une fois le rôle AWS WAF IAM configuré dans votre compte, vous devez l'intégrer dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS WAF ?**
Une fois les autorisations accordées, vous disposez de toutes les fonctionnalités de AWS WAF.
**Q : Quels sont les prérequis ou les dépendances nécessaires à l'utilisation ? AWS WAF**
Il n'y a aucun prérequis ni aucune dépendance à utiliser AWS WAF dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS Well-Architected Tool votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Well-Architected Tool fonctionnalités directement dans votre compte géré AMS. AWS Well-Architected Tool Cela vous aide à examiner l'état de vos charges de travail et à les comparer aux meilleures pratiques AWS architecturales les plus récentes. L'outil est basé sur le [AWS Well-Architected](https://aws.amazon.com/architecture/well-architected/) Framework, développé pour aider les architectes du cloud à créer une infrastructure d'applications sécurisée, performante, résiliente et efficace. Ce framework fournit une approche cohérente pour évaluer les architectures, a été utilisé dans des dizaines de milliers d'examens de charge de travail menés par l'équipe d'architecture AWS des solutions et fournit des conseils pour aider à mettre en œuvre des conceptions qui s'adaptent aux besoins des applications au fil du temps. Pour en savoir plus, veuillez consulter la section [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/).
## AWS WA Tool dans la FAQ AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS Well-Architected Tool à mon compte AMS ?**
Demandez l'accès à AWS Well-Architected Tool en soumettant une RFC auprès du service Management \$1 AWS \$1 Service auto-provisionné \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_well_architected_tool_console_admin_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
**Q : Quelles sont les restrictions d'utilisation AWS Well-Architected Tool sur mon compte AMS ?**
Toutes les fonctionnalités du AWS Well-Architected Tool sont disponibles dans votre compte AMS.
**Q : Quels sont les prérequis ou les dépendances pour pouvoir l'utiliser AWS Well-Architected Tool dans mon compte AMS ?**
Il n'y a aucun prérequis ni aucune dépendance à utiliser AWS Well-Architected Tool dans votre compte AMS.
# Utilisez AMS SSP pour approvisionner AWS X-Ray votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux fonctionnalités ( AWS X-Ray X-Ray) directement dans votre compte géré AMS. AWS X-Ray aide les développeurs à analyser et à déboguer les applications distribuées de production, telles que celles créées à l'aide d'une architecture de microservices. Avec X-Ray, vous pouvez comprendre les performances de votre application et de ses services sous-jacents, afin d'identifier et de résoudre les causes profondes des problèmes et des erreurs de performance. X-Ray fournit une end-to-end vue des demandes au fur et à mesure qu'elles transitent dans votre application et affiche une carte des composants sous-jacents de votre application. Vous pouvez utiliser X-Ray pour analyser à la fois des applications en développement et en production, qu'il s'agisse d'applications simples à trois niveaux ou d'applications de microservices complexes comprenant des milliers de services. Pour en savoir plus, veuillez consulter la section [AWS X-Ray](https://aws.amazon.com/xray/).
## FAQ sur X-Ray dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès AWS X-Ray à mon compte AMS ?**
Demandez l'accès en soumettant un type de modification Management \$1 AWS Service \$1 Autoprovisionné \$1 Add (ct-1w8z66n899dct). Cette RFC attribue le rôle IAM suivant à votre compte :. `customer_xray_console_role` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération. De plus, vous devez être en mesure `customer_xray_daemon_write_instance_profile` de transférer les données de vos EC2 instances Amazon vers X-Ray. Ce profil d'instance est créé lorsque vous recevez le`customer_xray_console_role`.
Vous pouvez envoyer une demande de service à AMS Operations pour l'attribuer `customer_xray_daemon_write_policy` au profil d'instance existant, ou vous pouvez utiliser le profil d'instance créé lorsque AMS Operations active X-Ray pour vous.
**Q : Quelles sont les restrictions d'utilisation AWS X-Ray sur mon compte AMS ?**
Toutes les fonctionnalités de AWS X-Ray sont disponibles dans votre compte AMS, à l'exception du chiffrement avec la clé AWS KMS (clé KMS). AWS X-Ray chiffre toutes les données de trace par défaut. Par défaut, X-Ray chiffre les traces et les données associées au repos. Si vous devez chiffrer des données au repos avec une clé, vous pouvez choisir une clé KMS AWS gérée (aws/xray) ou une clé KMS gérée par le client. Pour la clé KMS gérée par le client pour le chiffrement X-Ray, soumettez un type de modification Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76).
**Q : Quels sont les prérequis ou les dépendances pour pouvoir utiliser AWS X-Ray mon compte AMS ?**
AWS X-Ray dépend d'Amazon S3 et de CloudWatch Logs CloudWatch, qui sont déjà implémentés dans les comptes AMS. Les dépendances transitives varient en fonction des sources de données et des autres AWS services avec AWS X-Ray lesquels les fonctionnalités peuvent interagir (par exemple, Amazon Redshift, Amazon RDS, Athena).
# Utilisez AMS SSP pour provisionner une machine virtuelle Import/Export dans votre compte AMS
Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder à la machine virtuelle Import/Exportcapabilities directement depuis votre compte géré AMS. Import/Export La machine virtuelle vous permet d'importer facilement des images de machines virtuelles de votre environnement existant vers des EC2 instances Amazon et de les réexporter vers votre environnement sur site. Cette offre vous permet de tirer parti de vos investissements existants dans les machines virtuelles que vous avez créées pour répondre à vos exigences en matière de sécurité informatique, de gestion des configurations et de conformité en intégrant ces machines virtuelles dans Amazon EC2 sous forme d' ready-to-useinstances. Vous pouvez également réexporter les instances importées vers votre infrastructure de virtualisation sur site, ce qui vous permet de déployer des charges de travail sur l'ensemble de votre infrastructure informatique. Pour en savoir plus, consultez [VM Import/Export](https://aws.amazon.com/ec2/vm-import/).
## FAQ Import/Export sur les machines virtuelles dans AWS Managed Services
Questions et réponses courantes :
**Q : Comment puis-je demander l'accès à la machine virtuelle Import/Export dans mon compte AMS ?**
Demandez l'accès à la machine virtuelle Import/Export en soumettant une RFC à l'adresse Management \$1 AWS Service \$1 Self-provisioned Service \$1 Ajouter un type de modification (ct-1w8z66n899dct). Cette RFC fournit la politique IAM suivante à votre compte :. `customer_vmimport_policy` Une fois qu'il est configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.
Un rôle supplémentaire, le rôle **VM Import/Export Service**, est requis pour que le service puisse effectuer des actions sur votre compte.
**Q : Quelles sont les restrictions relatives à l'utilisation de VM Import/Export dans mon compte AMS ?**
+ Les fonctionnalités permettant d'importer des images de machine et des volumes de données personnalisés sont toutes deux disponibles dans AMS VM Import/Export. Cependant, les autorisations accordées à S3 ont été limitées afin de limiter les actions aux compartiments correspondant au nom `customer-vmimport-*` afin de limiter l'accès aux informations du compte.
+ L'importation d'images et de clichés est prise en charge dans AMS VM Import/Export. Cependant, les fonctionnalités d'importation et d'exportation d'instances ne sont pas disponibles en raison de mesures de sécurité.
+ En outre, la fonctionnalité d'exportation a été désactivée afin d'atténuer le risque lié à l'exportation de données sensibles et restreintes.
**Q : Quels sont les prérequis ou les dépendances pour utiliser VM Import/Export dans mon compte AMS ?**
+ Vous devez fournir une image disque compatible à importer dans l' AWS environnement. Pour plus d'informations, consultez la section [ Import/Export Exigences relatives aux machines virtuelles](https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html).
+ La machine virtuelle Import/Export n'est pas accessible via la AWS console. Vous devez accéder à ce service via le AWS CLI Outils AWS pour PowerShell, ou le AWS SDKs. Vous pouvez également demander un profil d'instance en soumettant le type de modification ct-117rmp64d5mvb : Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Create instance profile. EC2 Ce profil d'instance permet aux outils d'exécuter des commandes à partir d'une instance.
# Mode géré par le client
Le mode géré par le client d'AWS Managed Services (AMS) fournit un modèle de gouvernance flexible qui peut être adapté à vos besoins. Cela peut être considéré comme une option de secours pour les services et applications qu'AMS n'est pas en mesure de gérer pour vous. AMS n'exploite pas d'infrastructure hébergée dans des comptes créés selon ce mode. Toutefois, vous pouvez tirer parti de la gestion centralisée de plusieurs comptes dans ce mode. Les fonctionnalités de la zone d'atterrissage multi-comptes suivantes peuvent être exploitées dans ce mode :
+ Déploiement automatique du compte
+ Connectivité via Transit Gateway dans un compte réseau
+ Bibliothèque de règles de configuration AMS
+ Stocker des copies des journaux dans le compte de connexion
+ Agrégation des alertes Guard Duty gérées par le client sur le compte Security
+ Facturation consolidée
+ Activation de politiques de contrôle des services personnalisées.
Par exemple : si vous souhaitez exécuter des charges de travail sur Ubuntu Pro, qui n'est pas un système d'exploitation géré par AMS, vous pouvez utiliser un compte géré par le client pour l'héberger. Vous pouvez également consolider les charges de travail par le biais de comptes gérés par les clients, afin de bénéficier de la réduction globale sur les Instances/Sharing plans réservés disponible grâce au partage au sein d'une organisation AWS.
# Commencer à utiliser le mode géré par le client
Le mode AMS Customer Managed est disponible via un compte spécial d'application de zone d'atterrissage multi-comptes.
Pour plus de détails, notamment sur la façon de créer un compte d'application géré par le client, consultez la section [Comptes d'applications gérés par le client](https://docs.aws.amazon.com/managedservices/latest/userguide/application-account-cust-man.html).
# AMS et AWS Service Catalog
Service Catalog in AWS Managed Services (AMS) permet aux entreprises de créer et de gérer des catalogues de services informatiques AWS et aux administrateurs informatiques de créer, gérer et distribuer des catalogues de produits approuvés aux utilisateurs finaux de leurs comptes, qui peuvent ensuite accéder aux produits dont ils ont besoin sur un portail de services personnalisé. Les administrateurs peuvent contrôler quels utilisateurs ont accès à chaque produit afin de garantir le respect des politiques commerciales de l'organisation. Les administrateurs peuvent également configurer des rôles afin que les utilisateurs finaux aient uniquement besoin d'un accès IAM à Service Catalog pour déployer des ressources approuvées. Service Catalog permet à votre entreprise de bénéficier d'une agilité accrue et de coûts réduits, car les utilisateurs finaux peuvent trouver et lancer uniquement les produits dont ils ont besoin à partir d'un catalogue que vous contrôlez.
Service Catalog vous propose une alternative au processus de demande de modification (RFC) AMS pour le provisionnement et la mise à jour des ressources dans vos comptes gérés par AMS. AMS gère toutes les tâches opérationnelles d'infrastructure nécessaires pour exécuter AWS à grande échelle pour toutes les ressources d'infrastructure mises en service via Service Catalog, notamment la sécurité, la conformité, le provisionnement, la disponibilité, les correctifs, la surveillance, les alertes, les rapports, la réponse aux incidents et l'optimisation des coûts. L'utilisation de Service Catalog dans votre compte géré AMS vous fournit un mécanisme permettant de gérer de manière centralisée les services informatiques couramment déployés et vous aide à obtenir une gouvernance cohérente tout en permettant aux utilisateurs de déployer rapidement uniquement les services informatiques approuvés dont ils ont besoin dans leurs environnements gérés.
# Commencer à utiliser Service Catalog
Pour commencer à utiliser Service Catalog dans AMS, soumettez une demande de service via la console AMS pour demander l'accès à Service Catalog. Lors de la soumission de la demande, trois rôles IAM seront déployés sur votre/vos compte (s) ainsi qu'une pile gérée par AMS contenant la CloudFormation macro qui invoque l'AMS `Transform` (décrite précédemment) afin que nous puissions enregistrer les produits dans nos systèmes et effectuer des opérations sur l'infrastructure fournie via Service Catalog. Les trois rôles IAM déployés incluent un rôle permettant aux administrateurs informatiques de gérer les produits en tant qu'administrateurs de Service Catalog ; un rôle permettant aux propriétaires d'applications et aux utilisateurs finaux de configurer, lancer et gérer les produits ; et un rôle qui sera utilisé comme contrainte de lancement, qui définit les autorisations que Service Catalog utilisera lors du lancement ou de la mise à jour de votre produit.
# Service Catalog dans AMS avant de commencer
**Service Catalog remplace-t-il le processus de demande de modification (RFC) AMS existant ?**
Dans les comptes où Service Catalog est activé, il servira de système de gestion des modifications dans lequel vous fournirez et mettrez à jour les services informatiques de votre compte AMS via votre catalogue de produits prédéfini ; AMS fournira un portfolio/product catalogue par défaut, et vos administrateurs informatiques pourront créer et configurer le vôtre. Service Catalog n'accusera réception que des piles fournies via Service Catalog. De même, les services fournis via Service Catalog ne seront pas modifiables par le biais du processus AMS RFC, car toute modification en dehors de Service Catalog dérivera la pile de la configuration du produit approuvée.
**Puis-je voir les piles fournies via le catalogue de services dans la console AMS ?**
Oui. Vous pouvez consulter toutes les piles fournies via le catalogue de services dans la console AMS. Les piles fournies via le catalogue de services sont facilement identifiables grâce à l'ID de pile « SC- ». Bien que les piles soient visibles dans la console AMS, vous ne pourrez pas les mettre à jour via le processus AMS RFC. L'accès au système de gestion des modifications AMS (RFCs) est limité aux demandes d'accès, à l'orchestration des correctifs et à la sauvegarde RFCs uniquement.
**Si je mets à and/or jour une pile via Service Catalog, y aura-t-il une RFC correspondante dans la console AMS ?**
La seule RFC qui s'affichera dans la console AMS est une RFC pour enregistrer la pile auprès d'AMS lorsqu'une pile est initialement provisionnée. Cette RFC est déposée automatiquement par le processus de validation AMS qui est déclenché lorsqu'une pile est lancée via Service Catalog. Tous les autres approvisionnements et modifications sont suivis directement dans Service Catalog et sont consultables dans la console Service Catalog. En outre, vous pouvez utiliser la fonctionnalité **Provisioned Product Plan** de Service Catalog pour consulter la liste des modifications qui seront apportées aux ressources avant le provisionnement ou la mise à jour du produit.
**Dois-je faire quelque chose de spécifique pour approvisionner des produits sur mon compte géré par AMS ?**
Oui. Tous les produits Service Catalog fournis dans les comptes AMS doivent contenir cette ligne de JSON dans le modèle CFN qui définit ce produit :
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
Cet extrait de CloudFormation code déclenche les validations AMS requises avant que la ressource puisse être provisionnée dans votre compte géré AMS. Il est de votre responsabilité d'inclure cette ligne de code dans la définition du produit. S'il n'est pas inclus, le provisionnement échouera et le message d'erreur suivant s'affichera : « Impossible de créer le produit. Ce compte est géré par AMS. Tous les produits des comptes AMS doivent comporter le `Transform` code AMS dans le modèle. »
**Existe-t-il des fonctionnalités du Service Catalog non disponibles et and/or limitées pour les clients AMS au moment du lancement ?**
Oui, les fonctionnalités SC suivantes ne sont pas disponibles pour les clients AMS lors du lancement initial :
+ Création de compte via Service Catalog
+ Possibilité de lancer tous les services AWS via Service Catalog sur un compte géré par AMS. La disponibilité des services AWS est limitée aux services pris en charge par AMS (gérés et auto-provisionnés). Pour plus d'informations sur les services pris en charge par AMS, consultez la description du service AMS.
+ Les connecteurs ITSM (Service Catalog IT Service Manager) de Service Catalog ne communiqueront pas avec les rapports d'incidents et les demandes de service d'AMS.
+ Possibilité de tirer parti des démarrages rapides et des architectures de référence de Service Catalog sans modification. N'oubliez pas que les produits Service Catalog pour les comptes AMS doivent contenir cette ligne de code JSON :
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
dans le modèle CNF. Notez que cette ligne *ne fait pas* partie d'un CloudFormation modèle AWS classique et doit être ajoutée de manière explicite.
+ Terraform n'est actuellement pas pris en charge par AMS pour le provisionnement des produits Service Catalog.
+ Les stacksets AWS CFN ne sont pas pris en charge dans AMS.
+ Vous ne pouvez pas créer de rôles IAM personnalisés.
+ Les actions de service sont limitées à :
+ [AWS- RebootRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-RebootRdsInstance/description?region=us-east-1)
+ [Instance AWS Restart EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-RestartEC2Instance/description?region=us-east-1)
+ [Instance AWS Start EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StartEC2Instance/description?region=us-east-1)
+ [AWS- StartRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartRdsInstance/description?region=us-east-1)
+ [Instance AWS Stop EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StopEC2Instance/description?region=us-east-1)
+ [AWS- StopRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopRdsInstance/description?region=us-east-1)
+ [AWS- CreateImage](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateImage/description?region=us-east-1)
+ [AWS- CreateRdsSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateRdsSnapshot/description?region=us-east-1)
+ [AWS- CreateSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateSnapshot/description?region=us-east-1)
**Note**
Lorsque vous créez des actions de service, vous pouvez configurer le rôle d'exécution comme étant les autorisations de l'utilisateur final, le rôle de lancement ou un rôle IAM personnalisé de votre choix. Le rôle d'exécution sélectionné doit disposer des autorisations suffisantes pour effectuer l'action de service et disposer d'une autorisation TrustPolicy permettant à Service Catalog de l'assumer, sinon cette action de service échouera au moment de l'exécution. Nous vous recommandons d'utiliser le AWSManagedServicesServiceCatalogLaunchRole, qui dispose des autorisations et de la politique de confiance appropriées pour être utilisé en tant qu'action de service.
**Pourquoi aurai-je encore besoin pour utiliser le système AMS RFC ?**
Lors de la disponibilité générale (GA), vous devrez toujours utiliser le RFCS pour exécuter les actions suivantes :
+ Configuration de Patch Orchestrator
+ Configuration des politiques de sauvegarde
+ Demande d'accès à une instance
+ Création et attribution de groupes de sécurité non conformes aux directives AMS.
+ Réalisation de l'ingestion de la charge de travail (WIGS)
+ Création de rôles IAM
**Puis-je utiliser la CLI Service Catalog pour accéder à Service Catalog depuis mon compte géré AMS ?**
Oui, les Service Catalog APIs sont disponibles et activés via la CLI. Des actions allant de la gestion des artefacts du Service Catalog à la mise en service et à la résiliation de ces artefacts sont disponibles. Pour plus d'informations, consultez les [ressources AWS Service Catalog](https://aws.amazon.com/servicecatalog/resources/) ou téléchargez le dernier SDK ou CLI AWS.
**Qui crée, gère et distribue les catalogues de produits approuvés par les clients ?**
L'administrateur du catalogue du client (administrateur and/or informatique), ou ressource désignée, est responsable de la gestion de vos catalogues Service Catalog et des produits approuvés.
**Puis-je utiliser AMS AMIs ?**
L'AMS AMIs vendu après mars 2020 peut être déployé via AWS Service Catalog.
**Comment migrer vers AMS à l'aide de Service Catalog ?**
Pour migrer votre charge de travail vers AMS à l'aide de Service Catalog, vous devez commencer par suivre le processus [Workload Ingest](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-workload-ingest.html) (WIGs) pour créer une AMI dans AMS. Vous utilisez l'AMI produite par WIGS pour créer un produit dans Service Catalog. La procédure à suivre est décrite dans [AWS Service Catalog - Getting Started](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted.html).