Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Matrice de responsabilité AMS (RACI)
Note
Afin de remplir ses obligations en temps opportun, AWS Managed Services (AMS) peut avoir besoin de votre contribution pour décider de la marche à suivre appropriée. AMS contactera le contact client désigné pour toutes ces clarifications et informations. AMS s'attend à recevoir une réponse à ces demandes dans les 24 heures ouvrables. En cas d'absence de réponse dans les 24 heures ouvrables, AMS peut choisir une action en votre nom.
La matrice AMS responsable, responsable, consultée et informée, ou RACI, attribue la responsabilité principale soit au client, soit à AMS pour diverses activités.
AMS gère votre infrastructure AWS. Le tableau suivant fournit un aperçu des responsabilités du client et d'AMS en ce qui concerne les activités du cycle de vie d'une application exécutée dans un environnement géré par AMS.
AMS n'est responsable d'aucune des activités suivantes concernant les comptes gérés par le client ou l'infrastructure qui y est exécutée ; par conséquent, ce RACI n'est pas applicable.
R représente la partie responsable qui fait le travail pour accomplir la tâche.
C signifie consulté, une partie dont les opinions sont sollicitées, généralement en tant qu'experts en la matière, et avec laquelle il existe une communication bilatérale.
Je signifie informé ; une partie qui est informée des progrès, souvent uniquement une fois la tâche ou le résultat livrable terminé.
Le provisionnement en libre-service fait référence aux ressources mises à disposition par le client en libre-service via l' AWS API ou la console, y compris le mode développeur et les services provisionnés en libre-service.
Note
Certaines sections contiennent un « R » à la fois pour AMS et pour les clients. En effet, dans le modèle de responsabilité AWS partagée, AMS et les clients assument conjointement la responsabilité de répondre aux problèmes d'infrastructure et d'application.
Pour fournir des fonctionnalités de provisionnement en libre-service, AMS a créé des rôles IAM élevés avec des limites d'autorisation afin de limiter les modifications involontaires liées à l'accès direct aux services. AWS Les rôles n'empêchent pas tous les changements et il vous incombe de respecter vos contrôles internes, de respecter la conformité et de vérifier que tous les AWS services utilisés répondent aux certifications requises. C'est ce que nous appelons le mode de provisionnement en libre-service. Pour plus de détails sur les exigences de AWS conformité, voir AWS Conformité
. Pour les ressources que vous fournissez en libre-service, AMS fournit la gestion des incidents, les contrôles de détection et les garde-fous, les rapports, les ressources désignées (Cloud Service Delivery Manager et Cloud Architect), la sécurité et l'accès, ainsi que le support technique par le biais de demandes de service. En outre, le cas échéant, vous assumez la responsabilité de la gestion de la continuité, de la gestion des correctifs, de la surveillance de l'infrastructure et de la gestion des modifications pour les ressources fournies ou configurées en dehors du système de gestion des modifications AMS.
| Activité | Client |
AWS Managed Services (AMS) |
|---|---|---|
Cycle de vie des applications | ||
Développement d'applications |
R |
I |
Analyse et conception des exigences de l'infrastructure des applications |
R |
C |
Conception et optimisation pour les piles AMS non standard |
R |
C |
Conception et optimisation de la pile standard AMS |
I |
R |
Déploiement de l'application |
R |
C |
Déploiement de l'infrastructure AWS |
C |
R |
Surveillance des applications |
R |
I |
Tests et optimisation des applications |
R |
I |
Conseils d'optimisation de l'infrastructure AWS |
I |
R |
Surveillance de l'infrastructure AWS |
I |
R |
Résoudre les problèmes liés aux applications |
R |
C |
Résoudre les problèmes liés au réseau AWS |
C |
R |
Résoudre les problèmes liés au système d'exploitation et à l'infrastructure Provisionnement en libre-service |
C |
R |
R |
C | |
Intégration des applications et de l'ITSM | ||
Intégration des applications aux offres de services AWS |
R |
C |
Intégration de l'ITSM à l'interface AWS Managed Services |
R |
C |
Réseaux | ||
Configuration et configuration de VPC et de VPC dans un environnement géré |
C |
R |
Allouer un espace d'adressage privé pour VPCs (par exemple /16) |
R |
C |
Configuration et exploitation de services gérés non AWS, gérés par le client Firewalls/Proxy/Bastions/HOSTs |
R |
C |
Configuration et exploitation de la sécurité AWS Groups/NAT/Customer Bastions/NACL dans l'environnement géré |
I |
R |
Configuration et mise en œuvre du réseau (par exemple DirectConnect) au sein du réseau du client |
R |
C |
Configuration et mise en œuvre du réseau dans l'environnement géré |
C |
R |
Configuration de l'environnement géré | ||
Définir les paramètres Auto Scaling par défaut pour les modèles Stack de base |
I |
R |
Recommander l'optimisation de l'IR |
C |
R |
Acheter de la capacité RI et PIOP |
R |
C |
Supprimer la capacité lorsque la capacité est surprovisionnée (lorsqu'elle est prise en charge par l'application client) |
C |
R |
Créer/mettre à jour des informations spécifiques aux clients AWS pour AWS Managed Services |
C |
R |
Configuration du S3 Provisionnement en libre-service |
C |
R |
R |
C | |
Configuration du glacier |
C |
R |
Définition de la politique d'archivage |
R |
C |
Configuration de la politique d'archivage |
C |
R |
Sélection de la fenêtre de maintenance client |
R |
I |
Gestion d'AWS RDS | ||
Surveiller l'état source/replica/RO de la réplication |
I |
R |
Identifiez le RCA du basculement de la source |
I |
R |
Configuration automatique des instantanés (sauvegarde) Provisionnement en libre-service |
C |
R |
R |
C | |
Coordonner et planifier la gestion des correctifs du moteur de base de données Provisionnement en libre-service |
C |
R |
R |
C | |
Recommandez le stockage de base de données et la capacité PIOP Provisionnement en libre-service |
C |
R |
R |
C | |
Recommander le dimensionnement des instances pour exécuter des bases de données Provisionnement en libre-service |
C |
R |
R |
C | |
Recommander l'optimisation du RI pour l'environnement géré Provisionnement en libre-service |
C |
R |
R |
C | |
Surveillance des performances RDS () CloudWatch Provisionnement en libre-service |
C |
R |
R |
C | |
Configuration de l'abonnement aux événements RDS (SNS) Provisionnement en libre-service |
C |
R |
R |
C | |
Configuration du groupe de sécurité RDS Provisionnement en libre-service |
C |
R |
R |
C | |
Configuration du moteur parameter/option RDS |
R |
C |
Conception de table de base de données |
R |
I |
Indexation de base de données |
R |
I |
Analyse du journal de base de données |
R |
I |
Gestion du changement AMS | ||
| Création de clients RFCs (par exemple, accès aux ressources, creating/updating/deleting managed stacks, deploying/updating applications, modifications de la configuration des offres de AWS services) | R |
I |
| Client approbateur RFCs | I |
R |
| Création d'AWS Managed Services RFCs (par exemple, accès aux ressources, création de ressources pour le compte du client, mise à jour du système d'exploitation dans le cadre de la gestion des correctifs) | I |
R |
| Approbation non automatisée RFCs | R |
I |
| Soumission d'une demande pour de nouveaux types de modifications | R |
C |
| Création de nouveaux types de modifications | I |
R |
| Maintenance du calendrier de modification des applications |
R |
C |
| Avis concernant la prochaine fenêtre de maintenance |
I |
R |
AWS Service Catalog | ||
| Créez des portefeuilles et des produits |
R |
I |
| Distribuer des produits aux utilisateurs finaux |
R |
I |
| Création de balises et d'une bibliothèque d'options de balises |
R |
C |
| Partage de portefeuilles et de produits avec les utilisateurs finaux |
R |
I |
| Réviser/mettre à jour les portefeuilles et les produits |
R |
I |
| Création et attribution de contraintes aux portefeuilles et aux produits |
R |
C |
| Associer des actions de service à des produits |
R |
C |
| Mettre à jour les ressources allouées avec la nouvelle version du produit |
R |
I |
Approvisionnement | ||
| Ajouts spécifiques au client à l'AMI de base d'AWS Managed Services | R |
C |
| Configurer des types de modification approuvés supplémentaires utilisés pour provisionner des modèles Stack | C |
R |
Lancez les Stacks gérés et les ressources AWS associées soumises via le processus de gestion des modifications AMS ou AWS Service Catalog. Provisionnement en libre-service |
I |
R |
R |
I | |
| Install/Update applications personnalisées et tierces sur des instances mises en service via le processus de gestion des modifications AMS ou AWS Service Catalog. |
R |
I |
Provisionnement - Stack Architecture | ||
Fourniture de licences de système d'exploitation (y compris les frais d'utilisation pour les services AWS applicables, par exemple EC2 et RDS) Provisionnement en libre-service |
I |
R |
R |
I | |
Définissez des modèles d'infrastructure de base (Stacks) pour le déploiement d'applications via le système de gestion des modifications AMS. Provisionnement en libre-service |
I |
R |
R |
I | |
| Création d'une base de référence approuvée AMIs 8 | I |
R |
| Évaluez l'inventaire des applications clients et déterminez leur adéquation avec les modèles d'infrastructure disponibles (Stacks) | R |
C |
| Définissez des Stacks uniques qui s'ajoutent aux offres de modèles de base |
R |
C |
Journalisation, surveillance et gestion des événements | ||
| Enregistrement des journaux des modifications de l'infrastructure AWS | I |
R |
| Enregistrement de tous les journaux des modifications apportées aux applications | R |
C |
Installation et configuration d'agents et de scripts pour l'application de correctifs, la sécurité, la surveillance, etc., de l'infrastructure AWS mise en service via le processus de gestion des modifications AMS. Provisionnement en libre-service |
I |
R |
R |
C | |
| Définir les exigences spécifiques du client en matière de surveillance et d'incident | R |
C |
| Configuration des alertes pour l'environnement géré | I |
R |
Surveillance de toutes les alertes configurées par AMS Provisionnement en libre-service |
I |
R |
R |
C | |
Enquête sur les alertes relatives à l'infrastructure pour la notification d'incidents Provisionnement en libre-service |
I |
R |
R |
C | |
| Examen des alarmes liées aux applications | R |
C |
Gestion des incidents | ||
Notifier de manière proactive les incidents sur l'infrastructure AWS en fonction de la surveillance Provisionnement en libre-service |
I |
R |
R |
C | |
| Gérez les problèmes de performance et les pannes des applications | R |
I |
| Catégoriser la priorité des incidents | I |
R |
| Fournir une réponse aux incidents | I |
R |
Assurer la résolution des incidents et la restauration de l'infrastructure NoteSLAs ne s'appliquent pas aux ressources basées sur des instances fournies en dehors de la gestion des modifications d'AMS, y compris celles mises en service via le provisionnement en libre-service et le mode développeur. |
C |
R |
Gestion des problèmes | ||
| Identifier les problèmes dans un environnement géré | C |
R |
| Exécutez le RCA en cas de problème dans un environnement géré | C |
R |
| Résolution des problèmes dans un environnement géré | C |
R |
| Identifier et résoudre les problèmes liés aux applications | R |
I |
Gestion de la sécurité | ||
Sécurité de l'infrastructure du client : and/or établissement d'une base de référence pour le processus de conformité en matière de sécurité tel que déterminé et convenu lors de l'intégration du client. Provisionnement en libre-service |
C |
R |
R |
C | |
| Maintien de licences valides pour Managed EPS | R |
C |
Configuration de l'EPS géré Provisionnement en libre-service |
I |
R |
R |
C | |
Mettre à jour Managed EPS Provisionnement en libre-service |
I |
R |
R |
C | |
Surveillance des malwares sur les instances provisionnées via le processus AMS CM. Provisionnement en libre-service |
I |
R |
R |
C | |
Gestion et mise à jour des signatures de virus. Provisionnement en libre-service |
I |
R |
R |
C | |
Corriger les instances infectées par des logiciels malveillants. Provisionnement en libre-service |
C |
R |
R |
C | |
| Gestion des événements de sécurité | C |
R |
Sécurité - Gestion des accès | ||
| Gérez le cycle de vie des utilisateurs et leurs autorisations pour les services d'annuaire locaux, qui sont utilisés pour accéder à AWS Managed Services | R |
I |
| Utiliser un ou plusieurs systèmes d'authentification fédérés pour l'accès des clients à AWS la console/ APIs | R |
C |
| Accepter et maintenir la confiance d'Active Directory (AD) entre AWS Managed Services AD et AD géré par le client | R |
C |
| Lors de l'intégration, créez des rôles d'administrateur IAM entre comptes au sein de chaque compte géré | R |
C |
| Sécurisez les informations d'identification AWS root pour chaque compte | I |
R |
| Définition des ressources IAM pour l'environnement géré | C |
R |
| Gérez les informations d'identification privilégiées pour l'accès au système d'exploitation pour les ingénieurs AMS | I |
R |
| Gérez les informations d'identification privilégiées pour l'accès au système d'exploitation fournies au client par AMS | R |
I |
Réponse aux incidents de sécurité - Préparation | ||
Communications | ||
Fournir les coordonnées de sécurité du client à AMS à utiliser lors des notifications d'événements de sécurité et des escalades de sécurité |
R |
I |
Stockez et gérez les coordonnées de sécurité du client fournies à utiliser lors d'événements de sécurité et d'escalades de sécurité |
CI |
R |
Entrainement | ||
Fournir au client de la documentation pour soutenir AMS pendant le processus de réponse aux incidents |
I |
R |
Pratiquez la responsabilité partagée lors des processus de réponse aux incidents grâce à des journées de jeu sur la sécurité |
RI |
RC |
Gestion des ressources | ||
Configuration de la gestion de la sécurité prise en charge Services AWS pour les alertes, la corrélation des alertes, la réduction du bruit et les règles supplémentaires |
I |
R |
Tenez à jour l'inventaire des actifs (AWS ressources) et connaissez leur valeur et leur criticité. Ces informations sont utiles lors de la stratégie de maîtrise des incidents |
R |
CI |
Utilisez des AWS balises pour identifier les ressources et les charges de travail |
R |
CI |
Définition et configuration de la conservation et de l'archivage des journaux |
CI |
R |
Base de référence sécurisée, configurations Compte AWS, politiques et gestion des accès |
CI |
RC |
Réponse aux incidents de sécurité - Détecter | ||
Journalisation, indicateurs et surveillance | ||
Configurer la journalisation et la surveillance pour permettre la gestion des événements pour les instances et les comptes |
CI |
R |
Moniteur pris en charge Services AWS pour les alertes de sécurité |
I |
R |
Déployer et gérer les outils de sécurité des terminaux |
CI |
R |
Surveillez la présence de malwares sur les instances à l'aide de l'outil de sécurité des terminaux compatible AMS |
I |
R |
Informer le client des événements détectés par le biais de messages sortants |
I |
R |
Notification d'itinéraire et toute mise à jour ultérieure aux décideurs pour des comptes et des charges de travail spécifiques afin d'améliorer le temps de réponse aux incidents |
R |
CI |
Définissez, déployez et gérez les services de détection standard AMS (par exemple, Amazon GuardDuty et AWS Config) |
CI |
R |
Enregistrer les journaux AWS des modifications de l'infrastructure |
I |
RC |
Activer et configurer la journalisation et la surveillance pour permettre la gestion des événements pour l'application |
R |
C |
Implémenter et gérer une liste d'autorisation, une liste de refus et des détections personnalisées sur les services de AWS sécurité pris en charge (par exemple, Amazon) GuardDuty |
RCI |
R |
Signalement des événements de sécurité | ||
Signaler à AMS une activité suspecte ou une enquête de sécurité en cours |
R |
CI |
Notifier les événements et incidents de sécurité détectés au client |
I |
R |
Notifier un événement planifié susceptible de déclencher le processus de réponse aux incidents de sécurité |
R |
CI |
Réponse aux incidents de sécurité - Analyser | ||
Enquête et analyse | ||
Réaliser une réponse initiale en cas d'alerte de sécurité prise en charge générée par une source de détection prise en charge |
I |
RC |
Évaluez false/true les résultats positifs à l'aide des données disponibles |
RI |
RC |
Générez un instantané des instances concernées à partager avec le client si nécessaire |
I |
R |
Effectuez des tâches de criminalistique telles que la chaîne de traçabilité, l'analyse du système de fichiers, la criminalistique de la mémoire et l'analyse binaire |
R |
CI |
Collectez les journaux des applications pour faciliter les enquêtes |
R |
I |
Collectez des données et des journaux pour faciliter les enquêtes sur les alertes de sécurité |
RCI |
RC |
SMEs Participez Services AWS aux enquêtes de sécurité |
CI |
R |
Engagez des fournisseurs tiers lors de l'investigation (par exemple, pour l'investigation anti-malware EPS et pour le dialogue avec l'équipe d' TrendMicro assistance) |
RCI |
I |
Partagez les journaux d'investigation du support avec Services AWS les clients au cours d'une enquête |
I |
R |
Communication | ||
Envoyer des alertes et des notifications depuis les sources de détection AMS pour les ressources gérées |
I |
R |
Gérer les alertes et les notifications relatives aux événements liés à la sécurité des applications |
R |
I |
Contacter le point de contact du client chargé de la sécurité lors d'une enquête sur un incident de sécurité |
R |
I |
Réponse aux incidents de sécurité - Contain | ||
Stratégie de confinement et exécution | ||
Décider de l'exécution de la stratégie de confinement convenue et accepter les conséquences susceptibles d'affecter la disponibilité des services pendant la période de confinement |
R |
CI |
Effectuez une sauvegarde des systèmes concernés pour une analyse plus approfondie |
CI |
R |
Limiter les applications et les charges de travail (par le biais d'une configuration ou d'une activité de réponse spécifique à l'application) |
R |
CI |
Définissez la stratégie de confinement en fonction de l'incident de sécurité et de la ressource affectée |
CI |
R |
Activez le chiffrement et le stockage sécurisé des sauvegardes ponctuelles des systèmes concernés |
CI |
R |
Exécutez les actions de confinement prises en charge pour les AWS ressources, notamment EC2 les instances, le réseau et l'IAM |
CI |
R |
Réponse aux incidents de sécurité - Eradiquer | ||
Stratégie d'éradication et exécution | ||
Définissez les options d'éradication en fonction de l'incident de sécurité et de la ressource affectée sur les charges de travail des applications du client |
R |
CI |
Décider de la stratégie d'éradication convenue, du calendrier d'exécution de l'éradication et des conséquences |
R |
CI |
Définissez les étapes d'éradication en fonction de l'incident de sécurité et de la ressource affectée sur les charges de travail gérées par AMS |
CI |
R |
Éradiquer et renforcer les AWS ressources, notamment les EC2 instances, le réseau et l'éradication de l'IAM |
CI |
R |
Éradication et renforcement des applications et des charges de travail (par le biais d'une configuration ou d'une activité de réponse spécifique à l'application) |
R |
I |
Réponse aux incidents de sécurité - Restaurer | ||
Préparation et exécution du rétablissement | ||
Configurer les plans et les cibles de sauvegarde à la demande du client |
R |
I |
Passez en revue les plans de sauvegarde pour restaurer les charges de travail gérées par AMS |
CI |
R |
Effectuez des activités de restauration des sauvegardes pour les ressources prises en charge Services AWS |
I |
R |
Sauvegardez l'application client, la configuration de l'application et les paramètres de déploiement, et passez en revue les plans de sauvegarde pour restaurer les applications et les charges de travail des clients après un incident |
R |
I |
Restaurez les applications et les charges de travail des clients (via des étapes de restauration spécifiques aux applications) |
R |
I |
Réponse aux incidents de sécurité — Rapport post-incident | ||
Signalement après un incident | ||
Partagez les leçons apprises et les mesures à prendre avec le client après l'incident, selon les besoins |
I |
R |
Gestion des correctifs 9 | ||
Surveillez les mises à jour applicables aux systèmes d'exploitation pris en charge et les logiciels préinstallés avec le système d'exploitation pris en charge pour les EC2 instances. Provisionnement en libre-service |
I |
R |
R |
C | |
| Informer le client des mises à jour à venir (s'applique uniquement au patch standard AMS) | I |
R |
| Exclure certaines mises à jour, and/or certains Stacks, des activités d'application de correctifs | R |
I |
Définissez des calendriers de fenêtres de maintenance par défaut et personnalisés et d'autres paramètres (par exemple, la durée des fenêtres de maintenance) pour appliquer les correctifs (s'applique au patch AMS) (Orchestrateur uniquement) |
R |
I |
| Définissez des lignes de base de correctifs personnalisées pour filtrer et exclure des correctifs spécifiques (s'applique uniquement à AMS Patch Orchestrator) | R |
I |
| Marquez les instances pour les associer à des fenêtres de maintenance personnalisées et à des lignes de base de correctifs (s'applique uniquement à AMS Patch Orchestrator) | R |
I |
Suivez l'état des correctifs des ressources et mettez en évidence les systèmes qui ne sont pas à jour dans la revue commerciale mensuelle. |
C |
R |
Corrigez le système d'exploitation Windows et les packages Microsoft installés sur le système d'exploitation qui sont régis par Windows Update Provisionnement en libre-service |
I |
R |
R |
- | |
| Corrigez les applications installées, les logiciels ou les dépendances d'applications non gérés par Windows Update Provisionnement en libre-service |
R |
I |
R |
- | |
Appliquez des correctifs au système d'exploitation Linux et à tout package dont la gestion est activée par le gestionnaire de packages natif du système d'exploitation (par exemple Yum, Apt, Zypper) Provisionnement en libre-service |
I |
R |
R |
- | |
Corrigez les applications installées, les logiciels ou les dépendances d'applications non gérés par le gestionnaire de packages natif du système d'exploitation Linux Provisionnement en libre-service |
R |
I |
R |
- | |
Gestion de la continuité | ||
| Spécifier les plannings de sauvegarde | R |
I |
Exécutez les sauvegardes selon le calendrier prévu. Provisionnement en libre-service |
I |
R |
R |
C | |
| Valider les sauvegardes | R |
I |
| Demander des activités de restauration de sauvegarde | R |
I |
Exécutez des activités de restauration de sauvegarde. Provisionnement en libre-service |
I |
R |
R |
C | |
Restaurez les piles affectées et. VPCs Provisionnement en libre-service |
I |
R |
R |
C | |
| Restaurer l'application personnalisée/tierce affectée | R |
C |
Génération de rapports | ||
Préparer et fournir un rapport de service mensuel AMS activé AWS Outposts |
I |
R |
R |
I | |
Configurez et récupérez l'historique des audits d'API à la demande (CloudTrail). Provisionnement en libre-service |
I |
R |
R |
I | |
| Fournir un accès à l'historique des incidents via l'interface AWS Managed Services | I |
R |
Donnez accès à l'historique des modifications via l'interface AWS Managed Services. Provisionnement en libre-service |
I |
R |
N/A |
N/A | |
Gestion des demandes de service | ||
| Demander des informations à l'aide de demandes de service | R |
I |
| Répondre aux demandes de service | I |
R |
Pare-feu géré | ||
| Demander le déploiement d'un pare-feu géré par AMS | R |
I |
| Conception et optimisation de l'architecture de pare-feu gérée par AMS | I |
R |
| Déploiement de l'infrastructure AWS et du dispositif de pare-feu géré par AMS | I |
R |
| Fourniture de licences de pare-feu (y compris les frais d'utilisation pour les services AWS applicables, par exemple EC2) | R |
I |
| Définir la liste des domaines autorisés par défaut | I |
R |
| Demande d'ajout, de modification et de suppression de listes d'autorisation et de politiques de sécurité personnalisées | R |
I |
| Configuration des alertes pour le pare-feu géré par AMS | I |
R |
| Surveillance de toutes les alertes configurées par le pare-feu géré par AMS | I |
R |
| Exécuter des sauvegardes de la configuration du pare-feu | I |
R |
| Demander des activités de restauration de sauvegarde | R |
I |
| Mettre à jour les ressources allouées avec la nouvelle version du produit | I |
R |
| Enregistrement des journaux de pare-feu gérés par AMS | I |
R |
| Transférer les journaux depuis le pare-feu géré par AMS vers CloudWatch | I |
R |
| Demander des modifications de configuration dans le pare-feu géré par AMS | R |
I |
| Approuver les modifications de configuration dans le pare-feu géré par AMS | I |
R |
| Exécuter les modifications de configuration dans le pare-feu géré par AMS | I |
R |
8 AMS fournit EC2 uniquement AMIs pour Amazon
9 AMS n'est responsable de la fin de vie OSes que lorsque le client signe un accord de support étendu avec le fournisseur du système d'exploitation
