Fonctionnalités du plan d'exploitation avancé d'AWS Managed Services (AMS) AMS - Guide de l'utilisateur avancé d'AMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnalités du plan d'exploitation avancé d'AWS Managed Services (AMS) AMS

AMS Advanced propose les fonctionnalités suivantes pour les AWS services pris en charge :

  • Journalisation, surveillance, garde-fous et gestion des événements :

    AMS configure et surveille votre environnement géré pour enregistrer les activités et définit les alertes en fonction de divers contrôles de santé. Les alertes sont examinées par AMS pour les services AWS applicables, et celles qui ont un impact négatif sur votre utilisation de ces services entraînent la création d'incidents. AMS agrège et stocke tous les journaux générés à la suite de toutes les opérations et journaux système dans Amazon S3. CloudWatch CloudTrail Vous pouvez demander la mise en place d'alertes supplémentaires. Outre les contrôles préventifs d'AMS, AMS déploie des garde-fous de configuration et des contrôles de détection pour vous protéger en permanence contre les erreurs de configuration susceptibles de réduire l'intégrité opérationnelle et de sécurité des comptes gérés, afin de renforcer vos contrôles tels que le balisage et la conformité. Lorsqu'un contrôle surveillé est détecté, une alarme est générée qui entraîne la notification, la modification ou l'arrêt des ressources sur la base de valeurs AMS par défaut prédéfinies que vous pouvez modifier.

  • Gestion de la continuité (Backup and Restore) :

    AMS fournit des sauvegardes des ressources à l'aide de la fonctionnalité AWS Backup standard existante selon un intervalle planifié que vous avez déterminé. Les actions de restauration à partir de snapshots spécifiques peuvent être effectuées par AMS avec votre RFC. Il est de votre responsabilité de sauvegarder les modifications de données qui se produisent entre les intervalles de capture. Vous pouvez soumettre une RFC pour des demandes de sauvegarde ou de capture d'écran en dehors des intervalles planifiés. En cas d'indisponibilité de la zone de disponibilité (AZ) dans une AWS région, AMS restaure l'environnement géré avec votre autorisation en recréant de nouvelles piles sur la base de modèles et des instantanés EBS disponibles des piles concernées.

  • Gestion de la sécurité et des accès :

    AMS assure la sécurité des terminaux (EPS), notamment en configurant une protection antivirus et anti-malware. Vous pouvez également utiliser vos propres outils et processus EPS et ne pas utiliser AMS pour EPS en utilisant une fonctionnalité appelée « Bring your own EPS » (BYOEPS). AMS configure également les fonctionnalités de AWS sécurité par défaut que vous avez approuvées lors de l'intégration, telles que les rôles AWS Identity and Access Management (IAM) et les groupes de EC2 sécurité Amazon, et utilise des AWS outils standard (par exemple, Amazon AWS Security Hub Macie, Amazon GuardDuty) pour surveiller les problèmes de sécurité et y répondre. Vous gérez vos utilisateurs par le biais d'un service d'annuaire approuvé que vous fournissez. Pour obtenir la liste des services d'annuaire approuvés, voirConfigurations prises en charge.

    AMS inclut la sécurité des terminaux (EPS), qui inclut un antivirus (AV), et une protection contre les programmes malveillants, la détection des malwares et des intrusions (Trend Micro). Les groupes de sécurité sont définis par modèle de pile et sont modifiés au lancement en fonction de la visibilité des groupes de sécurité (publics/privés) de l'application.

    L'accès aux systèmes est demandé par le biais de demandes de modification (RFCs) relatives à la gestion des modifications. La gestion des accès permet d'accéder à des ressources distinctes, telles que les EC2 instances Amazon AWS Management Console, et APIs. Après avoir établi une relation de confiance unidirectionnelle avec un déploiement d'AMS Microsoft Active Directory lors de l'intégration et de la fédération à AWS, vous pouvez utiliser vos informations d'identification d'entreprise existantes pour toutes les interactions.

  • Gestion des correctifs :

    AMS applique et installe des mises à jour aux EC2 instances des systèmes d'exploitation pris en charge (OSs) et aux logiciels préinstallés avec les systèmes d'exploitation pris en charge. Pour obtenir la liste des systèmes d'exploitation pris en charge, consultezConfigurations prises en charge.

    AMS propose deux modèles de patching :

    • correctif standard AMS pour les correctifs traditionnels basés sur les comptes, et

    • AMS Patch Orchestrator, pour l'application de correctifs basés sur des balises.

    Dans le correctif standard d'AMS, vous choisissez une fenêtre de maintenance mensuelle pour qu'AMS effectue la plupart des activités de mise à jour. AMS applique les mises à jour de sécurité critiques en dehors de la fenêtre de maintenance sélectionnée (avec les notifications appropriées) et les mises à jour importantes pendant la fenêtre de maintenance sélectionnée. AMS applique également des mises à jour aux outils de gestion de l'infrastructure pendant la période de maintenance sélectionnée. Vous pouvez exclure les piles de la gestion des correctifs ou rejeter les mises à jour, si vous le souhaitez.

    Avec AMS Patch Orchestrator, vous définissez une fenêtre de maintenance par défaut par compte pour permettre à AMS d'effectuer des activités d'application de correctifs. Vous pouvez planifier des fenêtres de maintenance personnalisées supplémentaires pour AMS afin de patcher un ensemble spécifique d'instances que vous avez défini à l'aide de balises. AMS applique toutes les mises à jour disponibles, mais vous pouvez filtrer ou rejeter les mises à jour en créant une ligne de base de correctifs personnalisée. Pour les deux modèles, si vous approuvez ou rejetez une mise à jour fournie dans le cadre de la gestion des correctifs, mais que vous changez d'avis par la suite, il vous incombe de lancer la mise à jour via une RFC. AMS suit l'état des correctifs des ressources et met en évidence les systèmes qui ne sont pas à jour dans la revue commerciale mensuelle. La gestion des correctifs est limitée aux piles de l'environnement géré, y compris toutes les applications gérées par AMS et les services AWS pris en charge dotés de fonctionnalités d'application de correctifs (par exemple, RDS). Afin de prendre en charge tous les types de configurations d'infrastructure lors de la publication d'une mise à jour, AMS a) met à jour l' EC2 instance et b) fournit une AMI AMS mise à jour que vous pouvez utiliser. Il est de votre responsabilité d'installer, de configurer, de corriger et de surveiller toutes les applications supplémentaires qui ne sont pas spécifiquement abordées ci-dessus.

  • Gestion du changement :

    La gestion des modifications AMS est le mécanisme qui vous permet de contrôler les modifications dans votre environnement géré. AMS utilise une combinaison de contrôles préventifs et de détection pour faciliter ce processus et fournit différents niveaux de contrôle et de risque associé en fonction du mode AMS sélectionné.

    Toutes les actions effectuées dans votre environnement AMS sont enregistrées AWS CloudTrail.

    Pour plus d'informations sur la gestion des modifications AMS et les différents modes, consultez le guide de gestion des modifications AMS et les modes AMS.

  • Gestion automatisée et en libre-service du provisionnement :

    Vous pouvez mettre en service des ressources AWS sur AMS Advanced de différentes manières :

    • Soumettre des demandes de modification de provisionnement et de configuration () RFCs

    • Déploiement via AWS Service Catalog

    • Déploiement via le mode Direct Change

    • Déployez via le mode développeur. N'oubliez pas que les ressources créées via le mode développeur ne sont pas gérées par AMS.

    • Configurez les services AWS directement à l'aide du provisionnement en libre-service pour select Services AWS (voirAWS Services pris en charge).

  • Gestion des incidents :

    AMS vous informe de manière proactive des incidents détectés par AMS. AMS répond aux incidents soumis par le client et générés par AMS et résout les incidents en fonction de la priorité de l'incident. Sauf indication contraire de votre part, les incidents considérés par AMS comme présentant un risque pour la sécurité de votre environnement géré, ainsi que les incidents liés à la disponibilité d'AMS et d'autres services AWS, sont traités de manière proactive. AMS prend des mesures pour tous les autres incidents une fois que vous avez reçu votre autorisation. Les incidents récurrents sont traités par le processus de gestion des problèmes.

  • Gestion des problèmes :

    AMS effectue une analyse des tendances afin d'identifier et d'étudier les problèmes et d'en identifier la cause première. Les problèmes sont résolus soit par une solution de contournement, soit par une solution permanente qui empêche qu'un impact similaire sur le service ne se reproduise à l'avenir. Un rapport post-incident (PIR) peut être demandé pour tout incident « élevé », une fois résolu. Le PIR capture la cause première et les mesures préventives prises, y compris la mise en œuvre de mesures préventives.

  • Établissement de rapports :

    AMS vous fournit un rapport de service mensuel qui résume les principaux indicateurs de performance d'AMS, y compris un résumé et des informations, des indicateurs opérationnels, des ressources gérées, le respect des accords de niveau de service (SLA) AMS et des indicateurs financiers relatifs aux dépenses, aux économies et à l'optimisation des coûts. Les rapports sont fournis par le gestionnaire de prestation de services cloud (CSDM) AMS qui vous est attribué.

  • Gestion des demandes de service :

    Pour demander des informations sur votre environnement géré, AMS ou vos offres de AWS services, soumettez des demandes de service à l'aide de la console AMS. Vous pouvez soumettre une demande de service pour des questions « Comment faire » sur les AWS services et les fonctionnalités ou pour demander des services AMS supplémentaires.

  • Centre de service :

    AMS gère les opérations d'ingénierie avec des employés à plein temps d'Amazon pour répondre aux demandes non automatisées, notamment la gestion des incidents, la gestion des demandes de service et la gestion des modifications. Le Service Desk fonctionne 24 heures sur 24, 7 jours sur 7, 365 jours par an.

  • Ressources désignées :

    Chaque client se voit attribuer un responsable de prestation de services cloud (CSDM) et un architecte cloud (CA).

    • CSDMs peuvent être contactés directement. Ils effectuent des examens des services, des rapports de livraison et des informations tout au long des phases de la mise en œuvre, de la migration et du cycle de vie opérationnel. CSDMs effectuer des examens commerciaux mensuels et détailler des éléments tels que les dépenses financières, les recommandations de réduction des coûts, l'utilisation des services et les rapports sur les risques. Ils étudient en profondeur les statistiques de performance opérationnelle et fournissent des recommandations sur les domaines à améliorer.

    • CAs peuvent être contactés directement et fournir une expertise technique pour vous aider à optimiser votre utilisation du AWS cloud. Les activités de CA incluent par exemple la sélection des charges de travail à migrer, l'assistance à l'intégration de comptes et de charges de travail supplémentaires, le rôle de responsable technique des activités opérationnelles telles que les journées de jeu, les tests de reprise après sinistre, la gestion des problèmes et les conseils techniques pour tirer le meilleur parti d'AMS et. AWS CAs animez des discussions techniques à tous les niveaux de votre organisation et aidez à gérer les incidents, à faire des compromis, à établir les meilleures pratiques et à atténuer les risques techniques.

  • Mode développeur :

    Cette fonctionnalité vous permet d'itérer rapidement les conceptions et les déploiements d'infrastructure au sein de comptes configurés par AMS [1] en autorisant un accès direct au service AWS et à APIs la console AWS en plus de l'accès au processus de gestion des modifications AMS. Les ressources mises en service ou configurées avec les autorisations du mode développeur en dehors du processus de gestion des modifications sont de votre responsabilité (voir « Gestion du provisionnement automatique et en libre-service »). Les ressources mises à disposition via le processus de gestion des modifications AMS sont prises en charge comme les autres charges de travail allouées à la gestion des modifications sur AMS.

  • Assistance AWS :

    Les clients d'AMS peuvent choisir le niveau de support AWS dont ils ont besoin pour compléter leur plan d'opérations AMS. Les comptes inscrits à AMS peuvent être abonnés au Business Support ou au Enterprise Support. Pour en savoir plus sur les différences entre les plans de support, consultez les plans de support AWS.

  • Compte géré par le client :

    Cette fonctionnalité vous permet de demander des comptes AWS dans le même environnement géré, mais vous êtes responsable du fonctionnement continu des charges de travail et des ressources AWS au sein de ces comptes. AMS fournit des comptes gérés par les clients, mais une fois les comptes créés, aucune autre fonctionnalité ou service AMS n'est fourni à ces comptes. AWS n'inscrira pas les comptes gérés par les clients au support premium destiné aux entreprises. Il sera de votre responsabilité d'inscrire les comptes gérés par les clients au support AWS au tarif de support que vous avez choisi.

  • Gestion du pare-feu :

    AMS fournit une solution de pare-feu géré en option pour les services de pare-feu pris en charge, qui permet de filtrer le trafic sortant vers Internet pour les réseaux de votre environnement géré. Cela exclut les services destinés au public qui n'utilisent pas l'infrastructure réseau AWS et dont le trafic est directement dirigé vers Internet. La solution combine une technologie de pare-feu de pointe avec des fonctionnalités de gestion de l'infrastructure AMS pour déployer, surveiller, gérer, dimensionner et restaurer l'infrastructure de pare-feu.

Lorsque vous embarquez dans AMS, vous recevez une liste complète de votre infrastructure réseau AMS. Pour obtenir à tout moment une liste actualisée des services exécutés pour soutenir votre infrastructure AMS, déposez une demande de service avec des informations spécifiques sur les informations que vous souhaitez. Pour demander une modification de la conception de votre réseau, créez une demande de service décrivant les modifications que vous souhaitez apporter, par exemple en ajoutant un VPC ou en demandant la modification d'une règle de groupe de sécurité.