Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Ubah mode manajemen
AWS Managed Services (AMS) menggunakan mode manajemen perubahan untuk perubahan pagar pembatas di AMS Advanced. Mode manajemen perubahan membantu Anda mempertahankan standar operasional yang tinggi untuk lingkungan, dan untuk mengendalikan risiko dan mencegah dampak buruk. AMS Advanced memiliki mode berbeda yang memberikan tingkat kontrol dan risiko yang berbeda. Semua mode, kecuali mode yang dikelola pelanggan, dikelola oleh AMS. Berikut ini adalah mode manajemen perubahan yang tersedia:
+ Mode RFC (sebelumnya mode CM Standar): Menyediakan sistem “permintaan untuk perubahan” (RFC) dan jenis perubahan kustom AMS () CTs
+ Mode Perubahan Langsung: Sama seperti mode RFC ditambah penggunaan AWS APIs dan konsol untuk membuat sumber daya yang dikelola AMS
+ AWS Service Catalog di AMS: Mirip dengan mode Direct Change, tetapi alih-alih menggunakan sistem manajemen perubahan AMS (RFCs), Anda menggunakan AWS Service Catalog untuk membuat sumber daya yang kemudian dikelola AMS.
+ Mode pengembang: Sama seperti mode Perubahan Langsung, hanya sumber daya yang Anda buat dengan AWS APIs dan konsol yang tidak dikelola AMS—Anda bertanggung jawab atas pengelolaannya
+ Mode Penyediaan Layanan Mandiri (SSP): Sama seperti mode Pengembang kecuali tidak ada akses ke sistem manajemen perubahan AMS (tidak) RFCs
+ Mode Terkelola Pelanggan: AMS memberi Anda landing zone landing zone multi-akun tetapi semua manajemen sumber daya adalah tanggung jawab Anda
Sistem manajemen perubahan AWS Managed Services (AMS), menggunakan Change Management (CM) API, menyediakan operasi untuk membuat dan mengelola request for change (RFCs) untuk akun multi-account landing zone (MALZ) dan single-account landing zone (SALZ).
Permintaan untuk perubahan (RFC) adalah permintaan yang dibuat oleh Anda atau AMS melalui antarmuka AMS untuk membuat perubahan pada lingkungan terkelola Anda dan menyertakan ID tipe perubahan (CT) untuk operasi tertentu.
AMS change management (CM) API menyediakan operasi untuk membuat dan mengelola permintaan untuk change (RFCs). Anda dapat membuat, memperbarui, mengirimkan, menyetujui, menolak, dan membatalkan. RFCs Operator AMS dapat membuat, memperbarui, mengirimkan, menyetujui, menolak, membatalkan, dan menandai RFCs sebagai ditutup.
Untuk daftar awalan cadangan AMS yang tidak digunakan dalam tag atau nama lain, lihat Awalan [cadangan](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html).
Untuk informasi tentang setiap jenis perubahan, termasuk skema dan contoh, lihat [Referensi Jenis Perubahan AMS](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html).
**catatan**
Semua panggilan API manajemen perubahan direkam di AWS CloudTrail. Untuk informasi selengkapnya, lihat [Mengakses log Anda](https://docs.aws.amazon.com/managedservices/latest/userguide/access-to-logs.html).
# Ikhtisar mode
Gunakan informasi ini untuk membantu Anda memilih mode AWS Managed Services (AMS) yang sesuai untuk hosting aplikasi Anda, berdasarkan kombinasi fleksibilitas dan tata kelola preskriptif yang Anda inginkan untuk mencapai hasil bisnis Anda.
Audiens yang dituju untuk informasi ini adalah:
+ Tim pelanggan yang bertanggung jawab atas strategi dan tata kelola landing zone mereka. Informasi ini akan membantu tim menyusun fondasi landing zone yang dikelola AMS, dengan mode AMS yang ingin mereka tawarkan kepada pelanggan internal dan eksternal mereka.
+ Pemilik bisnis dan aplikasi ditugaskan untuk memigrasikan aplikasi mereka ke AMS. Informasi ini akan membantu merencanakan migrasi aplikasi, dengan mode AMS yang sesuai untuk aplikasi migrate/host mereka. Catatan, aplikasi yang sama dapat di-host di lebih dari satu mode AMS selama fase siklus hidup Siklus Hidup Pengembangan Perangkat Lunak (SDLC) yang berbeda.
+ Mitra AMS bertugas membimbing pelanggan tentang berbagai opsi untuk membangun dan bermigrasi ke AMS.
Informasi ini paling berguna selama fase dasar menyiapkan platform yang dikelola AMS Anda, dan ketika Anda beralih dari fondasi ke fase migrasi perjalanan adopsi cloud Anda, tepat setelah orientasi ke AMS selesai dan Anda berfokus pada tata kelola dan operasi aplikasi.
# Jenis mode dan akun di AMS
Mode AWS Managed Services (AMS) dapat didefinisikan sebagai cara berinteraksi dengan layanan AMS di bawah kerangka tata kelola khusus untuk setiap mode. Perbedaan landing zone, multi-account landing zone atau MALZ dan single-account landing zone atau SALZ dicatat.
**catatan**
Untuk detail tentang penerapan aplikasi dan memilih mode AMS yang tepat, lihat [mode AMS dan aplikasi atau beban kerja](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-apps-ug.html).
Untuk kasus penggunaan dunia nyata dari berbagai mode, lihat [Kasus penggunaan dunia nyata untuk mode AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-use-cases.html)
Tabel berikut memberikan deskripsi mode per layanan AMS.
| Fitur AMS | **Mode RFC (sebelumnya mode CM Standar) /OOD \$1** | Mode Ubah Langsung | AWS Service Catalog | Penyediaan layanan mandiri/Mode pengembang | Pelanggan Dikelola |
| --- | --- | --- | --- | --- | --- |
| Konfigurasi Zona Pendaratan | MALZ dan SALZ | MALZ dan SALZ | MALZ dan SALZ |
| Manajemen Perubahan | Mengubah penjadwalan, meninjau perubahan manual, dan mengubah catatan | Sama seperti mode RFC untuk perubahan berisiko tinggi seperti IAM atau grup keamanan | Tidak ada |
| Logging, Monitoring, Guardrails, dan Manajemen Acara | Ya (sumber daya yang didukung) | Tidak |
| Manajemen kontinuitas | Ya (sumber daya yang didukung) | Tidak berlaku/Tidak | Tidak |
| Manajemen keamanan | Kontrol keamanan tingkat instans dan kontrol tingkat akun | Kontrol tingkat akun | Kontrol tingkat AWS Org |
| Manajemen tambalan | Ya | Tidak berlaku/Tidak | Tidak |
| Insiden dan manajemen masalah | Respons dan resolusi SLA untuk sumber daya yang didukung AMS | Respon SLA untuk sumber daya yang dihasilkan | Tidak |
| Pelaporan | Ya | Tidak |
| Manajemen permintaan layanan | Ya | Hanya permintaan Support | Tidak |
**\$1** Operations On Demand (OOD) memiliki penawaran untuk pelanggan yang menggunakan mode RFC untuk mengelola perubahan mereka melalui sumber daya khusus. Untuk detail selengkapnya, lihat [katalog penawaran Operations on Demand dan hubungi](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) manajer pengiriman layanan cloud (CSDM) Anda.
**catatan**
[Mode Penyediaan Layanan Mandiri di AMS](self-service-provisioning-section.md)dan [Mode Pengembang AMS Lanjutan](developer-mode-section.md) mungkin keduanya tampak cocok untuk aplikasi yang memiliki arsitektur kompleks yang berakar pada Layanan AWS asli. Saat merancang beban kerja, Anda membuat trade-off antara keunggulan operasional dan kelincahan, berdasarkan konteks bisnis Anda. Ini adalah cara yang baik untuk berpikir tentang memilih mode SSP atau mode Pengembang untuk aplikasi Anda. Pemilihan juga dapat berubah berdasarkan fase SDLC aplikasi. Misalnya: Ketika aplikasi siap produksi, maka mode SSP mungkin opsi yang lebih tepat karena pagar pembatas AMS yang lebih ketat dalam mode ini. Pagar pembatas diberlakukan dalam bentuk kontrol pencegahan seperti kontrol perubahan berbasis RFC untuk pembaruan IAM dan pada tingkat OU aplikasi. SCPs Keputusan bisnis ini dapat mendorong prioritas rekayasa Anda. Anda dapat mengoptimalkan untuk meningkatkan fleksibilitas bagi pemilik aplikasi dalam fase “pra-prod” dengan mengorbankan tata kelola dan dukungan operasional.
## Arsitektur MALZ dan mode AMS terkait
AMS multi-account landing zone (MALZ) memberi Anda opsi untuk secara otomatis menyediakan akun aplikasi (atau akun sumber daya) di bawah Unit Organisasi (OU) default: OU yang Dikelola Pelanggan, OU Terkelola, atau OU Pengembangan. Infrastruktur yang disediakan dalam akun aplikasi yang dibuat di bawah masing-masing OU ini tunduk pada mode AMS spesifik yang ditawarkan oleh OU dasar tersebut. Adalah umum untuk menemukan campuran dua atau lebih mode di akun aplikasi yang sama. Misalnya: Mode RFC dan mode SSP dapat hidup berdampingan dalam akun terkelola AMS yang menghosting arsitektur pipeline yang terdiri dari API Gateway dan Lambda untuk fungsi pemicu, dan EC2, S3, dan SQS untuk konsumsi dan orkestrasi. Dalam hal ini, mode SSP akan berlaku untuk Lambda dan API Gateway.
Gambar 1 menyajikan bagaimana mode yang berbeda ditawarkan melalui fondasi OUs di AMS. Saat meminta akun aplikasi baru di AMS, Anda harus memilih OU untuk akun tersebut.
Arsitektur MALZ dan mode AMS terkait
![\[Diagram showing Akun AWS structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/MALZ-high-level-(Mar2021).png)
AMS memanfaatkan dasar OUs berdasarkan praktik terbaik AWS sebagai cara untuk mengelola akun secara logis menggunakan Kebijakan Kontrol Layanan ()SCPs. Ini berfungsi sebagai cara untuk menegakkan kerangka tata kelola dengan setiap mode AMS. Setiap tata kelola dan pagar pembatas keamanan (dalam bentuk SCPs) yang diterapkan pada yayasan OUs juga diterapkan secara otomatis. custom/child OUs Tambahan SCPs dapat diminta untuk anak OUs. Penting untuk dipahami bahwa akun aplikasi tidak sama dengan mode. Mode diterapkan pada infrastruktur yang disediakan dalam akun dan menentukan tanggung jawab operasional antara AMS dan pelanggan.
Gambar 1: Arsitektur MALZ dan mode AMS terkait
![\[Table comparing AMS modes, default governance controls, and support for customer-added controls.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/ams-modes-guardrails-dcm.png)
**catatan**
“Pembatasan” menyiratkan bahwa Anda dapat meminta kebijakan khusus untuk ini OUs, kebijakan tersebut disetujui oleh AMS atas case-by-case dasar untuk memastikan kebijakan tersebut tidak mengganggu kemampuan AMS untuk memberikan keunggulan operasional. Untuk daftar rinci pagar pembatas AMS, lihat [AMS Guardrails](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#detective-rules) di panduan pengguna.
# Mode dan aplikasi AMS atau beban kerja
Pertimbangkan persyaratan operasional dan tata kelola untuk aplikasi Anda saat memilih mode yang tepat, baik dengan meminta akun aplikasi baru atau menghosting aplikasi di akun aplikasi yang ada. Pemilihan mode AMS yang sesuai untuk setiap aplikasi atau beban kerja tergantung pada faktor-faktor berikut:
+ Jenis fungsi siklus hidup SDLC yang akan disediakan lingkungan (misalnya, kotak pasir dengan perubahan yang tidak dimoderasi, UAT dengan beberapa perubahan yang sering, produksi dengan perubahan minimal dan sangat diatur)
+ Kebijakan tata kelola yang diperlukan (ditegakkan melalui SCPs di tingkat OU)
+ Model Operasional (jika Anda ingin memiliki tanggung jawab operasional atau ingin mengalihdayakannya ke AMS)
+ Hasil bisnis yang diinginkan, seperti waktu untuk beroperasi di cloud, dan biaya operasi.
**catatan**
Untuk deskripsi jenis mode per layanan AMS, lihat [Jenis mode dan akun di AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html).
Untuk kasus penggunaan dunia nyata dari berbagai mode, lihat [Kasus penggunaan dunia nyata untuk mode AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)
Tabel berikut menguraikan pertimbangan utama bagi pemilik aplikasi untuk membantu memutuskan mode AMS yang paling sesuai. Pemilik aplikasi harus menyertakan fase penilaian sebelum migrasi aplikasi untuk sepenuhnya memahami mode mana yang berlaku untuk aplikasi spesifik mereka. Contoh: Untuk aplikasi berbasis layanan cloud-native atau arsitektur tanpa server, opsi terbaik adalah mulai membangun dan mengulangi dalam mode Pengembang dan menerapkan Infrastruktur akhir sebagai Kode menggunakan mode AMS Managed — SSP. Dalam hal ini, pemfaktoran ulang ringan mungkin diperlukan untuk memastikan bahwa CloudFormation templat apa pun yang dibuat untuk penerapan otomatis memenuhi pedoman konsumsi yang ditetapkan oleh AMS. Selain itu, izin IAM apa pun harus disetujui oleh AMS Security untuk memastikan mereka mengikuti model hak istimewa paling sedikit.
Mode AMS yang dipilih untuk meng-host aplikasi, dapat membantu Anda membangun model operasi cloud yang Anda inginkan.
**catatan**
Lebih dari satu model operasi cloud dapat ada dalam satu Zona Pendaratan Terkelola AMS berdasarkan berbagai mode AMS yang dipilih untuk meng-host aplikasi.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/ams-modes-and-apps-ug.html)
**\$1** Operations On Demand (OOD) memiliki penawaran untuk pelanggan yang menggunakan mode CM Standar untuk mengelola perubahan mereka melalui sumber daya khusus. Untuk detail selengkapnya, lihat [katalog penawaran Operations on Demand dan hubungi](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) manajer pengiriman layanan cloud (CSDM) Anda.
**catatan**
Perbandingan harga antara mode SSP dan mode Pengembang mengasumsikan bahwa layanan AWS yang sama disediakan.
Membandingkan Mode AMS dengan tujuan bisnis dan TI
![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)
Seperti yang ditunjukkan, jika Anda mencari model tata kelola yang sangat terkontrol dan terstandarisasi untuk aplikasi Anda, maka mode Perubahan Standar yang dikelola AMS, AWS Service Catalog, atau Direct Change adalah yang paling cocok. Jika Anda memerlukan model tata kelola yang dipesan lebih dahulu dengan fokus pada inovasi aplikasi tanpa perlu kesiapan operasional, pilih mode Customer Managed. Dengan mode Customer Managed, Anda bisa membutuhkan waktu lebih lama untuk mengoperasionalkan aplikasi Anda karena Anda memikul tanggung jawab untuk menetapkan orang, proses, dan alat untuk mendukung kemampuan operasional seperti Manajemen Insiden, Manajemen Konfigurasi, Manajemen Penyediaan, Manajemen Keamanan, Manajemen Patch, dll.
# Kasus penggunaan dunia nyata untuk mode AMS
Periksa ini untuk membantu menentukan cara menggunakan mode AMS.
+ **Gunakan Kasus 1, keharusan bisnis untuk menurunkan biaya dengan keluar pusat data yang sensitif terhadap waktu**: Perusahaan dengan acara bisnis yang menarik, seperti pintu keluar pusat data, tertarik untuk menghosting ulang aplikasi on-prem mereka di cloud. Sebagian besar inventaris on-prem terdiri dari server Windows dan Linux dengan campuran versi sistem operasi. Dengan melakukan itu, pelanggan juga ingin memanfaatkan penghematan biaya yang pindah ke penawaran cloud dan meningkatkan postur teknis dan keamanan aplikasi mereka. Pelanggan ingin bergerak cepat tetapi belum memiliki keahlian operasi cloud internal yang dibangun. Pelanggan harus menemukan keseimbangan refactoring, terlalu banyak refactoring dapat berisiko terhadap garis waktu yang ketat. Namun, dengan beberapa refactoring, seperti memperbarui versi OS dan mengoptimalkan database, aplikasi dapat mencapai tingkat kinerja berikutnya. Dalam contoh ini, pelanggan dapat memilih mode RFC yang dikelola AMS untuk meng-host kembali sebagian besar aplikasi mereka. AMS menyediakan operasi infrastruktur, sekaligus memandu tim operasi pelanggan tentang praktik terbaik dalam pengoperasian cloud dengan aman.
AWS Service Catalog yang dikelola AMS dan mode Perubahan Langsung yang dikelola AMS memberi pelanggan fleksibilitas ekstra sambil mencapai hasil dan sasaran bisnis yang sama. Selain itu, pelanggan dapat menggunakan penawaran AMS Operations On Demand (OOD) untuk memiliki insinyur operasi AMS khusus untuk memprioritaskan pelaksanaan permintaan perubahan ()RFCs.
Saat membongkar tugas operasional infrastruktur yang tidak terdiferensiasi (patching, backup, manajemen akun, dll) ke AMS, pelanggan dapat terus fokus pada pengoptimalan aplikasi mereka dan meningkatkan tim internal mereka pada operasi cloud. AMS memberikan laporan bulanan kepada pelanggan tentang penghematan biaya, dan membuat rekomendasi tentang pengoptimalan sumber daya. Dalam kasus penggunaan ini, jika ada end-of-life aplikasi yang di-host pada versi OS lama seperti Windows 2003 dan 2008, bahwa pelanggan memutuskan untuk tidak memfaktorkan ulang, itu juga dapat dimigrasikan ke AMS dan dihosting di akun yang memanfaatkan mode Dikelola Pelanggan.
+ **Gunakan Kasus 2, membangun data lake dengan Lambda, Glue, Athena dalam batas AMS yang aman**: Perusahaan ingin menyiapkan Data Lake untuk memenuhi kebutuhan pelaporan untuk beberapa aplikasi di AMS. Pelanggan ingin menggunakan bucket S3 untuk penyimpanan kumpulan data dan AWS Athena untuk melakukan kueri terhadap kumpulan data untuk setiap laporan. S3 dan AWS Athena akan digunakan di akun AMS Managed terpisah. Akun dengan S3 juga memiliki layanan lain seperti Glue, Lambda, dan Step Functions untuk membangun pipeline konsumsi data. Glue, Lambda, Athena, dan Step Functions dianggap sebagai layanan Penyediaan Layanan Mandiri (SSP) dalam hal ini. Pelanggan juga menyebarkan EC2 instance di akun yang bertindak sebagai server ad hoc tooling/scripting . Pelanggan memulai dengan meminta AMS untuk mengaktifkan layanan SSP di akun AMS Managed mereka. AMS memberikan peran IAM untuk setiap layanan yang dapat diasumsikan oleh pelanggan, setelah peran tersebut dimasukkan ke dalam solusi federasi pelanggan. Untuk kemudahan manajemen, pelanggan juga dapat menggabungkan kebijakan untuk peran IAM terpisah menjadi satu peran khusus, sehingga mengurangi kebutuhan untuk beralih peran saat bekerja di antara layanan AWS. Setelah peran diaktifkan di akun, pelanggan dapat mengonfigurasi layanan sesuai kebutuhan mereka. Namun, pelanggan harus bekerja dengan sistem manajemen perubahan AMS untuk meminta izin tambahan, tergantung pada kasus penggunaannya.
Misalnya, untuk akses ke Glue Crawler, izin tambahan diperlukan oleh Glue. Izin tambahan juga akan diperlukan untuk membuat sumber acara untuk Lambda. Pelanggan akan bekerja dengan AMS untuk memperbarui peran IAM guna memungkinkan akses lintas akun bagi Athena untuk menanyakan bucket S3. Pembaruan untuk peran layanan atau peran terkait layanan juga akan diperlukan melalui manajemen perubahan AMS agar Lambda memanggil layanan Step Functions, dan Glue untuk membaca dan menulis ke semua bucket S3. AMS bekerja dengan pelanggan untuk memastikan bahwa model akses hak istimewa paling sedikit diikuti dan perubahan IAM yang diminta tidak terlalu permisif dan membuka lingkungan terhadap risiko yang tidak perlu. Tim data lake pelanggan menghabiskan waktu merencanakan semua izin IAM yang diperlukan untuk layanan khusus untuk arsitektur pelanggan dan meminta AMS untuk mengaktifkannya. Ini karena semua perubahan IAM diproses secara manual dan menjalani peninjauan dari tim AMS Security. Waktu untuk memproses permintaan ini harus diperhitungkan dalam jadwal penerapan aplikasi.
Karena layanan SSP beroperasi di akun, pelanggan dapat meminta dukungan dan melaporkan masalah melalui manajemen insiden AMS dan permintaan layanan. Namun, AMS tidak akan secara aktif memantau metrik kinerja dan konkurensi untuk Lambda, atau metrik pekerjaan untuk Glue. Adalah tanggung jawab pelanggan untuk memastikan pencatatan dan pemantauan yang tepat diaktifkan untuk layanan SSP. EC2 Instance dan bucket S3 di akun dikelola sepenuhnya oleh AMS.
+ **Gunakan Kasus 3, penyiapan pipeline penerapan CICD yang cepat dan fleksibel di AMS: Seorang pelanggan ingin menyiapkan pipeline** CICD berbasis Jenkins untuk menyebarkan pipeline kode ke semua akun aplikasi di AMS. Pelanggan mungkin merasa paling cocok untuk meng-host pipeline CICD ini dalam mode Perubahan Langsung (DCM) yang dikelola AMS atau mode Pengembang yang dikelola AMS karena memberi mereka fleksibilitas untuk mengatur server Jenkins dengan konfigurasi khusus yang diperlukan EC2, dengan izin IAM yang diinginkan untuk mengakses dan ember S3 yang menampung repositori artefak. CloudFormation Meskipun ini juga dapat dilakukan dalam mode RFC yang dikelola AMS, tim pelanggan perlu membuat beberapa manual untuk peran IAM RFCs untuk mengulangi set izin yang disetujui yang paling tidak permisif, yang ditinjau secara manual oleh AMS. DCM memungkinkan pelanggan untuk mencapai tujuan operasional mereka di AWS sambil menghindari kebutuhan untuk membuat beberapa manual RFCs untuk peran IAM, saat menggunakan mode RFC yang dikelola AMS, untuk mengulangi serangkaian izin yang disetujui yang paling tidak permisif, yang ditinjau secara manual oleh AMS. Ini akan membutuhkan waktu serta pendidikan di pihak pelanggan untuk meningkatkan proses dan alat AMS. Bekerja dengan mode Pengembang, pelanggan dapat memulai dengan “peran pengembang” untuk menyediakan infrastruktur menggunakan AWS asli APIs. Cara tercepat dan paling fleksibel untuk mengatur pipeline ini adalah dengan menggunakan mode AMS Managed-Developer. Mode pengembang memberikan cara tercepat dan termudah, sambil mengorbankan integrasi operasional, sementara DCM kurang fleksibel tetapi memberikan tingkat dukungan operasional yang sama dengan mode RFC.
+ **Gunakan Kasus 4, model operasi yang dipesan lebih dahulu dalam yayasan AMS**: Seorang pelanggan melihat keluar pusat data berdasarkan tenggat waktu dan salah satu aplikasi perusahaan mereka sepenuhnya dikelola oleh MSP pihak ketiga, termasuk operasi aplikasi dan operasi infrastruktur. Dengan asumsi bahwa pelanggan tidak memiliki waktu dalam jadwal untuk memfaktorkan ulang aplikasi ini sehingga dapat dioperasikan oleh AMS, mode Customer Managed adalah opsi yang cocok. Pelanggan dapat memanfaatkan pengaturan otomatis dan cepat dari Zona Pendaratan yang dikelola AMS. Mereka dapat memanfaatkan manajemen akun terpusat yang mengontrol penjual akun dan konektivitas melalui akun jaringan terpusat. Ini juga menyederhanakan penagihan mereka dengan mengkonsolidasikan biaya untuk semua akun yang dikelola pelanggan melalui akun Pembayar AMS. Pelanggan memiliki fleksibilitas untuk mengatur model manajemen akses yang dipesan lebih dahulu dengan MSP terpisah dari manajemen akses standar yang digunakan untuk akun Terkelola AMS. Dengan cara ini, menggunakan mode Customer Managed, mereka dapat mengatur lingkungan yang dikelola AMS sambil memenuhi persyaratan bisnis mereka untuk mengosongkan lingkungan di prem mereka. Dalam hal ini, jika pelanggan juga memiliki aplikasi berbasis Windows yang mereka migrasi ke cloud, dan memilih untuk memindahkannya ke akun Customer Managed, pelanggan bertanggung jawab untuk membuat model operasi cloud. Ini bisa rumit, mahal, dan memakan waktu tergantung pada kemampuan pelanggan untuk mengubah proses TI tradisional dan melatih orang. Pelanggan dapat menghemat waktu dan biaya dengan “mengangkat dan memindahkan” beban kerja tersebut ke akun AMS Managed dan menurunkan operasi infrastruktur ke AMS.
**catatan**
Pelanggan terkadang merasa perlu untuk memindahkan akun aplikasi antara kerangka tata kelola mode RFC atau SSP dan mode Pengembang. Misalnya, pelanggan dapat meng-host aplikasi dalam mode terkelola AMS sebagai bagian dari migrasi lift dan shift awal, tetapi lembur ingin menulis ulang aplikasi untuk mengoptimalkannya untuk layanan AWS cloud-native. Mereka dapat mengubah mode akun pra-prod dari RFC yang dikelola AMS ke mode Pengembang yang dikelola AMS, memberi mereka fleksibilitas dan kelincahan untuk penyediaan infrastruktur. Namun, setelah perubahan penyediaan infrastruktur dibuat menggunakan “peran pengembang”, infrastruktur yang sama tidak dapat dipindahkan kembali ke mode RFC yang dikelola AMS. Ini karena AMS tidak dapat menjamin operasi infrastruktur yang disediakan di luar sistem manajemen perubahan AMS. Pelanggan mungkin perlu membuat akun aplikasi baru yang menawarkan mode RFC yang dikelola AMS dan kemudian menerapkan kembali konfigurasi infrastruktur yang “dioptimalkan” melalui CloudFormation templat atau kustom yang dimasukkan ke dalam akun yang dikelola AMS AMIs . Ini adalah cara bersih untuk menerapkan konfigurasi siap produksi. Setelah digunakan, aplikasi akan berada di bawah tata kelola dan operasi AMS preskriptif. Hal yang sama berlaku untuk beralih mode antara mode Customer Managed dan AMS-managed.
# Modus RFC
Mode RFC adalah mode default untuk pelanggan rencana operasi AMS Advanced. Ini mencakup sistem manajemen perubahan dengan permintaan perubahan atau RFCs dan katalog jenis perubahan yang akan digunakan untuk meminta penambahan atau perubahan yang Anda butuhkan ke akun Anda. Sistem manajemen perubahan ini memberikan tingkat keamanan dalam membatasi siapa yang dapat melakukan perubahan pada akun Anda.
Untuk detail tentang jenis perubahan AMS Advanced, lihat [Apa itu Jenis Perubahan AMS?](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) .
Untuk detail tentang orientasi ke AMS Advanced, lihat [AWS Managed Services Onboarding](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html) Introduction.
Untuk contoh penelusuran jenis perubahan, lihat bagian “Informasi Tambahan” untuk jenis perubahan yang relevan di bagian *AMS Advanced Change Type Reference Change Type* [by Classification](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html).
**catatan**
Mode RFC sebelumnya disebut “Mode Manajemen Ubah” atau “Mode CM Standar.”
**Topics**
+ [Pelajari tentang RFCs](ex-rfc-works.md)
+ [Apa itu jenis perubahan?](understanding-cts.md)
+ [Memecahkan masalah kesalahan RFC di AMS](rfc-troubleshoot.md)
# Pelajari tentang RFCs
Permintaan perubahan, atau RFCs, bekerja dengan cara dua kali lipat. Pertama, ada parameter yang diperlukan untuk RFC itu sendiri. Ini adalah opsi di `CreateRfc` API. Dan kedua, ada parameter yang diperlukan untuk aksi RFC (parameter eksekusi). Untuk mempelajari `CreateRfc` opsi, lihat [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)bagian *Referensi AMS API*. Opsi ini biasanya muncul di area **Konfigurasi tambahan** pada halaman Buat RFC.
Anda dapat membuat dan mengirimkan RFC dengan `CreateRfc` API, `aws amscm create-rfc` CLI, atau menggunakan konsol AMS Buat halaman RFC. Untuk tutorial tentang membuat RFC, lihat[Buat RFC](ex-rfc-create-col.md).
**Topics**
+ [Apa itu RFCs?](what-r-rfcs.md)
+ [Mengautentikasi saat menggunakan AMS API/CLI](ex-rfc-authentication.md)
+ [Memahami ulasan keamanan RFC](rfc-security.md)
+ [Memahami klasifikasi tipe perubahan RFC](ex-rfc-csio.md)
+ [Memahami tindakan RFC dan status aktivitas](ex-rfc-action-state.md)
+ [Memahami kode status RFC](ex-rfc-status-codes.md)
+ [Memahami pembaruan RFC CTs dan deteksi drift CloudFormation template](ex-rfc-updates-and-dd.md)
+ [Jadwal RFCs](ex-rfc-scheduling.md)
+ [Menyetujui atau menolak RFCs](ex-rfc-approvals.md)
+ [Minta periode berjalan terbatas RFC](ex-rfc-restrict-execute.md)
+ [Buat, kloning, perbarui, temukan, dan batalkan RFCs](ex-rfc-use-examples.md)
+ [Gunakan konsol AMS dengan RFCs](ex-rfc-gui.md)
+ [Pelajari tentang parameter RFC umum](rfc-common-params.md)
+ [Mendaftar untuk email harian RFC](rfc-digest.md)
# Apa itu RFCs?
Permintaan perubahan, atau RFC, adalah cara Anda membuat perubahan di lingkungan yang dikelola AMS, atau meminta AMS untuk membuat perubahan atas nama Anda. Untuk membuat RFC, Anda memilih dari jenis perubahan AMS, pilih parameter RFC (seperti jadwal), lalu kirimkan permintaan menggunakan konsol AMS atau perintah [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)API dan. [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html)
RFC berisi dua spesifikasi, satu untuk RFC itu sendiri, dan satu untuk parameter tipe perubahan (CT). Pada baris perintah, Anda dapat menggunakan perintah Inline RFC, atau CreateRfc template standar dalam format JSON, yang Anda isi dan kirimkan bersama dengan file skema CT JSON yang Anda buat (berdasarkan parameter CT). Nama CT adalah deskripsi informal dari CT. CSIO (kategori, subkategori, item, operasi) adalah deskripsi yang lebih formal dari CT. Hanya ID CT yang harus ditentukan saat membuat RFC.
RFCs melalui dua tahap kunci: Validasi dan Eksekusi.
1. Pada Tahap Validasi, AMS meninjau Permintaan RFC untuk kelengkapan dan kebenaran. AMS juga mengevaluasi permintaan keamanan sesuai dengan [standar teknis keamanan](rfc-security.md#rfc-security.title) kami. AMS memvalidasi bahwa perubahan yang diminta valid dan dapat dieksekusi.
1. Pada Tahap Eksekusi, AMS mencoba perubahan yang diminta pada akun Anda.
AMS menangani kedua tahapan melalui proses otomatis, proses manual, atau kombinasi keduanya. Proses manual ditangani oleh tim Operasi AMS. Untuk informasi selengkapnya, lihat [Otomatis dan manual CTs](ug-automated-or-manual.md).
AMS menyediakan tiga mode eksekusi untuk menangani permintaan:
+ **(Direkomendasikan AMS) Mode eksekusi: Otomatis**. Ini CTs menggunakan otomatisasi untuk validasi dan eksekusi RFC, yang merupakan cara tercepat untuk mencapai hasil bisnis Anda.
+ **(Disarankan AMS) Mode eksekusi: Manual dan Penunjukan: Otomatisasi Terkelola**. Ini CTs memanfaatkan kombinasi proses otomatis dan manual untuk validasi dan eksekusi RFC. Jika otomatisasi tidak dapat menjalankan perubahan yang Anda minta, maka RFC ditransfer (dengan perutean otomatis atau dengan pembuatan RFC pengganti) ke tim Operasi AMS untuk penanganan manual. Pengajuan ini CTs memungkinkan pengambilan permintaan Anda yang lebih terstruktur, dilengkapi dengan otomatisasi AMS untuk meningkatkan kerangka waktu hasil penanganan dan eksekusi.
+ **Mode eksekusi: Manual dan Penunjukan: Diperlukan Tinjauan**. Perubahan yang diminta melalui [ct-1e1xtak34nx76 Manajemen \$1 Lainnya \$1 Lainnya \$1 Pembaruan (diperlukan ulasan) atau [ct-0xdawir96cy7k](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-create-review-required.html) Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat (ulasan diperlukan)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-update-review-required.html). Ini CTs bergantung pada penanganan manual untuk validasi dan eksekusi. Ini CTs tergantung pada interpretasi manual dari permintaan perubahan.
AMS memberi tahu Anda ketika perubahan telah berhasil diselesaikan (Sukses) atau tidak berhasil (Kegagalan).
**catatan**
Untuk informasi tentang pemecahan masalah kegagalan RFC, lihat. [Memecahkan masalah kesalahan RFC di AMS](rfc-troubleshoot.md)
Grafik berikut menggambarkan alur kerja RFC yang dikirimkan oleh Anda.
![\[Alur kerja RFC yang dikirimkan pelanggan.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/requestForChange-v5g.png)
# Mengautentikasi saat menggunakan AMS API/CLI
Saat Anda menggunakan AMS API/CLI, Anda harus mengautentikasi dengan kredensi sementara. Untuk meminta kredensil keamanan sementara untuk pengguna federasi, cal,, [AssumeRoleWithSALL [ GetFederationToken[AssumeRole](https://docs.aws.amazon.com/STS/latest/UsingSTS/sts_delegate.html)](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html),](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithsaml) atau [ AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithwebidentity)AWS security token service (STS). APIs
Pilihan umum adalah SAFL. Setelah disiapkan, Anda menambahkan argumen ke setiap operasi yang Anda panggil. Sebagai contoh: `aws --profile saml amscm list-change-type-categories`.
Pintasan untuk profil SAFL 2.0 adalah mengatur variabel profil di awal masing-masing API/CLI dengan `set AWS_DEFAULT_PROFILE=saml` (untuk Windows; untuk Linux itu akan`export AWS_DEFAULT_PROFILE=saml`). Untuk informasi tentang menyetel variabel lingkungan CLI, lihat [Mengonfigurasi Antarmuka Baris Perintah AWS,](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-environment) Variabel Lingkungan.
# Memahami ulasan keamanan RFC
Proses persetujuan manajemen perubahan AWS Managed Services (AMS) memastikan bahwa kami melakukan tinjauan keamanan terhadap perubahan yang kami buat di akun Anda.
AMS mengevaluasi semua permintaan untuk perubahan (RFCs) terhadap standar teknis AMS. Setiap perubahan yang mungkin menurunkan postur keamanan akun Anda dengan menyimpang dari standar teknis, akan melalui tinjauan keamanan. Selama tinjauan keamanan, AMS menyoroti risiko yang relevan dan, dalam kasus risiko keamanan tinggi atau sangat tinggi, petugas keamanan resmi Anda menerima atau menolak RFC. Semua perubahan juga dievaluasi untuk menilai dampak buruk pada kemampuan AMS untuk beroperasi. Jika potensi dampak buruk ditemukan, maka tinjauan dan persetujuan tambahan diperlukan dalam AMS.
## Standar teknis AMS
Standar Teknis AMS menentukan kriteria keamanan minimum, konfigurasi, dan proses untuk menetapkan keamanan dasar akun Anda. Standar ini harus diikuti oleh AMS dan Anda.
Setiap perubahan yang berpotensi menurunkan postur keamanan akun Anda dengan menyimpang dari standar teknis, akan melalui proses Penerimaan Risiko, di mana risiko yang relevan disorot oleh AMS dan diterima atau ditolak oleh petugas keamanan yang berwenang dari pihak Anda. Semua perubahan tersebut juga dievaluasi untuk menilai apakah akan ada dampak buruk pada kemampuan AMS untuk mengoperasikan akun dan, jika demikian, ulasan dan persetujuan tambahan diperlukan dalam AMS.
## Proses manajemen risiko keamanan pelanggan (CSRM) RFC
Ketika seseorang dari organisasi Anda meminta perubahan pada lingkungan terkelola Anda, AMS meninjau perubahan tersebut untuk menentukan apakah permintaan tersebut dapat memperburuk postur keamanan akun Anda dengan berada di luar standar teknis. Jika permintaan menurunkan postur keamanan akun, AMS memberi tahu kontak tim keamanan Anda dengan risiko yang relevan, dan mengeksekusi perubahan; atau, jika perubahan tersebut menimbulkan risiko keamanan yang tinggi atau sangat tinggi di lingkungan, AMS meminta persetujuan eksplisit dari kontak tim keamanan Anda dalam bentuk penerimaan risiko (dijelaskan selanjutnya). Proses Penerimaan Risiko Pelanggan AMS dirancang untuk:
+ Memastikan risiko diidentifikasi dan dikomunikasikan dengan jelas kepada pemilik yang tepat
+ Minimalkan risiko yang teridentifikasi terhadap lingkungan Anda
+ Mendapatkan dan mendokumentasikan persetujuan dari kontak keamanan yang ditunjuk yang memahami profil risiko organisasi Anda
+ Mengurangi overhead operasional yang sedang berlangsung untuk risiko yang teridentifikasi
## Cara mengakses standar teknis dan risiko tinggi atau sangat tinggi
Kami telah membuat dokumentasi Standar Teknis AMS tersedia untuk referensi Anda dalam [https://console.aws.amazon.com/artifact/](https://console.aws.amazon.com/artifact/)sebagai laporan. Gunakan dokumentasi Standar Teknis AMS untuk memahami apakah perubahan akan memerlukan penerimaan risiko dari kontak keamanan resmi Anda sebelum mengirimkan permintaan perubahan (RFC).
Temukan laporan Standar Teknis dengan menelusuri “Standar Teknis AWS Managed Services (AMS)” di bilah pencarian tab AWS Artifact **Laporan** setelah masuk dengan default **AWSManagedServicesChangeManagementRole**.
**catatan**
Dokumen standar teknis AMS dapat diakses oleh Customer\$1 ReadOnly \$1Role di landing zone akun tunggal. Di landing zone multi-akun, yang AWSManaged ServicesAdminRole digunakan oleh admin keamanan dan AWSManaged ServicesChangeManagementRole digunakan oleh tim aplikasi, dapat digunakan untuk mengakses dokumen. Jika tim Anda menggunakan peran kustom, buat Other \$1 Other RFC untuk meminta akses dan kami akan memperbarui peran kustom yang ditentukan.
# Memahami klasifikasi tipe perubahan RFC
Jenis perubahan yang Anda gunakan saat mengirimkan RFC dibagi menjadi dua kategori besar:
+ **Deployment**: Klasifikasi ini untuk membuat sumber daya.
+ **Manajemen**: Klasifikasi ini untuk memperbarui atau menghapus sumber daya. Kategori **Manajemen** juga berisi jenis perubahan untuk mengakses instance, mengenkripsi atau berbagi, dan memulai, menghentikan AMIs, me-reboot, atau menghapus tumpukan.
# Memahami tindakan RFC dan status aktivitas
`RfcActionState`(API)/**Status Aktivitas** (konsol) membantu Anda memahami status intervensi manusia, atau tindakan, pada RFC. Digunakan terutama untuk manual RFCs, `RfcActionState` membantu Anda memahami kapan ada tindakan yang diperlukan oleh Anda atau operasi AMS, dan membantu Anda melihat kapan Operasi AMS secara aktif mengerjakan RFC Anda. Ini memberikan peningkatan transparansi ke dalam tindakan yang diambil pada RFC selama siklus hidupnya.
`RfcActionState`Definisi (API)/**Status Aktivitas** (konsol):
+ **AwsOperatorAssigned**: Operator AWS secara aktif mengerjakan RFC Anda.
+ **AwsActionPending**: Respons atau tindakan dari AWS diharapkan.
+ **CustomerActionPending**Respons atau tindakan dari pelanggan diharapkan.
+ **NoActionPending**: Tidak ada tindakan yang diperlukan dari AWS atau pelanggan.
+ **NotApplicable**: Status ini tidak dapat diatur oleh operator AWS atau pelanggan, dan hanya digunakan untuk RFCs yang dibuat sebelum fungsionalitas ini dirilis.
Status tindakan RFC berbeda tergantung pada apakah jenis perubahan yang dikirimkan memerlukan peninjauan manual dan penjadwalan disetel ke **ASAP** atau tidak.
+ **ActionState**Perubahan RFC selama peninjauan, persetujuan, dan dimulainya jenis perubahan manual dengan penjadwalan yang ditangguhkan:
+ Setelah Anda mengirimkan manual, terjadwal, RFC, **ActionState**secara otomatis berubah **AwsActionPending**untuk menunjukkan bahwa operator perlu meninjau dan menyetujui RFC.
+ Ketika operator mulai secara aktif meninjau RFC Anda, **ActionState**perubahan menjadi. **AwsOperatorAssigned**
+ Ketika operator menyetujui RFC Anda, Status RFC berubah menjadi Terjadwal, dan **ActionState**secara otomatis berubah menjadi. **NoActionPending**
+ Ketika waktu mulai yang dijadwalkan dari RFC tercapai, Status RFC berubah menjadi **InProgress**, dan **ActionState**secara otomatis berubah **AwsActionPending**untuk menunjukkan bahwa operator perlu ditugaskan untuk meninjau RFC.
+ Ketika operator mulai aktif menjalankan RFC, mereka mengubah **ActionState**ke **AwsOperatorAssigned**.
+ Setelah selesai, Operator menutup RFC. Ini secara otomatis mengubah **ActionState**ke **NoActionPending**.
![\[RFC ActionStateberubah selama peninjauan, persetujuan, dan dimulainya jenis perubahan manual dengan penjadwalan yang ditangguhkan\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/actionStateRfc.png)
**penting**
Status tindakan tidak dapat diatur oleh Anda. Mereka diatur secara otomatis berdasarkan perubahan dalam RFC, atau diatur secara manual oleh operator AMS.
Jika Anda menambahkan korespondensi ke RFC, secara otomatis **ActionState**diatur ke. **AwsActionPending**
Ketika RFC dibuat, secara otomatis **ActionState**diatur ke **NoActionPending**.
Ketika RFC dikirimkan, secara otomatis **ActionState**diatur ke **AwsActionPending**.
Ketika RFC Ditolak, Dibatalkan, atau dilengkapi dengan status Sukses atau Kegagalan, secara otomatis **ActionState**diatur ulang ke. **NoActionPending**
Status tindakan diaktifkan untuk otomatis dan manual RFCs, tetapi sebagian besar penting untuk manual RFCs karena jenis tersebut RFCs sering memerlukan komunikasi.
# Tinjau contoh kasus penggunaan status tindakan RFC
**Kasus Penggunaan: Visibilitas pada Proses RFC Manual**
+ Setelah Anda mengirimkan RFC manual, status tindakan RFC secara otomatis berubah `AwsActionPending` untuk menunjukkan bahwa operator perlu meninjau dan menyetujui RFC. Ketika operator mulai secara aktif meninjau RFC Anda, status tindakan RFC berubah menjadi. `AwsOperatorAssigned`
+ Pertimbangkan RFC manual yang telah disetujui dan dijadwalkan dan siap untuk mulai berjalan. Setelah status RFC berubah`InProgress`, status tindakan RFC secara otomatis berubah menjadi. `AwsActionPending` Ini berubah lagi menjadi `AwsOperatorAssigned` setelah operator mulai aktif menjalankan RFC.
+ Ketika RFC manual selesai (ditutup sebagai “Sukses” atau “Kegagalan”), status Tindakan RFC berubah `NoActionPending` untuk menunjukkan bahwa tidak ada tindakan lebih lanjut yang diperlukan baik dari pelanggan atau operator.
**Kasus penggunaan: korespondensi RFC**
+ Ketika RFC manual`Pending Approval`, Operator AMS mungkin memerlukan informasi lebih lanjut dari Anda. Operator akan memposting korespondensi ke RFC dan mengubah status tindakan RFC menjadi. `CustomerActionPending` Saat Anda merespons dengan menambahkan korespondensi RFC baru, status tindakan RFC secara otomatis berubah menjadi. `AwsActionPending`
+ Ketika RFC otomatis atau manual gagal, Anda dapat menambahkan korespondensi ke detail RFC, menanyakan kepada Operator AMS mengapa RFC gagal. Ketika korespondensi Anda ditambahkan, status tindakan RFC secara otomatis diatur ke. `AwsActionPending` Saat operator AMS mengambil RFC untuk melihat korespondensi Anda, status tindakan RFC berubah menjadi. `AwsOperatorAssigned` Ketika operator merespons dengan menambahkan korespondensi RFC baru, status tindakan RFC dapat diatur`CustomerActionPending`, menunjukkan bahwa ada respons lain dari pelanggan yang diharapkan, atau ke`NoActionPending`, yang menunjukkan bahwa tidak ada respons dari pelanggan yang diperlukan atau diharapkan.
# Memahami kode status RFC
Kode status RFC membantu Anda melacak permintaan Anda. Anda dapat mengamati kode status ini selama RFC berjalan di output CLI, atau dengan menyegarkan halaman daftar RFC di konsol.
Anda juga dapat melihat kode untuk RFC di halaman detail untuk RFC itu, yang mungkin terlihat seperti ini:
![\[Kode status RFC.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/guiRfcStatusCodes.png)
Anda mungkin melihat RFC dalam daftar yang tidak Anda kirimkan. Ketika operator AMS menggunakan CT internal saja, mereka mengirimkannya dalam RFC dan ditampilkan dalam daftar RFC Anda. Untuk informasi selengkapnya, lihat [Jenis perubahan hanya internal](ct-internals.md).
**penting**
Anda dapat meminta pemberitahuan perubahan status RFC. Untuk detailnya, lihat [Pemberitahuan Perubahan Status RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html).
**Kode status RFC**
| Berhasil | Kegagalan |
| --- | --- |
| Pengeditan: RFC telah dibuat tetapi tidak dikirimkan PendingApproval /Dikirim: RFC telah diserahkan dan sistem menentukan apakah memerlukan persetujuan, dan mendapatkan persetujuan itu, jika diperlukan Disetujui oleh AWS/Disetujui oleh pelanggan: RFC telah disetujui. Otomatis RFCs disetujui oleh AWS, manual RFCs disetujui oleh Operator dan, terkadang, pelanggan Dijadwalkan: RFC telah lulus sintaks dan pemeriksaan persyaratan dan dijadwalkan untuk berjalan InProgress: RFC sedang dijalankan, perhatikan RFCs bahwa penyediaan banyak sumber daya atau telah berjalan lama UserData, membutuhkan waktu lebih lama untuk dijalankan Dieksekusi: RFC telah dijalankan Sukses/Berhasil: RFC telah berhasil diselesaikan | Ditolak: ditolak RFCs biasanya karena gagal validasi; misalnya, sumber daya yang tidak dapat digunakan, yaitu subnet, ditentukan Dibatalkan: RFCs biasanya dibatalkan karena tidak lulus validasi sebelum waktu mulai yang dikonfigurasi berlalu Kegagalan: RFC telah gagal; lihat output untuk alasan kegagalan, dan operasi AMS secara otomatis membuat tiket masalah dan berkomunikasi dengan Anda sesuai kebutuhan StatusReason |
**catatan**
Dibatalkan atau ditolak RFCs dapat dikirimkan kembali menggunakan [UpdateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRfc.html); lihat juga. [Perbarui RFCs](ex-update-rfcs.md)
Jika RFC melewati semua kondisi yang diperlukan (misalnya, semua parameter yang diperlukan ditentukan), status berubah menjadi `PendingApproval` (bahkan otomatis CTs memerlukan persetujuan, yang terjadi secara otomatis jika sintaks dan pemeriksaan parameter lulus). Jika tidak lulus, statusnya berubah menjadi`Rejected`. `StatusReason`Memberikan informasi tentang penolakan; `ExecutionOutput` bidang memberikan informasi tentang persetujuan dan penyelesaian. Kode kesalahan meliputi:
+ InvalidRfcStateException: RFC berada dalam status yang tidak mengizinkan operasi yang dipanggil. Misalnya, jika RFC telah pindah ke status Kirim, itu tidak dapat lagi dimodifikasi.
+ InvalidRfcScheduleException: StartTime, EndTime, atau TimeoutInMinutes parameter dilanggar.
+ InternalServerError: Kesulitan dengan sistem ditemui.
+ InvalidArgumentException: Parameter salah ditentukan; misalnya, nilai yang tidak dapat diterima digunakan.
+ ResourceNotFoundException: Nilai, seperti ID tumpukan, tidak dapat ditemukan.
Jika waktu mulai dan akhir yang dijadwalkan yang diminta (juga dikenal sebagai jendela jalankan perubahan) terjadi sebelum perubahan disetujui, status RFC akan berubah menjadi`Canceled`. Jika perubahan disetujui, status RFC berubah menjadi`Scheduled`. Jendela change run untuk ASAP RFCs adalah waktu yang dikirimkan ditambah `ExpectedExecutionDuration` nilai untuk CT.
Kapan saja sebelum kedatangan jendela run perubahan, perubahan terjadwal (dikirimkan dengan a `RequestedStartTime` di CLI) dapat dimodifikasi atau dibatalkan. Jika perubahan yang dijadwalkan diubah, maka harus dikirimkan kembali.
Ketika waktu mulai perubahan tiba (dijadwalkan atau ASAP) dan setelah persetujuan selesai, status berubah `InProgress` dan tidak ada modifikasi yang dapat dilakukan. Jika perubahan selesai dalam jendela run perubahan yang ditentukan, status berubah menjadi`Success`. Jika ada bagian dari perubahan yang gagal, atau jika perubahan masih berlangsung saat jendela run change berakhir, status akan berubah menjadi`Failure`.
**catatan**
Selama`InProgress`,`Success`, atau `Failure` mengubah status, RFC tidak dapat dimodifikasi atau dibatalkan.
Diagram berikut mengilustrasikan status RFC dari panggilan CreateRFC hingga resolusi.
![\[Status RFC dari panggilan CreateRFC hingga resolusi.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/RfcStateFlow2.png)
# Memahami pembaruan RFC CTs dan deteksi drift CloudFormation template
Sumber daya yang disediakan di AMS menggunakan templat yang dimodifikasi CloudFormation . Jika sumber daya memiliki parameter yang diubah secara langsung melalui Konsol AWS Manajemen layanan, maka catatan CloudFormation pembuatan sumber daya tersebut menjadi tidak sinkron. Jika ini terjadi dan Anda mencoba menggunakan jenis perubahan pembaruan AMS untuk memperbarui sumber daya di AMS, AMS mereferensikan konfigurasi sumber daya asli dan berpotensi mengatur ulang parameter yang diubah. Reset ini mungkin merusak, jadi AMS melarang RFCs dengan jenis perubahan pembaruan jika ada perubahan konfigurasi AMS tambahan yang terdeteksi.
Untuk daftar jenis perubahan pembaruan, gunakan filter konsol.
## Remediasi drift FAQs
Pertanyaan dan jawaban tentang remediasi drift AMS. Ada dua jenis perubahan yang dapat Anda gunakan untuk memulai remediasi drift, satu adalah mode eksekusi = manual atau “otomatisasi terkelola,” yang lainnya adalah mode eksekusi = otomatis.
### Sumber daya yang didukung remediasi drift (ct-3kinq0u4l33zf)
Ini adalah sumber daya yang didukung oleh tipe perubahan remediasi drift, (ct-3kinq0u4l33zf). Untuk remediasi sumber daya apa pun, gunakan jenis perubahan “otomatisasi terkelola” (ct-34sxfo53yuzah) sebagai gantinya.
```
AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm
```
### Jenis perubahan remediasi drift
Pertanyaan dan jawaban tentang penggunaan jenis perubahan remediasi drift AMS.
Untuk daftar sumber daya yang didukung untuk fitur remediasi drift, lihat. [Sumber daya yang didukung remediasi drift (ct-3kinq0u4l33zf)](#drift-remeditate-faqs-sr)
**penting**
Remediasi drift memodifikasi and/or parameter template tumpukan dan wajib untuk memperbarui repositori template lokal Anda atau otomatisasi apa pun yang memperbarui tumpukan ini untuk menggunakan templat dan parameter tumpukan terbaru. Menggunakan and/or parameter template lama tanpa sinkronisasi dapat menyebabkan perubahan merusak pada sumber daya yang mendasarinya.
Otomatisasi tanpa terkelola, otomatis, CT (ct-3kinq0u4l33zf) mendukung remediasi hanya 10 sumber daya per RFC. Untuk memulihkan sumber daya yang tersisa dalam batch 10 buat yang baru RFCs sampai semua sumber daya diperbaiki.
Jenis perubahan remediasi drift mana yang harus saya gunakan?
Sebaiknya gunakan **otomatisasi tanpa terkelola**, CT otomatis (ct-3kinq0u4l33zf) saat:
+ Anda mencoba melakukan pembaruan ke sumber daya tumpukan yang ada menggunakan CT otomatis dan RFC ditolak sebagai tumpukan. `DRIFTED`
+ Anda menggunakan Update CT di masa lalu dan gagal karena tumpukannya DRIFTED. Anda tidak perlu mencoba pembaruan lagi dan dapat menggunakan otomatisasi terkelola, manual, CT sebagai gantinya.
Kami merekomendasikan penggunaan **otomatisasi terkelola**, CT manual (ct-34sxfo53yuzah) hanya ketika jenis sumber daya yang hanyut tidak didukung oleh remediasi drift tidak ada otomatisasi terkelola, otomatis, CT (ct-3kinq0u4l33zf), atau ketika remediasi drift tidak ada otomatisasi terkelola, otomatis, CT gagal.
Perubahan apa yang dilakukan pada tumpukan selama remediasi?
Remediasi memerlukan pembaruan ke and/or parameter template tumpukan tergantung pada properti yang hanyut. Remediasi juga memperbarui kebijakan tumpukan tumpukan selama remediasi dan mengembalikan kebijakan tumpukan ke nilai sebelumnya setelah remediasi selesai.
Bagaimana kita bisa melihat perubahan yang dilakukan pada and/or parameter template tumpukan?
Dalam menanggapi RFC, ringkasan perubahan disediakan dengan informasi berikut:
+ `ChangeSummaryJson`: Berisi ringkasan perubahan and/or Parameter Template Stack sebagai bagian dari remediasi drift. Remediasi dilakukan dalam beberapa fase. Ringkasan perubahan ini terdiri dari perubahan untuk fase individu. Jika Remediasi berhasil periksa perubahan fase terakhir. Lihat ExecutionPlan di JSON untuk fase yang dieksekusi secara berurutan. Misalnya, RestoreReferences bagian saat hadir selalu dieksekusi di akhir dan berisi JSON untuk perubahan pasca remediasi. Jika remediasi dijalankan dalam DryRun mode, tidak satu pun dari perubahan ini akan diterapkan ke tumpukan.
+ `PreRemediationStackTemplateAndConfigurationJson`: Berisi snapshot konfigurasi CloudFormation Stack termasuk Template, Parameter, Output, StackPolicyBody sebelum remediasi dipicu pada tumpukan.
Apa yang harus saya lakukan setelah remediasi dilakukan?
Anda perlu memperbarui repositori template lokal Anda, atau otomatisasi apa pun, yang akan memperbarui tumpukan yang diperbaiki, dengan templat dan parameter terbaru yang disediakan dalam ringkasan RFC. Hal ini sangat penting untuk melakukan ini karena menggunakan and/or parameter template lama dapat menyebabkan perubahan destruktif lebih lanjut pada sumber daya stack.
Apakah aplikasi saya akan diterapkan selama remediasi ini?
Remediasi adalah proses offline yang dilakukan hanya pada konfigurasi CloudFormation tumpukan. Tidak ada pembaruan yang dilakukan pada sumber daya yang mendasarinya.
Dapatkah saya terus menggunakan Manajemen \$1 Lainnya \$1 Lainnya RFCs untuk melakukan pembaruan sumber daya setelah perbaikan?
Kami menyarankan agar Anda selalu melakukan pembaruan untuk menumpuk sumber daya menggunakan Pembaruan otomatis yang tersedia CTs. Jika Pembaruan yang tersedia CTs tidak mendukung kasus penggunaan Anda, gunakan Manajemen \$1 Lainnya \$1 Permintaan lainnya.
Apakah remediasi membuat sumber daya baru di tumpukan?
Remediasi tidak membuat sumber daya baru di tumpukan. Namun, remediasi membuat output baru dan memperbarui bagian [metadata](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/metadata-section-structure.html) template tumpukan untuk menyimpan ringkasan remediasi untuk referensi Anda.
Akankah remediasi selalu berhasil?
Remediasi memerlukan analisis dan validasi konfigurasi template yang cermat untuk menentukan apakah itu dapat dilakukan. Dalam skenario di mana validasi ini gagal, proses remediasi dihentikan dan tidak ada perubahan yang dilakukan pada template tumpukan atau parameter. Selain itu, remediasi hanya dapat dilakukan pada jenis sumber daya yang didukung.
Bagaimana saya bisa melakukan pembaruan untuk menumpuk sumber daya jika remediasi tidak berhasil?
Anda dapat menggunakan Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui CT (ct-0xdawir96cy7k) untuk meminta perubahan. AMS memantau skenario tersebut dan bekerja untuk meningkatkan solusi remediasi.
Dapatkah saya memulihkan tumpukan yang memiliki tipe sumber daya yang didukung dan tidak didukung?
Ya. Namun, remediasi dilakukan hanya jika jenis sumber daya yang didukung ditemukan DRIFTED di tumpukan. Jika ada jenis sumber daya yang tidak didukung DRIFTED, remediasi tidak akan dilanjutkan.
Dapatkah saya meminta remediasi untuk tumpukan yang dibuat melalui non-CFN Ingest? CTs
Ya. Remediasi dapat dilakukan pada tumpukan terlepas dari jenis perubahan yang digunakan untuk membuat tumpukan.
Dapatkah saya mengetahui perubahan yang akan dilakukan pada tumpukan sebelum perbaikan?
Ya. Kedua jenis perubahan menyediakan **DryRun**opsi yang dapat Anda gunakan untuk meminta perubahan yang akan dilakukan jika tumpukan diperbaiki. Namun, perubahan remediasi akhir mungkin berbeda tergantung pada penyimpangan yang ada pada tumpukan pada saat remediasi.
# Jadwal RFCs
Fitur **Penjadwalan** memungkinkan Anda memilih waktu mulai untuk RFCs. Opsi berikut tersedia di fitur **Penjadwalan**:
+ **Jalankan perubahan ini secepatnya**: AMS menjalankan RFC segera setelah disetujui. Sebagian CTs besar disetujui secara otomatis. Gunakan opsi ini jika tidak ingin RFC dimulai pada waktu tertentu.
+ **Jadwalkan perubahan ini**: Tetapkan hari, waktu, dan zona waktu agar RFC berjalan. Untuk jenis perubahan otomatis, ini adalah praktik terbaik untuk meminta waktu mulai yang setidaknya 10 menit setelah Anda berencana untuk mengirimkan RFC. Untuk jenis perubahan otomatisasi terkelola, Anda harus meminta waktu mulai setidaknya 24 jam setelah Anda berencana mengirimkan RFC. Jika RFC tidak disetujui oleh waktu mulai yang dikonfigurasi, maka RFC ditolak.
## Tetapkan jadwal RFC
Untuk menjadwalkan RFC, gunakan salah satu metode berikut:
**Jalankan perubahan ini secepatnya**:
+ Konsol: Jangan lakukan apa pun. Ini menggunakan jadwal RFC default.
+ API atau CLI: Hapus `RequestedEndTime` opsi `RequestedStartTime` dan dalam operasi Buat RFC.
**ASAP** “otomatisasi RFCs terkelola” ditolak secara otomatis jika tidak disetujui dalam waktu tiga puluh hari sejak pengiriman.
**Jadwalkan perubahan ini**:
+ Konsol: Pilih tombol **Jadwalkan perubahan radio ini**. Area **waktu mulai** terbuka. Ketik secara manual dalam sehari atau gunakan widget kalender untuk memilih hari. Masukkan waktu, dalam UTC, dinyatakan dalam format ISO 8601, dan gunakan daftar drop-down untuk memilih lokasi. Secara default, AMS menggunakan format ISO 8601 Z atau:MM: YYYYMMDDThhmmss YYYY-MM-DDThh SSZ, salah satu format diterima.
**catatan**
**Waktu Akhir Default** adalah 4 jam dari **waktu Mulai** yang Anda masukkan. Untuk mengatur **Waktu Akhir** perubahan terjadwal Anda melebihi 4 jam, gunakan API atau CLI untuk menjalankan perubahan.
+ API atau CLI: Kirim nilai untuk `RequestedStartTime` dan `RequestedEndTime` parameter dalam operasi Buat RFC. Melewati konfigurasi `RequestedEndTime` tidak menghentikan proses untuk jenis perubahan otomatis yang telah dimulai. Untuk jenis perubahan “otomatisasi terkelola”, jika `RequestedEndTime` tercapai saat riset Operasi AMS masih berlangsung, dan Anda berkomunikasi dengan AMS, maka Anda dapat meminta ekstensi, atau Anda mungkin diminta untuk mengirimkan ulang RFC.
**Tip**
Untuk contoh pembacaan waktu UTC, lihat UTC di situs web [Time-is](https://time.is/UTC). ****Contoh format ISO 8601 untuk date/time nilai 2016-12-05 pada 2:20pm: 2016-12-05T 14:20:00 Z atau 20161205T142000Z.****
Jika Anda memberikan...
+ hanya a`RequestedStartTime`, RFC dianggap dijadwalkan dan `RequestedEndTime` diisi menggunakan nilai. `ExecutionDurationInMinutes`
+ hanya a`RequestedEndTime`, kami melempar InvalidArgumentException.
+ keduanya `RequestedStartTime` dan`RequestedEndTime`, kami menimpa `RequestedEndTime` dengan waktu mulai yang ditentukan ditambah `ExecutionDurationInMinutes` nilainya.
+ baik `RequestedStartTime` maupun`RequestedEndTime`, kami mempertahankan nilai-nilai itu sebagai nol dan RFC diperlakukan sebagai ASAP RFC.
**catatan**
Untuk semua yang dijadwalkan RFCs, waktu akhir yang tidak ditentukan ditulis sebagai waktu yang ditentukan `RequestedStartTime` ditambah `ExpectedExecutionDurationInMinutes` atribut dari jenis perubahan yang dikirimkan. Misalnya, jika “60" (menit), dan yang ditentukan `RequestedStartTime` adalah `2016-12-05T14:20:00Z` (5 Desember 2016 pukul 4:20 pagi), waktu akhir yang sebenarnya akan ditetapkan ke 5 Desember 2016 pukul 5:20 pagi. `ExpectedExecutionDurationInMinutes` Untuk menemukan tipe perubahan tertentu, jalankan perintah ini: `ExpectedExecutionDurationInMinutes`
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
## Gunakan opsi Prioritas RFC
Gunakan opsi **Prioritas** dalam jenis `execution mode = manual` perubahan untuk mengingatkan Operasi AMS tentang urgensi permintaan.
Opsi **prioritas** di`execution mode = manual`:
Tentukan prioritas RFC manual sebagai **Tinggi**, **Sedang**, atau **Rendah**. RFCs diklasifikasikan sebagai **Tinggi** ditinjau dan disetujui sebelum RFCs diklasifikasikan sebagai **Medium**, tunduk pada tujuan tingkat layanan RFC (SLOs) dan waktu pengajuannya. RFCs dengan Prioritas **rendah** atau tidak ada prioritas yang ditentukan diproses sesuai urutan yang dikirimkan.
# Menyetujui atau menolak RFCs
RFCs diserahkan dengan persetujuan yang diperlukan (manual) CTs harus disetujui oleh Anda atau AMS. Pra-persetujuan CTs diproses secara otomatis. Untuk informasi selengkapnya, lihat [Persyaratan persetujuan CT](constrained-unconstrained-ctis.md).
**catatan**
Saat menggunakan manual CTs, AMS menyarankan Anda menggunakan opsi **Penjadwalan** ASAP (pilih **ASAP** di konsol, biarkan waktu mulai dan berakhir kosong di API/CLI) karena ini CTs memerlukan operator AMS untuk memeriksa RFC, dan mungkin berkomunikasi dengan Anda sebelum dapat disetujui dan dijalankan. Jika Anda menjadwalkan ini RFCs, pastikan untuk mengizinkan setidaknya 24 jam. Jika persetujuan tidak terjadi sebelum waktu mulai yang dijadwalkan, RFC ditolak secara otomatis.
Jika RFC yang diperlukan persetujuan berhasil dikirimkan oleh AMS, maka RFC tersebut harus disetujui secara eksplisit oleh Anda. Atau, jika Anda mengirimkan RFC yang diperlukan persetujuan, maka itu harus disetujui oleh AMS. Jika Anda diminta untuk menyetujui RFC yang dikirimkan AMS, maka email atau komunikasi lain yang telah ditentukan dikirimkan kepada Anda untuk meminta persetujuan. Komunikasi termasuk ID RFC. Setelah komunikasi dikirim, lakukan salah satu hal berikut:
+ Menyetujui atau Menolak Konsol: Gunakan halaman detail RFC untuk RFC yang relevan:
![\[Halaman detail RFC.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/AMS_Console-App-Rej.png)
+ API/CLI Approve: [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html)menandai perubahan sebagai disetujui. Tindakan harus diambil oleh pemilik dan operator, jika keduanya diperlukan. Berikut ini adalah contoh CLI menyetujui perintah. Dalam contoh berikut, ganti RFC\$1ID dengan ID RFC yang sesuai.
```
aws amscm approve-rfc --rfc-id RFC_ID
```
+ API/CLI Reject: [RejectRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_RejectRfc.html)menandai perubahan sebagai ditolak. Berikut ini adalah contoh perintah CLI reject. Dalam contoh berikut, ganti RFC\$1ID dengan ID RFC yang sesuai.
```
aws amscm reject-rfc --rfc-id RFC_ID --reason "no longer relevant"
```
# Minta periode berjalan terbatas RFC
Sebelumnya dikenal sebagai hari pemadaman, Anda dapat meminta untuk membatasi periode waktu tertentu. Tidak ada perubahan yang dapat dijalankan selama waktu-waktu tersebut.
Untuk menetapkan periode berjalan terbatas, gunakan operasi [UpdateRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRestrictedExecutionTimes.html)API dan tetapkan periode waktu tertentu, di UTC. Periode yang Anda tentukan mengesampingkan periode sebelumnya yang ditentukan. Jika Anda mengirimkan RFC selama waktu berjalan terbatas yang ditentukan, pengiriman gagal dengan kesalahan Jadwal RFC Tidak Valid. Anda dapat menentukan hingga 200 periode waktu terbatas. Secara default, tidak ada periode terbatas yang ditetapkan. Berikut ini adalah contoh perintah permintaan (dengan otentikasi SAM dikonfigurasi):
```
aws amscm --profile saml update-restricted-execution-times --restricted-execution-times="[{\"TimeRange\":{\"StartTime\":\"2018-01-01T12:00:00Z\",\"EndTime\":\"2018-01-01T12:00:01Z\"}}]"
```
Anda juga dapat melihat RestrictedExecutionTimes setelan Anda saat ini dengan menjalankan operasi [ListRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRestrictedExecutionTimes.html)API. Contoh:
```
aws amscm --profile saml list-restricted-execution-times
```
Jika Anda ingin mengirimkan RFC selama waktu eksekusi terbatas yang ditentukan, tambahkan **RestrictedExecutionTimesOverrideId**dengan nilai **OverrideRestrictedTimeRanges**, dan kemudian kirimkan RFC seperti biasa. Ini adalah praktik terbaik untuk hanya menggunakan metode ini untuk RFC kritis atau darurat. Untuk informasi selengkapnya, lihat referensi API untuk [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html).
# Buat, kloning, perbarui, temukan, dan batalkan RFCs
Contoh berikut memandu Anda melalui berbagai operasi RFC.
**Topics**
+ [Buat RFC](ex-rfc-create-col.md)
+ [Kloning RFCs (buat ulang) dengan konsol AMS](ex-clone-rfcs.md)
+ [Perbarui RFCs](ex-update-rfcs.md)
+ [Temukan RFCs](ex-rfc-find-col.md)
+ [Batalkan RFCs](ex-cancel-rfcs.md)
# Buat RFC
## Membuat RFC dengan konsol
Berikut ini adalah halaman pertama proses RFC Create di konsol AMS, dengan **kartu Quick** terbuka dan **Browse change types** aktif:
![\[Quick create section with options for common AWS stack operations and access management.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/quickCreate1.png)
Berikut ini adalah halaman pertama proses RFC Create di konsol AMS, dengan **Pilih berdasarkan kategori aktif:**
![\[Create RFC page with change type categorization options for managed services environment.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/guiRfcCreate1-2.png)
Cara kerjanya:
1. Arahkan ke halaman **Buat RFC**: Di panel navigasi kiri konsol AMS klik **RFCs**untuk membuka halaman RFCs daftar, lalu klik **Buat** RFC.
1. Pilih jenis perubahan populer (CT) di tampilan default **Jelajahi jenis perubahan**, atau pilih CT dalam tampilan **Pilih menurut kategori**.
+ **Jelajahi berdasarkan jenis perubahan**: Anda dapat mengklik CT populer di area **Buat cepat** untuk segera membuka halaman **Jalankan RFC**. Perhatikan bahwa Anda tidak dapat memilih versi CT yang lebih lama dengan pembuatan cepat.
Untuk mengurutkan CTs, gunakan area **Semua jenis perubahan** dalam tampilan **Kartu** atau **Tabel**. Di kedua tampilan, pilih CT dan kemudian klik **Buat RFC** untuk membuka halaman **Jalankan RFC**. Jika berlaku, opsi **Buat dengan versi yang lebih lama** muncul di sebelah tombol **Buat RFC**.
+ **Pilih berdasarkan kategori**: Pilih kategori, subkategori, item, dan operasi dan kotak detail CT terbuka dengan opsi untuk **Membuat dengan versi yang lebih lama** jika berlaku. Klik **Buat RFC** untuk membuka halaman **Jalankan RFC**.
1. Pada halaman **Run RFC**, buka area nama CT untuk melihat kotak detail CT. **Subjek** diperlukan (ini diisi untuk Anda jika Anda memilih CT Anda di tampilan **jenis perubahan Jelajahi**). Buka area **konfigurasi tambahan** untuk menambahkan informasi tentang RFC.
Di area **konfigurasi Eksekusi**, gunakan daftar drop-down yang tersedia atau masukkan nilai untuk parameter yang diperlukan. Untuk mengkonfigurasi parameter eksekusi opsional, buka area **konfigurasi tambahan**.
1. Setelah selesai, klik **Jalankan**. Jika tidak ada kesalahan, **RFC berhasil membuat** halaman ditampilkan dengan rincian RFC yang dikirimkan, dan output **Run** awal.
1. Buka area **parameter Jalankan** untuk melihat konfigurasi yang Anda kirimkan. Segarkan halaman untuk memperbarui status eksekusi RFC. Secara opsional, batalkan RFC atau buat salinannya dengan opsi di bagian atas halaman.
## Membuat RFC dengan CLI
Cara kerjanya:
1. Gunakan Inline Create (Anda mengeluarkan `create-rfc` perintah dengan semua RFC dan parameter eksekusi disertakan), atau Template Create (Anda membuat dua file JSON, satu untuk parameter RFC dan satu untuk parameter eksekusi) dan mengeluarkan `create-rfc` perintah dengan dua file sebagai input. Kedua metode tersebut dijelaskan di sini.
1. Kirim `aws amscm submit-rfc --rfc-id ID` perintah RFC: dengan ID RFC yang dikembalikan.
Pantau `aws amscm get-rfc --rfc-id ID` perintah RFC:.
Untuk memeriksa versi jenis perubahan, gunakan perintah ini:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**catatan**
Anda dapat menggunakan `CreateRfc` parameter apa pun dengan RFC apa pun apakah itu bagian dari skema untuk jenis perubahan atau tidak. Misalnya, untuk mendapatkan pemberitahuan ketika status RFC berubah, tambahkan baris ini, `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` ke bagian parameter RFC dari permintaan (bukan parameter eksekusi). Untuk daftar semua CreateRfc parameter, lihat [Referensi AMS Change Management API](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html).
*BUAT SEBARIS*:
Keluarkan perintah create RFC dengan parameter eksekusi yang disediakan sebaris (tanda kutip saat memberikan parameter eksekusi sebaris), lalu kirimkan ID RFC yang dikembalikan. Misalnya, Anda dapat mengganti konten dengan sesuatu seperti ini::
```
aws amscm create-rfc --change-type-id "CT_ID" --change-type-version "VERSION" --title "TITLE" --execution-parameters "{\"Description\": \"example\"}"
```
*TEMPLATE MEMBUAT*:
**catatan**
Contoh pembuatan RFC ini menggunakan tipe perubahan tumpukan Load Balancer (ELB).
1. Temukan CT yang relevan. Perintah berikut mencari ringkasan klasifikasi CT untuk yang berisi “ELB” di Nama **Item** dan membuat output dari Kategori, Item, Operasi, dan ChangeType ID dalam bentuk tabel (Subkategori untuk keduanya). `Advanced stack components`
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries[?contains(Item,'ELB')].[Category,Item,Operation,ChangeTypeId]" --output table
```
```
---------------------------------------------------------------------
| CtSummaries |
+-----------+---------------------------+---------------------------+
| Deployment| Load balancer (ELB) stack | Create | ct-123h45t6uz7jl |
| Management| Load balancer (ELB) stack | Update | ct-0ltm873rsebx9 |
+-----------+---------------------------+---------------------------+
```
1. Temukan versi terbaru dari CT:
`ChangeTypeId`dan`ChangeTypeVersion`: ID tipe perubahan untuk panduan ini adalah `ct-123h45t6uz7jl` (buat ELB), untuk mengetahui versi terbaru, jalankan perintah ini:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=ct-123h45t6uz7jl
```
1. Pelajari opsi dan persyaratannya. Perintah berikut output skema ke file JSON bernama .json. CreateElbParams
```
aws amscm get-change-type-version --change-type-id "ct-123h45t6uz7jl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateElbParams.json
```
1. Memodifikasi dan menyimpan parameter eksekusi file JSON. Contoh ini menamai file CreateElbParams .json.
Untuk CT penyediaan, termasuk dalam skema dan harus diserahkan dalam parameter eksekusi. StackTemplateId
Untuk TimeoutInMinutes, berapa menit yang diizinkan untuk pembuatan tumpukan sebelum RFC gagal, pengaturan ini tidak akan menunda eksekusi RFC, tetapi Anda harus memberikan waktu yang cukup (misalnya, jangan tentukan “5"). Nilai yang valid adalah “60" hingga “360,” untuk CT dengan jangka panjang UserData: Buat EC2 dan Buat ASG. Kami merekomendasikan maksimum yang diizinkan “60" untuk semua penyediaan CTs lainnya.
Berikan ID VPC tempat Anda ingin tumpukan dibuat; Anda bisa mendapatkan ID VPC dengan perintah CLI. `aws amsskms list-vpc-summaries`
```
{
"Description": "ELB-Create-RFC",
"VpcId": "VPC_ID",
"StackTemplateId": "stm-sdhopv00000000000",
"Name": "MyElbInstance",
"TimeoutInMinutes": 60,
"Parameters": {
"ELBSubnetIds": ["SUBNET_ID"],
"ELBHealthCheckHealthyThreshold": 4,
"ELBHealthCheckInterval": 5,
"ELBHealthCheckTarget": "HTTP:80/",
"ELBHealthCheckTimeout": 60,
"ELBHealthCheckUnhealthyThreshold": 5,
"ELBScheme": false
}
}
```
1. Keluarkan template RFC JSON ke file di folder Anda saat ini bernama CreateElbRfc .json:
```
aws amscm create-rfc --generate-cli-skeleton > CreateElbRfc.json
```
1. Ubah dan simpan CreateElbRfc file.json. Karena Anda membuat parameter eksekusi dalam file terpisah, hapus `ExecutionParameters` baris. Misalnya, Anda dapat mengganti konten dengan sesuatu seperti ini:
```
{
"ChangeTypeVersion": "2.0",
"ChangeTypeId": "ct-123h45t6uz7jl",
"Title": "Create ELB"
}
```
1. Buat RFC. Perintah berikut menentukan file parameter eksekusi dan file template RFC:
```
aws amscm create-rfc --cli-input-json file://CreateElbRfc.json --execution-parameters file://CreateElbParams.json
```
Anda menerima ID RFC baru dalam respons dan dapat menggunakannya untuk mengirimkan dan memantau RFC. Sampai Anda mengirimkannya, RFC tetap dalam kondisi pengeditan dan tidak dimulai.
## Kiat
**catatan**
Anda dapat menggunakan AMS API/CLI untuk membuat RFC tanpa membuat file JSON RFC atau file JSON parameter eksekusi CT. Untuk melakukan ini, Anda menggunakan `create-rfc` perintah dan menambahkan parameter RFC dan eksekusi yang diperlukan ke perintah, ini disebut “Buat Sebaris”. Perhatikan bahwa semua penyediaan CTs telah terkandung dalam `execution-parameters` blok `Parameters` array dengan parameter untuk sumber daya. Parameter harus memiliki tanda kutip yang lolos dengan garis miring belakang (\$1).
Metode terdokumentasi lainnya untuk membuat RFC disebut “Template Create.” Di sinilah Anda membuat file JSON untuk parameter RFC dan file JSON lain untuk parameter eksekusi, dan mengirimkan dua file dengan perintah. `create-rfc` File-file ini dapat berfungsi sebagai template dan digunakan kembali untuk masa depan RFCs.
Saat membuat RFCs dengan template, Anda dapat menggunakan perintah untuk membuat file JSON dengan konten yang Anda inginkan dengan mengeluarkan perintah seperti yang ditunjukkan. Perintah membuat file bernama “parameters.json” dengan konten yang ditampilkan; Anda juga bisa menggunakan perintah ini untuk membuat file RFC JSON.
# Kloning RFCs (buat ulang) dengan konsol AMS
Anda dapat menggunakan konsol AMS untuk mengkloning RFC yang ada.
Untuk mengkloning, atau membuat ulang, RFC menggunakan konsol AMS, ikuti langkah-langkah berikut:
1. Temukan RFC yang relevan. Dari navigasi kiri, klik **RFCs**.
RFCs Dasbor terbuka.
1. Gulir halaman sampai Anda menemukan RFC yang ingin Anda kloning. Gunakan opsi **Filter** untuk mempersempit daftar. Pilih RFC yang ingin Anda kloning.
Halaman detail RFC terbuka.
1. Klik **Buat Salinan**.
Halaman **Buat permintaan untuk perubahan** terbuka dengan semua opsi yang ditetapkan seperti pada RFC asli.
1. Buat perubahan yang Anda inginkan. Untuk mengatur opsi tambahan, ubah opsi **Basic** ke **Advanced**. Setelah Anda mengatur semua opsi, pilih **Kirim**.
Halaman detail RFC aktif terbuka dengan ID RFC baru untuk RFC kloning dan RFC kloning muncul di dasbor RFC.
# Perbarui RFCs
Anda dapat mengirimkan ulang RFC yang telah ditolak atau yang belum dikirimkan, dengan memperbarui RFC dan kemudian mengirimkannya, atau mengirimkannya kembali. Perhatikan bahwa sebagian besar ditolak karena RFCs yang ditentukan `RequestedStartTime` telah berlalu sebelum pengiriman atau yang TimeoutInMinutes ditentukan tidak memadai untuk menjalankan RFC (karena TimeoutInMinutes tidak memperpanjang RFC yang berhasil, kami sarankan untuk selalu menyetel ini ke setidaknya “60" dan hingga “360" untuk Amazon atau grup Auto Scaling EC2 Amazon dengan jangka panjang). EC2 UserData Bagian ini menjelaskan cara menggunakan versi CLI dari `UpdateRfc` perintah untuk memperbarui RFC dengan parameter RFC baru, atau parameter baru menggunakan JSON stringified atau file parameter yang diperbarui.
Contoh ini menjelaskan penggunaan AMS UpdateRfc API versi CLI (lihat [Perbarui RFC](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/update-rfc.html)). Meskipun ada jenis perubahan untuk memperbarui beberapa sumber daya (DNS pribadi dan publik, tumpukan penyeimbang beban, dan konfigurasi tambalan tumpukan), tidak ada CT untuk memperbarui RFC.
Kami menyarankan Anda mengirimkan satu UpdateRfc operasi pada satu waktu. Jika Anda mengirimkan beberapa pembaruan, misalnya pada tumpukan DNS, pembaruan mungkin gagal mencoba memperbarui DNS secara bersamaan.
DATA YANG DIPERLUKAN:`RfcId`: RFC yang Anda perbarui.
DATA OPSIONAL`ExecutionParameters`:: Kecuali Anda memperbarui bidang yang tidak wajib`Description`, seperti, Anda akan mengirimkan parameter eksekusi yang dimodifikasi untuk mengatasi masalah yang menyebabkan RFC ditolak atau dibatalkan. Semua nilai non-null yang dikirimkan menimpa nilai-nilai tersebut di RFC asli.
1. Temukan RFC yang ditolak atau dibatalkan yang relevan, Anda dapat menggunakan perintah ini (Anda dapat mengganti nilainya dengan`Canceled`):
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Rejected
```
1. Anda dapat memodifikasi salah satu parameter RFC berikut:
```
{
"Description": "string",
"ExecutionParameters": "string",
"ExpectedOutcome": "string",
"ImplementationPlan": "string",
"RequestedEndTime": "string",
"RequestedStartTime": "string",
"RfcId": "string",
"RollbackPlan": "string",
"Title": "string",
"WorstCaseScenario": "string"}
```
Contoh perintah memperbarui bidang Deskripsi:
```
aws amscm update-rfc --description "AMSTestNoOpsActionRequired" --rfc-id "RFC_ID" --region us-east-1
```
Contoh perintah memperbarui ExecutionParameters VpcId bidang:
```
aws amscm update-rfc --execution-parameters "{\"VpcId\":\"VPC_ID\"}" --rfc-id "RFC_ID" --region us-east-1
```
Contoh perintah memperbarui RFC dengan file parameter eksekusi yang berisi pembaruan; lihat contoh file parameter eksekusi di langkah 2 dari: [EC2 stack \$1 Buat](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ec2-stack-create.html):
```
aws amscm update-rfc --execution-parameters file://CreateEc2ParamsUpdate.json --rfc-id "RFC_ID" --region us-east-1
```
1. Kirim ulang RFC menggunakan `submit-rfc` dan ID RFC yang sama dengan yang Anda miliki saat RFC pertama kali dibuat:
```
aws amscm submit-rfc --rfc-id RFC_ID
```
Jika RFC berhasil, Anda tidak menerima konfirmasi atau pesan kesalahan di baris perintah.
1. Untuk memantau status permintaan dan untuk melihat Output Eksekusi, jalankan perintah berikut.
```
aws amscm get-rfc --rfc-id RFC_ID
```
# Temukan RFCs
## Temukan permintaan perubahan (RFC) dengan konsol
Untuk menemukan RFC menggunakan konsol AMS, ikuti langkah-langkah berikut.
**catatan**
Prosedur ini hanya berlaku untuk yang dijadwalkan RFCs, RFCs yaitu, yang tidak menggunakan opsi **ASAP**.
1. Dari navigasi kiri, klik **RFCs**.
RFCs Dasbor terbuka.
1. Gulir daftar atau gunakan opsi **Filter** untuk memperbaiki daftar.
Daftar RFC berubah per kriteria filter.
1. Pilih tautan Subjek untuk RFC yang Anda inginkan.
Halaman detail RFC terbuka untuk RFC itu dengan informasi termasuk ID RFC.
1. Jika ada banyak RFCs di dasbor, Anda dapat menggunakan opsi **Filter** untuk mencari berdasarkan RFC:
+ **Subjek**: Baris subjek, atau judul (dalam API/CLI) diberikan kepada RFC saat dibuat.
+ **ID RFC**: Pengidentifikasi untuk RFC.
+ **Status aktivitas**: Jika Anda mengetahui status RFC, Anda dapat memilih antara **AwsOperatorAssigned**arti operator sedang melihat RFC, yang **AwsActionPending**berarti bahwa operator AMS harus melakukan sesuatu sebelum eksekusi RFC dapat dilanjutkan atau **CustomerActionPending**artinya Anda perlu mengambil beberapa tindakan sebelum eksekusi RFC dapat dilanjutkan.
+ **Status**: Jika Anda mengetahui status RFC, Anda dapat memilih antara:
+ **Dijadwalkan**: RFCs yang dijadwalkan.
+ **Dibatalkan**: RFCs yang dibatalkan.
+ **Sedang berlangsung**: RFCs sedang berlangsung.
+ **Sukses**: RFCs yang dieksekusi dengan sukses.
+ **Ditolak**: RFCs yang ditolak.
+ **Pengeditan**: RFCs yang sedang diedit.
+ **Kegagalan**: RFCs itu gagal.
+ **Persetujuan yang tertunda**: RFCs yang tidak dapat dilanjutkan sampai AMS atau Anda menyetujui. Biasanya, ini menunjukkan bahwa Anda perlu menyetujui RFC. Anda akan mendapatkan pemberitahuan layanan ini di daftar Permintaan Layanan Anda.
+ **Ubah jenis**: Pilih **Kategori**, **Subkategori**, **Item**, dan **Operasi**, dan ID jenis perubahan diambil untuk Anda.
+ **Waktu mulai** yang **diminta atau Waktu akhir** yang diminta: Opsi filter ini memungkinkan Anda memilih **Sebelum** atau **Setelah**, lalu masukkan **Tanggal** dan, secara opsional, **Waktu** (hh: mm dan zona waktu). Filter ini beroperasi dengan sukses hanya pada jadwal RFCs (tidak ASAP RFCs).
+ **Status**: Baik **Dijadwalkan**, **Dibatalkan**, Sedang **berlangsung**, **Sukses**, **Ditolak**, **Mengedit**, atau **Kegagalan**.
+ **Subjek**: Subjek (atau judul, jika RFC dibuat dengan API/CLI) yang Anda berikan RFC.
+ **Ubah tipe ID**: Gunakan pengenal untuk jenis perubahan yang dikirimkan dengan RFC.
Pencarian memungkinkan Anda untuk menambahkan filter, seperti yang ditunjukkan pada gambar berikut.
![\[Search or filter options including Subject, RFC ID, Activity state, and various time-related fields.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/filterRfcAllOptions3.png)
1. Klik tautan Subjek untuk RFC yang Anda inginkan.
Halaman detail RFC terbuka untuk RFC itu dengan informasi termasuk ID RFC.
## Menemukan permintaan perubahan (RFC) dengan CLI
Anda dapat menggunakan beberapa filter untuk menemukan RFC.
Untuk memeriksa versi jenis perubahan, gunakan perintah ini:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**catatan**
Anda dapat menggunakan `CreateRfc` parameter apa pun dengan RFC apa pun apakah itu bagian dari skema untuk jenis perubahan atau tidak. Misalnya, untuk mendapatkan pemberitahuan ketika status RFC berubah, tambahkan baris ini, `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` ke bagian parameter RFC dari permintaan (bukan parameter eksekusi). Untuk daftar semua CreateRfc parameter, lihat [Referensi API Manajemen Perubahan AMS](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html).
Jika Anda tidak menuliskan ID RFC, dan perlu menemukannya nanti, Anda dapat menggunakan sistem manajemen perubahan AMS (CM) untuk mencarinya dan mempersempit hasilnya dengan filter atau kueri.
1. [ListRfcSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRfcSummaries.html)Operasi CM API memiliki filter. Anda dapat [Memfilter](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_Filter.html) hasil berdasarkan `Attribute` dan `Value` digabungkan dalam operasi AND logis, atau berdasarkan`Attribute`, a`Condition`, dan`Values`.
**Penyaringan RFC**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/ex-rfc-find-col.html)
Contoh:
Untuk menemukan semua IDs yang RFCs terkait dengan SQS (di mana SQS terkandung dalam bagian Item CT), Anda dapat menggunakan perintah ini:
```
list-rfc-summaries --query 'RfcSummaries[?contains(Item.Name,`SQS`)].[Category.Id,Subcategory.Id,Type.Id,Item.Id,RfcId]' --output table
```
Yang mengembalikan sesuatu seperti ini:
```
----------------------------------------------------------------------------
| ListRfcSummaries |
+----------+--------------------------------+-------+-------+----------------+
|Deployment| Advanced Stack Components |SQS |Create |ct-123h45t6uz7jl|
|Management| Monitoring & Notification |SQS |Update |ct-123h45t6uz7jl|
+----------+--------------------------------+-------+-------+----------------+
```
Filter lain yang tersedia `list-rfc-summaries` adalah`AutomationStatusId`, untuk mencari RFCs yang otomatis atau manual:
```
aws amscm list-rfc-summaries --filter Attribute=AutomationStatusId,Value=Automated
```
Filter lain yang tersedia `list-rfc-summaries` adalah `Title` (**Subjek** di konsol):
```
Attribute=Title,Value=RFC-TITLE
```
Contoh struktur permintaan baru di JSON yang mengembalikan RFCs where:
+ (Judul BERISI frasa “Windows 2012" ATAU “Amazon Linux”) DAN
+ (RfcStatusId SAMA DENGAN “Sukses” ATAU "InProgress“) DAN
+ (20170101T000000Z <= <= 20170103T000000Z) DAN (<= 20170103T000000Z) RequestedStartTime ActualEndTime
```
{
"Filters": [
{
"Attribute": "Title",
"Values": ["Windows 2012", "Amazon Linux"],
"Condition": "Contains"
},
{
"Attribute": "RfcStatusId",
"Values": ["Success", "InProgress"],
"Condition": "Equals"
},
{
"Attribute": "RequestedStartTime",
"Values": ["20170101T000000Z", "20170103T000000Z"],
"Condition": "Between"
},
{
"Attribute": "ActualEndTime",
"Values": ["20170103T000000Z"],
"Condition": "Before"
}
]
}
```
**catatan**
Dengan lebih lanjut`Filters`, AMS bermaksud untuk menghentikan bidang berikut dalam rilis mendatang:
Nilai: Bidang Nilai adalah bagian dari bidang Filter. Gunakan bidang Nilai yang mendukung fungsionalitas yang lebih canggih.
RequestedEndTimeRange: Gunakan bagian RequestedEndTime dalam bidang Filter yang mendukung fungsionalitas yang lebih canggih
RequestedStartTimeRange: Gunakan bagian RequestedStartTime dalam bidang Filter yang mendukung fungsionalitas yang lebih canggih.
[Untuk informasi tentang penggunaan kueri CLI, lihat [Cara Memfilter Output dengan Opsi --query](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) dan referensi bahasa kueri, Spesifikasi. JMESPath ](http://jmespath.org/specification.html)
1. Jika Anda menggunakan konsol AMS:
Pergi ke halaman **RFCs**daftar. Jika diperlukan, Anda dapat memfilter pada **Subjek** RFC, yang Anda masukkan sebagai RFC `Title` saat Anda membuatnya.
## Kiat
**catatan**
Prosedur ini hanya berlaku untuk yang dijadwalkan RFCs, RFCs yaitu, yang tidak menggunakan opsi **ASAP**.
# Batalkan RFCs
Anda dapat membatalkan RFC menggunakan Konsol atau AMS API/CLI.
**Untuk membatalkan RFC dengan konsol, temukan RFC di daftar RFC Anda, buka, klik Batal.**
Data yang Diperlukan:
+ `Reason`: Mengapa Anda membatalkan RFC.
+ `RfcId`: RFC yang Anda batalkan.
1. Biasanya Anda akan membatalkan RFC segera setelah mengirimkannya (jadi ID RFC harus berguna); jika tidak, Anda tidak akan dapat membatalkannya kecuali Anda menjadwalkannya dan itu sebelum waktu mulai yang ditentukan. Jika Anda perlu menemukan ID RFC, Anda dapat menggunakan perintah ini (Anda dapat mengganti `Value` dengan `PendingApproval` RFC yang disetujui secara manual):
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Scheduled
```
1. Contoh perintah untuk membatalkan RFC:
```
aws amscm cancel-rfc --reason "Bad Stack ID" --rfc-id "RFC_ID" --profile saml --region us-east-1
```
# Gunakan konsol AMS dengan RFCs
Konsol AMS menyediakan fitur untuk membantu Anda berhasil membuat dan mengirimkan RFCs.
## Gunakan halaman Daftar RFC (Konsol)
Halaman **RFCs**daftar konsol AMS memberi Anda opsi berikut:
+ Pencarian RFC tingkat lanjut melalui **Filter**. Untuk informasi, lihat [Temukan RFCs](ex-rfc-find-col.md).
+ Menemukan terakhir kali RFC **Dimodifikasi**. Nilai ini menunjukkan bahwa terakhir kali status RFC diubah.
+ **Melihat detail RFC dengan Subjek RFC.** Memilih tautan ini membuka halaman detail untuk RFC itu.
+ Melihat status RFC. Untuk informasi, lihat [Memahami kode status RFC](ex-rfc-status-codes.md)
![\[Halaman daftar RFC.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/guiRfcListTable.png)
## Gunakan RFC quick create (konsol)
Gunakan kartu cepat RFC, atau daftar tabel, atau pilih jenis perubahan RFCs berdasarkan klasifikasi.
Untuk mempelajari selengkapnya, lihat [Buat RFC](ex-rfc-create-col.md).
## Tambahkan korespondensi dan lampiran RFC (konsol)
Anda dapat menambahkan korespondensi ke RFC setelah dikirimkan dan sebelum disetujui; misalnya, saat berada dalam keadaan "”PendingApproval. Setelah RFC disetujui (dalam keadaan “Terjadwal” atau "InProgress“), korespondensi tidak dapat ditambahkan, karena dapat ditafsirkan sebagai perubahan pada permintaan. Setelah RFC selesai (dalam keadaan “Dibatalkan”, “Ditolak”, “Sukses”, atau “Kegagalan”), korespondensi sekali lagi diaktifkan, meskipun korespondensi dinonaktifkan setelah RFC ditutup selama lebih dari 30 hari.
**catatan**
Setiap korespondensi dibatasi hingga 5.000 karakter.
**Batasan untuk lampiran:**
+ Hanya tiga lampiran per korespondensi.
+ Batasi lima puluh lampiran per RFC.
+ Setiap lampiran harus berukuran kurang dari 5 MB.
+ Hanya file teks yang diterima seperti plaintext (`.txt`), nilai yang dipisahkan koma (), JSON (`.csv`), atau YAMB (`.json`). `.yaml` Dalam kasus format YAMAL, file harus dilampirkan menggunakan ekstensi `.yaml` file.
**catatan**
File teks yang memiliki konten XMLdilarang. Jika Anda memiliki konten XMLuntuk dibagikan dengan AMS, gunakan permintaan layanan.
+ Nama file dibatasi hingga 255 karakter, dengan hanya angka, huruf, spasi, tanda hubung (-), garis bawah (\$1), dan titik (.).
+ Memperbarui dan menghapus lampiran pada RFC saat ini tidak didukung.
Untuk menambahkan korespondensi dan lampiran ke RFC, ikuti langkah-langkah berikut:
1. Di konsol AMS, pada halaman detail RFC untuk RFC, temukan bagian **Korespondensi** di bagian bawah halaman.
Sebelum korespondensi apa pun:
![\[Bagian korespondensi kosong.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/correspondence-rfc-detail-new.png)
Setelah beberapa korespondensi:
![\[Bagian korespondensi menunjukkan formulir balasan dan menerima korespondensi.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/correspondence-reply-form2.png)
1. Untuk menambahkan korespondensi baru, ketik pesan Anda di kotak teks **Balas**. Untuk melampirkan file yang terkait dengan korespondensi, pilih **Tambahkan Lampiran**, lalu pilih file yang Anda inginkan.
![\[Bagian korespondensi menampilkan kotak komentar dan lampiran.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/correspondence-add-attachments.png)
1. Setelah selesai, pilih **Kirim**.
Korespondensi baru, bersama dengan tautan ke file terlampir, muncul di daftar korespondensi di halaman detail RFC.
![\[Daftar korespondensi yang diterima.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/correspondence-list2.png)
# Konfigurasikan pemberitahuan email RFC (konsol)
Halaman pembuatan **Permintaan Perubahan** konsol AMS memberi Anda opsi untuk menambahkan alamat email guna menerima pemberitahuan perubahan status RFC:
![\[Tambahkan alamat email untuk menerima pemberitahuan perubahan status RFC.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/emailNoticeOption2.png)
Selain itu, Anda dapat menambahkan alamat email untuk pemberitahuan ke jenis perubahan apa pun, misalnya:
```
aws amscm create-rfc --change-type-id
--change-type-version 1.0 --title "TITLE"
--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"
```
Tambahkan baris serupa (`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`) ke setiap jenis perubahan inline atau permintaan template di bagian parameter RFC dari permintaan, bukan bagian parameter.
# Pelajari tentang parameter RFC umum
Berikut ini adalah parameter RFC yang harus Anda kirimkan, dan parameter yang biasa digunakan di RFCs:
+ Ubah informasi jenis: ChangeTypeId dan ChangeTypeVersion. Dengan daftar jenis perubahan IDs dan nomor versi, lihat [Mengubah Referensi Jenis](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html).
Jalankan `list-change-type-classification-summaries` di CLI dengan `query` argumen untuk mempersempit hasil. Misalnya, mempersempit hasil untuk mengubah jenis yang berisi “Akses” dalam `Item` nama.
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains (Item, 'access')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
Jalankan `get-change-type-version` dan tentukan ID tipe perubahan. Perintah berikut mendapatkan versi CT untuk ct-2tylseo8rxfsc.
```
aws amscm get-change-type-version --change-type-id ct-2tylseo8rxfsc
```
+ Judul: Nama untuk RFC; ini menjadi **Subjek** RFC di daftar RFC konsol AMS dan Anda dapat mencarinya dengan `GetRfc` perintah dan filter `Title`
+ Penjadwalan: Jika Anda menginginkan RFC terjadwal, Anda harus menyertakan `RequestedEndTime` parameter `RequestedStartTime` dan, atau gunakan opsi **Jadwalkan konsol perubahan ini**. Untuk **ASAP** RFC (yang berjalan segera setelah disetujui), saat menggunakan CLI, `RequestedStartTime` tinggalkan `RequestedEndTime` dan null. Saat menggunakan konsol, terima opsi **ASAP**.
Jika `RequestedStartTime` terlewatkan, RFC ditolak.
+ Penyediaan CTs: Parameter eksekusi, atau pengaturan khusus `Parameters` yang diperlukan untuk menyediakan sumber daya. Mereka sangat bervariasi tergantung pada CT.
+ Non-penyediaan CTs: CTs yang tidak menyediakan sumber daya, seperti akses CTs atau Lainnya \$1 Lainnya, atau menghapus tumpukan, memiliki parameter eksekusi minimal dan tidak ada blok. `Parameters`
+ Beberapa RFCs juga mengharuskan Anda menentukan`TimeoutInMinutes`, atau berapa menit yang diizinkan untuk pembuatan tumpukan sebelum RFC gagal. Nilai yang valid adalah 60 (menit) hingga 360, untuk jangka panjang UserData. Jika eksekusi tidak dapat diselesaikan sebelum `TimeoutInMinutes` terlampaui, RFC gagal. Namun, pengaturan ini tidak menunda eksekusi RFC.
+ RFCs yang membuat instance, seperti bucket S3 atau ELB, umumnya menyediakan skema yang memungkinkan Anda menambahkan hingga tujuh tag (pasangan kunci/nilai). Anda dapat menambahkan lebih banyak tag ke bucket S3 Anda dengan mengirimkan RFC menggunakan Deployment \$1 Advanced stack components \$1 Tag \$1 Create change type (ct-3cx7we852p3af). EC2, EFS, RDS, dan skema multi-tier (HA Two-Tiered dan HA One-Tiered) memungkinkan hingga lima puluh tag. Tag ditentukan di `ExecutionParameters` bagian skema. Memberikan tag bisa sangat berharga. Untuk informasi selengkapnya, lihat [Menandai EC2 Sumber Daya Amazon Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
Saat menggunakan konsol AMS, Anda harus membuka area **konfigurasi tambahan** untuk menambahkan tag.
**Tip**
Banyak skema CT memiliki `Name` bidang `Description` dan di dekat bagian atas skema. Bidang tersebut digunakan untuk memberi nama komponen tumpukan atau tumpukan, mereka tidak memberi nama sumber daya yang Anda buat. Beberapa skema menawarkan parameter untuk memberi nama sumber daya yang Anda buat, dan beberapa tidak. Misalnya, skema CT untuk EC2 tumpukan Create tidak menawarkan parameter untuk menamai EC2 instance. Untuk melakukannya, Anda harus membuat tag dengan kunci “Nama” dan nilai dari nama yang Anda inginkan. Jika Anda tidak membuat tag seperti itu, EC2 instance Anda akan ditampilkan di EC2 konsol tanpa atribut name.
## Gunakan opsi AWS Wilayah RFC
Titik akhir AMS API dan CLI (`amscm`dan`amsskms`) ada di. `us-east-1` Jika Anda berfederasi dengan Security Assertion Markup Language (SAMP), maka skrip diberikan kepada Anda saat orientasi yang mengatur Wilayah Anda ke us-east-1. AWS Jika Anda menggunakan SAMP, maka Anda tidak perlu menentukan `--region` opsi saat Anda mengeluarkan perintah. Jika SAMP Anda dikonfigurasi untuk menggunakan us-east-1 tetapi akun Anda tidak berada di Wilayah itu, maka Anda harus menentukan Wilayah AWS yang dionboard akun saat Anda mengeluarkan perintah lain (misalnya,). AWS `aws s3`
**catatan**
Sebagian besar contoh perintah yang disediakan dalam panduan ini tidak menyertakan `--region` opsi.
# Mendaftar untuk email harian RFC
Anda dapat mendaftar untuk email harian yang merangkum aktivitas RFC di akun Anda selama 24 jam terakhir menggunakan fitur RFC digest. Fitur RFC digest adalah proses efisien yang mengurangi jumlah notifikasi email yang Anda terima terkait akun Anda. RFCs Intisari RFC dapat mengurangi kemungkinan Anda melewatkan tindakan yang menunggu respons Anda.
Untuk mengaktifkan fitur RFC digest, hubungi AMS Cloud Service Delivery Manager (CSDM). CSDM berlangganan Anda. Anda dapat meminta hingga 20 alamat email (atau alias) untuk disertakan dalam daftar email intisari RFC Anda. Jadwal email saat ini ditetapkan pada pukul 09:00 UTC-8.
Untuk mematikan fitur RFC digest, hubungi CSDM Anda dengan permintaan Anda.
Jika Anda tidak mengatur intisari RFC dan menginginkan pemberitahuan mengenai Anda RFCs, atau jika Anda ingin informasi lebih rinci tentang Anda RFCs daripada apa yang disediakan oleh intisari RFC, gunakan Sistem Manajemen Perubahan untuk mengatur pemberitahuan CloudWatch Acara atau pemberitahuan email untuk setiap RFC individu yang Anda inginkan informasi. Untuk informasi tentang cara menyiapkan notifikasi RFC, lihat Pemberitahuan [Perubahan Status RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html).
Topik yang terkandung dalam intisari RFC meliputi:
+ Persetujuan Pelanggan Tertunda: Daftar RFCs yang **PendingApproval**berstatus, menunggu persetujuan Anda
+ Balasan Pelanggan Tertunda: Daftar RFCs yang menunggu balasan Anda pada korespondensi RFC
+ Persetujuan atau Balasan AWS RFCs yang Tertunda: Daftar yang menunggu di AMS untuk balasan atau persetujuan
+ Selesai: Daftar RFCs dalam status **Sukses**, **Kegagalan****, Dibatalkan** dan **Ditolak**
Berikut ini adalah contoh RFC digest:
![\[Contoh RFC digest\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/RFCDigestExample.png)
# Apa itu jenis perubahan?
Jenis perubahan mengacu pada tindakan yang dilakukan oleh permintaan perubahan (RFC) AWS Managed Services (AMS) dan mencakup tindakan perubahan itu sendiri, dan jenis perubahan — manual vs otomatis. AMS memiliki banyak koleksi jenis perubahan yang tidak digunakan oleh layanan web Amazon lainnya. Anda menggunakan jenis perubahan ini saat mengirimkan permintaan untuk perubahan (RFC) untuk menyebarkan, atau mengelola, atau mendapatkan akses ke, sumber daya.
**Topics**
+ [Otomatis dan manual CTs](ug-automated-or-manual.md)
+ [Persyaratan persetujuan CT](constrained-unconstrained-ctis.md)
+ [Ubah versi tipe](ct-versions.md)
+ [Buat jenis perubahan](ct-creates.md)
+ [Perbarui jenis perubahan](ct-updates.md)
+ [Jenis perubahan hanya internal](ct-internals.md)
+ [Ubah skema tipe](ct-schemas.md)
+ [Mengelola izin untuk jenis perubahan](ct-permissions.md)
+ [Menyunting informasi sensitif dari jenis perubahan](ct-redaction.md)
+ [Menemukan jenis perubahan, menggunakan opsi kueri](ug-find-ct-ex-section.md)
# Otomatis dan manual CTs
Batasan pada jenis perubahan adalah apakah mereka otomatis atau manual, ini adalah `AutomationStatusId` atribut tipe perubahan, yang disebut **mode Eksekusi di konsol** AMS.
Jenis perubahan otomatis memiliki hasil dan waktu eksekusi yang diharapkan dan dijalankan melalui sistem otomatis AMS, umumnya dalam waktu satu jam atau kurang (ini sangat tergantung pada sumber daya apa yang disediakan CT). Jenis perubahan manual jarang terjadi, tetapi diperlakukan berbeda karena mengharuskan operator AMS bertindak pada RFC sebelum dapat dijalankan. Itu terkadang berarti berkomunikasi dengan pengirim RFC, jadi, jenis perubahan manual memerlukan waktu yang bervariasi untuk menyelesaikannya.
Untuk semua yang dijadwalkan RFCs, waktu akhir yang tidak ditentukan ditulis sebagai waktu yang ditentukan `RequestedStartTime` ditambah `ExpectedExecutionDurationInMinutes` atribut dari jenis perubahan yang dikirimkan. Misalnya, jika “60" (menit), dan yang ditentukan `RequestedStartTime` adalah `2016-12-05T14:20:00Z` (5 Desember 2016 pukul 4:20 pagi), waktu akhir yang sebenarnya akan ditetapkan ke 5 Desember 2016 pukul 5:20 pagi. `ExpectedExecutionDurationInMinutes` Untuk menemukan tipe perubahan tertentu, jalankan perintah ini: `ExpectedExecutionDurationInMinutes`
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
**catatan**
Dijadwalkan RFCs dengan **mode Eksekusi** = Manual, di Konsol, harus diatur untuk berjalan setidaknya 24 jam di masa mendatang.
**catatan**
Saat menggunakan manual CTs, AMS menyarankan Anda menggunakan opsi **Penjadwalan** ASAP (pilih **ASAP** di konsol, biarkan waktu mulai dan berakhir kosong di API/CLI) karena ini CTs memerlukan operator AMS untuk memeriksa RFC, dan mungkin berkomunikasi dengan Anda sebelum dapat disetujui dan dijalankan. Jika Anda menjadwalkan ini RFCs, pastikan untuk mengizinkan setidaknya 24 jam. Jika persetujuan tidak terjadi sebelum waktu mulai yang dijadwalkan, RFC ditolak secara otomatis.
AMS bertujuan untuk menanggapi CT manual dalam waktu empat jam, dan akan berkorespondensi sesegera mungkin, tetapi bisa memakan waktu lebih lama bagi RFC untuk benar-benar dijalankan.
Untuk daftar yang Manual dan memerlukan tinjauan AMS, lihat file CSV Ubah Jenis, yang tersedia di halaman **Sumber Daya Pengembang** di Konsol. CTs
**YouTube Video**: [Bagaimana cara menemukan jenis perubahan otomatis untuk AMS RFCs?](https://www.youtube.com/watch?v=sOzDuCCOduI&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=2&t=1s)
Untuk menemukan **mode Eksekusi** untuk CT di konsol AMS, Anda harus menggunakan opsi pencarian **jenis perubahan Jelajahi**. Hasilnya menunjukkan mode eksekusi dari jenis perubahan yang cocok atau jenis perubahan.
Untuk menemukan tipe perubahan tertentu dengan menggunakan AMS CLI, jalankan perintah ini: `AutomationStatus`
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
Anda juga dapat mencari jenis perubahan di [Referensi Jenis Perubahan AMS](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html), yang menyediakan informasi tentang semua jenis perubahan AMS.
**catatan**
AMS saat API/CLI ini bukan bagian dari AWSAPI/CLI. To access the AMS API/CLI, Anda mengunduh AMS SDK melalui konsol AMS.
# Persyaratan persetujuan CT
AMS CTs selalu memiliki dua kondisi persetujuan, **AwsApprovalId**dan **CustomerApprovalId**itu menunjukkan apakah RFC memerlukan AMS atau Anda, atau siapa pun, untuk menyetujui eksekusi.
Kondisi persetujuan agak terkait dengan mode eksekusi; untuk detailnya, lihat[Otomatis dan manual CTs](ug-automated-or-manual.md).
Untuk mengetahui kondisi persetujuan untuk CT, Anda dapat melihat di [AMS Change Type Reference](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html), atau menjalankannya [GetChangeTypeVersion](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_GetChangeTypeVersion.html). Keduanya juga akan memberi Anda **mode CT `AutomationStatusId` atau Eksekusi**.
Anda dapat menyetujui RFCs dengan menggunakan konsol AMS atau dengan perintah berikut:
```
aws amscm approve-rfc --rfc-id RFC_ID
```
**Kondisi persetujuan CT**
| Jika kondisi persetujuan CT adalah | Hal ini membutuhkan persetujuan dari | Dan |
| --- | --- | --- |
| `AwsApprovalId: Required` | Sistem tipe perubahan AMS, | Tidak ada tindakan yang diperlukan. Kondisi ini khas untuk otomatis CTs. |
| `AwsApprovalId: NotRequiredIfSubmitter` | Sistem jenis perubahan AMS dan tidak ada orang lain, jika RFC yang dikirimkan adalah untuk akun yang diserahkan, | Tidak ada tindakan yang diperlukan. Kondisi ini khas untuk manual CTs karena akan selalu ditinjau oleh operator AMS. |
| `CustomerApprovalId: NotRequired` | Sistem tipe perubahan AMS, | Jika RFC melewati pemeriksaan sintaks dan parameter, itu disetujui secara otomatis. |
| `CustomerApprovalId: Required` | Sistem tipe perubahan AMS dan Anda, | Pemberitahuan dikirimkan kepada Anda, dan Anda harus secara eksplisit menyetujui RFC, baik dengan menanggapi pemberitahuan, atau menjalankan operasi. [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html) |
| `CustomerApprovalId: NotRequiredIfSubmitter` | Sistem tipe perubahan AMS dan tidak ada orang lain, jika Anda mengirimkan RFC. | Jika RFC melewati pemeriksaan sintaks dan parameter, itu disetujui secara otomatis. |
| Insiden Keamanan Mendesak atau Patch | AMS | Apakah auto disetujui dan diimplementasikan. |
# Ubah versi tipe
Jenis perubahan diberi versi dan versi berubah saat pembaruan besar dibuat untuk jenis perubahan.
Setelah memilih jenis perubahan menggunakan konsol AMS, Anda memiliki opsi untuk membuka area **konfigurasi tambahan** dan memilih versi jenis perubahan. Anda juga dapat menentukan versi jenis perubahan pada baris API/CLI perintah. Anda mungkin ingin melakukan ini karena berbagai alasan, termasuk:
+ Anda tahu bahwa versi jenis perubahan **Pembaruan** yang Anda inginkan harus cocok dengan versi jenis **Buat** perubahan yang Anda gunakan untuk membuat sumber daya yang sekarang ingin Anda perbarui. Misalnya, Anda mungkin memiliki instance Elastic Load Balancer (ELB) yang dibuat dengan ELB Create change type versi 1. Untuk memperbaruinya, pilih ELB Update versi 1.
+ Anda ingin menggunakan versi jenis perubahan yang memiliki opsi berbeda di dalamnya daripada jenis perubahan terbaru. Kami tidak merekomendasikan hal ini karena pembaruan AMS mengubah jenis terutama untuk alasan keamanan dan kami menyarankan Anda untuk selalu memilih versi terbaru.
# Buat jenis perubahan
Buat jenis perubahan dicocokkan version-to-version dengan jenis perubahan Perbarui. Artinya, versi tipe perubahan yang Anda gunakan untuk menyediakan sumber daya harus sesuai dengan versi jenis perubahan Perbarui yang akan Anda gunakan nanti untuk memodifikasi sumber daya tersebut. Misalnya, jika Anda membuat bucket S3 dengan Create S3 Bucket change type versi 2.0, dan kemudian ingin mengirimkan RFC untuk memodifikasi bucket S3 tersebut, Anda harus menggunakan Update S3 Bucket change type versi 2.0 juga, meskipun ada jenis perubahan Update S3 Bucket dengan versi 3.0.
Sebaiknya simpan catatan ID tipe perubahan dan versi yang Anda gunakan saat menyediakan sumber daya dengan tipe Buat perubahan jika nanti Anda ingin menggunakan jenis perubahan Pembaruan untuk memodifikasinya.
# Perbarui jenis perubahan
AMS menyediakan jenis perubahan Pembaruan untuk memperbarui sumber daya yang dibuat dengan tipe Buat perubahan. Jenis perubahan Perbarui harus dicocokkan version-to-version dengan jenis Buat perubahan yang awalnya digunakan untuk menyediakan sumber daya.
Sebaiknya simpan catatan ID tipe perubahan dan versi yang Anda gunakan saat menyediakan sumber daya agar mudah memperbaruinya.
**YouTube Video**: [Bagaimana cara menggunakan pembaruan CTs untuk mengubah sumber daya di akun AWS Managed Services (AMS)?](https://www.youtube.com/watch?v=dqb31yaAXhc&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=8&t=30s)
# Jenis perubahan hanya internal
Anda dapat melihat jenis perubahan yang hanya untuk penggunaan internal. Ini agar Anda tahu tindakan apa yang dapat atau dilakukan AMS. Jika ada jenis perubahan internal saja yang ingin Anda miliki untuk digunakan, kirimkan permintaan layanan.
Misalnya, ada Manajemen \$1 Pemantauan dan pemberitahuan \$1 penindasan CloudWatch alarm \$1 Perbarui CT yang hanya internal. AMS menggunakannya untuk menyebarkan pembaruan infrastruktur (seperti menambal) untuk mematikan pemberitahuan alarm yang mungkin dipicu oleh pembaruan secara keliru. Ketika CT ini dikirimkan, Anda akan melihat RFC untuk CT dalam daftar RFC Anda. CT internal apa pun yang digunakan dalam RFC akan muncul di daftar RFC Anda.
# Ubah skema tipe
Semua jenis perubahan menyediakan skema JSON untuk masukan Anda dalam pembuatan, modifikasi, atau akses, sumber daya. Skema menyediakan parameter, dan deskripsinya, bagi Anda untuk membuat permintaan perubahan (RFC).
Keberhasilan eksekusi RFC menghasilkan output eksekusi. Untuk penyediaan RFCs, output eksekusi menyertakan “stack\$1id” yang mewakili tumpukan CloudFormation dan dapat dicari di konsol. CloudFormation Output eksekusi terkadang menyertakan output ID dari instance yang dibuat dan ID tersebut dapat digunakan untuk mencari instance di konsol AWS yang sesuai. Misalnya, output eksekusi Create ELB CT menyertakan “stack\$1id” yang dapat dicari CloudFormation dan mengeluarkan nilai key=ELB = yang dapat dicari di konsol Amazon untuk Elastic Load Balancing. EC2
Mari kita periksa skema CT. Ini adalah skema untuk CodeDeploy Application Create, skema yang cukup kecil. Beberapa skema memiliki `Parameter` area yang sangat luas.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/ct-schemas.html)
**catatan**
Skema ini memungkinkan hingga tujuh tag; namun, EFS EC2, RDS, dan skema pembuatan multi-tier memungkinkan hingga 50 tag.
# Mengelola izin untuk jenis perubahan
Anda dapat menggunakan kebijakan khusus untuk membatasi jenis perubahan (CTs) yang tersedia untuk grup atau pengguna yang berbeda.
Untuk mempelajari lebih lanjut tentang melakukan hal ini, lihat bagian Panduan Pengguna AMS [Menyetel Izin](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-permissions.html).
# Menyunting informasi sensitif dari jenis perubahan
Skema jenis perubahan AMS menawarkan atribut parameter, `"metadata":"ams:sensitive":"true"` yang digunakan untuk parameter yang berisi informasi sensitif, seperti kata sandi. Ketika atribut ini disetel, masukan yang diberikan dikaburkan. Perhatikan bahwa Anda tidak dapat menyetel atribut parameter ini; namun, jika Anda bekerja dengan AMS untuk membuat tipe perubahan dan memiliki parameter yang ingin dikaburkan pada input, Anda dapat meminta ini.
# Menemukan jenis perubahan, menggunakan opsi kueri
Contoh ini menunjukkan cara menggunakan Konsol AMS untuk menemukan jenis perubahan yang sesuai untuk RFC yang ingin Anda kirimkan.
Anda dapat menggunakan konsol atau API/CLI untuk menemukan perubahan jenis ID (CT) atau versi. Ada dua metode, baik pencarian atau memilih klasifikasi. Untuk kedua jenis pilihan, Anda dapat mengurutkan pencarian dengan memilih **Paling sering digunakan, **Paling baru digunakan****, atau **Alfabetis**.
**YouTube Video**: [Bagaimana cara membuat RFC menggunakan AWS Managed Services CLI dan di mana saya dapat menemukan Skema CT?](https://www.youtube.com/watch?v=IluDFwnJJFU&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=3&t=150s)
Di konsol AMS, pada halaman **RFCs**-> **Buat RFC**:
+ Dengan **Browse by change type** yang dipilih (default), baik:
+ Gunakan area **Quick create** untuk memilih dari AMS yang paling populer CTs. Klik pada label dan halaman **Jalankan RFC** terbuka dengan opsi **Subjek** diisi otomatis untuk Anda. Selesaikan opsi yang tersisa sesuai kebutuhan dan klik **Jalankan** untuk mengirimkan RFC.
+ Atau, gulir ke bawah ke **Semua jenis perubahan** area dan mulai mengetik nama CT di kotak opsi, Anda tidak harus memiliki nama jenis perubahan yang tepat atau lengkap. Anda juga dapat mencari CT dengan mengubah jenis ID, klasifikasi, atau mode eksekusi (otomatis atau manual) dengan memasukkan kata-kata yang relevan.
Dengan tampilan **Kartu** default yang dipilih, kartu CT yang cocok muncul saat Anda mengetik, pilih kartu dan klik **Buat RFC**. Dengan tampilan **Tabel** dipilih, pilih CT yang relevan dan klik **Buat RFC**. Kedua metode membuka halaman **Run RFC**.
+ Atau, dan untuk menjelajahi pilihan jenis perubahan, klik **Pilih berdasarkan kategori** di bagian atas halaman untuk membuka serangkaian kotak opsi drop-down.
+ Pilih **Kategori**, **Subkategori**, **Item**, dan **Operasi**. Kotak informasi untuk jenis perubahan itu muncul panel muncul di bagian bawah halaman.
+ Saat Anda siap, tekan **Enter**, dan daftar jenis perubahan yang cocok akan muncul.
+ Pilih jenis perubahan dari daftar. Kotak informasi untuk jenis perubahan itu muncul di bagian bawah halaman.
+ Setelah Anda memiliki jenis perubahan yang benar, pilih **Buat RFC**.
**catatan**
AMS CLI harus diinstal agar perintah ini berfungsi. Untuk menginstal AMS API atau CLI, buka halaman **Sumber Daya Pengembang** konsol AMS. Untuk materi referensi tentang AMS CM API atau AMS SKMS API, lihat bagian Sumber Informasi AMS di Panduan Pengguna. Anda mungkin perlu menambahkan `--profile` opsi untuk otentikasi; misalnya,`aws amsskms ams-cli-command --profile SAML`. Anda mungkin juga perlu menambahkan `--region` opsi karena semua perintah AMS kehabisan us-east-1; misalnya. `aws amscm ams-cli-command --region=us-east-1`
**catatan**
Titik akhir AMS API/CLI (amscm dan amsskms) berada di Wilayah AWS N. Virginia,. `us-east-1` Bergantung pada cara autentikasi Anda disetel, dan di Wilayah AWS akun dan sumber daya Anda, Anda mungkin perlu menambahkan `--region us-east-1` saat mengeluarkan perintah. Anda mungkin juga perlu menambahkan`--profile saml`, jika itu adalah metode otentikasi Anda.
Untuk mencari jenis perubahan menggunakan AMS CM API (lihat [ListChangeTypeClassificationSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html)) atau CLI:
Anda dapat menggunakan filter atau kueri untuk mencari. ListChangeTypeClassificationSummaries Operasi memiliki opsi [Filter](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html#amscm-ListChangeTypeClassificationSummaries-request-Filters) untuk`Category`,`Subcategory`,`Item`, dan`Operation`, tetapi nilainya harus sama persis dengan nilai yang ada. Untuk hasil yang lebih fleksibel saat menggunakan CLI, Anda dapat menggunakan opsi. `--query`
**Ubah jenis penyaringan dengan AMS CM API/CLI**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/ug-find-ct-ex-section.html)
1. Berikut adalah beberapa contoh klasifikasi jenis perubahan daftar:
Perintah berikut mencantumkan semua kategori jenis perubahan.
```
aws amscm list-change-type-categories
```
Perintah berikut mencantumkan subkategori milik kategori tertentu.
```
aws amscm list-change-type-subcategories --category CATEGORY
```
Perintah berikut mencantumkan item milik kategori dan subkategori tertentu.
```
aws amscm list-change-type-items --category CATEGORY --subcategory SUBCATEGORY
```
1. Berikut adalah beberapa contoh pencarian jenis perubahan dengan kueri CLI:
Perintah berikut mencari ringkasan klasifikasi CT untuk yang berisi “S3" di Nama item dan membuat output dari kategori, subkategori, item, operasi, dan mengubah ID tipe dalam bentuk tabel.
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains(Item, 'S3')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
```
+---------------------------------------------------------------+
| ListChangeTypeClassificationSummaries |
+----------+-------------------------+--+------+----------------+
|Deployment|Advanced Stack Components|S3|Create|ct-1a68ck03fn98r|
+----------+-------------------------+--+------+----------------+
```
1. Anda kemudian dapat menggunakan ID tipe perubahan untuk mendapatkan skema CT dan memeriksa parameternya. Perintah berikut output skema ke file JSON bernama creates3params.schema.json.
```
aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateS3Params.schema.json
```
[Untuk informasi tentang penggunaan kueri CLI, lihat [Cara Memfilter Output dengan Opsi --query](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) dan referensi bahasa kueri, Spesifikasi. JMESPath ](http://jmespath.org/specification.html)
1. Setelah Anda memiliki ID tipe perubahan, kami sarankan untuk memverifikasi versi untuk jenis perubahan untuk memastikan itu adalah versi terbaru. Gunakan perintah ini untuk menemukan versi untuk jenis perubahan tertentu:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CHANGE_TYPE_ID
```
Untuk menemukan tipe perubahan tertentu, jalankan perintah ini: `AutomationStatus`
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
Untuk menemukan tipe perubahan tertentu, jalankan perintah ini: `ExpectedExecutionDurationInMinutes`
```
aws amscm --profile saml get-change-type-version --change-type-id ct-14027q0sjyt1h --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
# Memecahkan masalah kesalahan RFC di AMS
Banyak kegagalan RFC penyediaan AMS dapat diselidiki melalui dokumentasi. CloudFormation Lihat [Pemecahan Masalah AWS CloudFormation:](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors) Kesalahan Pemecahan Masalah
Saran pemecahan masalah tambahan disediakan di bagian berikut.
## Kesalahan RFC “Manajemen” di AMS
AMS “Manajemen” Jenis perubahan kategori (CTs) memungkinkan Anda untuk meminta akses ke sumber daya serta mengelola sumber daya yang ada. Bagian ini menjelaskan beberapa masalah umum.
### Kesalahan akses RFC
+ Pastikan Username dan FQDN yang Anda tentukan di RFC sudah benar dan ada di domain. Untuk bantuan menemukan FQDN Anda, lihat [Menemukan](https://docs.aws.amazon.com/managedservices/latest/userguide/find-FQDN.html) FQDN Anda.
+ Pastikan ID tumpukan yang Anda tentukan untuk akses adalah tumpukan terkait EC2. Tumpukan seperti ELB dan Amazon Simple Storage Service (S3) bukan kandidat untuk RFCs akses, sebagai gantinya, gunakan peran akses baca saja untuk mengakses sumber daya tumpukan ini. Untuk bantuan menemukan ID tumpukan, lihat [Menemukan tumpukan IDs](https://docs.aws.amazon.com/managedservices/latest/userguide/find-stack.html)
+ Pastikan ID tumpukan yang Anda berikan sudah benar dan milik akun yang relevan.
Untuk bantuan terkait kegagalan akses RFC lainnya, lihat [Manajemen akses](https://docs.aws.amazon.com/managedservices/latest/userguide/access-mgmt.html).
**YouTube Video**: [Bagaimana cara mengajukan Request for Change (RFC) dengan benar untuk menghindari penolakan dan kegagalan?](https://www.youtube.com/watch?v=IFOn4Q-5Cas&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=5&t=242s)
### Kesalahan penjadwalan CT RFC (manual)
Sebagian besar jenis perubahan adalah ExecutionMode = Otomatis, tetapi beberapa ExecutionMode = Manual dan itu memengaruhi cara Anda menjadwalkannya untuk menghindari kegagalan RFC.
Dijadwalkan RFCs dengan ExecutionMode =Manual, harus diatur untuk mengeksekusi setidaknya 24 jam di masa mendatang jika Anda menggunakan Konsol AMS untuk membuat RFC.
AMS bertujuan untuk menanggapi CT manual dalam waktu delapan jam, dan akan berkorespondensi sesegera mungkin, tetapi bisa memakan waktu lebih lama bagi RFC untuk benar-benar dieksekusi.
### Menggunakan RFCs dengan pembaruan manual CTs
Operasi AMS menolak Manajemen \$1 Lainnya \$1 Lainnya RFCs untuk pembaruan tumpukan, ketika ada jenis perubahan Pembaruan untuk jenis tumpukan yang ingin Anda perbarui.
### Kesalahan tumpukan hapus RFC
Kegagalan tumpukan hapus RFC: Jika Anda menggunakan Manajemen \$1 Stack standar \$1 Stack \$1 Delete CT, Anda akan melihat peristiwa terperinci di CloudFormation Konsol untuk tumpukan dengan nama tumpukan AMS. Anda dapat mengidentifikasi tumpukan Anda dengan memeriksanya terhadap nama yang ada di Konsol AMS. CloudFormation Konsol memberikan rincian lebih lanjut tentang penyebab kegagalan.
Sebelum menghapus tumpukan, Anda harus mempertimbangkan bagaimana tumpukan dibuat. Jika Anda membuat tumpukan menggunakan AMS CT dan tidak menambahkan atau mengedit sumber daya tumpukan, Anda dapat menghapusnya tanpa masalah. Namun, itu adalah ide yang baik untuk Anda menghapus sumber daya yang ditambahkan secara manual dari tumpukan sebelum mengirimkan tumpukan hapus RFC terhadapnya. Misalnya, jika Anda membuat tumpukan menggunakan tumpukan penuh CT (HA Two Tier), itu termasuk grup keamanan - SG1. Jika Anda kemudian menggunakan AMS untuk membuat grup keamanan lain - SG2, dan mereferensikan yang baru SG2 di SG1 dibuat sebagai bagian dari tumpukan penuh, dan kemudian menggunakan CT tumpukan hapus untuk menghapus tumpukan, tidak SG1 akan dihapus seperti yang direferensikan oleh SG2.
**penting**
Menghapus tumpukan dapat memiliki konsekuensi yang tidak diinginkan dan tidak terduga. AMS lebih suka \$1tidak\$1 menghapus tumpukan atau menumpuk sumber daya atas nama pelanggan karena alasan ini. Perhatikan, AMS hanya akan menghapus sumber daya atas nama Anda (melalui Mangement yang dikirimkan \$1 Lainnya \$1 Lainnya \$1 Jenis perubahan pembaruan) yang tidak mungkin dihapus menggunakan jenis perubahan yang sesuai, otomatis, untuk dihapus. Pertimbangan tambahan:
Jika sumber daya diaktifkan untuk 'hapus perlindungan', AMS dapat membantu membuka blokir ini jika Anda mengirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui jenis perubahan dan, setelah perlindungan penghapusan dihapus, Anda dapat menggunakan CT otomatis untuk menghapus sumber daya tersebut.
Jika ada beberapa sumber daya dalam tumpukan, dan Anda hanya ingin menghapus sebagian dari sumber daya tumpukan, gunakan jenis perubahan CloudFormation Pembaruan (lihat [CloudFormation Ingest Stack: Update](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html)). Anda juga dapat mengirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui jenis perubahan dan insinyur AMS dapat membantu Anda menyusun set perubahan, jika diperlukan.
Jika ada masalah dalam menggunakan CT CloudFormation Pembaruan karena drift, AMS dapat membantu jika Anda mengirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Pembaruan untuk menyelesaikan penyimpangan (sejauh yang didukung oleh CloudFormation Layanan AWS) dan memberikan ChangeSet yang kemudian dapat Anda validasi dan jalankan menggunakan CT, Management/Custom Stack/Stack From CloudFormation Template/Approve Changeset, dan Pembaruan otomatis.
AMS mempertahankan pembatasan di atas untuk membantu memastikan tidak ada penghapusan sumber daya yang tidak terduga atau tidak terduga.
Untuk informasi selengkapnya, lihat [Pemecahan Masalah AWS CloudFormation: menghapus tumpukan gagal](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails).
### Kesalahan DNS pembaruan RFC
Beberapa RFCs untuk memperbarui zona yang dihosting DNS dapat gagal, beberapa tanpa alasan. Membuat beberapa RFCs sekaligus untuk memperbarui zona yang dihosting DNS (pribadi atau publik) dapat menyebabkan beberapa RFCs gagal karena mereka mencoba memperbarui tumpukan yang sama pada saat yang bersamaan. Manajemen perubahan AMS menolak atau gagal RFCs yang tidak dapat memperbarui tumpukan karena tumpukan sudah diperbarui oleh RFC lain. AMS merekomendasikan agar Anda membuat satu RFC sekaligus dan menunggu RFC berhasil sebelum menaikkan yang baru untuk tumpukan yang sama.
### Kesalahan entitas IAM RFC
AMS menyediakan sejumlah peran dan profil IAM default ke dalam akun AMS yang dirancang untuk memenuhi kebutuhan Anda. Namun, Anda mungkin perlu meminta sumber daya IAM tambahan sesekali.
Proses untuk mengirimkan RFCs permintaan sumber daya IAM kustom mengikuti alur kerja standar untuk manual RFCs, tetapi proses persetujuan juga mencakup tinjauan keamanan untuk memastikan kontrol keamanan yang tepat ada. Oleh karena itu, prosesnya biasanya memakan waktu lebih lama daripada manual lainnya RFCs. Untuk mengurangi waktu siklus ini RFCs, ikuti panduan berikut.
Untuk informasi tentang apa yang kami maksud dengan tinjauan IAM dan cara memetakannya ke Standar Teknis dan proses Penerimaan Risiko kami, lihat[Memahami ulasan keamanan RFC](rfc-security.md).
Permintaan sumber daya IAM umum:
+ Jika Anda meminta kebijakan yang berkaitan dengan aplikasi utama yang kompatibel dengan cloud, misalnya CloudEndure, lihat CloudEndure kebijakan IAM AMS yang telah disetujui sebelumnya: Buka paket file Contoh Zona Pendaratan [WIGs Cloud Endure](samples/wigs-ce-lz-examples.zip) dan buka file `customer_cloud_endure_policy.json`
**catatan**
Jika Anda menginginkan kebijakan yang lebih permisif, diskusikan kebutuhan Anda dengan Anda CloudArchitect/CSDM dan dapatkan, jika diperlukan, AMS Security Review and Signoff sebelum mengirimkan RFC yang menerapkan kebijakan tersebut.
+ Jika Anda ingin mengubah sumber daya yang digunakan oleh AMS di akun Anda secara default, sebaiknya Anda meminta salinan sumber daya yang dimodifikasi, bukan perubahan pada yang sudah ada.
+ Jika Anda meminta izin untuk pengguna manusia (alih-alih melampirkan izin ke pengguna) lampirkan izin ke peran, lalu berikan izin kepada pengguna untuk mengambil peran tersebut. Untuk detail tentang hal ini, lihat [Akses konsol AMS Advanced sementara](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html).
+ Jika Anda memerlukan izin luar biasa untuk migrasi sementara atau alur kerja, berikan tanggal akhir untuk izin tersebut dalam permintaan Anda.
+ Jika Anda telah mendiskusikan subjek permintaan Anda dengan tim keamanan Anda, berikan bukti persetujuan mereka kepada CSDM Anda dengan sedetail mungkin.
Jika AMS menolak IAM RFC, kami memberikan alasan yang jelas untuk penolakan tersebut. Misalnya, kami mungkin menolak permintaan pembuatan kebijakan IAM dan menjelaskan kebijakan yang tidak pantas. Dalam hal ini, Anda dapat membuat perubahan yang diidentifikasi dan mengirimkan kembali permintaan. Jika kejelasan tambahan tentang status permintaan diperlukan, kirimkan permintaan layanan, atau hubungi CSDM Anda.
Daftar berikut menjelaskan risiko umum yang AMS coba mitigasi saat kami meninjau IAM Anda. RFCs Jika IAM RFC Anda memiliki salah satu risiko ini, itu dapat mengakibatkan penolakan RFC. Dalam kasus di mana Anda memerlukan pengecualian, AMS meminta persetujuan dari tim keamanan Anda. Untuk mencari pengecualian seperti itu, koordinasikan dengan CSDM Anda.
**catatan**
AMS dapat, dengan alasan apa pun, menolak perubahan apa pun pada sumber daya IAM di dalam akun. Untuk masalah mengenai penolakan RFC, hubungi Operasi AMS melalui permintaan layanan, atau hubungi CSDM Anda.
+ Eskalasi hak istimewa, seperti izin yang memungkinkan Anda mengubah izin Anda sendiri, atau untuk mengubah izin sumber daya lain di dalam akun. Contoh:
+ Penggunaan `iam:PassRole` dengan peran lain yang lebih istimewa.
+ Izin untuk kebijakan attach/detach IAM dari peran atau pengguna.
+ Modifikasi kebijakan IAM di akun.
+ Kemampuan untuk melakukan panggilan API dalam konteks infrastruktur manajemen.
+ Izin untuk mengubah sumber daya atau aplikasi yang diperlukan untuk menyediakan layanan AMS kepada Anda. Contoh:
+ Modifikasi infrastruktur AMS seperti benteng, host manajemen, atau infrastruktur EPS.
+ Penghapusan fungsi AWS Lambda manajemen log, atau aliran log.
+ Penghapusan atau modifikasi aplikasi CloudTrail pemantauan default.
+ Modifikasi Direktori Layanan Direktori Aktif (AD).
+ Menonaktifkan alarm CloudWatch (CW).
+ Modifikasi prinsip, kebijakan, dan ruang nama yang digunakan di akun sebagai bagian dari landing zone.
+ Penyebaran infrastruktur di luar praktik terbaik, seperti izin yang memungkinkan pembuatan infrastruktur dalam keadaan yang membahayakan keamanan informasi Anda. Contoh:
+ Pembuatan bucket S3 publik, atau tidak terenkripsi, atau berbagi volume EBS secara publik.
+ Penyediaan alamat IP publik.
+ Modifikasi kelompok keamanan untuk memungkinkan akses luas.
+ Izin yang terlalu luas yang dapat menyebabkan dampak aplikasi, seperti izin yang dapat mengakibatkan kehilangan data, kehilangan integritas, konfigurasi yang tidak tepat, atau gangguan layanan untuk infrastruktur Anda dan aplikasi di dalam akun. Contoh:
+ Menonaktifkan, atau mengarahkan, lalu lintas jaringan melalui suka atau. APIs `ModifyNetworkInterfaceAttribute` `UpdateRouteTable`
+ Menonaktifkan infrastruktur terkelola dengan melepaskan volume dari host yang dikelola.
+ Izin untuk layanan bukan bagian dari deskripsi layanan AMS dan tidak didukung oleh AMS.
Layanan yang tidak tercantum dalam deskripsi Layanan AMS tidak dapat digunakan di akun AMS. Untuk meminta dukungan untuk fitur atau layanan, silakan hubungi CSDM Anda.
+ Izin yang tidak memenuhi tujuan yang Anda nyatakan karena terlalu murah hati, atau terlalu konservatif, atau diterapkan pada sumber daya yang salah. Contoh:
+ Permintaan `s3:PutObject` izin ke bucket S3 yang memiliki enkripsi KMS wajib, tanpa `KMS:Encrypt` izin ke kunci yang relevan.
+ Izin yang berkaitan dengan sumber daya yang tidak ada di akun.
+ IAM RFCs di mana deskripsi RFC tampaknya tidak cocok dengan permintaan.
## Kesalahan RFC “Penerapan”
AMS “Deployment” Jenis perubahan kategori (CTs) memungkinkan Anda untuk meminta berbagai sumber daya yang didukung AMS ditambahkan ke akun Anda.
Sebagian besar AMS CTs yang membuat sumber daya didasarkan pada CloudFormation templat. Sebagai pelanggan, Anda memiliki akses hanya-baca ke semua layanan AWS termasuk CloudFormation, Anda dapat dengan cepat mengidentifikasi CloudFormation tumpukan yang mewakili tumpukan Anda berdasarkan deskripsi tumpukan menggunakan CloudFormation Konsol. Tumpukan yang gagal kemungkinan akan berada dalam keadaan DELETE\$1COMPLETE. Setelah Anda mengidentifikasi CloudFormation tumpukan, peristiwa akan menunjukkan sumber daya spesifik yang gagal dibuat, dan mengapa.
### Menggunakan CloudFormation dokumentasi untuk memecahkan masalah
Sebagian besar penyediaan AMS RFCs menggunakan CloudFormation templat dan dokumentasi tersebut dapat membantu pemecahan masalah. Lihat dokumentasi untuk CloudFormation template itu:
+ Buat kegagalan penyeimbang beban aplikasi: [ AWS::ElasticLoadBalancingV2::LoadBalancer (Application Load](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html) Balancer)
+ Buat grup penskalaan Otomatis: [ AWS::AutoScaling::AutoScalingGroup (Grup Auto Scaling](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-group.html))
+ Buat cache memcache: [ AWS::ElastiCache::CacheCluster (](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)Cache Cluster)
+ Buat cache Redis: [ AWS::ElastiCache::CacheCluster (Cache Cluster](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html))
+ [Buat DNS Hosted Zone (digunakan dengan Create DNS private/public): AWS::Route53::HostedZone (R53 Hosted Zone)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html)
+ [Buat DNS Record Set (digunakan dengan Create DNS private/public): AWS::Route53::RecordSet (Resource Record Set)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-route53-recordset.html)
+ Buat tumpukan EC2: [ AWS::EC2::Instance (Awan Komputasi Elastis)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html)
+ Buat Sistem File Elastis (EFS): [ AWS::EFS::FileSystem (Sistem File Elastis)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-efs-filesystem.html)
+ Buat Load balancer: [ AWS::ElasticLoadBalancing::LoadBalancer (Elastic Load](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html) Balancer)
+ Buat RDS DB: [ AWS::RDS::DBInstance (Database Relasional](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-rds-database-instance.html))
+ Buat Amazon S3: [ AWS::S3::Bucket (Layanan Penyimpanan Sederhana)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket.html)
+ Buat Antrian: [ AWS::SQS::Queue (Layanan Antrian Sederhana)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sqs-queues.html)
### RFC membuat kesalahan AMIs
Amazon Machine Image (AMI) adalah templat yang berisi konfigurasi perangkat lunak (misalnya, sistem operasi, server aplikasi, dan aplikasi). Dari AMI, luncurkan sebuah instans, yang merupakan salinan AMI yang dijalankan sebagai server virtual di cloud. AMI sangat berguna, dan diperlukan untuk membuat instans EC2 atau grup Auto Scaling; namun, Anda harus mematuhi beberapa persyaratan:
+ Instance yang Anda tentukan `Ec2InstanceId` harus dalam keadaan berhenti agar RFC berhasil. Jangan gunakan instans Auto Scaling group (ASG) untuk parameter ini karena ASG akan menghentikan instance yang dihentikan.
+ Untuk membuat AMS Amazon Machine Image (AMI), Anda harus memulai dengan instance AMS. Sebelum Anda dapat menggunakan instance untuk membuat AMI, Anda harus menyiapkannya dengan memastikan bahwa instans tersebut dihentikan dan tidak bergabung dari domainnya. Untuk detailnya, lihat [Membuat Gambar Mesin Amazon Standar Menggunakan Sysprep](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html#23ami-create-standard)
+ Nama yang Anda tentukan untuk AMI baru harus unik di dalam akun atau RFC gagal. Cara melakukannya dijelaskan dalam [AMI \$1 Buat](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html), dan untuk detail selengkapnya, lihat dan [AWS AMI Design](https://aws.amazon.com/answers/configuration-management/aws-ami-design/).
**catatan**
Untuk informasi tambahan tentang persiapan pembuatan AMI, lihat [AMI \$1 Buat](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html).
### RFCs membuat EC2s atau ASGs kesalahan
Untuk kegagalan EC2 atau ASG dengan batas waktu, AMS menyarankan Anda mengonfirmasi apakah AMI yang digunakan disesuaikan. Jika ya, silakan lihat langkah-langkah pembuatan AMI yang disertakan dalam panduan ini (lihat [AMI \$1 Buat](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)) untuk memastikan bahwa AMI dibuat dengan benar. Kesalahan umum saat membuat AMI kustom adalah tidak mengikuti langkah-langkah dalam panduan untuk mengganti nama atau memanggil Sysprep.
### RFCs membuat kesalahan RDS
Kegagalan Amazon Relational Database Service (RDS) dapat terjadi karena berbagai alasan karena Anda dapat menggunakan banyak mesin yang berbeda saat membuat RDS, dan setiap mesin memiliki persyaratan dan keterbatasannya sendiri. [Sebelum mencoba membuat tumpukan AMS RDS, tinjau nilai parameter AWS RDS dengan cermat, lihat Membuat. DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)
Untuk mempelajari lebih lanjut tentang Amazon RDS secara umum, termasuk rekomendasi ukuran, lihat Dokumentasi Layanan [Amazon Relational Database Service](https://aws.amazon.com/documentation/rds/).
### RFCs membuat kesalahan Amazon S3
Satu kesalahan umum saat membuat bucket penyimpanan S3 adalah tidak menggunakan nama unik untuk bucket. Jika Anda mengirimkan bucket S3 Create CT dengan nama yang sama dengan yang dikirimkan sebelumnya, itu akan gagal karena bucket S3 sudah ada dengan itu. BucketName Ini akan dirinci di CloudFormation Konsol, di mana Anda akan melihat bahwa peristiwa tumpukan menunjukkan bahwa nama bucket sudah digunakan.
## Validasi RFC versus kesalahan eksekusi
Kegagalan RFC dan pesan terkait berbeda dalam pesan keluaran pada halaman detail RFC konsol AMS untuk RFC yang dipilih:
+ Alasan Kegagalan Validasi hanya tersedia di Bidang Status
+ Alasan Kegagalan Eksekusi tersedia di Output Eksekusi serta Bidang Status.
![\[Request for change details showing rejected status due to no domain trust found.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/rfcReason.png)
## Pesan kesalahan RFC
Ketika Anda menemukan kesalahan berikut untuk jenis perubahan yang tercantum (CTs), Anda dapat menggunakan solusi ini untuk membantu Anda menemukan sumber masalah dan memperbaikinya.
`{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}`
Jika Anda memerlukan bantuan lebih lanjut setelah mengacu pada opsi pemecahan masalah berikut, maka libatkan AMS melalui korespondensi RFC. Untuk informasi selengkapnya, lihat [Korespondensi dan Lampiran RFC (Konsol)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence).
### Kesalahan konsumsi beban kerja (WIGS)
**catatan**
Alat validasi untuk Windows dan Linux dapat diunduh dan dijalankan langsung di server lokal Anda, serta instans EC2 di AWS. Hal ini dapat ditemukan melalui *Panduan Pengembang Aplikasi AMS Advanced* [Migrating workloads: Linux pre-ingestion validation dan [Migrating](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-win-validation.html) workloads: Windows pre-ingestion validation](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-linux-validation.html).
+ Pastikan instans EC2 ada di akun AMS target. Misalnya, jika Anda telah membagikan AMI dari akun non-AMS ke akun AMS, Anda harus membuat instans EC2 di akun AMS Anda dengan AMI bersama sebelum dapat mengirimkan RFC Workload Ingest.
+ Periksa untuk melihat apakah grup keamanan yang dilampirkan pada instance memiliki lalu lintas jalan keluar yang diizinkan. Agen SSM harus dapat terhubung ke titik akhir publiknya.
+ Periksa untuk melihat apakah instance memiliki izin yang tepat untuk terhubung dengan agen SSM. Izin ini disertakan dengan`customer-mc-ec2-instance-profile`, Anda dapat memeriksanya di konsol EC2:
![\[EC2 instance details showing IAM role set to customer-mc-ec2-instance-profile.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/ec2ConsoleWCircle.png)
### Kesalahan penghentian tumpukan instans EC2
+ Periksa untuk melihat apakah instance sudah dalam keadaan berhenti atau dihentikan.
+ Jika instans EC2 sedang online dan Anda melihat `InternalError` kesalahan, maka kirimkan permintaan layanan untuk diselidiki AMS.
+ Perhatikan bahwa Anda tidak dapat menggunakan tipe perubahan Manajemen \$1 Komponen tumpukan lanjutan \$1 Tumpukan instans EC2 \$1 Hentikan ct-3mvvt2zkyveqj untuk menghentikan instans grup Auto Scaling (ASG). Jika Anda perlu menghentikan instans ASG, maka kirimkan permintaan layanan.
### Tumpukan instans EC2 membuat kesalahan
`InternalError`Pesannya berasal dari CloudFormation; alasan status CREATION\$1FAILED. Anda dapat menemukan detail tentang kegagalan tumpukan dalam peristiwa CloudWatch tumpukan dengan mengikuti langkah-langkah berikut:
+ Di konsol AWS Management, Anda dapat melihat daftar peristiwa tumpukan saat tumpukan dibuat, diperbarui, atau dihapus. Dari daftar ini, temukan peristiwa kegagalan dan kemudian lihat alasan status untuk peristiwa tersebut.
Alasan status mungkin berisi pesan kesalahan dari AWS CloudFormation atau dari layanan tertentu yang dapat membantu Anda memahami masalah tersebut.
+ Untuk informasi selengkapnya tentang melihat peristiwa tumpukan, lihat [Melihat Data dan Sumber Daya AWS CloudFormation Stack di AWS Management Console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html).
### Kesalahan pemulihan volume instans EC2
AMS membuat RFC pemecahan masalah internal saat pemulihan volume instans EC2 gagal. Ini dilakukan karena pemulihan volume instans EC2 merupakan bagian penting dari pemulihan bencana (DR) dan AMS membuat RFC pemecahan masalah internal ini untuk Anda secara otomatis.
Saat RFC pemecahan masalah internal dibuat, spanduk ditampilkan memberi Anda tautan ke RFC. Pemecahan masalah internal RFC ini memberi Anda lebih banyak visibilitas ke kegagalan RFC dan, daripada mengirimkan percobaan ulang yang RFCs mengarah ke kesalahan yang sama, atau membuat Anda secara manual menjangkau AMS untuk kegagalan ini, Anda dapat melacak perubahan Anda dan mengetahui bahwa kegagalan sedang dikerjakan oleh AMS. Ini juga mengurangi metrik time-to-recovery (TTR) untuk perubahannya karena Operator AMS secara proaktif bekerja pada kegagalan RFC alih-alih menunggu permintaan Anda.
## Cara mendapatkan bantuan dengan RFC
Anda dapat menghubungi AMS untuk mengidentifikasi akar penyebab kegagalan Anda. Jam kerja AMS adalah 24 jam sehari, 7 hari seminggu, 365 hari setahun.
AMS menyediakan beberapa jalan bagi Anda untuk meminta bantuan.
+ Jika Anda memerlukan bantuan dengan RFC terbuka atau RFC yang selesai tetapi salah, libatkan AMS melalui korespondensi dua arah RFC. Untuk informasi selengkapnya, lihat [Korespondensi dan Lampiran RFC (Konsol)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence).
+ Untuk melaporkan masalah kinerja layanan AWS atau AMS yang memengaruhi lingkungan terkelola Anda, gunakan konsol AMS dan kirimkan laporan insiden. Untuk detailnya, lihat [Melaporkan Insiden](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-report-incident.html). Untuk informasi umum tentang manajemen insiden AMS, lihat [Respons insiden](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html).
+ Untuk pertanyaan spesifik tentang bagaimana Anda atau sumber daya atau aplikasi Anda bekerja dengan AMS, atau untuk meningkatkan insiden, kirim email ke satu atau beberapa hal berikut:
1. Pertama, jika Anda tidak puas dengan permintaan layanan atau tanggapan laporan insiden, kirimkan email ke CSDM Anda: ams-csdm@amazon.com
1. Selanjutnya, jika eskalasi diperlukan, Anda dapat mengirim email ke Manajer Operasi AMS (tetapi CSDM Anda mungkin akan melakukannya): ams-opsmanager@amazon.com
1. Eskalasi lebih lanjut akan ke Direktur AMS: ams-director@amazon.com
1. Akhirnya, Anda selalu dapat menghubungi AMS VP: ams-vp@amazon.com
# Mode Perubahan Langsung di AMS
**Topics**
+ [Memulai dengan mode Perubahan Langsung](dcm-get-started.md)
+ [Keamanan dan kepatuhan](dcm-security-n-compliance.md)
+ [Ubah manajemen dalam mode Perubahan Langsung](dcm-change-mgmt.md)
+ [Membuat tumpukan menggunakan mode Perubahan Langsung](dcm-creating-stacks.md)
+ [Kasus penggunaan Mode Perubahan Langsung](dcm-use-cases.md)
AWS Managed Services (AMS) Direct Change mode (DCM) memperluas manajemen perubahan AMS Advanced dengan menyediakan AWS akses asli ke akun AMS Advanced Plus dan Premium untuk menyediakan dan memperbarui AWS sumber daya. Dengan DCM, Anda memiliki opsi untuk menggunakan AWS API asli (konsol atau CLI/SDK) atau permintaan manajemen perubahan AMS Advanced untuk perubahan (RFCs), dan dalam kedua kasus sumber daya dan perubahannya sepenuhnya didukung oleh AMS, termasuk pemantauan, tambalan, cadangan, manajemen respons insiden. Sumber daya yang disediakan melalui DCM terdaftar di sistem manajemen pengetahuan layanan AMS (SKMS), bergabung dengan domain Active Directory yang dikelola AMS (bila berlaku), dan menjalankan agen manajemen AMS. Gunakan perkakas yang ada (misalnya, AWS SDK CloudFormation, dan CDK) untuk mengembangkan dan menerapkan tumpukan yang dikelola AMS. CloudFormation
**catatan**
Mode Perubahan Langsung tidak menghapus manajemen perubahan AMS RFCs. Anda memiliki akses penuh ke AMS RFCs dengan DCM.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob)
# Memulai dengan mode Perubahan Langsung
Mulailah dengan memeriksa prasyarat dan kemudian mengirimkan permintaan perubahan (RFC) di akun AMS Advanced Anda yang memenuhi syarat.
1. Konfirmasikan bahwa akun yang ingin Anda gunakan dengan DCM memenuhi persyaratan:
+ Akun tersebut adalah AMS Advanced Plus atau Premium.
+ Akun tidak mengaktifkan Service Catalog. Saat ini kami tidak mendukung akun orientasi ke DCM dan Service Catalog secara bersamaan. Jika Anda sudah onboard ke Service Catalog tetapi tertarik dengan DCM, diskusikan kebutuhan Anda dengan manajer pengiriman layanan cloud (CSDM) Anda. Jika Anda memutuskan untuk beralih dari Service Catalog ke DCM, offboard Service Catalog, untuk melakukan itu, sertakan permintaan dalam permintaan perubahan di bawah ini. Untuk detail tentang Service Catalog di AMS, lihat [AMS dan Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html).
1. Kirim permintaan perubahan (RFC) menggunakan Manajemen \$1 Akun terkelola \$1 Mode Perubahan Langsung \$1 Aktifkan jenis perubahan (ct-3rd4781c2nnhp). Untuk contoh panduan, lihat [Mode Perubahan Langsung \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html) Aktifkan.
Setelah CT diproses, peran IAM yang telah ditentukan sebelumnya, `AWSManagedServicesCloudFormationAdminRole` dan `AWSManagedServicesUpdateRole` disediakan dalam akun yang ditentukan.
1. Tetapkan peran yang sesuai untuk pengguna yang memerlukan akses DCM menggunakan proses federasi internal Anda.
**catatan**
Anda dapat menentukan sejumlah SAMLIdentity Penyedia, AWS Layanan, dan Entitas IAM (Peran, Pengguna, dll) untuk mengambil peran. Anda harus memberikan setidaknya satu:`SAMLIdentityProviderARNs`,`IAMEntityARNs`, atau`AWSServicePrincipals`. Untuk informasi lebih lanjut, konsultasikan dengan departemen IAM perusahaan Anda atau dengan arsitek cloud AMS (CA) Anda.
## Mode Perubahan Langsung peran dan kebijakan IAM
Saat mode Perubahan Langsung diaktifkan di akun, entitas IAM baru ini diterapkan:
`AWSManagedServicesCloudFormationAdminRole`: Peran ini memberikan akses ke CloudFormation konsol, membuat dan memperbarui CloudFormation tumpukan, melihat laporan drift, dan membuat dan mengeksekusi. CloudFormation ChangeSets Akses ke peran ini dikelola melalui penyedia SAMP Anda.
Kebijakan terkelola yang diterapkan dan dilampirkan pada peran `AWSManagedServicesCloudFormationAdminRole` adalah:
+ Akun aplikasi AMS Advanced multi-account landing zone (MALZ)
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ Kebijakan ini mewakili izin yang diberikan kepada. `AWSManagedServicesCloudFormationAdminRole` Anda dan mitra menggunakan kebijakan ini untuk memberikan akses ke peran yang ada di akun dan mengizinkan peran tersebut untuk meluncurkan dan memperbarui CloudFormation tumpukan di akun. Ini mungkin memerlukan pembaruan kebijakan kontrol layanan AMS (SCP) tambahan untuk mengizinkan entitas IAM lainnya meluncurkan CloudFormation tumpukan.
+ Akun landing zone (SALZ) akun AMS Advanced single-account
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ cdk-legacy-mode-s3-akses [kebijakan in-line]
+ AWS ReadOnlyAccess kebijakan
`AWSManagedServicesUpdateRole`: Peran ini memberikan akses terbatas ke layanan hilir AWS . APIs Peran ini diterapkan dengan kebijakan terkelola yang menyediakan operasi API yang bermutasi dan tidak bermutasi, tetapi secara umum membatasi operasi mutasi (sepertiCreate/Delete/PUT), terhadap layanan tertentu seperti IAM, KMS,, VPC, sumber daya dan konfigurasi infrastruktur AMSGuardDuty, dan sebagainya. Akses ke peran ini dikelola melalui penyedia SAMP Anda.
Kebijakan terkelola yang diterapkan dan dilampirkan pada peran `AWSManagedServicesUpdateRole` adalah:
+ Akun aplikasi landing zone multi-akun AMS tingkat lanjut
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyPolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2dan RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraKebijakan
+ Akun landing zone akun tunggal AMS Advanced
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2dan RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraKebijakan1
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraKebijakan2
Selain itu, `AWSManagedServicesUpdateRole` peran kebijakan terkelola juga memiliki kebijakan AWS terkelola yang `ViewOnlyAccess` melekat padanya.
# Keamanan dan kepatuhan
Keamanan dan kepatuhan adalah tanggung jawab bersama antara AMS Advanced dan Anda, sebagai pelanggan kami. Mode AMS Advanced Direct Change tidak mengubah tanggung jawab bersama ini.
## Keamanan dalam mode Perubahan Langsung
AMS Advanced menawarkan nilai tambahan dengan landing zone preskriptif, sistem manajemen perubahan, dan manajemen akses. Saat menggunakan mode Perubahan Langsung, model tanggung jawab ini tidak berubah. Namun, Anda harus mewaspadai risiko tambahan.
Peran “Perbarui” Mode Perubahan Langsung (lihat[Mode Perubahan Langsung peran dan kebijakan IAM](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) memberikan izin tinggi yang memungkinkan entitas mengaksesnya, untuk membuat perubahan pada sumber daya infrastruktur layanan yang didukung AMS dalam akun Anda. Dengan izin yang tinggi, beragam risiko ada tergantung pada sumber daya, layanan, dan tindakan, terutama dalam situasi di mana perubahan yang salah dibuat karena pengawasan, kesalahan, atau kurangnya kepatuhan terhadap proses internal dan kerangka kontrol Anda.
Sesuai Standar Teknis AMS, risiko berikut telah diidentifikasi dan rekomendasi dibuat sebagai berikut. Informasi terperinci tentang Standar Teknis AMS tersedia melalui AWS Artifact. Untuk mengakses AWS Artifact, hubungi CSDM Anda untuk instruksi atau pergi ke [Memulai](https://aws.amazon.com/artifact/getting-started) dengan. AWS Artifact
**AMS-STD-001: Penandaan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-002: Identity and Access Management (IAM)**
| Standar | Apakah itu rusak | Risiko | Rekomendasi |
| --- | --- | --- | --- |
| 4.7 Tindakan, yang melewati proses manajemen perubahan (RFC), tidak boleh diizinkan seperti memulai atau menghentikan instance, pembuatan bucket S3 atau instans RDS, dan sebagainya. Akun mode pengembang dan layanan mode Penyediaan Layanan Mandiri (SSPS) dikecualikan selama tindakan dilakukan dalam batas-batas peran yang ditugaskan. | Ya. Tujuan tindakan layanan mandiri memungkinkan Anda melakukan tindakan melewati sistem AMS RFC. | Model akses aman adalah aspek teknis inti AMS dan pengguna IAM untuk konsol atau akses terprogram menghindari kontrol akses ini. Akses pengguna IAM tidak dipantau oleh manajemen perubahan AMS. Akses CloudTrail hanya login. | Pengguna IAM harus dibatasi waktu dan diberikan izin berdasarkan hak istimewa paling sedikit dan. need-to-know |
**AMS-STD-003: Keamanan Jaringan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-007: Penebangan**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
Bekerja dengan tim otorisasi dan otentikasi internal Anda untuk mengontrol izin ke peran mode Perubahan Langsung yang sesuai.
## Kepatuhan dalam mode Perubahan Langsung
Mode Perubahan Langsung kompatibel dengan beban kerja produksi dan non-produksi. Anda bertanggung jawab untuk memastikan kepatuhan terhadap standar kepatuhan apa pun (misalnya, PHI, HIPAA, PCI), dan untuk memastikan bahwa penggunaan mode Perubahan Langsung sesuai dengan kerangka kerja dan standar kontrol internal Anda.
# Ubah manajemen dalam mode Perubahan Langsung
Manajemen perubahan adalah proses yang digunakan AMS Advanced untuk mengimplementasikan permintaan perubahan. Permintaan untuk perubahan (RFC) adalah permintaan yang dibuat oleh Anda, atau AMS Advanced melalui antarmuka AMS Advanced untuk membuat perubahan pada lingkungan terkelola Anda dan menyertakan ID AMS Advanced change type (CT) untuk operasi tertentu. Untuk informasi selengkapnya, lihat [Mengubah manajemen](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html).
**catatan**
Mode Perubahan Langsung tidak menghapus manajemen perubahan AMS RFCs, Anda masih memiliki akses penuh ke AMS RFCs dengan DCM.
Mode Perubahan Langsung AMS (DCM) memperluas manajemen perubahan AMS Advanced dengan menyediakan AWS akses asli ke akun AMS Advanced Plus dan Premium untuk menyediakan dan memperbarui AWS sumber daya. Pengguna yang telah diberikan izin mode Perubahan Langsung melalui peran IAM, dapat menggunakan akses AWS API asli ke penyediaan dan membuat perubahan pada sumber daya di akun AMS Advanced mereka. Pengguna masih dapat menggunakan manajemen perubahan AMS Advanced RFCs menggunakan peran IAM yang sama. Dalam kedua kasus, sumber daya dan perubahannya sepenuhnya didukung oleh AMS, termasuk pemantauan, tambalan, cadangan, manajemen respons insiden. Pengguna yang tidak memiliki peran yang sesuai dalam akun ini harus menggunakan proses RFC manajemen perubahan AMS Advanced untuk melakukan perubahan.
## Ubah kasus penggunaan manajemen
Untuk alasan keamanan, beberapa perubahan pada AMS Advanced hanya dapat dilakukan melalui proses Change Management Request for Change (RFC). `AWSManagedServicesCloudFormationAdminRole`Ini terbatas pada tindakan yang diambil melalui CloudFormation (CFN). Untuk selengkapnya tentang cara membuat tumpukan melalui DCM, lihat [Membuat tumpukan menggunakan mode Perubahan Langsung](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html). `AWSManagedServicesUpdateRole`Ini dibatasi untuk tindakan berikut.
*[Misalnya penelusuran untuk setiap jenis perubahan, termasuk jenis perubahan Manajemen \$1 Akun terkelola \$1 Mode Perubahan Langsung \$1 Aktifkan (ct-3rd4781c2nnhp), lihat bagian “Informasi Tambahan” untuk jenis perubahan yang relevan di bagian AMS Advanced Change Type Reference Change Type by Classification.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)*
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/dcm-change-mgmt.html)
# Membuat tumpukan menggunakan mode Perubahan Langsung
Ada dua persyaratan saat meluncurkan tumpukan dalam CloudFormation menggunakan`AWSManagedServicesCloudFormationAdminRole`, agar tumpukan dikelola oleh AMS:
+ Template harus berisi file`AmsStackTransform`.
+ Nama tumpukan harus dimulai dengan awalan `stack-` diikuti oleh string alfanumerik 17 karakter.
**catatan**
Agar berhasil menggunakan`AmsStackTransform`, Anda harus mengakui bahwa template tumpukan Anda berisi `CAPABILITY_AUTO_EXPAND` kemampuan agar CloudFormation (CFN) membuat atau memperbarui tumpukan. Anda melakukan ini dengan meneruskan `CAPABILITY_AUTO_EXPAND` sebagai bagian dari permintaan create-stack Anda. CFN menolak permintaan jika kemampuan ini tidak diakui ketika disertakan dalam template. `AmsStackTransform` Konsol CFN memastikan bahwa Anda melewati kemampuan ini jika Anda memiliki transformasi di template Anda, tetapi ini dapat dilewatkan ketika Anda berinteraksi dengan CFN melalui mereka. APIs
Anda harus meneruskan kemampuan ini setiap kali Anda menggunakan panggilan API CFN berikut:
[CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html)
[ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters)
[UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html)
Saat membuat atau memperbarui tumpukan dengan DCM, validasi dan augmentasi CFN Ingest dan Pembaruan CTs Tumpukan yang sama dilakukan di tumpukan, untuk informasi selengkapnya lihat Pedoman [CloudFormation Ingest](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html), Praktik Terbaik, dan Batasan. Pengecualian untuk ini adalah bahwa grup keamanan default AMS (SGs) tidak akan dilampirkan ke instance atau EC2 EC2 instance yang berdiri sendiri di grup Auto Scaling (). ASGs Saat Anda membuat CloudFormation template, dengan EC2 instance yang berdiri sendiri atau ASGs, Anda dapat melampirkan default. SGs
**catatan**
Peran IAM sekarang dapat dibuat dan dikelola dengan. `AWSManagedServicesCloudFormationAdminRole`
Default AMS SGs memiliki aturan masuk dan keluar yang memungkinkan instans berhasil diluncurkan dan diakses nanti melalui SSH atau RDP oleh operasi AMS dan Anda. Jika Anda menemukan bahwa grup keamanan default AMS terlalu permisif, Anda dapat membuat sendiri SGs dengan aturan yang lebih ketat dan melampirkannya ke instans Anda, asalkan masih memungkinkan Anda dan operasi AMS untuk mengakses instans selama insiden.
Grup keamanan default AMS adalah sebagai berikut:
+ SentinelDefaultSecurityGroupPrivateOnly: Dapat diakses di template CFN melalui parameter SSM ini `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly`
+ SentinelDefaultSecurityGroupPrivateOnlyEgressAll: Dapat diakses di template CFN melalui parameter SSM ini `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll`
## Transformasi AMS
Tambahkan `Transform` pernyataan ke CloudFormation template Anda. Ini menambahkan CloudFormation makro yang memvalidasi dan mendaftarkan tumpukan dengan AMS pada waktu peluncuran.
**Contoh JSON**
```
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
}
```
**Contoh YAMM**
```
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
```
Tambahkan juga `Transform` pernyataan saat memperbarui template tumpukan yang ada.
**Contoh JSON**
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Description" : "Create an SNS Topic",
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
},
"Parameters": {
"TopicName": {
"Type": "String",
"Default": "HelloWorldTopic"
}
},
"Resources": {
"SnsTopic": {
"Type": "AWS::SNS::Topic",
"Properties": {
"TopicName": {"Ref": "TopicName"}
}
}
}
}
```
**Contoh YAMM**
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Create an SNS Topic
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
Parameters:
TopicName:
Type: String
Default: HelloWorldTopic
Resources:
SnsTopic:
Type: AWS::SNS::Topic
Properties:
TopicName: !Ref TopicName
```
## Nama tumpukan
Nama tumpukan harus dimulai dengan awalan `stack-` diikuti oleh string alfanumerik 17 karakter. Ini untuk menjaga kompatibilitas dengan sistem AMS lain yang beroperasi pada tumpukan AMS IDs.
Berikut ini adalah contoh cara untuk menghasilkan tumpukan yang kompatibel IDs:
Bash:
```
echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)"
```
Python:
```
import string
import random
'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17))
```
PowerShell:
```
"stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) )
```
# Kasus penggunaan Mode Perubahan Langsung
Berikut ini adalah kasus penggunaan untuk Mode Perubahan Langsung:
**Penyediaan dan manajemen sumber daya melalui CloudFormation**
+ Integrasikan perkakas dan proses CloudFormation berbasis yang ada.
**Manajemen dan pembaruan sumber daya yang sedang berlangsung**
+ Perubahan atom kecil dengan risiko rendah.
+ Perubahan yang seharusnya berjalan melalui RFC manual atau otomatis.
+ Perkakas yang membutuhkan akses AWS API asli.
+ Peran DCM dapat digunakan jika Anda berada dalam tahap migrasi. Tim migrasi memanfaatkan izin di DCM untuk membuat atau memodifikasi tumpukan.
+ Peran DCM dapat digunakan dalam CI/CD pipeline untuk membangun baru AMIs, membuat tugas Amazon ECS, dan sebagainya.
# Mode Pengembang AMS Lanjutan
**Topics**
+ [Memulai mode AMS Advanced Developer](developer-mode-implement.md)
+ [Keamanan dan kepatuhan dalam mode Pengembang](developer-mode-security-and-compliance.md)
+ [Ubah manajemen dalam mode Pengembang](developer-mode-change-management.md)
+ [Penyediaan infrastruktur dalam mode Pengembang AMS](developer-mode-provisioning.md)
+ [Kontrol Detektif dalam mode Pengembang AMS](developer-mode-detective-controls.md)
+ [Pencatatan, pemantauan, dan manajemen acara dalam mode Pengembang AMS](developer-mode-logging.md)
+ [Manajemen insiden dalam mode Pengembang AMS](developer-mode-incident-management.md)
+ [Manajemen tambalan dalam mode Pengembang AMS](developer-mode-patch-management.md)
+ [Manajemen kontinuitas dalam mode Pengembang AMS](developer-mode-continuity.md)
+ [Keamanan dan manajemen akses dalam mode Pengembang AMS](developer-mode-security-and-access.md)
Mode pengembang AWS Managed Services (AMS) menggunakan izin yang ditingkatkan di akun AMS Advanced Plus dan Premium untuk menyediakan dan memperbarui sumber daya AWS di luar proses manajemen perubahan AMS Advanced. Mode AMS Advanced Developer melakukan ini dengan memanfaatkan panggilan AWS API native dalam AMS Advanced Virtual Private Cloud (VPC), memungkinkan Anda merancang dan mengimplementasikan infrastruktur dan aplikasi di lingkungan terkelola Anda.
Saat menggunakan akun yang mengaktifkan mode Pengembang, manajemen kontinuitas, manajemen tambalan, dan manajemen perubahan disediakan untuk sumber daya yang disediakan melalui proses manajemen perubahan AMS Advanced atau dengan menggunakan AMS Amazon Machine Image (AMI). Namun, fitur manajemen AMS ini tidak ditawarkan untuk sumber daya yang disediakan melalui native. AWS APIs
Anda bertanggung jawab untuk memantau sumber daya infrastruktur yang disediakan di luar proses manajemen perubahan AMS Advanced. Mode pengembang kompatibel dengan beban kerja produksi dan non-produksi. Dengan izin yang tinggi, Anda memiliki tanggung jawab yang meningkat untuk memastikan kepatuhan terhadap kontrol internal.
**penting**
Sumber daya yang Anda buat menggunakan mode Pengembang dapat dikelola oleh AMS Advanced hanya jika dibuat menggunakan proses manajemen perubahan AMS Advanced.
Mode pengembang adalah salah satu mode AMS Advanced yang dapat Anda gunakan. Lihat informasi yang lebih lengkap di [Ikhtisar mode](ams-modes-ug.md).
# Memulai mode AMS Advanced Developer
Pelajari berbagai akun AMS Advanced dengan mode AMS Advanced Developer dan cara mengimplementasikan mode Developer dengan sukses.
**Topics**
+ [Sebelum memulai](developer-mode-faqs.md)
+ [Prasyarat untuk mode Pengembang](#developer-mode-implement-prerequisites)
+ [Cara menerapkan mode Pengembang](#developer-mode-implement-steps)
+ [Izin mode pengembang](#developer-mode-role)
# Sebelum Anda memulai dengan mode AMS Developer
Sebelum menerapkan mode Developer, ada beberapa hal yang harus Anda ketahui.
AMS Advanced tidak dapat mengelola tumpukan atau sumber daya yang ada di DevMode akun yang dibuat di luar proses manajemen perubahan AMS Advanced melalui request for change (RFCs). Namun, saat akun masuk DevMode, AMS Advanced terus mengelola sumber daya yang disediakan melalui proses manajemen perubahan AMS Advanced dengan. RFCs
Anda tidak dapat memulai dengan DevMode akun dan kemudian menutupnya ke akun aplikasi AMS Advanced-managed.
## Prasyarat untuk mode Pengembang AMS
Berikut ini adalah prasyarat untuk menerapkan mode Pengembang:
+ Anda harus menjadi pelanggan AMS Advanced dengan setidaknya satu akun AMS Advanced Plus atau Premium onboard.
+ Akun apa pun yang Anda gunakan harus berupa akun AMS Advanced Plus atau Premium.
+ **Zona Pendaratan Multi-Akun (MALZ)**: Anda harus menggunakan peran yang `AWSManagedServicesDevelopmentRole` telah ditentukan AWS Identity and Access Management (IAM). Anda meminta peran ini. Bagian selanjutnya menjelaskan cara memperoleh izin mode Pengembang.
+ **Single-Account Landing Zone (SALZ)**: Anda harus menggunakan peran yang `customer_developer_role` telah ditentukan AWS Identity and Access Management (IAM). Anda meminta peran ini. Bagian selanjutnya menjelaskan cara memperoleh izin mode Pengembang.
## Cara menerapkan mode AMS Advanced Developer
Anda menerapkan mode Developer dengan meminta agar akun AMS Advanced Anda yang memenuhi syarat disediakan dengan peran IAM yang telah ditentukan sebelumnya:
+ **MALZ**: `AWSManagedServicesDevelopmentRole`
+ **SALZ**: `customer_developer_role`
Anda kemudian menetapkan peran tersebut ke pengguna yang relevan di jaringan federasi Anda.
AMS Advanced merekomendasikan agar Anda memastikan bahwa penggunaan mode Developer sesuai dengan kerangka kerja dan standar kontrol internal Anda karena mode Pengembang menciptakan dua vektor perubahan: Manajemen perubahan AMS Advanced untuk sumber daya yang dikelola AMS Advanced dan federasi peran yang dikelola pelanggan untuk sumber daya yang Anda, sebagai pelanggan kami, kelola. Meskipun proses AMS Advanced tetap sesuai dengan deklarasi kami, proses pelanggan dan kerangka kerja kontrol mungkin perlu diperbarui.
**Untuk menerapkan mode Pengembang di akun AMS Advanced Anda**
1. Konfirmasikan akun yang ingin Anda gunakan dengan mode Pengembang memenuhi persyaratan yang tercantum di[Prasyarat untuk mode Pengembang AMS](#developer-mode-implement-prerequisites).
1. Kirim permintaan perubahan (RFC) menggunakan tipe perubahan (CT) Manajemen \$1 Akun terkelola \$1 Mode pengembang \$1 Aktifkan (otomatisasi terkelola). Untuk contoh cara menggunakan CT ini, lihat [Mode Pengembang \$1 Aktifkan (Otomatisasi Terkelola)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html).
Setelah CT diproses, peran IAM yang telah ditentukan, (`AWSManagedServicesDevelopmentRole`untuk **MALZ, `customer_developer_role` untuk **SALZ****), disediakan di akun yang diminta.
1. Tetapkan peran yang sesuai kepada pengguna yang memerlukan akses mode Pengembang menggunakan proses federasi internal Anda.
AMS Advanced menyarankan Anda membatasi akses untuk mencegah penyediaan, atau perubahan pada, sumber daya yang tidak diinginkan atau tidak disetujui.
## Izin mode Pengembang AMS Lanjutan
Peran yang telah ditentukan sebelumnya (`AWSManagedServicesDevelopmentRole`untuk **MALZ**, `customer_developer_role` untuk **SALZ**), memberikan izin untuk membuat sumber daya infrastruktur aplikasi dalam VPC AMS Advanced, termasuk peran IAM, sekaligus membatasi akses ke komponen *layanan bersama* yang dioperasikan oleh AMS Advanced (misalnya, host manajemen, pengontrol domain, Trend Micro EPS, benteng, dan layanan AWS yang tidak didukung). Peran ini juga membatasi akses ke log Layanan AWS Lanjutan Amazon GuardDuty, AWS Organizations, AWS Directory Service APIs, dan AMS.
Meskipun peran memungkinkan Anda membuat peran IAM tambahan, batas izin yang sama yang disertakan dalam akses mode Pengembang diberlakukan pada peran IAM apa pun yang dibuat oleh. `AWSManagedServicesDevelopmentRole`
# Keamanan dan kepatuhan dalam mode Pengembang
Keamanan dan kepatuhan adalah tanggung jawab bersama antara AMS Advanced dan Anda sebagai pelanggan kami. Mode AMS Advanced Developer mengalihkan tanggung jawab bersama kepada Anda atas sumber daya yang disediakan di luar proses manajemen perubahan atau disediakan melalui manajemen perubahan tetapi diperbarui dengan izin mode Pengembang. Untuk informasi selengkapnya tentang tanggung jawab bersama, lihat [AWS Managed Services](https://aws.amazon.com/managed-services/).
**Peringatan:**
+ DevMode memungkinkan Anda dan tim resmi Anda untuk melewati deny-by-default prinsip-prinsip inti keamanan AMS. Keuntungan, swalayan, lebih sedikit waktu menunggu AMS harus ditimbang terhadap kerugiannya, siapa pun dapat melakukan tindakan tak terduga dan destruktif tanpa sepengetahuan tim keamanan mereka. Jenis perubahan otomatis untuk mengaktifkan mode Dev dan mode Perubahan Langsung diekspos, dan setiap orang yang berwenang di organisasi Anda dapat menjalankannya CTs dan mengaktifkan mode ini.
+ Anda bertanggung jawab untuk mengelola izin eksekusi CT dari basis pengguna Anda.
+ AMS tidak mengelola izin eksekusi CT
**Rekomendasi:**
+ **Lindungi**
+ Pelanggan dapat mencegah akses ke CT ini melalui izin, lihat [Membatasi izin dengan pernyataan](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html) kebijakan peran IAM
+ Mencegah akses ke CT ini dengan menerapkan proxy seperti sistem ITSM
+ Memanfaatkan kebijakan kontrol layanan (SCPs) yang mencegah kebijakan dan perilaku sesuai kebutuhan, lihat Perpustakaan Kontrol [Pencegahan dan Detektif AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html)
+ **Mendeteksi**
+ Pantau RFC Anda untuk ini CTs (Aktifkan mode pengembang ct-1opjmhuddw194 dan mode perubahan langsung, Aktifkan ct-3rd4781c2nnhp) dieksekusi dan merespons sesuai
+ Tinjau and/or audit akun Anda untuk keberadaan sumber daya IAM untuk mengidentifikasi akun tersebut di mana mode Pengembang atau mode Perubahan Langsung telah diterapkan
+ **Menanggapi**
+ Hapus akun dalam mode Pengembang sesuai kebutuhan
## Keamanan dalam mode Pengembang
AMS Advanced menawarkan nilai tambahan dengan landing zone preskriptif, sistem manajemen perubahan, dan manajemen akses. Saat menggunakan mode Pengembang, nilai keamanan AMS Advanced dipertahankan dengan menggunakan konfigurasi akun yang sama dari akun AMS Advanced standar yang menetapkan jaringan pengerasan keamanan AMS Advanced dasar. Jaringan dilindungi oleh batas izin yang diberlakukan dalam peran (`AWSManagedServicesDevelopmentRole`untuk **MALZ, `customer_developer_role` untuk **SALZ****), yang membatasi pengguna untuk memecah perlindungan parameter yang ditetapkan saat akun disiapkan.
Misalnya, pengguna dengan peran dapat mengakses Amazon Route 53 tetapi zona host internal AMS Advanced dibatasi. Batas izin yang sama diberlakukan pada peran IAM yang dibuat oleh`AWSManagedServicesDevelopmentRole`, menegakkan batasan izin pada yang membatasi pengguna untuk memecah perlindungan parameter `AWSManagedServicesDevelopmentRole` yang ditetapkan saat akun di-onboard ke AMS Advanced.
## Kepatuhan dalam mode Pengembang
Mode pengembang kompatibel dengan beban kerja produksi dan non-produksi. Anda bertanggung jawab untuk memastikan kepatuhan terhadap standar kepatuhan apa pun (misalnya, PHI, HIPAA, PCI), dan untuk memastikan bahwa penggunaan mode Pengembang sesuai dengan kerangka kerja dan standar pengendalian internal Anda.
# Ubah manajemen dalam mode Pengembang
Manajemen perubahan adalah proses yang digunakan layanan AMS Advanced untuk mengimplementasikan permintaan perubahan. Permintaan untuk perubahan (RFC) adalah permintaan yang dibuat oleh Anda atau AMS Advanced melalui antarmuka AMS Advanced untuk membuat perubahan pada lingkungan terkelola Anda dan menyertakan ID tipe perubahan (CT) untuk operasi tertentu. Untuk informasi selengkapnya, lihat [Ubah mode manajemen](using-change-management.md).
Manajemen perubahan tidak diberlakukan di akun AMS Advanced di mana izin mode Pengembang diberikan. Pengguna yang telah diberikan izin mode Pengembang dengan peran IAM (`AWSManagedServicesDevelopmentRole`untuk **MALZ, `customer_developer_role` untuk **SALZ****), dapat menggunakan akses AWS API asli ke penyediaan dan membuat perubahan pada sumber daya di akun AMS Advanced mereka. Pengguna yang tidak memiliki peran yang sesuai dalam akun ini harus menggunakan proses manajemen perubahan AMS Advanced untuk melakukan perubahan.
**penting**
Sumber daya yang Anda buat menggunakan mode Pengembang dapat dikelola oleh AMS Advanced hanya jika dibuat menggunakan proses manajemen perubahan AMS Advanced. Permintaan untuk perubahan yang dikirimkan ke AMS Advanced untuk sumber daya yang dibuat di luar proses manajemen perubahan AMS Advanced ditolak oleh AMS Advanced karena harus ditangani oleh Anda.
## Pembatasan API layanan penyediaan layanan mandiri
Semua layanan mandiri AMS Advanced didukung dengan mode Pengembang. Akses ke layanan yang disediakan sendiri tunduk pada batasan yang diuraikan di masing-masing bagian panduan pengguna untuk masing-masing. Jika layanan yang disediakan sendiri tidak tersedia dengan peran mode Pengembang, Anda dapat meminta peran yang diperbarui melalui jenis perubahan mode Pengembang.
Layanan berikut tidak menyediakan akses penuh ke layanan APIs:
**Layanan Penyediaan Mandiri Dibatasi dalam mode Pengembang**
| Layanan | Catatan |
| --- | --- |
| Amazon API Gateway | Semua APIs panggilan Gateway diperbolehkan kecuali`SetWebACL`. |
| Penskalaan Otomatis Aplikasi | Hanya dapat mendaftarkan atau membatalkan pendaftaran target yang dapat diskalakan, dan menempatkan atau menghapus kebijakan penskalaan. |
| AWS CloudFormation | Tidak dapat mengakses atau memodifikasi CloudFormation tumpukan yang memiliki nama yang diawali dengan. `mc-` |
| AWS CloudTrail | Tidak dapat mengakses atau memodifikasi CloudTrail sumber daya yang memiliki nama yang diawali dengan `ams-` and/or `mc-`. |
| Amazon Cognito (Kolam Pengguna) | Tidak dapat mengaitkan token perangkat lunak. Tidak dapat membuat kumpulan pengguna, pekerjaan impor pengguna, server sumber daya, atau penyedia identitas. |
| AWS Directory Service | Hanya Directory Service tindakan berikut yang diperlukan oleh `Connect` dan `WorkSpaces` layanan. Semua tindakan Directory Service lainnya ditolak oleh kebijakan batas izin mode Pengembang: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/developer-mode-change-management.html) Dalam akun landing zone akun tunggal, kebijakan batas secara eksplisit menolak akses ke direktori terkelola AMS Advanced yang digunakan oleh AMS Advanced untuk mempertahankan akses ke akun yang diaktifkan mode pengembang. |
| Amazon Elastic Compute Cloud | Tidak dapat mengakses Amazon EC2 APIs yang berisi string:`DhcpOptions`,`Gateway`,`Subnet`,`VPC`, dan`VPN`. Tidak dapat mengakses atau memodifikasi EC2 sumber daya Amazon yang memiliki tag yang diawali dengan`AMS`,, `mc``ManagementHostASG`, and/or `sentinel`. |
| Amazon EC2 (Laporan) | Hanya akses tampilan yang diberikan (tidak dapat memodifikasi). Catatan: Amazon EC2 Reports sedang bergerak. Item menu **Laporan** akan dihapus dari menu navigasi EC2 konsol Amazon. Untuk melihat laporan EC2 penggunaan Amazon setelah dihapus, gunakan konsol AWS Billing dan Manajemen Biaya. |
| AWS Identity and Access Management (IAM) | Tidak dapat menghapus batas izin yang ada, atau mengubah kebijakan kata sandi pengguna IAM. Tidak dapat membuat atau memodifikasi sumber daya IAM kecuali Anda menggunakan peran IAM yang benar (`AWSManagedServicesDevelopmentRole`untuk **MALZ, `customer_developer_role` untuk **SALZ****)). Tidak dapat mengubah sumber daya IAM yang diawali dengan:`ams`,,`mc`,`customer_deny_policy`. and/or `sentinel` Saat membuat sumber daya IAM baru (peran, pengguna, atau grup), batas izin (**MALZ:`AWSManagedServicesDevelopmentRolePermissionsBoundary`, **SALZ****:`ams-app-infra-permissions-boundary`) harus dilampirkan. |
| AWS Key Management Service (AWS KMS) | Tidak dapat mengakses atau memodifikasi kunci KMS yang dikelola lanjutan AMS. |
| AWS Lambda | Tidak dapat mengakses atau memodifikasi AWS Lambda fungsi yang diawali dengan`AMS`. |
| CloudWatch Log | Tidak dapat mengakses aliran CloudWatch log yang nama diawali dengan:`mc`,`aws`,`lambda`. and/or `AMS` |
| Amazon Relational Database Service (Amazon RDS) | Tidak dapat mengakses atau memodifikasi database Amazon Relational Database Service (Amazon RDS) DBs () yang memiliki nama yang diawali dengan:. `mc-` |
| AWS Resource Groups | Hanya dapat mengakses`Get`,`List`, dan tindakan API Grup `Search` Sumber Daya. |
| Amazon Route 53 | Tidak dapat mengakses atau memodifikasi sumber daya Route53 AMS yang dikelola lanjutan. |
| Amazon S3 | Tidak dapat mengakses bucket Amazon S3 yang memiliki nama yang diawali dengan:`ams-*`,,, `ams` atau. `ms-a` `mc-a` |
| AWS Security Token Service | Satu-satunya API layanan token keamanan yang diizinkan adalah`DecodeAuthorizationMessage`. |
| Amazon SNS | Tidak dapat mengakses topik SNS yang memiliki nama yang diawali dengan:`AMS-`,`Energon-Topic`, atau. `MMS-Topic` |
| AWS Systems Manager Manajer (SSM) | Tidak dapat mengubah parameter SSM yang diawali dengan`ams`,`mc`, atau. `svc` Tidak dapat menggunakan SSM API `SendCommand` terhadap EC2 instans Amazon yang memiliki tag yang diawali dengan atau. `ams` `mc` |
| AWS Menandai | Anda hanya memiliki akses ke tindakan API AWS Tagging yang diawali dengan. `Get` |
| AWS Lake Formation | Tindakan AWS Lake Formation API berikut ditolak: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | Anda hanya dapat memanggil aksi Elastic Inference API. `elastic-inference:Connect` Izin ini termasuk dalam `customer_sagemaker_admin_policy` yang dilampirkan pada`customer_sagemaker_admin_role`. Tindakan ini memberi Anda akses ke akselerator Elastic Inference. |
| AWS Shield | Tidak ada akses ke salah satu layanan APIs atau konsol ini. |
| Layanan Alur Kerja Sederhana Amazon | Tidak ada akses ke salah satu layanan APIs atau konsol ini. |
# Penyediaan infrastruktur dalam mode Pengembang AMS
Pengguna yang tidak memiliki peran IAM mode Pengembang`AWSManagedServicesDevelopmentRole`, di akun tempat mode Pengembang diaktifkan, diharuskan mengikuti proses manajemen perubahan AMS Advanced yang memanfaatkan AMS Advanced. AMIs Pengguna dengan peran yang benar (**MALZ**:`AWSManagedServicesDevelopmentRole`, **SALZ**:`customer_developer_role`) dapat menggunakan sistem manajemen perubahan AMS Advanced dan AMS Advanced AMIs tetapi tidak diharuskan melakukannya.
**catatan**
AWS AMI, yang belum diproses melalui konsumsi beban kerja AMS Advanced, atau dibuat di akun AMS Advanced, tidak akan menyertakan konfigurasi AMS Advanced-required.
# Kontrol Detektif dalam mode Pengembang AMS
Bagian ini telah disunting karena berisi informasi sensitif terkait keamanan AMS. Informasi ini tersedia melalui **Dokumentasi** konsol AMS. Untuk mengakses Artifact AWS, Anda dapat menghubungi CSDM Anda untuk mendapatkan petunjuk atau membuka [Memulai dengan Artifact AWS](https://aws.amazon.com/artifact/getting-started).
# Pencatatan, pemantauan, dan manajemen acara dalam mode Pengembang AMS
Pencatatan, pemantauan, dan manajemen peristiwa tidak tersedia untuk sumber daya yang disediakan di luar proses manajemen perubahan AMS Advanced, atau untuk sumber daya yang disediakan melalui manajemen perubahan dan kemudian diubah oleh akun menggunakan izin mode Pengembang.
# Manajemen insiden dalam mode Pengembang AMS
Tidak ada perubahan waktu respons insiden. Resolusi insiden adalah upaya terbaik untuk sumber daya yang disediakan di luar proses manajemen perubahan, atau sumber daya yang disediakan melalui manajemen perubahan dan kemudian diubah oleh akun menggunakan izin mode Pengembang.
**catatan**
Perjanjian tingkat layanan AMS (SLA) tidak berlaku untuk sumber daya yang dibuat atau diperbarui di luar sistem manajemen perubahan AMS (permintaan untuk perubahan atau RFCs), termasuk mode Pengembang; oleh karena itu, sumber daya yang diperbarui atau dibuat dalam mode Pengembang secara otomatis terdegradasi ke P3 dan dukungan AMS adalah upaya terbaik.
# Manajemen tambalan dalam mode Pengembang AMS
Manajemen tambalan tidak tersedia untuk sumber daya yang disediakan di luar proses manajemen perubahan AMS Advanced, atau untuk sumber daya yang disediakan melalui manajemen perubahan dan kemudian diubah oleh akun menggunakan izin mode Pengembang. Waktu penambalan:
+ Untuk pembaruan keamanan kritis: Dalam waktu 10 hari kerja setelah rilis oleh vendor untuk sumber daya yang disediakan melalui manajemen perubahan dan kemudian diubah oleh akun menggunakan izin mode Pengembang.
+ Untuk pembaruan penting: Dalam waktu 2 bulan setelah rilis oleh vendor untuk sumber daya yang disediakan melalui manajemen perubahan dan kemudian diubah oleh akun menggunakan izin mode Pengembang.
# Manajemen kontinuitas dalam mode Pengembang AMS
Manajemen kontinuitas tidak tersedia untuk sumber daya yang disediakan di luar proses manajemen perubahan AMS Advanced, atau untuk sumber daya yang disediakan melalui manajemen perubahan dan kemudian diubah oleh akun menggunakan izin mode Pengembang.
Waktu inisiasi pemulihan lingkungan dapat memakan waktu hingga 12 jam untuk sumber daya yang disediakan di luar proses manajemen perubahan AMS Advanced, atau untuk sumber daya yang disediakan melalui manajemen perubahan dan kemudian diubah oleh akun menggunakan izin mode Pengembang.
# Keamanan dan manajemen akses dalam mode Pengembang AMS
Perlindungan anti-malware adalah tanggung jawab Anda atas sumber daya yang disediakan di luar proses manajemen perubahan AMS Advanced, atau untuk sumber daya yang disediakan melalui manajemen perubahan dan kemudian diubah oleh akun menggunakan izin mode Pengembang. Akses ke instans Amazon Elastic Compute Cloud (Amazon EC2) yang tidak disediakan melalui manajemen perubahan AMS Advanced mungkin dikontrol oleh pasangan kunci alih-alih menyediakan akses gabungan.
# Mode Penyediaan Layanan Mandiri di AMS
Mode AWS Managed Services (AMS) Self-Service Provisioning (SSP) menyediakan akses penuh ke AWS layanan native dan kemampuan API di akun terkelola AMS. Anda mengakses layanan melalui peran standar, cakupan bawah,. AWS Identity and Access Management AMS menyediakan permintaan layanan dan manajemen insiden. Peringatan, pemantauan, pencatatan, tambalan, cadangan, dan manajemen perubahan adalah tanggung jawab Anda. Dalam banyak kasus, layanan Penyediaan Layanan Mandiri (SSPS) dikelola sendiri, atau tanpa server, dan tidak memerlukan manajemen tugas operasional tertentu seperti patching. Anda mendapat manfaat dari penggunaan layanan ini dalam batas lingkungan yang ditentukan oleh pagar pembatas AMS dan setiap perubahan IAM (termasuk peran terkait layanan, peran layanan, peran lintas akun, atau pembaruan kebijakan) perlu disetujui oleh Operasi AMS untuk menjaga keamanan dasar platform. Anda dapat memanfaatkan CloudFormation template untuk mengotomatiskan penerapan layanan ini, tetapi ini tidak didukung untuk semua layanan SSP.
**penting**
Gunakan mode SSP di akun AWS Managed Services (AMS) Anda untuk mengakses dan menggunakan AWS layanan, dengan batasan sebagaimana disebutkan.
Ada beberapa Layanan AWS yang dapat Anda gunakan tanpa manajemen AMS, di akun AMS Anda. Layanan mode Penyediaan Layanan Mandiri, atau singkatnya SSPS, cara menambahkannya ke akun AMS Anda dan FAQs untuk masing-masing, dijelaskan di bagian ini.
Layanan penyediaan layanan mandiri ditawarkan apa adanya, dan Anda bertanggung jawab untuk mengelolanya. AMS tidak memberikan peringatan, pemantauan, pencatatan, atau penambalan untuk sumber daya yang terkait dengan layanan tersebut. AMS menyediakan peran IAM yang memungkinkan Anda menggunakan layanan di akun AMS Anda dengan aman. AMS SLAs tidak berlaku.
Untuk sumber daya yang Anda sediakan melalui layanan mandiri, AMS menyediakan manajemen insiden, kontrol detektif dan pagar pembatas, pelaporan, sumber daya yang ditunjuk (Cloud Service Delivery Manager dan Cloud Architect), keamanan dan akses, serta dukungan teknis melalui permintaan layanan. Selain itu, jika berlaku, Anda bertanggung jawab atas manajemen kontinuitas, manajemen patch, pemantauan infrastruktur, dan manajemen perubahan untuk sumber daya yang disediakan atau dikonfigurasi di luar sistem manajemen perubahan AMS.
# Memulai dengan mode SSP di AMS
Penyediaan layanan mandiri adalah salah satu mode AMS untuk multi-account landing zone (MALZ) yang dapat Anda gunakan. Untuk informasi selengkapnya, lihat [Ikhtisar mode](ams-modes-ug.md).
Untuk menyediakan kemampuan penyediaan layanan mandiri, AMS telah menciptakan peran IAM yang ditingkatkan dengan batas izin untuk membatasi perubahan yang tidak diinginkan dari akses langsung. Layanan AWS Peran tidak mencegah semua perubahan dan Anda harus mematuhi kontrol internal dan kebijakan kepatuhan Anda, dan memvalidasi bahwa semua yang Layanan AWS digunakan memenuhi sertifikasi yang diperlukan. Ini adalah mode penyediaan swalayan. Untuk detail tentang persyaratan AWS kepatuhan, lihat [AWS Kepatuhan](https://aws.amazon.com/compliance/).
Untuk menambahkan layanan penyediaan layanan mandiri ke akun Aplikasi landing zone multi-akun Anda, gunakan **Manajemen AWS \$1 layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (CT), baik CT yang diperlukan peninjauan atau CT otomatis, seperti yang diinstruksikan untuk layanan**.
**catatan**
Untuk meminta agar AMS menyediakan layanan penyediaan layanan mandiri tambahan, ajukan permintaan layanan.
# Gunakan AMS SSP untuk menyediakan Amazon API Gateway di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon API Gateway secara langsung di akun terkelola AMS Anda. [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) adalah layanan yang dikelola sepenuhnya yang memudahkan pengembang untuk membuat, menerbitkan, memelihara, memantau, dan mengamankan APIs pada skala apa pun. Dengan menggunakan REST, Konsol Manajemen AWS Anda dapat membuat REST dan WebSocket APIs bertindak sebagai pintu depan bagi aplikasi untuk mengakses data, logika bisnis, atau fungsionalitas dari layanan back-end Anda, seperti beban kerja yang berjalan di Amazon Elastic Compute Cloud ([Amazon EC2](https://aws.amazon.com/ec2/)), kode yang berjalan, aplikasi web apa pun [AWS Lambda](https://aws.amazon.com/lambda/), atau aplikasi komunikasi real-time.
API Gateway menangani semua tugas yang terlibat dalam menerima dan memproses hingga ratusan ribu panggilan API bersamaan, termasuk manajemen lalu lintas, otorisasi dan kontrol akses, pemantauan, dan manajemen versi API. API Gateway tidak memiliki biaya minimum atau biaya startup. Anda hanya membayar untuk panggilan API yang Anda terima dan jumlah data yang ditransfer keluar dan, dengan model harga berjenjang API Gateway, Anda dapat mengurangi biaya saat skala penggunaan API Anda. Untuk mempelajari selengkapnya, lihat [Amazon API Gateway](https://aws.amazon.com/api-gateway/).
## FAQ: API Gateway di AMS
**T: Bagaimana cara meminta akses ke Amazon API Gateway di akun AMS saya?**
Minta akses ke API Gateway dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_apigateway_author_role` dan. `customer_apigateway_cloudwatch_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon API Gateway di akun AMS saya?**
+ Konfigurasi API Gateway terbatas pada sumber daya tanpa `AMS-` atau `MC-` awalan untuk mencegah modifikasi apa pun pada infrastruktur AMS.
+ `CREATE`hak istimewa untuk VPCLink dinonaktifkan untuk mencegah pembuatan Elastic Load Balancer yang tidak diatur. Jika VPCLinks diperlukan, lihat [Application Load Balancer \$1 Buat](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-application-load-balancer-create.html).
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon API Gateway di akun AMS saya?**
Itu tergantung pada jenis API Gateway yang ingin Anda terapkan. Ini bisa menjadi layanan mandiri, tetapi juga dapat meminta akses ke layanan yang ada (misalnya, penyeimbang beban jaringan).
# Gunakan AMS SSP untuk menyediakan Alexa for Business di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Alexa for Business secara langsung di akun terkelola AMS Anda. Alexa for Business adalah layanan yang memungkinkan organisasi dan karyawan Anda menggunakan Alexa untuk menyelesaikan lebih banyak pekerjaan. Dengan Alexa for Business, Anda dapat menggunakan Alexa sebagai asisten cerdas Anda untuk menjadi lebih produktif di ruang rapat, di meja Anda, dan bahkan dengan perangkat Alexa yang sudah Anda gunakan di rumah atau saat bepergian. Manajer TI dan fasilitas dapat menggunakan Alexa for Business untuk mengukur dan meningkatkan pemanfaatan ruang pertemuan yang ada di tempat kerja mereka.
Untuk mempelajari lebih lanjut, lihat [Alexa for Business](https://aws.amazon.com/alexaforbusiness/).
## Alexa for Business di AWS Managed Services FAQ
**T: Bagaimana cara meminta akses ke Alexa for Business di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_alexa_console_role` A juga `customer_alexa_device_setup_user` dibuat untuk Device Setup Tool yang disediakan oleh Alexa for Business; Alat Pengaturan Perangkat ini kemudian dapat digunakan untuk mengatur perangkat Anda. Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
Gateway Alexa for Business memungkinkan Anda menghubungkan Alexa for Business ke titik akhir Cisco Webex dan Poly Group Series untuk mengontrol rapat dengan suara Anda. Perangkat lunak gateway berjalan pada perangkat keras lokal Anda dan dengan aman proksi arahan konferensi dari Alexa for Business ke titik akhir Cisco Anda. Gateway membutuhkan dua pasang AWS kredensil untuk berkomunikasi dengan Alexa for Business. Kami menyediakan dua pengguna IAM akses terbatas: `customer_alexa_gateway_installer_user` dan `customer_alexa_gateway_execution_user` untuk gateway Alexa for Business Anda, satu untuk menginstal gateway dan satu untuk mengoperasikan gateway; ini dapat diminta dengan mengirimkan RFC dengan Deployment \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) \$1 Buat entitas atau kebijakan (otomatisasi terkelola) jenis perubahan (ct-3dpd8mdd9dd9jn1r).
**catatan**
Untuk menghasilkan laporan penggunaan dan mengirimkannya ke Amazon S3, tentukan nama bucket Amazon S3 di RFC layanan yang disediakan sendiri.
**T: Apa batasan untuk menggunakan Alexa for Business di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Alexa for Business tersedia dengan peran layanan mandiri Alexa for Business.
**T: Apa prasyarat atau dependensi untuk menggunakan Alexa for Business di akun AMS saya?**
+ Jika Anda bermaksud menggunakan WPA2 Enterprise Wi-Fi untuk menyiapkan perangkat bersama, tentukan jenis keamanan jaringan ini di Alat Pengaturan Perangkat, yang AWS Private Certificate Authority diperlukan.
+ AMS hanya membuat kunci rahasia yang dimulai dengan namespace “A4B”. Ini hanya terbatas pada namespace ini.
**T: Apa fungsi Alexa for Business yang membutuhkan terpisah? RFCs**
Untuk mendaftarkan perangkat Alexa Voice Service (AVS) dengan Alexa for Business, berikan akses ke pembuat perangkat bawaan Alexa. Untuk melakukan ini, peran IAM perlu dibuat di konsol Alexa for Business yang dapat digunakan menggunakan Management \$1 Other \$1 Other \$1 Other change type. Hal ini memungkinkan pembuat perangkat AVS untuk mendaftarkan dan mengelola perangkat dengan Alexa for Business atas nama Anda.
# Gunakan AMS SSP untuk menyediakan WorkSpaces Aplikasi Amazon di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas WorkSpaces Aplikasi Amazon (WorkSpaces Aplikasi) secara langsung di akun terkelola AMS Anda. WorkSpaces Aplikasi memungkinkan Anda memindahkan aplikasi desktop Anda ke AWS, tanpa menulis ulang. Anda dapat menginstal aplikasi Anda pada WorkSpaces Aplikasi, mengatur konfigurasi peluncuran, dan membuat aplikasi Anda tersedia untuk pengguna. WorkSpaces Aplikasi menawarkan berbagai pilihan opsi mesin virtual sehingga Anda dapat memilih jenis instans yang paling sesuai dengan kebutuhan aplikasi Anda, dan mengatur parameter skala otomatis sehingga Anda dapat dengan mudah memenuhi kebutuhan pengguna akhir Anda. WorkSpaces Aplikasi memungkinkan Anda untuk meluncurkan aplikasi di jaringan Anda sendiri, yang berarti aplikasi Anda dapat berinteraksi dengan AWS sumber daya yang ada.
WorkSpaces Aplikasi Amazon memungkinkan Anda menginstal, menguji, dan memperbarui aplikasi dengan cepat dan mudah menggunakan pembuat gambar. Aplikasi apa pun yang berjalan di Microsoft Windows Server 2012 R2, Windows Server 2016, atau Windows Server 2019 didukung, dan Anda tidak perlu melakukan modifikasi apa pun. Ketika pengujian selesai, Anda dapat mengatur konfigurasi peluncuran aplikasi, pengaturan pengguna default, dan mempublikasikan gambar Anda untuk diakses pengguna.
Untuk mempelajari lebih lanjut, lihat [WorkSpaces Aplikasi](https://aws.amazon.com/appstream2/).
## WorkSpaces FAQ Aplikasi di AWS Managed Services
**T: Bagaimana cara meminta akses ke WorkSpaces Aplikasi di akun AMS saya?**
Minta akses ke WorkSpaces Aplikasi dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-3qe6io8t6jtny) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_appstream_console_role`
A juga `customer_appstream_stream_role` digunakan untuk streaming aplikasi yang mengharuskan pengguna untuk diautentikasi menggunakan kredensil login Active Directory mereka.
Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan WorkSpaces Aplikasi di akun AMS saya?**
+ Fungsionalitas berikut harus dikonfigurasi oleh tim Dukungan AMS, dan memerlukan spesifik RFCs. Instruksi tentang meminta fungsionalitas tambahan dapat ditemukan di bagian 4.
+ Membuat dan Streaming dari Titik Akhir VPC Antarmuka.
+ Support untuk titik akhir Amazon S3 untuk folder rumah dan persistensi pengaturan aplikasi di jaringan pribadi.
+ Membuat dan memilih peran IAM yang akan tersedia di semua instance streaming armada.
+ Bergabung dengan armada WorkSpaces Aplikasi dan pembuat gambar domain Microsoft Active Directory.
+ Membuat Laporan Penggunaan Kustom WorkSpaces Aplikasi.
+ Custom branding saat ini tidak didukung.
**T: Apa prasyarat atau dependensi untuk menggunakan WorkSpaces Aplikasi di akun AMS saya?**
Saat mengirimkan RFC ke WorkSpaces Aplikasi onboard, sertakan nama bucket Amazon S3 yang akan digunakan untuk laporan penggunaan Aplikasi. WorkSpaces Nama bucket ditambahkan ke `customer-appstream-usagereports-policy` yang dibuat saat WorkSpaces Applications onboard.
**T: Fungsionalitas WorkSpaces Aplikasi apa yang membutuhkan terpisah RFCs?**
+ Untuk memilih titik akhir VPC antarmuka untuk WorkSpaces Aplikasi, kirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui jenis perubahan RFC untuk membuat titik akhir VPC di akun Anda. Untuk langkah-langkah untuk membuat titik akhir khusus untuk WorkSpaces Aplikasi, lihat [Membuat dan Streaming dari Titik Akhir VPC Antarmuka](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html) di WorkSpaces panduan pengguna Aplikasi.
+ Support untuk titik akhir Amazon S3 untuk folder rumah dan persistensi pengaturan aplikasi di jaringan pribadi dapat dikonfigurasi dengan meminta titik akhir VPC Amazon S3 dengan Manajemen \$1 Lainnya \$1 Lainnya \$1 Lainnya \$1 Buat jenis perubahan RFC. RFC harus menyertakan bucket Amazon S3 target yang menghosting konten folder beranda, atau pengaturan aplikasi bucket Amazon S3, masing-masing. RFC ini akan memberikan izin yang dibutuhkan WorkSpaces Aplikasi untuk mengakses titik akhir VPC Amazon S3. Untuk langkah-langkah untuk membuat titik akhir khusus untuk streaming, lihat [Menggunakan Titik Akhir VPC Amazon S3 untuk Folder Rumah dan Persistensi Pengaturan Aplikasi dalam panduan pengguna Aplikasi](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html). WorkSpaces
+ Untuk membuat dan memilih peran IAM yang akan tersedia di semua instance streaming armada, kirimkan Deployment \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) \$1 Buat entitas atau kebijakan (otomatisasi terkelola) jenis perubahan (ct-3dpd8mdd9jn1r) RFC yang meminta peran IAM dengan kebijakan yang diperlukan. Nama peran IAM harus selalu dimulai dengan awalan: “customer\$1appstream”.
+ Armada Amazon WorkSpaces Applications dan pembuat gambar dapat digabungkan ke domain di Microsoft Active Directory dengan mengirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui jenis perubahan RFC untuk pembuatan Akun Layanan di Active Directory (AD). Izin minimal yang diperlukan untuk bergabung dengan Microsoft Active Directory didefinisikan dalam dokumentasi WorkSpaces Aplikasi di [Pemberian Izin untuk Membuat dan Mengelola Objek Komputer Direktori Aktif](https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions).
+ Untuk membuat Laporan Penggunaan WorkSpaces Aplikasi kustom, kirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat jenis perubahan RFC yang meminta berikut:
+ “AppStreamUsageReports” Pembuatan tumpukan CFN
+ “customer\$1appstream\$1usagereports\$1role” disediakan di akun
+ Juga, berikan detail berikut:
+ Berikan ekspresi CRON untuk menjadwalkan Crawler run. Secara default adalah 23:00 UTC setiap hari.
+ Bucket Amazon S3 ARN akan digunakan untuk hasil kueri Athena. Bucket ini harus memiliki awalan: `aws-athena-query-results`
+ Amazon S3 bucket ARN untuk Log Laporan Penggunaan WorkSpaces Aplikasi.
Setelah peran disediakan, masukkan peran ke dalam solusi federasi Anda dan login, lalu akses dan AWS GlueAWS Glue Athena untuk membuat laporan kustom menggunakan peran laporan penggunaan. Untuk detail tentang menggunakan Laporan Penggunaan WorkSpaces Aplikasi, lihat [Membuat Laporan Kustom dan Menganalisis Data Penggunaan WorkSpaces Aplikasi](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-custom-reports-analyze-usage-data.html), dalam dokumentasi WorkSpaces Aplikasi.
# Gunakan AMS SSP untuk menyediakan Amazon Athena di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Athena (Athena) secara langsung di akun terkelola AMS Anda. Athena adalah layanan kueri interaktif yang membantu Anda menganalisis data di Amazon S3 menggunakan SQL standar. Athena tidak memiliki server, sehingga tidak ada infrastruktur untuk dikelola dan Anda hanya membayar untuk mengkueri yang Anda jalankan. Anda mengarahkan ke data Anda di Amazon S3, menentukan skema, dan mulai melakukan kueri menggunakan SQL standar. Sebagian besar hasil disampaikan dalam hitungan detik. Dengan Athena, tidak perlu pekerjaan kompleks extract-transform-load (ETL) untuk mempersiapkan data Anda untuk analisis. Ini membuatnya mudah bagi siapa pun dengan keterampilan SQL untuk menganalisis kumpulan data skala besar dengan cepat. Untuk mempelajari lebih lanjut, lihat [Amazon Athena](https://aws.amazon.com/athena/).
## FAQ: Athena di AMS
**T: Bagaimana cara meminta akses ke Amazon Athena di akun AMS saya?**
Minta akses ke Athena dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_athena_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Athena di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Amazon Athena tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Athena di akun AMS saya?**
Athena memiliki ketergantungan besar pada AWS Glue layanan, karena menggunakan data catalog/metastore yang dibuat dengan. AWS Glue Oleh karena itu, AWS Glue izin disertakan dalam Athena RFC yang sukses.
Peran tersebut `customer_athena_console_role` memiliki prasyarat untuk ember Amazon S3. Untuk membuat bucket baru, gunakan CT otomatis `ct-1a68ck03fn98r` (Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create). Saat Anda menggunakan CT otomatis ini untuk membuat bucket S3 untuk Athena, nama bucket harus dimulai dengan awalan. `athena-query-results-*`
# Gunakan AMS SSP untuk menyediakan Amazon Bedrock di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan Amazon Bedrock secara langsung di akun terkelola AMS Anda. Amazon Bedrock adalah layanan yang dikelola sepenuhnya yang membuat model foundation berkinerja tinggi (FMs) dari startup AI terkemuka dan AWS tersedia untuk Anda gunakan melalui API terpadu. Anda dapat memilih dari berbagai model pondasi untuk menemukan model yang paling cocok untuk kasus penggunaan Anda. Amazon Bedrock juga menawarkan serangkaian kemampuan yang luas untuk membangun aplikasi AI generatif dengan keamanan, privasi, dan AI yang bertanggung jawab. Menggunakan Amazon Bedrock, Anda dapat dengan mudah bereksperimen dengan dan mengevaluasi model dasar teratas untuk kasus penggunaan Anda, menyesuaikannya secara pribadi dengan data Anda menggunakan teknik seperti fine-tuning dan Retrieval Augmented Generation (RAG), dan membangun agen yang menjalankan tugas menggunakan sistem perusahaan dan sumber data Anda.
Dengan pengalaman tanpa server Amazon Bedrock, Anda dapat memulai dengan cepat, menyesuaikan model foundation secara pribadi dengan data Anda sendiri, serta mengintegrasikan serta menerapkannya dengan mudah dan aman ke dalam aplikasi Anda menggunakan alat AWS tanpa harus mengelola infrastruktur apa pun. Untuk informasi selengkapnya, lihat [Amazon Bedrock](https://aws.amazon.com/bedrock/).
## FAQ: Batuan Dasar Amazon di AMS
**T: Bagaimana cara meminta akses ke Amazon Bedrock di akun AMS saya?**
Untuk meminta akses ke Amazon Bedrock, kirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) ubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_bedrock_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Bedrock di akun AMS saya?**
+ Basis pengetahuan Amazon Bedrock tidak didukung secara default sebagai bagian dari peran SSPS karena ketergantungannya pada OpenSearch Amazon Service Serverless yang saat ini tidak didukung di AMS.
+ Bedrock Studio tidak didukung karena ketergantungannya pada layanan yang tidak didukung seperti Amazon. DataZone
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Bedrock di akun AMS saya?**
+ Langganan model pihak ketiga yang memerlukan AWS Marketplace izin harus dilakukan oleh peran default (`AWSManagedServicesAdminRole`di MALZ dan `Customer_ReadOnly_Role` di SALZ). Ini karena peran default menyertakan AWS Marketplace izin.
+ Jika enkripsi data digunakan, maka Anda harus memberikan ARN AWS KMS kunci saat Anda meminta pembuatan peran konsol. Selain itu, ember Amazon S3 yang digunakan harus memiliki “batuan dasar” dalam namanya.
# Gunakan AMS SSP untuk menyediakan Amazon CloudSearch di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses CloudSearch kapabilitas Amazon secara langsung di akun terkelola AMS Anda. Amazon CloudSearch adalah layanan terkelola di AWS Cloud yang Anda gunakan agar hemat biaya untuk menyiapkan, mengelola, dan menskalakan solusi pencarian untuk situs web atau aplikasi Anda. Amazon CloudSearch mendukung 34 bahasa dan fitur pencarian populer seperti penyorotan, pelengkapan otomatis, dan pencarian geospasial. Untuk mempelajari lebih lanjut, lihat [Amazon CloudSearch](https://aws.amazon.com/cloudsearch/).
**catatan**
AWS telah menutup akses pelanggan baru ke Amazon CloudSearch, efektif 25 Juli 2024. Pelanggan Amazon CloudSearch yang sudah ada dapat terus menggunakan layanan seperti biasa. AWS terus berinvestasi dalam peningkatan keamanan, ketersediaan, dan kinerja untuk Amazon CloudSearch, tetapi kami tidak berencana untuk memperkenalkan fitur baru.
Untuk memahami perbedaan antara Amazon CloudSearch dan Amazon OpenSearch Service, dan bagaimana Anda dapat beralih ke OpenSearch Layanan, hubungi arsitek cloud (CA) Anda untuk mendapatkan panduan. Untuk informasi selengkapnya tentang transisi ke OpenSearch Layanan, lihat [Transisi dari layanan Amazon ke CloudSearch Amazon OpenSearch Service](https://aws.amazon.com/blogs/big-data/transition-from-amazon-cloudsearch-to-amazon-opensearch-service/).
## FAQ Amazon CloudSearch di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon CloudSearch di akun AMS saya?**
Minta akses ke Amazon CloudSearch dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_csearch_admin_role` dan. `customer_csearch_dev_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon CloudSearch di akun AMS saya?**
Fungsionalitas penuh Amazon CloudSearch tersedia di akun AMS Anda. Semua solusi database yang didukung AMS saat ini didukung di Amazon. CloudSearch Perhatikan bahwa, saat ini, DynamoDB adalah satu-satunya solusi database AWS terkelola yang tidak dapat diindeks.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon CloudSearch di akun AMS saya?**
Amazon CloudSearch bergantung pada Amazon S3 yang bekerja dengan Penyedia Identitas untuk menganalisis data input secara otomatis dan menentukan bidang tabel. Akses ke Amazon S3 tidak disediakan dengan RFC ini, dan harus diminta secara terpisah dalam permintaan layanan.
# Menggunakan AMS SSP untuk menyediakan Amazon CloudWatch Synthetics di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon CloudWatch Synthetics secara langsung di akun terkelola AMS Anda. Anda dapat menggunakan Amazon CloudWatch Synthetics untuk membuat 'kenari' untuk memantau titik akhir Anda dan. APIs
Canary adalah skrip yang dapat dikonfigurasi, ditulis dalam Node.js atau Python, yang berjalan sesuai jadwal. Mereka membuat fungsi Lambda di akun Anda yang menggunakan Node.js atau Python sebagai kerangka kerja. Canary bekerja di atas protokol HTTP maupun HTTPS. Canary memeriksa ketersediaan dan latensi titik akhir Anda dan dapat menyimpan data waktu buka dan tangkapan layar UI. Mereka memantau REST Anda APIs, URLs, dan konten situs web, dan mereka dapat memeriksa perubahan yang tidak sah dari phishing, injeksi kode, dan skrip lintas situs.
Canary mengikuti rute yang sama dan melakukan tindakan yang sama sebagai pelanggan, sehingga memungkinkan Anda untuk terus memverifikasi pengalaman pelanggan Anda bahkan ketika Anda tidak memiliki lalu lintas pelanggan pada aplikasi Anda. Dengan menggunakan canary, Anda dapat menemukan masalah sebelum para pelanggan Anda menemukannya. Untuk mempelajari lebih lanjut, lihat [Amazon CloudWatch: Menggunakan pemantauan sintetis](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html).
## FAQ Amazon CloudWatch Synthetics di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon CloudWatch Synthetics di akun AMS saya?**
Minta akses ke Amazon CloudWatch Synthetics dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Self-provisioned service \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda: 'customer\$1cw\$1synthetics\$1console\$1role' dan 'customer\$1cw\$1synthetics\$1canary\$1lambda\$1role'. Setelah disediakan di akun Anda, Anda harus mengaktifkan peran 'customer\$1cw\$1synthetics\$1console\$1role' dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon CloudWatch Synthetics di akun AMS saya?**
Tidak ada batasan untuk penggunaan Amazon CloudWatch Synthetics di akun AMS Anda. Membuat peran untuk kenari di luar peran layanan yang disediakan AMS 'customer\$1cw\$1synthetics\$1canary\$1lambda\$1role' dilarang.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon CloudWatch Synthetics di akun AMS saya?**
Canary membuat dan menggunakan bucket Amazon CloudWatch Synthetics S3 default: cw-syn-results "- -” *\$1\$1accountnumber\$1* *\$1\$1default-region\$1*
# Gunakan AMS SSP untuk menyediakan kumpulan pengguna Amazon Cognito di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas kumpulan pengguna Amazon Cognito secara langsung di akun terkelola AMS Anda. Kumpulan pengguna Amazon Cognito menyediakan direktori pengguna aman yang menskalakan hingga ratusan juta pengguna. Sebagai layanan yang dikelola sepenuhnya, kumpulan pengguna Amazon Cognito dapat diatur tanpa khawatir tentang infrastruktur server yang berdiri. Layanan ini memungkinkan Anda mengelola kumpulan pengguna akhir yang dapat Anda gunakan untuk berintegrasi dengan aplikasi internal Anda. Layanan ini memberi Anda alternatif untuk database yang disesuaikan atau direktori pengguna akhir untuk aplikasi web atau seluler. Pada saat yang sama, kumpulan pengguna Amazon Cognito menyediakan serangkaian fungsi lengkap dari layanan direktori seperti kebijakan kata sandi, otentikasi multi faktor, pemulihan kata sandi, dan pendaftaran sendiri ke layanan. Ini juga memungkinkan aplikasi untuk menggabungkan akses di layanan publik populer lainnya seperti OpenID, Facebook, Amazon atau Google.
Amazon Cognito dibagi menjadi dua produk utama. Kumpulan pengguna Amazon Cognito dan Penyedia Identitas Amazon Cognito. Bagian ini berfokus pada kumpulan pengguna Amazon Cognito, yang menyediakan akses ke AWS layanan lain seperti Amazon S3 atau DynamoDB. Layanan ini memungkinkan Anda menggunakan kumpulan pengguna Amazon Cognito, atau penyedia identitas pihak ketiga, untuk menyediakan akses ke AWS layanan. Ini juga menyediakan akses ke AWS layanan menggunakan akses tamu anonim. Karena sifat kuat dari kumpulan pengguna Amazon Cognito, itu akan dikelola secara manual case-by-case berdasarkan layanan manual operasi, untuk menghindari potensi kerusakan keamanan ke akun. Untuk mempelajari lebih lanjut, lihat Kumpulan [Pengguna Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html).
## Kumpulan pengguna Amazon Cognito di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke kumpulan pengguna Amazon Cognito di akun AMS saya?**
Implementasi kumpulan pengguna Amazon Cognito di AMS adalah proses 2 langkah:
1. Kirim Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat (ct-1e1xtak34nx76) ubah jenis dan minta pembuatan kumpulan pengguna Amazon Cognito di Akun AMS Anda. Sertakan informasi berikut:
+ AWS Wilayah.
+ Nama untuk Kumpulan Pengguna Cognito.
+ Jika Anda ingin menggunakan Amazon Simple Email Service (Amazon SES) untuk mengirim pesan dan notifikasi alih-alih layanan email Cognito internal default, maka pelanggan harus memberikan alamat email yang sudah divalidasi untuk Layanan Amazon SES di akun. Alamat ini akan digunakan untuk bidang “Dari” dan “BALAS-KE” dari pesan. Mereka juga harus menunjukkan Wilayah tempat Amazon SES diaktifkan (us-east-1, eu-west-1 atau us-west-2).
+ Jika Anda ingin menggunakan pesan SMS untuk kata sandi dan verifikasi satu kali, maka pelanggan harus menunjukkannya.
1. Minta akses pengguna dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_cognito_admin_role` dan. `customer_cognito_importjob_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda. Peran ini memungkinkan Anda mengelola kumpulan pengguna Amazon Cognito, mengelola pengguna dan grup di kolam, membuat pekerjaan impor untuk pengguna, memodifikasi pesan notifikasi dan langganan, mengaitkan aplikasi ke kumpulan pengguna, mengelola sendiri menambahkan layanan federasi ke kolam, dan menghapus kumpulan yang sudah dibuat.
**T: Apa batasan untuk menggunakan kumpulan pengguna Amazon Cognito di akun AMS saya?**
Anda tidak akan dapat membuat kumpulan pengguna Amazon Cognito. Tindakan itu memerlukan pembuatan peran IAM untuk memanfaatkan layanan yang digunakan oleh Amazon Cognito, seperti Amazon SES dan Amazon Simple Notification Service (Amazon SNS).
**T: Apa prasyarat atau dependensi untuk menggunakan kumpulan pengguna Amazon Cognito di akun AMS saya?**
Jika Anda ingin menggunakan Amazon SES untuk mengirim pesan dan pemberitahuan melalui email ke kumpulan pengguna Anda, mereka seharusnya sudah mengaktifkan layanan Amazon SES di akun, dan sudah memvalidasi alamat email yang harus digunakan di bidang “DARI” dan “BALAS-KE” dari email yang dikirim. Untuk informasi selengkapnya tentang memvalidasi alamat email menggunakan Amazon SES, lihat [Memverifikasi Alamat Email di Amazon SES.](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-email-addresses.html)
# Gunakan AMS SSP untuk menyediakan Amazon Comprehend di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Comprehend secara langsung di akun terkelola AMS Anda. Amazon Comprehend adalah layanan pemrosesan bahasa alami (NLP) yang menggunakan pembelajaran mesin untuk menemukan wawasan dan hubungan dalam teks, tidak diperlukan pengalaman pembelajaran mesin. Amazon Comprehend menggunakan pembelajaran mesin untuk membantu Anda menemukan wawasan dan hubungan dalam data tidak terstruktur Anda. Layanan mengidentifikasi bahasa teks; mengekstrak frasa kunci, tempat, orang, merek, atau peristiwa; memahami seberapa positif atau negatif teks itu; menganalisis teks menggunakan tokenisasi dan bagian pidato; dan secara otomatis mengatur kumpulan file teks berdasarkan topik. Anda juga dapat menggunakan kemampuan AutoML di Amazon Comprehend untuk membuat kumpulan entitas kustom atau model klasifikasi teks yang disesuaikan secara unik dengan kebutuhan organisasi Anda. Untuk mempelajari lebih lanjut, lihat [Amazon Comprehend](https://aws.amazon.com/comprehend/).
## FAQ Amazon Comprehend di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon Comprehend di akun AMS saya?**
Konsol Amazon Comprehend dan peran akses data dapat diminta melalui pengajuan dua Layanan AMS: RFCs
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_comprehend_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Comprehend di akun AMS saya?**
Buat fungsionalitas Peran IAM Baru melalui konsol Amazon Comprehend dibatasi. Jika tidak, fungsionalitas penuh Amazon Comprehend tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Comprehend di akun AMS saya?**
Amazon S3 dan AWS Key Management Service (AWS KMS) diperlukan untuk menggunakan Amazon Comprehend, jika bucket Amazon S3 dienkripsi dengan kunci. AWS KMS
# Menggunakan AMS SSP untuk menyediakan Amazon Connect di akun AMS
**catatan**
Setelah mempertimbangkan dengan cermat, kami memutuskan untuk mengakhiri dukungan untuk Amazon Connect Voice ID, efektif 20 Mei 2026. Amazon Connect Voice ID tidak akan lagi menerima pelanggan baru mulai 20 Mei 2025. Sebagai pelanggan lama dengan akun yang mendaftar untuk layanan sebelum 20 Mei 2025, Anda dapat terus menggunakan fitur ID Suara Amazon Connect. Setelah 20 Mei 2026, Anda tidak akan lagi dapat menggunakan Amazon Connect Voice ID.
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Connect secara langsung di akun terkelola AMS Anda. Amazon Connect adalah pusat kontak cloud omnichannel yang membantu perusahaan menyediakan layanan pelanggan yang unggul dengan biaya lebih rendah. Amazon Connect memberikan pengalaman yang mulus di seluruh suara dan obrolan untuk pelanggan dan agen. Ini termasuk satu set alat untuk perutean berbasis keterampilan, analitik real-time dan historis yang kuat, dan alat manajemen easy-to-use intuitif — semuanya dengan harga. pay-as-you-go
Anda dapat membuat satu atau beberapa instance instance pusat kontak virtual di akun landing zone multi-akun AMS atau akun landing zone akun tunggal. Anda dapat menggunakan penyedia identitas SAMP 2.0 yang ada untuk akses agen atau menggunakan dukungan asli Amazon Connect untuk manajemen siklus hidup pengguna.
Selain itu, Anda dapat mengklaim nomor telepon free/direct panggilan tol untuk setiap instans Amazon Connect dari konsol Amazon Connect. Anda dapat membuat alur kontak yang kaya untuk mencapai pengalaman dan perutean pelanggan yang diinginkan menggunakan antarmuka pengguna easy-to-use grafis. Alur kontak dapat memanfaatkan AWS Lambda fungsi untuk diintegrasikan dengan penyimpanan data lokal dan API. Anda juga dapat mengaktifkan streaming data menggunakan Kinesis Streams dan Firehose.
Rekaman panggilan, transkrip obrolan, dan laporan, disimpan dalam bucket Amazon S3 yang dienkripsi menggunakan kunci. AWS KMS Log alur kontak dapat disimpan ke grup CloudWatch log.
Untuk mempelajari lebih lanjut, lihat [Amazon Connect](https://aws.amazon.com/connect/).
## FAQ Amazon Connect di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon Connect di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_connect_console_role` dan. `customer_connect_user_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Connect di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Amazon Connect tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Connect di akun AMS saya?**
+ Anda harus membuat AWS KMS Key dan bucket Amazon S3 menggunakan AMS standar RFCs; bucket Amazon S3 diperlukan untuk menyimpan rekaman panggilan dan transkrip obrolan.
+ Jika Anda ingin mengintegrasikan dengan Active Directory (AD), AD Connector diperlukan untuk integrasi antara instans Amazon Connect yang dihosting AMS dan layanan direktori lokal Anda. AD Connector dapat dikonfigurasi di akun Anda dengan meminta RFC 'Manajemen \$1 Lainnya \$1 Lainnya'.
+ Anda dapat mengaktifkan layanan mandiri opsional berikut berdasarkan persyaratan alur kontak Anda.
+ **AWS Lambda**: Anda dapat menggunakan fungsi Lambda untuk memperluas alur kontak guna memanfaatkan penyimpanan data lokal yang ada atau. APIs Anda dapat menggunakan layanan Lambda yang disediakan sendiri untuk membuat fungsi Lambda.
+ **Amazon Kinesis Data** Streams: Anda dapat membuat aliran data untuk mengaktifkan streaming Data ke aplikasi eksternal. Anda dapat melakukan streaming catatan jejak kontak atau Acara Agen.
+ **Amazon Kinesis Data** Firehose: Anda dapat membuat Data Firehose untuk mengalirkan catatan jejak kontak volume tinggi ke aplikasi eksternal.
+ **Amazon Lex**: Anda dapat memanfaatkan Amazon Lex Chatbots untuk menciptakan arus kontak cerdas yang memanfaatkan layanan Amazon Alexa untuk pengalaman dan otomatisasi pelanggan yang kaya.
+ **T: Bagaimana cara saya meminta untuk menambahkan daftar negara untuk panggilan keluar atau masuk?**
Untuk menambahkan daftar negara untuk panggilan keluar atau masuk, kirimkan permintaan layanan ke AMS.
# Menggunakan AMS SSP untuk menyediakan Amazon Data Firehose di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Data Firehose secara langsung di akun terkelola AMS Anda. Firehose adalah cara termudah untuk memuat data streaming secara andal ke dalam data lake, penyimpanan data, dan alat analitik. Ini dapat menangkap, mengubah, dan memuat data streaming ke Amazon S3, Amazon Redshift, OpenSearch Amazon Service, dan Splunk[,](https://aws.amazon.com/kinesis/data-firehose/splunk/) memungkinkan analisis hampir real-time dengan alat intelijen bisnis dan dasbor yang sudah Anda gunakan saat ini. Ini adalah layanan yang dikelola sepenuhnya yang secara otomatis menskalakan agar sesuai dengan throughput data Anda dan tidak memerlukan administrasi berkelanjutan. Ini juga dapat mengumpulkan, mengompres, mengubah, dan mengenkripsi data sebelum memuatnya, meminimalkan jumlah penyimpanan yang digunakan di tempat tujuan dan meningkatkan keamanan. Untuk mempelajari lebih lanjut, lihat [Apa itu Amazon Data Firehose?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)
## FAQ Firehose di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon Data Firehose di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_kinesis_firehose_user_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan Firehose di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Amazon Data Firehose tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Firehose di akun AMS saya?**
Peran IAM terkait layanan baru harus diminta untuk setiap aliran pengiriman. Anda juga dapat menggunakan kembali satu peran terkait layanan untuk semua aliran dengan memperbarui kebijakan peran dengan izin sumber daya yang diperlukan (termasuk ember S3/Kunci KMS/Fungsi Lambda/aliran Kinesis).
Setelah Anda mengirimkan RFC untuk menambahkan Firehose, insinyur Operasi AMS akan menghubungi Anda melalui Permintaan Layanan untuk sumber daya yang ingin Anda sambungkan dengan Firehose Data (misalnya AWS KMS, Aliran S3, Lambda, dan Kinesis). ARNs
# Gunakan AMS SSP untuk menyediakan Amazon DevOps Guru di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan Amazon DevOps Guru secara langsung di akun terkelola AMS Anda. Amazon DevOps Guru adalah layanan operasi yang dikelola sepenuhnya yang memudahkan pengembang dan operator untuk meningkatkan kinerja dan ketersediaan aplikasi mereka. DevOpsGuru memungkinkan Anda membongkar tugas administratif yang terkait dengan mengidentifikasi masalah operasional sehingga Anda dapat dengan cepat menerapkan rekomendasi untuk meningkatkan aplikasi Anda. DevOpsGuru menciptakan wawasan reaktif yang dapat Anda gunakan untuk meningkatkan aplikasi Anda sekarang. Ini juga menciptakan wawasan proaktif untuk membantu Anda menghindari masalah operasional yang mungkin memengaruhi aplikasi Anda di masa mendatang. DevOpsGuru menerapkan pembelajaran mesin untuk menganalisis data operasional dan metrik aplikasi serta peristiwa Anda untuk mengidentifikasi perilaku yang menyimpang dari pola operasi normal. Anda akan diberitahu ketika DevOps Guru mendeteksi masalah operasional atau risiko. Untuk setiap masalah, DevOps Guru menyajikan rekomendasi cerdas untuk mengatasi masalah operasional masa depan saat ini dan yang diprediksi.
Untuk mempelajari lebih lanjut, lihat [Apa itu Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html).
## FAQ Amazon DevOps Guru di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon DevOps Guru di akun AMS saya?**
Untuk meminta akses, kirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_devopsguru_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon DevOps Guru di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Amazon DevOps Guru tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan DevOps Amazon Guru di akun AMS saya?**
Tidak ada prasyarat. DevOpsGuru memanfaatkan AWS layanan berikut: Amazon CloudWatch Logs, RDS Insights, AWS X-Ray, AWS Lambda dan. AWS CloudTrail
# Gunakan AMS SSP untuk menyediakan Amazon DocumentDB (dengan kompatibilitas MongoDB) di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan Amazon DocumentDB (dengan kompatibilitas MongoDB) secara langsung di akun terkelola AMS Anda. Amazon DocumentDB (dengan kompatibilitas MongoDB) adalah layanan database dokumen yang cepat, terukur, sangat tersedia, dan dikelola sepenuhnya yang mendukung beban kerja MongoDB. Amazon DocumentDB memberi Anda kinerja, skalabilitas, dan ketersediaan yang Anda butuhkan saat mengoperasikan beban kerja MongoDB yang penting dalam skala besar. Amazon DocumentDB mengimplementasikan Apache 2.0 open source MongoDB 3.6 API dengan meniru tanggapan yang diharapkan klien MongoDB dari server MongoDB, memungkinkan Anda untuk menggunakan driver dan alat MongoDB yang ada dengan Amazon DocumentDB. Di Amazon DocumentDB, penyimpanan dan komputasi dipisahkan, memungkinkan masing-masing untuk menskalakan secara independen, dan Anda dapat meningkatkan kapasitas baca hingga jutaan permintaan per detik dengan menambahkan hingga 15 replika baca latensi rendah, terlepas dari ukuran data Anda. Amazon DocumentDB dirancang untuk ketersediaan 99,99% dan mereplikasi enam salinan data Anda di tiga Availability Zone (). AWS AZs Anda dapat menggunakan AWS Database Migration Service (DMS) secara gratis (selama enam bulan) untuk memigrasikan database MongoDB Elastic Compute Cloud (Amazon EC2) lokal atau Amazon Elastic Compute Cloud (Amazon EC2) ke Amazon DocumentDB tanpa waktu henti. Untuk mempelajari lebih lanjut, lihat [Amazon DocumentDB (dengan kompatibilitas MongoDB](https://aws.amazon.com/documentdb/)).
## FAQ Amazon DocumentDB di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon DocumentDB di akun AMS saya?**
Konsol Amazon DocumentDB dan peran akses data dapat diminta melalui pengajuan dua RFCs AMS, akses konsol, dan akses data:
Minta akses ke Amazon DocumentDB dengan mengirimkan RFC dengan Manajemen AWS \$1 layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_documentdb_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon DocumentDB di akun AMS saya?**
Amazon DocumentDB memerlukan izin khusus Amazon RDS. Karena AMS sepenuhnya mengelola Amazon RDS, peran IAM untuk Amazon DocumentDB mencakup beberapa batasan tindakan di Amazon RDS. Pembatasan berikut berlaku:
+ Akses ke `DeleteDBInstance` dan `DeleteDBCluster` APIs telah dibatasi. Untuk menggunakan penghapusan tersebut APIs, kirimkan RFC dengan Manajemen \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) \$1 Perbarui jenis perubahan entitas atau kebijakan (otomatisasi terkelola) (ct-27tuth19k52b4).
+ Anda tidak dapat menambahkan atau menghapus tag dari instans Amazon RDS.
+ Anda tidak dapat membuat instans Amazon DocumentDB Anda menjadi publik.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon DocumentDB di akun AMS saya?**
Amazon S3 dan AWS KMS diperlukan untuk menggunakan Amazon DocumentDB, jika bucket Amazon S3 dienkripsi dengan kunci. AWS KMS
# Gunakan AMS SSP untuk menyediakan Amazon DynamoDB di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon DynamoDB (DynamoDB) secara langsung di akun terkelola AMS Anda. Amazon DynamoDB adalah nilai kunci dan database dokumen yang memberikan kinerja milidetik satu digit pada skala apa pun. Ini adalah database multi-wilayah, multi-aktif yang dikelola sepenuhnya dengan keamanan bawaan, pencadangan dan pemulihan, dan caching dalam memori untuk aplikasi skala internet. Untuk mempelajari selengkapnya, lihat [Amazon DynamoDB](https://aws.amazon.com/dynamodb/).
Amazon DynamoDB Accelerator (DAX) adalah layanan caching write-through yang dirancang untuk memudahkan proses menambahkan cache ke tabel DynamoDB. DAX ditujukan untuk aplikasi yang memerlukan pembacaan performa tinggi.
## FAQ DynamoDB di AWS Managed Services
**T: Bagaimana cara meminta akses ke DynamoDB dan DAX di akun AMS saya?**
Minta akses ke DynamoDB dan DAX dengan mengirimkan RFC dengan Manajemen AWS \$1 layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran dan kebijakan IAM berikut ke akun Anda:
+ Nama peran DynamoDB: `customer_dynamodb_role`
Nama peran layanan DAX: `customer_dax_service_role`
+ Nama kebijakan DynamoDB: `customer_dynamodb_policy`
Kebijakan layanan DAX: `customer_dax_service_policy`
Setelah disediakan di akun Anda, Anda harus memasukkan solusi `customer_dynamodb_role` dalam federasi Anda.
**T: Apa batasan untuk menggunakan DynamoDB di akun AMS saya?**
Semua fungsi DynamoDB didukung termasuk DynamoDB Accelerator (DAX).
Saat membuat alarm untuk tabel tertentu, nama alarm harus diawali dengan “pelanggan\$1”; misalnya,. `customer-employee-table-high-put-latency`
Saat membuat topik Amazon SNS untuk DynamoDB, itu harus diberi nama:. `dynamodb`
Untuk menghapus topik Amazon SNS yang dibuat oleh DynamoDB, kirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui jenis perubahan RFC.
**T: Apa prasyarat atau dependensi untuk menggunakan DynamoDB di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk menggunakan DynamoDB di akun AMS Anda.
# Gunakan AMS SSP untuk menyediakan Amazon Elastic Container Registry di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Elastic Container Registry (Amazon ECR) Registry ECR) secara langsung di akun terkelola AMS Anda. Amazon Elastic Container Registry adalah registri kontainer [Docker](https://aws.amazon.com/docker/) yang dikelola sepenuhnya yang memudahkan pengembang untuk menyimpan, mengelola, dan menyebarkan gambar kontainer Docker. Amazon ECR terintegrasi dengan [Amazon Elastic Container Service (Amazon ECS), menyederhanakan pengembangan](https://aws.amazon.com/ecs/) Anda ke alur kerja produksi. Amazon ECR menghilangkan kebutuhan untuk mengoperasikan repositori kontainer Anda sendiri atau khawatir tentang penskalaan infrastruktur yang mendasarinya. Amazon ECS meng-host gambar Anda dalam arsitektur yang sangat tersedia dan dapat diskalakan, memungkinkan Anda untuk menyebarkan kontainer secara andal untuk aplikasi Anda. Integrasi dengan AWS Identity and Access Management (IAM) menyediakan kontrol tingkat sumber daya dari setiap repositori. Dengan Amazon ECR, tidak ada biaya atau komitmen di muka. Anda hanya membayar untuk jumlah data yang Anda simpan di repositori dan data yang ditransfer ke Internet.
Untuk mempelajari lebih lanjut, lihat [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/).
## FAQ Amazon Elastic Container Registry di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon ECR di akun AMS saya?**
Minta akses ke Amazon ECR dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:` customer_ecr_console_role`, dan `customer_ecr_poweruser_instance_profile` dengan kebijakan IAM terkait, `customer_ecr_console_policy` dan`customer_ecr_poweruser_instance_profile_policy`, masing-masing. Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon ECR di akun AMS saya?**
Ada batasan seputar ruang nama AMS untuk penggunaan Amazon ECR di akun AMS Anda. Gambar kontainer mungkin tidak diawali dengan “AMS-” atau “Sentinel-”.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon ECR di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk menggunakan Amazon ECR di akun AMS Anda.
# Menggunakan AMS SSP untuk menyediakan EC2 Image Builder di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan EC2 Image Builder secara langsung di akun terkelola AMS Anda. EC2 Image Builder adalah layanan yang AWS dikelola sepenuhnya yang membuatnya lebih mudah untuk mengotomatiskan pembuatan, pengelolaan, dan penyebaran gambar server yang disesuaikan, aman, up-to-date dan “emas” yang sudah diinstal sebelumnya dan dikonfigurasi sebelumnya dengan perangkat lunak dan pengaturan untuk memenuhi standar TI tertentu.
Anda dapat menggunakan Konsol Manajemen AWS, AWS CLI, atau APIs untuk membuat gambar khusus di akun Anda AWS . Saat Anda menggunakan Konsol Manajemen AWS, wizard Image Builder Amazon EC2 memandu Anda melalui langkah-langkah untuk:
+ Berikan artefak awal
+ Tambah dan hapus perangkat lunak
+ Sesuaikan pengaturan dan skrip
+ Jalankan tes yang dipilih
+ Mendistribusikan gambar ke AWS Wilayah
Gambar yang Anda buat dibuat di akun Anda dan dapat dikonfigurasi untuk tambalan sistem operasi secara berkelanjutan. Untuk mempelajari lebih lanjut, lihat [EC2 Image Builder](https://aws.amazon.com/image-builder/).
## FAQ Pembuat Gambar EC2 di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke EC2 Image Builder di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. Melalui RFC ini, peran IAM berikut akan disediakan di akun Anda:. ` customer_ec2_imagebuilder_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk EC2 Image Builder?**
AMS tidak mendukung penggunaan Default Layanan untuk konfigurasi infrastruktur. Anda dapat membuat konfigurasi infrastruktur baru atau menggunakan yang sudah ada.
AMS saat ini tidak mendukung pembuatan resep wadah.
**T: Apa prasyarat atau dependensi untuk mengaktifkan EC2 Image Builder?**
+ Peran terkait layanan EC2 Image Builder: Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat resource Image Builder pertama di Konsol Manajemen AWS, AWS CLI, atau AWS API, Image Builder membuat peran terkait layanan untuk Anda.
+ Instans yang digunakan untuk membuat gambar dan menjalankan pengujian menggunakan Image Builder harus memiliki akses ke layanan Systems Manager. Agen SSM akan diinstal pada gambar sumber jika belum ada, dan akan dihapus sebelum gambar dibuat.
+ AWS IAM: Peran IAM yang Anda kaitkan dengan profil instans harus memiliki izin untuk menjalankan komponen build dan test yang disertakan dalam image Anda. Kebijakan peran IAM berikut harus dilampirkan ke peran IAM yang terkait dengan profil instans: `EC2InstanceProfileForImageBuilder` dan. `AmazonSSMManagedInstanceCore` Nama peran IAM harus berisi `*imagebuilder*` kata kunci.
+ Jika Anda mengonfigurasi logging, profil instance yang ditentukan dalam konfigurasi infrastruktur Anda harus memiliki `s3:PutObject` izin untuk bucket target (`arn:aws:s3:::{bucket-name}/*`). Contoh:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::{bucket-name}/*"
}
]
}
```
------
+ Buat topik SNS dengan nama 'imagebuilder' untuk menerima peringatan dan pemberitahuan dari EC2 Image Builder.
# Gunakan AMS SSP untuk menyediakan Amazon ECS AWS Fargate di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses Amazon ECS pada AWS Fargate kemampuan langsung di akun terkelola AMS Anda. AWS Fargate adalah teknologi yang dapat Anda gunakan dengan Amazon ECS untuk menjalankan kontainer (lihat [Kontainer AWS](https://aws.amazon.com/what-are-containers) aktif) tanpa harus mengelola server atau cluster instans Amazon EC2. Dengan AWS Fargate, Anda tidak lagi harus menyediakan, mengonfigurasi, atau menskalakan, kelompok mesin virtual untuk menjalankan kontainer. Anda tidak perlu memilih jenis server, memutuskan kapan akan menskalakan klaster Anda, atau mengoptimalkan paket klaster.
Untuk mempelajari lebih lanjut, lihat [Amazon ECS di AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html).
## FAQ Amazon ECS di Fargate di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon ECS di Fargate di akun AMS saya?**
Minta akses ke Amazon ECS di Fargate dengan mengirimkan RFC dengan Manajemen AWS \$1 layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_ecs_fargate_console_role` (jika tidak ada peran IAM yang ada disediakan untuk mengaitkan kebijakan ECS),,,`customer_ecs_fargate_events_service_role`, `customer_ecs_task_execution_service_role` dan. `customer_ecs_codedeploy_service_role` `AWSServiceRoleForApplicationAutoScaling_ECSService` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon ECS di Fargate di akun AMS saya?**
+ Pemantauan dan pencatatan tugas Amazon ECS dianggap sebagai tanggung jawab Anda karena aktivitas tingkat kontainer terjadi di atas hypervisor, dan kemampuan logging dibatasi oleh Amazon ECS di Fargate. Sebagai pengguna Amazon ECS di Fargate, kami menyarankan Anda mengambil langkah-langkah yang diperlukan untuk mengaktifkan login pada tugas Amazon ECS Anda. Untuk informasi selengkapnya, lihat [Mengaktifkan Driver Log awslogs untuk](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs) Kontainer Anda.
+ Keamanan dan perlindungan malware di tingkat kontainer juga dianggap sebagai tanggung jawab Anda. Amazon ECS di Fargate tidak menyertakan Trend Micro atau komponen keamanan jaringan yang telah dikonfigurasi sebelumnya.
+ Layanan ini tersedia untuk akun landing zone multi-akun dan single-account landing zone AMS.
+ Amazon ECS [Service Discovery](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html) dibatasi secara default dalam peran yang disediakan sendiri karena izin yang ditingkatkan diperlukan untuk membuat zona host pribadi Route 53. Untuk mengaktifkan Service Discovery pada layanan, kirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui jenis perubahan. Untuk memberikan informasi yang diperlukan untuk mengaktifkan Penemuan Layanan untuk Layanan Amazon ECS Anda, lihat [manual Penemuan Layanan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html).
+ AMS saat ini tidak mengelola atau membatasi gambar yang digunakan untuk menyebarkan ke kontainer ke Amazon ECS Fargate. Anda akan dapat menyebarkan gambar dari Amazon ECR, Docker Hub, atau repositori gambar pribadi lainnya. Oleh karena itu, kami menyarankan agar gambar publik atau gambar yang tidak aman tidak digunakan, karena dapat mengakibatkan aktivitas berbahaya di akun.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon ECS di Fargate di akun AMS saya?**
+ Berikut ini adalah dependensi Amazon ECS di Fargate; namun, tidak ada tindakan tambahan yang diperlukan untuk mengaktifkan layanan ini dengan peran yang Anda sediakan sendiri:
+ CloudWatch log
+ CloudWatch acara
+ CloudWatch alarm
+ CodeDeploy
+ App Mesh
+ Cloud Map
+ Route 53
+ Bergantung pada kasus penggunaan Anda, berikut ini adalah sumber daya yang diandalkan Amazon ECS, dan mungkin diperlukan sebelum menggunakan Amazon ECS di Fargate di akun Anda:
+ Grup keamanan untuk digunakan dengan layanan Amazon ECS. Anda dapat menggunakan Deployment \$1 Komponen tumpukan lanjutan \$1 Grup Keamanan \$1 Buat (otomatis) (ct-3pc215bnwb6p7), atau, jika grup keamanan Anda memerlukan aturan khusus, gunakan Deployment \$1 Komponen tumpukan lanjutan \$1 Grup Keamanan \$1 Buat (otomatisasi terkelola) (ct-1oxx2g2d7hc90). Catatan: Grup keamanan yang Anda pilih dengan Amazon ECS harus dibuat khusus untuk Amazon ECS tempat layanan atau kluster Amazon ECS berada. Anda dapat mempelajari lebih lanjut di bagian **Grup Keamanan** di [Menyiapkan dengan Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html) dan [Keamanan di Amazon Elastic Container Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html).
+ Aplikasi load balancer (ALB), network load balancer (NLB), classic load balancer (ELB) untuk load balancing antar tugas.
+ Grup Sasaran untuk ALBs.
+ Sumber daya mesh aplikasi (misalnya, Router Virtual, Layanan Virtual, Node Virtual) untuk diintegrasikan dengan Amazon ECS Cluster Anda.
+ Saat ini, tidak ada cara bagi AMS untuk secara otomatis mengurangi risiko yang terkait dengan izin grup keamanan pendukung saat dibuat di luar jenis perubahan AMS standar. Kami menyarankan Anda meminta grup keamanan tertentu untuk digunakan dengan klaster Fargate Anda untuk membatasi kemungkinan menggunakan grup keamanan yang tidak ditunjuk untuk digunakan dengan Amazon ECS.
# Gunakan AMS SSP untuk menyediakan Amazon EKS AWS Fargate di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses Amazon EKS pada AWS Fargate kemampuan langsung di akun terkelola AMS Anda. AWS Fargate adalah teknologi yang menyediakan kapasitas komputasi sesuai permintaan dan berukuran tepat untuk kontainer (untuk memahami kontainer, lihat [Apa](https://aws.amazon.com/what-are-containers) itu Kontainer? ). Dengan AWS Fargate, Anda tidak perlu lagi menyediakan, mengonfigurasi, atau menskalakan grup mesin virtual untuk menjalankan kontainer. Dengan begitu, Anda tidak perlu memilih jenis server, memutuskan kapan untuk skala simpul grup Anda, atau mengoptimalkan klaster packing.
Amazon Elastic Kubernetes Service (Amazon EKS) mengintegrasikan AWS Fargate Kubernetes dengan menggunakan pengontrol yang AWS dibangun menggunakan model upstream yang dapat diperluas yang disediakan oleh Kubernetes. Pengontrol ini berjalan sebagai bagian dari bidang kontrol Kubernetes yang dikelola Amazon EKS dan bertanggung jawab untuk menjadwalkan pod Kubernetes asli ke Fargate. Pengendali Fargate termasuk penjadwal baru yang berjalan dengan penjadwal Kubernetes default selain beberapa pengendali masuk urusan mutasi dan validasi. Ketika Anda memulai pod yang memenuhi kriteria untuk berjalan di Fargate, pengendali Fargate yang berjalan di klaster akan mengenali, memperbarui, dan menjadwal pod ke Fargate.
Untuk mempelajari lebih lanjut, lihat [Amazon EKS di AWS Fargate Sekarang Tersedia Secara Umum](https://aws.amazon.com/blogs/aws/amazon-eks-on-aws-fargate-now-generally-available/) dan [Panduan Praktik Terbaik Amazon EKS untuk Keamanan](https://aws.github.io/aws-eks-best-practices/security/docs/) (termasuk “Rekomendasi” seperti “Tinjau dan cabut akses anonim yang tidak perlu” dan banyak lagi).
**Tip**
AMS memiliki tipe perubahan, Deployment \$1 Komponen tumpukan lanjutan \$1 Manajemen Identitas dan Akses (IAM) \$1 Buat penyedia OpenID Connect (ct-30ecvfi3tq4k3), yang dapat Anda gunakan dengan Amazon EKS. Sebagai contoh, lihat [Identity and Access Management (IAM) \$1 Membuat Penyedia OpenID Connect](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-openid-connect-provider.html).
## FAQ Amazon EKS AWS Fargate aktif di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon EKS di Fargate di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda.
+ `customer_eks_fargate_console_role`.
Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
+ Peran layanan ini memberi Amazon EKS di Fargate izin untuk memanggil AWS layanan lain atas nama Anda:
+ `customer_eks_pod_execution_role`
+ `customer_eks_cluster_service_role`
**T: Apa batasan untuk menggunakan Amazon EKS di Fargate di akun AMS saya?**
+ Membuat nodegroup EC2 yang [dikelola](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html) [atau dikelola sendiri](https://docs.aws.amazon.com/eks/latest/userguide/worker.html) tidak didukung di AMS. Jika Anda memiliki persyaratan untuk menggunakan node pekerja EC2, hubungi AMS Cloud Service Delivery Manager (CSDM) atau Cloud Architect (CA).
+ AMS tidak menyertakan Trend Micro atau komponen keamanan jaringan yang telah dikonfigurasi sebelumnya untuk gambar kontainer. Anda diharapkan untuk mengelola layanan pemindaian gambar Anda sendiri untuk mendeteksi gambar kontainer berbahaya sebelum penerapan.
+ EKSCTL tidak didukung karena saling ketergantungan. CloudFormation
+ Selama pembuatan klaster, Anda memiliki izin untuk menonaktifkan pencatatan bidang kontrol cluster. Untuk informasi selengkapnya, lihat [Amazon EKS mengontrol pencatatan pesawat](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html). Kami menyarankan agar Anda mengaktifkan semua pencatatan API, Otentikasi, dan Audit penting pada pembuatan klaster.
+ Selama pembuatan klaster, akses titik akhir klaster untuk kluster Amazon EKS secara default menjadi publik; untuk informasi selengkapnya, lihat kontrol akses titik akhir klaster [Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html). Kami menyarankan agar titik akhir Amazon EKS disetel ke pribadi. Jika titik akhir diperlukan untuk akses publik, maka itu adalah praktik terbaik untuk mengaturnya ke publik hanya untuk rentang CIDR tertentu.
+ AMS tidak memiliki metode untuk memaksa dan membatasi gambar yang digunakan untuk menyebarkan ke wadah di Amazon EKS Fargate. Anda dapat menerapkan gambar dari Amazon ECR, Docker Hub, atau repositori gambar pribadi lainnya. Oleh karena itu, ada risiko menyebarkan citra publik yang mungkin melakukan aktivitas berbahaya di akun.
+ Menerapkan kluster EKS melalui cloud development kit (CDK) atau CloudFormation Ingest tidak didukung di AMS.
+ Anda harus membuat grup keamanan yang diperlukan menggunakan [ct-3pc215bnwb6p7 Deployment \$1 Komponen tumpukan lanjutan \$1 Grup keamanan \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-security-group-create.html) Buat dan referensi dalam file manifes untuk pembuatan ingress. Ini karena peran tersebut `customer-eks-alb-ingress-controller-role` tidak diizinkan untuk membuat grup keamanan.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon EKS di Fargate di akun AMS saya?**
Untuk menggunakan layanan ini, dependensi berikut harus dikonfigurasi:
+ [Untuk autentikasi terhadap layanan, baik KUBECTL maupun aws-iam-authenticator harus diinstal; untuk informasi selengkapnya, lihat Mengelola otentikasi klaster.](https://docs.aws.amazon.com/eks/latest/userguide/managing-auth.html)
+ Kubernetes mengandalkan konsep yang disebut “akun layanan.” Untuk memanfaatkan fungsionalitas akun layanan di dalam klaster kubernetes di EKS, Manajemen \$1 Lainnya \$1 Lainnya \$1 Pembaruan RFC diperlukan dengan masukan berikut:
+ [Diperlukan] Nama Cluster Amazon EKS
+ [Diperlukan] Namespace Amazon EKS Cluster tempat akun layanan (SA) akan digunakan.
+ [Diperlukan] Nama Amazon EKS Cluster SA.
+ [Wajib] Nama Kebijakan IAM dan permissions/document untuk dikaitkan.
+ [Diperlukan] Nama Peran IAM diminta.
+ [Opsional] URL penyedia OpenID Connect. Untuk informasi selengkapnya, silakan lihat
+ [Mengaktifkan peran IAM untuk akun layanan di klaster Anda](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)
+ [Memperkenalkan peran IAM berbutir halus untuk akun layanan](https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/)
+ Kami menyarankan agar aturan Config dikonfigurasi dan dipantau
+ Titik akhir klaster publik
+ Pencatatan API yang dinonaktifkan
Anda bertanggung jawab untuk memantau dan memulihkan aturan Config ini.
Jika Anda ingin menerapkan [pengontrol ALB Ingress](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html), kirimkan Management \$1 Other \$1 Other Update RFC untuk menyediakan peran IAM yang diperlukan untuk digunakan dengan pod ALB Ingress Controller. Input berikut diperlukan untuk membuat sumber daya IAM untuk dikaitkan dengan ALB Ingress Controller (sertakan ini dengan RFC Anda):
+ [Diperlukan] Nama Cluster Amazon EKS
+ [Opsional] URL penyedia OpenID Connect
+ [Opsional] Namespace Amazon EKS Cluster tempat layanan pengontrol masuk penyeimbang beban aplikasi (ALB) akan diterapkan. [default: kube-sistem]
+ [Opsional] Nama akun layanan Amazon EKS Cluster (SA). [default: aws-load-balancer-controller]
Jika Anda ingin mengaktifkan enkripsi rahasia amplop di cluster Anda (yang kami sarankan), berikan kunci KMS yang ingin IDs Anda gunakan, di bidang deskripsi RFC untuk menambahkan layanan (Manajemen \$1 layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan ( AWS ct-1w8z66n899dct). Untuk mempelajari lebih lanjut tentang enkripsi amplop, lihat [Amazon EKS menambahkan enkripsi amplop untuk rahasia dengan AWS KMS](https://aws.amazon.com/about-aws/whats-new/2020/03/amazon-eks-adds-envelope-encryption-for-secrets-with-aws-kms/).
# Gunakan AMS SSP untuk menyediakan Amazon EMR di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon EMR secara langsung di akun terkelola AMS Anda. Amazon EMR adalah platform cloud big data terkemuka di industri untuk memproses sejumlah besar data menggunakan alat open source seperti Apache Spark, Apache Hive, Apache, Apache Flink, Apache Hudi, dan Presto HBase. Dengan Amazon EMR, Anda dapat menjalankan analisis skala Petabyte dengan biaya kurang dari setengah biaya solusi lokal tradisional dan lebih dari 3x lebih cepat daripada Apache Spark standar. Untuk pekerjaan jangka pendek, Anda dapat memutar dan memutar cluster dan membayar per detik untuk instance yang digunakan. Untuk beban kerja yang berjalan lama, Anda dapat membuat klaster yang sangat tersedia yang secara otomatis menskalakan untuk memenuhi permintaan.
Anda dapat membuat satu atau beberapa instance klaster EMR Amazon di akun landing zone multi-akun AMS atau akun landing zone akun tunggal untuk mendukung klaster EMR Amazon sementara dan persisten. Anda juga dapat mengaktifkan otentikasi Kerberos untuk mengaktifkan autentikasi pengguna dari domain Active Directory lokal.
Anda dapat memanfaatkan beberapa penyimpanan data dengan kluster EMR Amazon untuk mendukung alat dan pustaka Hadoop khusus kasus penggunaan. Cluster EMR Amazon dapat dibuat menggunakan instans OnDemand atau Spot dan mengonfigurasi penskalaan otomatis untuk mengelola kapasitas dan mengurangi biaya.
File log cluster dapat diarsipkan ke bucket Amazon S3 untuk logging dan debugging. Anda juga dapat mengakses antarmuka web yang dihosting di kluster EMR Amazon untuk mendukung persyaratan administrasi hadoop atau pengalaman buku catatan bagi pelanggan.
Untuk mempelajari lebih lanjut, lihat [Amazon EMR](https://aws.amazon.com/emr/).
## FAQ Amazon EMR di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon EMR di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:
+ `customer_emr_cluster_instance_profile`
+ `customer_emr_cluster_autoscaling_role`
+ `customer_emr_console_role`
+ `customer_emr_cluster_service_role`
Setelah disediakan di akun Anda, Anda harus memasukkan customer\$1emr\$1console\$1role di solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon EMR di akun AMS saya?**
Saat membuat Amazon EMR pada kluster EC2 dari konsol AWS, kami menyarankan Anda untuk menggunakan opsi **Create Cluster —** Advanced. Cluster EMR Amazon harus dibuat dengan menambahkan tag dengan Kunci **"for-use-with-amazon-emr-managed-policies"** dengan Nilai **“**benar”. Pilih konfigurasi berikut di opsi **Keamanan**:
+ Pilih peran khusus untuk klaster Anda:
+ Peran EMR: customer\$1emr\$1cluster\$1service\$1role
+ Profil Instans EC2: customer\$1emr\$1cluster\$1instance\$1profile
+ Peran Auto Scaling: customer\$1emr\$1cluster\$1autoscaling\$1role
+ Grup Keamanan EC2:
+ Menguasai: ams-emr-master-security -grup
+ Inti & Tugas: ams-emr-worker-security -grup
+ Akses Layanan: ams-emr-serviceaccess-security -group
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon EMR di akun AMS saya?**
AMS membuat grup keamanan default untuk master, pekerja, dan node layanan EMR Amazon.
Template peluncuran dan grup keamanan yang akan digunakan dengan cluster EMR Amazon harus memiliki kunci tag **"for-use-with-amazon-emr-managed-policies"** dengan nilai **“**true”.
Profil instans cluster Amazon EMR default memungkinkan akses ke sumber daya seperti bucket s3 dan tabel dynamodb dengan namanya yang berisi “emr”. Anda dapat meminta kebijakan IAM tambahan untuk menggunakan sumber daya tambahan apa pun yang akan digunakan dengan Amazon EMR. **Sumber daya ARN berikut dapat digunakan dengan pekerjaan EMR Amazon menggunakan customer\$1emr\$1cluster\$1instance\$1profile:**
+ arn:aws:dynamodb: \$1:\$1:tabel/\$1emr\$1
+ arn:aws:kinesis: \$1:\$1:stream/\$1emr\$1
+ arn:aws:sns: \$1:\$1: \$1emr\$1arn:aws:sqs: \$1:\$1: \$1emr\$1
+ arn:aws:sqs: \$1:\$1: \$1emr\$1
+ arn:aws:sqs: \$1:\$1:AWS- -\$1 ElasticMapReduce
+ arn:aws:sdb: \$1:\$1:domain: \$1emr\$1
+ arn:aws:s3: ::\$1emr\$1
Jika otentikasi kerberos diperlukan untuk klaster EMR Amazon:
+ Berikan nama ranah yang akan digunakan untuk setiap kluster EMR Amazon kerberisasi dan alamat IP Direktori Aktif di lokasi.
+ Persyaratan infrastruktur:
**Multi-Account Landing Zone (MALZ)**: Kirim RFC untuk membuat akun aplikasi Terkelola baru atau VPC baru di akun aplikasi yang ada.
**Single-Account Landing Zone (SALZ)**: Kirim RFC untuk membuat subnet baru di VPC Anda.
+ Konfigurasikan kepercayaan yang masuk untuk ranah klaster di Active Directory di lokasi.
+ Kirim RFC untuk mengonfigurasi zona DNS untuk ranah di AD Terkelola.
+ Konfigurasi Realm:
**MALZ**: Kirim Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui (ct-0xdawir96cy7k) RFC untuk memperbarui opsi VPC DHCP yang disetel untuk menggunakan nama ranah untuk akhiran nama domain.
**SALZ**: Kirim Manajemen \$1 Lainnya \$1 Lainnya \$1 Perbarui (ct-0xdawir96cy7k) RFC untuk menghasilkan AMI EMR Amazon baru untuk menggunakan ranah khusus untuk akhiran nama domain.
Untuk menyebarkan Amazon EMR studio, `customer_emr_cluster_service_role` peran tersebut memiliki prasyarat untuk bucket Amazon Simple Storage Service. Untuk membuat bucket, gunakan CT otomatis `ct-1a68ck03fn98r` (Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create). Saat Anda menggunakan CT otomatis ini untuk membuat bucket Amazon S3 untuk Amazon EMR, nama bucket harus dimulai dengan awalan. `customer-emr-*` Dan, Anda harus membuat bucket di AWS Wilayah yang sama dengan cluster EMR Amazon.
# Gunakan AMS SSP untuk menyediakan Amazon EventBridge di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses EventBridge kapabilitas Amazon secara langsung di akun terkelola AMS Anda. Amazon EventBridge adalah layanan bus acara tanpa server yang memudahkan untuk menghubungkan aplikasi Anda dengan data dari berbagai sumber. EventBridge memberikan aliran data real-time dari aplikasi Anda sendiri, aplikasi Software-as-a-Service (SaaS), AWS dan layanan dan rute data tersebut ke target seperti. AWS Lambda Anda dapat mengatur aturan perutean untuk menentukan ke mana harus mengirim data Anda untuk membangun arsitektur aplikasi yang bereaksi secara real time ke semua sumber data Anda. EventBridge memungkinkan Anda membangun arsitektur berbasis peristiwa, yang digabungkan dan didistribusikan secara longgar.
Untuk mempelajari lebih lanjut, lihat [Amazon EventBridge](https://aws.amazon.com/eventbridge/).
## EventBridge di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke EventBridge akun AMS saya?**
Meminta akses EventBridge dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_eventbridge_role` dan. `customer_eventbridge_scheduler_execution_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
Peran eksekusi, `customer_eventbridge_scheduler_execution_role` adalah peran IAM yang diasumsikan oleh EventBridge Scheduler untuk berinteraksi dengan orang lain Layanan AWS atas nama Anda. Kebijakan izin yang dilampirkan pada peran ini memberikan akses EventBridge Scheduler untuk memanggil target.
**catatan**
Secara default, EventBridge Scheduler menggunakan kunci yang AWS dimiliki EventBridge untuk mengenkripsi data. Untuk menggunakan kunci yang dikelola pelanggan EventBridge untuk mengenkripsi data, kirimkan RFC menggunakan Management \$1 AWS service \$1 Self-provisioned service \$1 [Add (managed automation) change type (ct-3qe6io8t6jtny)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-aws-self-provisioned-service-add-review-required.html) untuk penyediaan layanan.
**T: Apa batasan penggunaan EventBridge di akun AMS saya?**
Anda harus mengirimkan AMS RFCs dan membuat sumber daya berikut: Peran layanan untuk memicu pekerjaan batch, antrean SQS,, CodeBuild CodePipeline, dan perintah SSM.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? EventBridge **
Anda harus meminta peran EventBridge layanan dengan RFC menggunakan Deployment \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) \$1 Buat jenis perubahan entitas atau kebijakan (otomatisasi terkelola) (ct-3dpd8mdd9jn1r) sebelum menggunakan untuk memicu EventBridge sumber daya lain, seperti, Lambda, Amazon SNS, Amazon SQS, atau Amazon Sumber daya AWS log. AWS Batch CloudWatch Tentukan layanan yang akan dipanggil saat meminta peran layanan Anda. Untuk mempelajari tentang izin yang diperlukan untuk memanggil target, lihat [Menggunakan Kebijakan Berbasis Sumber Daya](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html) untuk. EventBridge
EventBridge terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS dalam EventBridge. CloudTrail harus diaktifkan dan diizinkan untuk menyimpan file log ke ember S3. Catatan: Semua akun AMS telah CloudTrail diaktifkan, jadi tidak diperlukan tindakan.
**T: Peran customer\$1eventbridge\$1scheduler\$1execution\$1role memiliki prasyarat untuk Key (opsional, jika digunakan untuk enkripsi). AWS Key Management Service Bagaimana cara mengadopsi AWS KMS CMKs enkripsi data saat istirahat/transit?**
Secara default, EventBridge Scheduler mengenkripsi metadata peristiwa dan data pesan yang disimpan di bawah kunci yang AWS dimiliki (enkripsi saat istirahat). EventBridge Scheduler juga mengenkripsi data yang melewati antara EventBridge Scheduler dan layanan lainnya menggunakan Transport Layer Security (TLS) (enkripsi dalam perjalanan).
Jika kasus penggunaan khusus Anda mengharuskan Anda mengontrol dan mengaudit kunci enkripsi yang melindungi data Anda di EventBridge Scheduler, Anda dapat menggunakan kunci yang dikelola pelanggan.
Anda harus meminta RFC menggunakan jenis perubahan Manajemen \$1 Layanan AWS \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) sebelum menggunakan Amazon EventBridge untuk memasukkan izin. AWS KMS
# Gunakan AMS SSP untuk menyediakan Amazon Forecast di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Forecast (Forecast) secara langsung di akun terkelola AMS Anda. Amazon Forecast adalah layanan yang dikelola sepenuhnya yang menggunakan pembelajaran mesin untuk memberikan perkiraan yang sangat akurat.
**catatan**
AWS telah menutup akses pelanggan baru ke Amazon Forecast, efektif 29 Juli 2024. Amazon Forecast pelanggan lama dapat terus menggunakan layanan seperti biasa. AWS terus berinvestasi dalam peningkatan keamanan, ketersediaan, dan kinerja untuk Amazon Forecast, tetapi AWS tidak berencana untuk memperkenalkan fitur baru.
Jika Anda ingin menggunakan Amazon Forecast, hubungi CSDM Anda sehingga mereka dapat memandu Anda lebih lanjut mengenai cara [Transisi penggunaan Amazon Forecast Anda ke Amazon Canvas](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/). SageMaker
Berdasarkan teknologi yang sama yang digunakan di Amazon.com, Forecast menggunakan pembelajaran mesin untuk menggabungkan data deret waktu dengan variabel tambahan untuk membangun prakiraan. Forecast tidak memerlukan pengalaman pembelajaran mesin untuk memulai. Anda hanya perlu memberikan data historis, ditambah data tambahan apa pun yang Anda yakini dapat memengaruhi perkiraan Anda. Misalnya, permintaan untuk warna kemeja tertentu dapat berubah dengan musim dan lokasi toko. Hubungan yang kompleks ini sulit ditentukan sendiri, tetapi pembelajaran mesin sangat cocok untuk mengenalinya. Setelah Anda memberikan data Anda, Forecast akan secara otomatis memeriksanya, mengidentifikasi apa yang bermakna, dan menghasilkan model peramalan yang mampu membuat prediksi yang hingga 50% lebih akurat daripada melihat data deret waktu saja.
Untuk mempelajari lebih lanjut, lihat [Amazon Forecast](https://aws.amazon.com/forecast/).
## FAQ Amazon Forecast di AWS Managed Services
**T: Bagaimana cara meminta akses ke Forecast di akun AMS saya?**
Minta akses ke AWS Firewall Manager dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_forecast_admin_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan Forecast di akun AMS saya?**
Akses bucket S3 default hanya memungkinkan Anda mengakses bucket dengan pola penamaan 'customer-forecast-\$1'. Jika Anda memiliki konvensi penamaan sendiri untuk bucket data, diskusikan penamaan bucket dan penyiapan akses terkait dengan Cloud Architect (CA) Anda. Misalnya:
+ Anda dapat menentukan peran layanan Amazon Forecast spesifik Anda dengan penamaan seperti 'AmazonForecast- ExecutionRole -\$1' dan terkait akses bucket S3 yang tepat. Lihat peran Layanan - AmazonForecast-ExecutionRole-Admin dan kebijakan IAM - customer\$1forecast\$1default\$1s3\$1access\$1policy, di konsol IAM.
+ Anda mungkin perlu mengaitkan akses bucket S3 terkait ke peran federasi IAM. Lihat kebijakan IAM - customer\$1forecast\$1default\$1s3\$1access\$1policy, di konsol IAM.
**T: Apa prasyarat atau dependensi untuk menggunakan Forecast di akun AMS saya?**
+ Bucket Amazon S3 yang tepat harus dibuat sebelum menggunakan Forecast. Terutama, akses bucket S3 default adalah dengan pola penamaan 'customer-forecast-\$1'
+ Jika Anda ingin menggunakan pola penamaan pada bucket S3 selain 'customer-forecast-\$1 ', Anda harus membuat peran layanan baru dengan izin akses S3 di bucket:
1. Peran layanan baru yang akan dibuat dengan penamaan 'AmazonForecast- ExecutionRole - \$1suffix\$1'.
1. Kebijakan IAM baru yang akan dibuat yang mirip dengan customer\$1forecast\$1default\$1s3\$1access\$1policy dan dikaitkan dengan peran layanan baru dan peran admin federasi terkait (misalnya 'customer\$1forecast\$1admin\$1role')
**T: Bagaimana cara meningkatkan keamanan data saat menggunakan Amazon Forecast?**
+ Untuk enkripsi data saat istirahat, Anda dapat menggunakan AWS KMS untuk menyediakan CMK yang dikelola pelanggan untuk melindungi penyimpanan data di layanan Amazon S3:
+ Aktifkan enkripsi default pada bucket dengan kunci penyediaan dan siapkan kebijakan bucket untuk menerima enkripsi AWS KMS data sambil meletakkan data.
+ Aktifkan peran layanan Amazon Forecast 'AmazonForecast- ExecutionRole -\$1' dan peran admin federasi (misalnya' customer\$1forecast\$1admin\$1role ') sebagai pengguna kunci. AWS KMS
+ Untuk enkripsi data dalam perjalanan, Anda dapat mengatur protokol HTTPS, yang diperlukan saat mentransfer objek pada kebijakan bucket Amazon S3.
+ Pembatasan lebih lanjut pada kontrol akses, aktifkan kebijakan bucket untuk akses yang disetujui untuk peran layanan Amazon Forecast 'AmazonForecast- ExecutionRole -\$1' dan peran admin (misalnya' customer\$1forecast\$1admin\$1role ').
**T: Apa praktik terbaik saat menggunakan Amazon Forecast?**
+ Anda harus memiliki pemahaman yang baik tentang praktik klasifikasi data Anda dan memetakan kebutuhan keamanan data terkait saat menggunakan bucket S3 dengan Amazon Forecast.
+ Untuk konfigurasi bucket Amazon S3, kami sangat menyarankan Anda untuk mengaktifkan penegakan HTTPS dalam kebijakan bucket S3 Anda.
+ Anda harus mengetahui peran admin 'customer\$1forecast\$1admin\$1role' mendukung akses permisif (Get/Delete/Putobjek S3) di bucket Amazon S3 dengan penamaan 'customer-forecast-\$1'. CATATAN: Jika Anda memerlukan kontrol akses berbutir halus untuk beberapa tim, ikuti praktik berikut:
+ Tentukan identitas IAM akses berbasis tim Anda (peran/pengguna) dengan akses hak istimewa paling sedikit ke bucket Amazon S3 terkait.
+ Buat AWS KMS CMKs hibah team/project berbasis akses yang tepat ke identitas IAM yang sesuai. (akses pengguna dan 'AmazonForecast- ExecutionRole - \$1team/project\$1'.
+ Siapkan enkripsi default bucket S3 dengan yang dibuat AWS KMS CMKs.
+ Terapkan lalu lintas API S3 dengan protokol HTTPS pada kebijakan bucket S3.
+ Menerapkan konfigurasi bucket S3 untuk akses yang disetujui untuk identitas IAM terkait (akses pengguna dan 'AmazonForecast- ExecutionRole - \$1team/project\$1' ke bucket.
+ Jika Anda ingin menggunakan 'customer\$1forecast\$1admin\$1role' untuk tujuan umum, pertimbangkan poin yang tercantum sebelumnya untuk melindungi bucket S3.
**T: Di mana informasi kepatuhan tentang Amazon Forecast?**
Lihat [AWS layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
# Gunakan AMS SSP untuk menyediakan Amazon FSx di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses FSx kapabilitas Amazon secara langsung di akun terkelola AMS Anda. Amazon FSx menyediakan sistem file pihak ketiga yang dikelola sepenuhnya. Amazon FSx memberi Anda kompatibilitas asli sistem file pihak ketiga dengan set fitur untuk beban kerja seperti penyimpanan berbasis Windows, komputasi kinerja tinggi (HPC), pembelajaran mesin, dan otomatisasi desain elektronik (EDA). Amazon FSx mengotomatiskan tugas administrasi yang memakan waktu seperti penyediaan perangkat keras, konfigurasi perangkat lunak, penambalan, dan pencadangan. Amazon FSx mengintegrasikan sistem file dengan AWS layanan cloud-native, membuatnya lebih berguna untuk serangkaian beban kerja yang lebih luas.
Amazon FSx memberi Anda dua sistem file untuk dipilih: Amazon untuk Windows File Server FSx untuk aplikasi berbasis Windows dan Amazon untuk Lustre FSx untuk beban kerja intensif komputasi. Untuk mempelajari lebih lanjut, lihat [Amazon FSx](https://aws.amazon.com/fsx/).
## FAQ Amazon FSx di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon FSx di akun AMS saya?**
Meminta akses ke Amazon FSx dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_fsx_admin_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon FSx di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh dari layanan ini tersedia.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon FSx di akun AMS saya?**
Tidak ada prasyarat. Namun, untuk konfigurasi lanjutan seperti Multi-AZ, Anda harus menginstal dan mengelola layanan Replikasi DFS dan DFS Namespaces. Untuk informasi selengkapnya, lihat [Menerapkan Sistem File Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/multi-az-deployments.html).
**T: Bagaimana cara mengintegrasikan sistem FSx file Amazon saya dengan iklan terkelola landing zone multi-akun saya?**
Saat membuat sistem FSx file Amazon, Anda dapat menentukan MALZ Managed AD sebagai 'Direktori Aktif Microsoft AWS Terkelola' untuk Otentikasi Windows. Untuk informasi selengkapnya lihat, [Menggunakan Amazon FSx dengan AWS Directory Service Microsoft Active Directory](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html)
Anda juga harus membagikan iklan Terkelola ke akun aplikasi terlebih dahulu. Lakukan ini dengan mengirimkan RFC dengan Management \$1 Directory Service \$1 Directory \$1 Share directory change type (ct-369odosk0pd9w).
**T: Pengguna mana yang termasuk dalam grup **AWS Delegated FSx Administrators?****
Hanya administrator server file TI. Grup ini memiliki hak **akses penuh** di semua berbagi file.
**T: Haruskah saya menggunakan file share default, **share**, yang dibuat saat FSx sistem disediakan?**
Tidak, kami tidak menyarankan menggunakan berbagi file default, **bagikan**, seperti yang disediakan. Ini memberikan **Akses Penuh** ke **Semua Orang**, yang melanggar prinsip hak istimewa paling sedikit. Sebagai gantinya, buat berbagi file khusus yang lebih kecil yang sesuai dengan kebutuhan bisnis Anda.
**T: Bagaimana cara membuat pembagian file khusus untuk organisasi tertentu dalam bisnis saya?**
Lihat [Berbagi File](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/managing-file-shares.html) untuk petunjuk cara membuat berbagi file kustom. Batasi akses pada setiap berbagi file menggunakan prinsip hak istimewa paling sedikit.
# Gunakan AMS SSP untuk menyediakan Amazon FSx untuk OpenZFS di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses Amazon FSx untuk kemampuan OpenZFS secara langsung di akun terkelola AMS Anda. FSx untuk OpenZFS adalah layanan penyimpanan file yang dikelola sepenuhnya yang memudahkan pemindahan data yang berada di ZFS lokal atau server file berbasis Linux lainnya ke AWS tanpa mengubah kode aplikasi atau cara Anda mengelola data. Ini menawarkan penyimpanan file yang sangat andal, terukur, berkinerja, dan kaya fitur yang dibangun di atas sistem file OpenZFS open-source, menyediakan fitur dan kemampuan sistem file OpenZFS yang sudah dikenal dengan kelincahan, skalabilitas, dan kesederhanaan layanan yang dikelola sepenuhnya. AWS Untuk pengembang yang membangun aplikasi cloud-native, ia menawarkan penyimpanan sederhana dan berkinerja tinggi dengan kemampuan yang kaya untuk bekerja dengan data.
FSx untuk sistem file OpenZFS dapat diakses secara luas dari Linux, Windows, dan instance komputasi macOS dan kontainer menggunakan protokol NFS standar industri (v3, v4.0, v4.1, v4.2). Didukung oleh prosesor AWS Graviton dan teknologi AWS disk dan jaringan terbaru (termasuk jaringan Datagram AWS Scalable Reliable dan sistem AWS Nitro), FSx untuk OpenZFS memberikan hingga 1 juta IOPS dengan latensi ratusan mikrodetik. Dengan dukungan lengkap untuk fitur OpenZFS seperti point-in-time snapshot instan dan kloning data, FSx untuk OpenZFS memudahkan Anda mengganti server file lokal Anda dengan AWS penyimpanan yang menyediakan kemampuan sistem file yang sudah dikenal dan menghilangkan kebutuhan untuk melakukan kualifikasi panjang dan mengubah atau merancang ulang aplikasi atau alat yang ada. Dan, dengan menggabungkan kekuatan kemampuan manajemen data OpenZFS dengan kinerja tinggi dan efisiensi biaya dari teknologi AWS terbaru, FSx untuk OpenZFS memungkinkan Anda membangun dan menjalankan aplikasi intensif data berkinerja tinggi.
Sebagai layanan yang dikelola sepenuhnya, FSx untuk OpenZFS memudahkan peluncuran, menjalankan, dan menskalakan sistem file yang dikelola sepenuhnya AWS yang menggantikan server file yang Anda jalankan di tempat sambil membantu memberikan kelincahan yang lebih baik dan biaya yang lebih rendah. Dengan FSx untuk OpenZFS, Anda tidak perlu lagi khawatir tentang pengaturan dan penyediaan server file dan volume penyimpanan, mereplikasi data, menginstal dan menambal perangkat lunak server file, mendeteksi dan mengatasi kegagalan perangkat keras, dan melakukan backup secara manual. Ini juga menyediakan integrasi yang kaya dengan AWS layanan lain, seperti AWS Identity and Access Management (IAM), AWS Key Management Service (AWS KMS), Amazon CloudWatch, dan AWS CloudTrail.
Amazon FSx memberi Anda dua sistem file untuk dipilih: Amazon untuk Windows File Server FSx untuk aplikasi berbasis Windows dan Amazon untuk Lustre FSx untuk beban kerja intensif komputasi. Untuk mempelajari lebih lanjut, lihat [Amazon FSx](https://aws.amazon.com/fsx/).
## FAQ Amazon FSx untuk OpenZFS di AWS Managed Services
**T: Bagaimana cara meminta akses untuk digunakan FSx untuk OpenZFS di akun AMS saya?**
Minta akses ke Amazon FSx OpenZFS dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_fsx_ontap_admin_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan FSx OpenZFS di akun AMS saya?**
Mengganti grup keamanan pada antarmuka jaringan FSx elastis Amazon (ENIs) mengharuskan Anda mengirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Pembaruan RFCs karena grup keamanan merupakan perimeter penting untuk lingkungan AMS. Itu satu-satunya batasan.
**T: Apa prasyarat atau dependensi yang digunakan untuk OpenZFS di akun AMS saya FSx ?**
Tidak ada prasyarat. Namun, Anda harus [Gunakan AMS SSP untuk menyediakan Amazon FSx di akun AMS Anda](amz-fsx.md) menginstal.
# Gunakan AMS SSP untuk menyediakan Amazon FSx untuk NetApp ONTAP di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses Amazon FSx untuk kemampuan NetApp ONTAP secara langsung di akun terkelola AMS Anda. Amazon FSx untuk NetApp ONTAP adalah layanan yang dikelola sepenuhnya yang menyediakan penyimpanan file yang sangat andal, terukur, berkinerja, dan kaya fitur yang dibangun di atas NetApp sistem file ONTAP yang populer. Ini menyediakan fitur, kinerja, kemampuan, dan sistem NetApp file APIs yang sudah dikenal dengan kelincahan, skalabilitas, dan kesederhanaan yang dikelola sepenuhnya. Layanan AWS
Amazon FSx untuk NetApp ONTAP menyediakan penyimpanan file bersama yang kaya fitur, cepat, dan fleksibel yang dapat diakses secara luas dari instans komputasi Linux, Windows, dan macOS yang berjalan di dalam atau di tempat. AWS FSx untuk ONTAP menawarkan penyimpanan SSD berkinerja tinggi dengan latensi sub-milidetik, dan membuatnya cepat dan mudah untuk mengelola data Anda dengan memungkinkan Anda memotret, mengkloning, dan mereplikasi file Anda dengan mengklik tombol. Ini juga secara otomatis meningkatkan data Anda ke penyimpanan elastis berbiaya lebih rendah, menghilangkan kebutuhan untuk menyediakan atau mengelola kapasitas dan memungkinkan Anda mencapai tingkat kinerja SSD untuk beban kerja Anda sambil hanya membayar penyimpanan SSD untuk sebagian kecil data Anda. Ini menyediakan penyimpanan yang sangat tersedia dan tahan lama dengan cadangan yang dikelola sepenuhnya dan dukungan untuk pemulihan bencana lintas wilayah, dan mendukung keamanan data populer dan aplikasi anti-virus yang membuatnya lebih mudah untuk melindungi dan mengamankan data Anda. Bagi pelanggan yang menggunakan NetApp ONTAP lokal, FSx ONTAP adalah solusi ideal untuk memigrasi, mencadangkan, atau mem-burst aplikasi berbasis file Anda dari lokal ke lokasi AWS tanpa perlu mengubah kode aplikasi atau cara Anda mengelola data.
Sebagai layanan yang dikelola sepenuhnya, Amazon FSx untuk NetApp ONTAP memudahkan peluncuran dan skala penyimpanan file bersama yang andal, berkinerja, dan aman di cloud. Dengan Amazon FSx untuk NetApp ONTAP, Anda tidak perlu lagi khawatir tentang pengaturan dan penyediaan server file dan volume penyimpanan, mereplikasi data, menginstal dan menambal perangkat lunak server file, mendeteksi dan mengatasi kegagalan perangkat keras, mengelola failover dan failback, dan melakukan backup secara manual. Ini juga menyediakan integrasi yang kaya dengan yang lain Layanan AWS, seperti AWS Identity and Access Management, Amazon WorkSpaces, AWS Key Management Service, dan AWS CloudTrail.
Amazon FSx memberi Anda dua sistem file untuk dipilih: Amazon untuk Windows File Server FSx untuk aplikasi berbasis Windows dan Amazon untuk Lustre FSx untuk beban kerja intensif komputasi. Untuk mempelajari lebih lanjut, lihat [Amazon FSx](https://aws.amazon.com/fsx/).
## FAQ Amazon FSx untuk NetApp ONTAP di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon FSx untuk NetApp ONTAP di akun AMS saya?**
Minta akses ke Amazon FSx untuk NetApp ONTAP dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_fsx_ontap_admin_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan Amazon FSx untuk NetApp ONTAP di akun AMS saya?**
Mengganti grup keamanan di Amazon FSx untuk antarmuka jaringan elastis NetApp ONTAP (ENIs) mengharuskan Anda mengirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Pembaruan RFCs karena grup keamanan merupakan perimeter penting untuk lingkungan AMS. Itu satu-satunya batasan.
**T: Apa prasyarat atau dependensi untuk menggunakan FSx Amazon NetApp untuk ONTAP di akun AMS saya?**
Tidak ada prasyarat. Namun, Anda harus [Gunakan AMS SSP untuk menyediakan Amazon FSx di akun AMS Anda](amz-fsx.md) menginstal.
# Gunakan AMS SSP untuk menyediakan Amazon Inspector Classic di akun AMS Anda
**catatan**
Pemberitahuan akhir dukungan: Pada 20 Mei 2026, AWS akan mengakhiri dukungan untuk Amazon Inspector Classic. Setelah 20 Mei 2026, Anda tidak akan lagi dapat mengakses konsol Amazon Inspector Classic atau sumber daya Amazon Inspector Classic. Amazon Inspector Classic tidak akan lagi tersedia untuk akun baru, dan akun yang belum menyelesaikan penilaian dalam enam bulan terakhir. Untuk semua akun lain, akses akan tetap berlaku hingga 20 Mei 2026, setelah itu Anda tidak lagi dapat mengakses konsol Amazon Inspector Classic atau sumber daya Amazon Inspector Classic. Untuk informasi selengkapnya, lihat [bagian akhir dukungan Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html).
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Inspector Classic secara langsung di akun terkelola AMS Anda. Amazon Inspector Classic adalah layanan penilaian keamanan otomatis yang membantu meningkatkan keamanan dan kepatuhan aplikasi yang digunakan. AWS Amazon Inspector Classic secara otomatis menilai aplikasi untuk eksposur, kerentanan, dan penyimpangan dari praktik terbaik. Setelah melakukan penilaian, Amazon Inspector Classic menghasilkan daftar rinci temuan keamanan yang diprioritaskan berdasarkan tingkat keparahan. Temuan ini dapat ditinjau secara langsung atau sebagai bagian dari laporan penilaian terperinci, yang tersedia melalui konsol Amazon Inspector Classic atau API. Untuk mempelajari lebih lanjut, lihat [Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html).
## FAQ Amazon Inspector di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon Inspector Classic di akun AMS saya?**
Minta akses ke Amazon Inspector Classic dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran `customer_inspector_admin_role` IAM ke akun Anda. Peran tersebut mencakup AmazonInspectorFullAccess kebijakan AWS yang dikelola. Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Inspector Classic di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Amazon Inspector Classic tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Inspector Classic di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk menggunakan Amazon Inspector Classic di akun AMS Anda.
## Gunakan Amazon Inspector baru di AMS
Anda sekarang dapat menggunakan Amazon Inspector baru di akun AMS Anda.
Untuk Amazon Inspector Classic, `customer-inspector-admin-role-ssm-inspector-agent-policy` dan diperlukan`AmazonInspectorFullAccess`. Namun, telah ada pembaruan untuk peran SSPS`customer-inspector-admin-role`, yang sekarang mencakup tambahan. `policyAmazonInspector2FullAccess` Kebijakan baru ini memungkinkan izin API untuk Amazon Inspector versi baru.
# Gunakan AMS SSP untuk menyediakan Amazon Kendra di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Kendra secara langsung di akun terkelola AMS Anda. Amazon Kendra adalah layanan pencarian cerdas yang menggunakan pemrosesan bahasa alami dan algoritme pembelajaran mesin canggih untuk mengembalikan jawaban spesifik atas pertanyaan pencarian dari data Anda. Tidak seperti pencarian berbasis kata kunci tradisional, Amazon Kendra menggunakan kemampuan pemahaman semantik dan kontekstualnya untuk menentukan apakah dokumen relevan dengan kueri penelusuran. Amazon Kendra mengembalikan jawaban spesifik untuk pertanyaan, sehingga pengalaman Anda hampir berinteraksi dengan ahli manusia. Amazon Kendra sangat skalabel, mampu memenuhi tuntutan kinerja, terintegrasi erat dengan AWS layanan lain seperti Amazon S3 dan Amazon Lex, dan menawarkan keamanan tingkat perusahaan. Untuk mempelajari lebih lanjut, lihat [Amazon Kendra](https://docs.aws.amazon.com/kendra/latest/dg/what-is-kendra.html);.
## FAQ Amazon Kendra di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon Kendra di akun AMS saya?**
Untuk meminta akses ke Amazon Inspector Classic, kirimkan RFC dengan Management \$1 AWS service \$1 Self-provisioned service \$1 Tambahkan (ct-3qe6io8t6jtny) jenis perubahan. RFC ini menyediakan peran `customer_kendra_console_role` IAM ke akun Anda. Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Kendra di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Amazon Kendra tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Kendra di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk memulai dengan Amazon Kendra. Namun, tergantung pada kasus penggunaan spesifik Anda, Anda mungkin memerlukan akses ke AWS layanan lain.
# Gunakan SSP AMS untuk menyediakan Amazon Kinesis Data Streams di akun AMS
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Kinesis Data Streams (KDS) secara langsung di akun terkelola AMS Anda. Amazon Kinesis Data Streams adalah layanan streaming data real-time yang sangat skalabel, dan tahan lama. KDS dapat terus menangkap gigabyte data per detik dari ratusan ribu sumber seperti clickstream situs web, aliran peristiwa database, transaksi keuangan, umpan media sosial, log TI, dan peristiwa pelacakan lokasi. Data yang dikumpulkan tersedia dalam milidetik untuk memungkinkan kasus penggunaan analitik real-time seperti dasbor waktu nyata, deteksi anomali waktu nyata, harga dinamis, dan banyak lagi. Untuk mempelajari selengkapnya, lihat [Amazon Kinesis Data Streams](https://aws.amazon.com/kinesis/data-streams/).
## FAQ Kinesis Data Streams di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon Kinesis Data Streams di akun AMS saya?**
Meminta akses ke Amazon Kinesis Data Streams dengan mengirimkan RFC dengan Manajemen \$1 Layanan AWS \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_kinesis_data_streaming_user_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Kinesis Data Streams di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Amazon Kinesis Data Streams tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Kinesis Data Streams di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk menggunakan Amazon Kinesis Data Streams di akun AMS Anda.
# Gunakan AMS SSP untuk menyediakan Amazon Kinesis Video Streams di akun AMS
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Kinesis Video Streams (KVS) secara langsung di akun terkelola AMS Anda. Amazon Kinesis Video Streams membantu Anda mengalirkan video dengan aman dari AWS perangkat yang terhubung ke analitik, pembelajaran mesin (ML), pemutaran, dan pemrosesan lainnya. Kinesis Video Streams secara otomatis menyediakan, dan menskalakan secara elastis, semua infrastruktur yang diperlukan untuk menyerap data video streaming dari jutaan perangkat. Ini juga tahan lama menyimpan, mengenkripsi, dan mengindeks data video di aliran Anda, dan memungkinkan Anda untuk mengakses data Anda melalui. easy-to-use APIs Kinesis Video Streams memungkinkan Anda memutar video untuk dilihat langsung dan sesuai permintaan, dan dengan cepat membangun aplikasi yang memanfaatkan visi komputer dan analitik video melalui integrasi dengan Amazon Rekognition Video, dan pustaka untuk kerangka kerja HTML seperti Apache,, dan OpenCV. MxNet TensorFlow Untuk mempelajari selengkapnya, lihat [Amazon Kinesis Video Streams](https://aws.amazon.com/kinesis/video-streams/).
## FAQ Amazon Kinesis Video Streams di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon Kinesis Video Streams di akun AMS saya?**
Minta akses ke Amazon Kinesis Video Streams dengan mengirimkan RFC dengan AWS Manajemen \$1 layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_kinesis_video_streaming_user_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Kinesis Video Streams di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Amazon Kinesis Video Streams tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Kinesis Video Streams di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk menggunakan Amazon Kinesis Video Streams di akun AMS Anda.
# Gunakan AMS SSP untuk menyediakan Amazon Lex di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Lex secara langsung di akun terkelola AMS Anda. Amazon Lex adalah layanan untuk membangun antarmuka percakapan ke dalam aplikasi apa pun menggunakan suara dan teks. Amazon Lex menyediakan fungsionalitas pembelajaran mendalam lanjutan dari pengenalan suara otomatis (ASR) untuk mengonversi ucapan menjadi teks, dan pemahaman bahasa alami (NLU) untuk mengenali maksud teks, untuk memungkinkan Anda membangun aplikasi dengan pengalaman pengguna yang sangat menarik dan interaksi percakapan yang hidup. Dengan Amazon Lex, teknologi pembelajaran mendalam yang sama yang mendukung Amazon Alexa sekarang tersedia untuk pengembang mana pun, memungkinkan Anda untuk dengan cepat dan mudah membangun bahasa alami, bot percakapan, atau chatbot percakapan yang canggih dan mudah. Untuk mempelajari lebih lanjut, lihat [Amazon Lex](https://aws.amazon.com/lex/).
## FAQ Amazon Lex di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon Lex di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_lex_author_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Lex di akun AMS saya?**
Integrasi Amazon Lex dengan Lambda terbatas pada fungsi Lambda tanpa awalan “AMS-”, untuk mencegah modifikasi apa pun pada infrastruktur AMS.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Lex di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk menggunakan Amazon Lex di akun AMS Anda.
# Gunakan AMS SSP untuk menyediakan Amazon MQ di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon MQ secara langsung di akun terkelola AMS Anda. Amazon MQ adalah layanan broker pesan terkelola untuk Apache ActiveMQ yang membantu Anda mengatur dan mengoperasikan broker pesan di cloud. Broker pesan memungkinkan sistem perangkat lunak yang berbeda, sering menggunakan bahasa pemrograman yang berbeda dan pada platform yang berbeda, untuk berkomunikasi dan bertukar informasi. Amazon MQ mengurangi beban operasional Anda dengan mengelola penyediaan, penyiapan, dan pemeliharaan ActiveMQ, broker pesan sumber terbuka yang populer. Menghubungkan aplikasi Anda saat ini ke Amazon MQ menggunakan standar industri APIs dan protokol untuk pengiriman pesan, termasuk JMS, NMS, AMQP, STOMP, MQTT, dan. WebSocket Menggunakan standar berarti, dalam banyak kasus, tidak perlu menulis ulang kode pesan apa pun saat Anda bermigrasi. AWS Untuk mempelajari lebih lanjut, lihat [Apa itu Amazon MQ?](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html)
## FAQ Amazon MQ di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon MQ di akun AMS saya?**
Pemanfaatan Amazon MQ di akun AMS Anda adalah proses dua langkah:
1. Menyediakan Broker Amazon MQ. Untuk melakukan ini, kirimkan Template CFN, dengan Broker MQ Amazon disertakan, melalui RFC dengan Deployment \$1 Ingestion \$1 Stack CloudFormation from Template \$1 Buat jenis perubahan (ct-36cn2avfrrj9v), atau kirimkan RFC dengan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat jenis perubahan (ct-1e1xtak34nx76) mengubah jenis yang meminta Amazon MQ Broker disediakan di akun Anda.
1. Akses konsol Amazon MQ. Setelah Amazon MQ Broker disediakan, dapatkan akses ke konsol Amazon MQ dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_mq_console_role`
Setelah peran disediakan di akun Anda, Anda harus memasukkannya ke dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon MQ di akun AMS saya?**
Fungsionalitas penuh Amazon MQ tersedia di akun AMS Anda; namun, penyediaan Broker MQ Amazon tidak tersedia melalui kebijakan karena izin tinggi yang diperlukan. Lihat di atas untuk detail tentang cara menyediakan broker Amazon MQ di akun Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon MQ di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk menggunakan Amazon MQ di akun AMS Anda.
# Menggunakan AMS SSP untuk menyediakan Amazon Managed Service untuk Apache Flink di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses Amazon Managed Service untuk kemampuan Apache Flink secara langsung di akun terkelola AMS Anda. Layanan Terkelola untuk Apache Flink adalah cara termudah untuk menganalisis data streaming, mendapatkan wawasan yang dapat ditindaklanjuti, dan menanggapi kebutuhan bisnis dan pelanggan Anda secara real time. Amazon Managed Service untuk Apache Flink mengurangi kompleksitas membangun, mengelola, dan mengintegrasikan aplikasi streaming dengan layanan lain. AWS Pengguna SQL dapat dengan mudah menanyakan data streaming atau membangun seluruh aplikasi streaming menggunakan templat dan editor SQL interaktif. Pengembang Java dapat dengan cepat membangun aplikasi streaming canggih menggunakan pustaka dan AWS integrasi Java open source untuk mengubah dan menganalisis data secara real time. Amazon Managed Service untuk Apache Flink menangani semua yang diperlukan untuk menjalankan aplikasi real-time Anda secara terus menerus dan menskalakan secara otomatis agar sesuai dengan volume dan throughput data masuk Anda. Dengan Amazon Managed Service untuk Apache Flink, Anda hanya membayar sumber daya yang digunakan aplikasi streaming Anda. Tidak ada biaya minimum atau biaya pengaturan. Untuk mempelajari selengkapnya, lihat [Amazon Managed Service untuk Apache Flink](https://aws.amazon.com/kinesis/data-analytics/).
## Layanan Terkelola untuk Apache Flink di AWS Managed Services FAQ
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon Managed Service untuk Apache Flink di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_kinesis_analytics_application_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Managed Service untuk Apache Flink di akun AMS saya?**
+ Konfigurasi terbatas pada sumber daya tanpa awalan 'AMS-' atau 'MC-' untuk mencegah modifikasi apa pun pada infrastruktur AMS.
+ Izin untuk menghapus atau membuat Kinesis Data Streams atau Firehose baru telah dihapus dari kebijakan. Kami memiliki kebijakan lain yang memungkinkan itu.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Kinesis Data Streams di akun AMS saya?**
Ada beberapa dependensi:
+ Amazon Managed Service untuk Apache Flink mengharuskan Kinesis Data Streams atau Firehose harus dibuat sebelum mengonfigurasi aplikasi dengan Managed Service for Apache Flink.
+ Izin kebijakan berbasis sumber daya harus menunjukkan sumber data input tertentu.
# Gunakan AMS SSP untuk menyediakan Amazon Managed Streaming for Apache Kafka di akun AMS
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan Amazon Managed Streaming for Apache Kafka (Amazon MSK) secara langsung di akun terkelola AMS Anda. Amazon Managed Streaming for Apache Kafka adalah layanan data streaming yang AWS dikelola sepenuhnya sehingga memudahkan Anda untuk membangun dan menjalankan aplikasi yang menggunakan Apache Kafka untuk memproses data streaming tanpa perlu menjadi ahli dalam mengoperasikan cluster Apache Kafka. Amazon MSK mengelola penyediaan, konfigurasi, dan pemeliharaan cluster Apache Kafka dan node Apache untuk Anda. ZooKeeper Amazon MSK juga menunjukkan metrik kinerja utama Apache Kafka di Konsol. AWS
Amazon MSK menyediakan beberapa tingkat keamanan untuk kluster Apache Kafka Anda, termasuk isolasi jaringan VPC, AWS IAM untuk otorisasi API bidang kontrol, enkripsi saat istirahat, enkripsi TLS dalam perjalanan, otentikasi sertifikat berbasis TLS, otentikasi diamankan oleh. SASL/SCRAM AWS Secrets Manager Untuk mempelajari lebih lanjut, lihat [Amazon MSK](https://aws.amazon.com/msk/).
## FAQ Amazon MSK di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon MSK di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini memberikan kebijakan dan peran IAM berikut ke akun Anda:
+ `customer-msk-admin-policy.json`
+ `AmazonMSKFullAccess`
+ `customer-msk-admin-role.json`
Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon MSK?**
Agar Amazon MSK dapat mengirimkan log broker ke tujuan yang Anda konfigurasikan, pastikan bahwa `AmazonMSKFullAccess` kebijakan tersebut dilampirkan ke peran IAM Anda. Jadi izin akses penuh sudah ada.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon MSK?**
Sebelum membuat cluster MSK Anda, Anda harus memiliki VPC dan subnet di dalam VPC itu. Secara default, AMS memiliki ini sebagai bagian dari pembuatan [VPC AMS](https://docs.aws.amazon.com/msk/latest/developerguide/msk-create-cluster.html) default.
Untuk mempelajari tentang batasan MSK Amazon, lihat Batas [MSK Amazon](https://docs.aws.amazon.com/msk/latest/developerguide/limits.html).
# Gunakan AMS SSP untuk menyediakan Amazon Managed Service untuk Prometheus di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan Amazon Managed Service for Prometheus (AMP) secara langsung di akun terkelola AMS Anda. Amazon Managed Service for Prometheus adalah layanan pemantauan tanpa server yang kompatibel dengan Prometheus untuk metrik kontainer yang memudahkan pemantauan lingkungan kontainer dengan aman dalam skala besar. Dengan Amazon Managed Service for Prometheus, Anda dapat menggunakan model data Prometheus sumber terbuka dan bahasa kueri yang sama yang Anda gunakan saat ini untuk memantau kinerja beban kerja kontainer Anda, dan juga menikmati peningkatan skalabilitas, ketersediaan, dan keamanan tanpa harus mengelola infrastruktur yang mendasarinya.
Amazon Managed Service for Prometheus secara otomatis menskalakan konsumsi, penyimpanan, dan kueri metrik operasional saat beban kerja meningkat dan turun. Ini terintegrasi dengan layanan AWS keamanan untuk memungkinkan akses cepat dan aman ke data. Untuk informasi selengkapnya, lihat [Apa itu Layanan Terkelola Amazon untuk Prometheus?](https://docs.aws.amazon.com/prometheus/latest/userguide/what-is-Amazon-Managed-Service-Prometheus.html)
## Layanan Terkelola Amazon untuk Prometheus di AWS Managed Services FAQ
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon Managed Service untuk Prometheus di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer-prometheus-console-role` Setelah disediakan di akun Anda, Anda harus memasukkan `customer-prometheus-console-role` peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Layanan Terkelola Amazon untuk Prometheus di akun AMS saya?**
Semua fitur didukung.
**T: Apa prasyarat atau dependensi untuk menggunakan Layanan Terkelola Amazon untuk Prometheus di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk memulai Layanan Terkelola Amazon untuk Prometheus. Namun, tergantung pada kasus penggunaan spesifik Anda, Anda mungkin memerlukan akses ke AWS layanan lain.
# Menggunakan AMS SSP untuk menyediakan Amazon Personalize di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan Amazon Personalisasi secara langsung di akun terkelola AMS Anda. Amazon Personalize adalah layanan pembelajaran mesin yang memudahkan pengembang untuk membuat rekomendasi individual bagi pelanggan yang menggunakan aplikasi mereka.
Pembelajaran mesin semakin banyak digunakan untuk meningkatkan keterlibatan pelanggan dengan mendukung rekomendasi produk dan konten yang dipersonalisasi, hasil pencarian yang disesuaikan, dan promosi pemasaran yang ditargetkan. Namun, mengembangkan kemampuan pembelajaran mesin yang diperlukan untuk menghasilkan sistem rekomendasi canggih ini telah berada di luar jangkauan sebagian besar organisasi saat ini karena kompleksitasnya. Amazon Personalize memungkinkan pengembang tanpa pengalaman pembelajaran mesin sebelumnya untuk dengan mudah membangun kemampuan personalisasi canggih ke dalam aplikasi mereka, menggunakan teknologi pembelajaran mesin yang disempurnakan dari penggunaan bertahun-tahun di Amazon.com.
Dengan Amazon Personalize, Anda menyediakan aliran aktivitas dari aplikasi Anda — klik, tampilan halaman, pendaftaran, pembelian, dan sebagainya — serta inventaris item yang ingin Anda rekomendasikan, seperti artikel, produk, video, atau musik. Anda juga dapat memilih untuk memberikan Amazon Personalize dengan informasi demografis tambahan dari pengguna Anda seperti usia, atau lokasi geografis. Amazon Personalize akan memproses dan memeriksa data, mengidentifikasi apa yang berarti, memilih algoritme yang tepat, serta melatih serta mengoptimalkan model personalisasi yang disesuaikan untuk data Anda. Semua data yang dianalisis oleh Amazon Personalize dijaga kerahasiaan dan aman, dan hanya digunakan untuk rekomendasi khusus Anda. Anda dapat mulai menyajikan rekomendasi yang dipersonalisasi melalui panggilan API sederhana. Anda hanya membayar untuk apa yang Anda gunakan, dan tidak ada biaya minimum dan tidak ada komitmen di muka.
Untuk mempelajari selengkapnya, lihat [Amazon Personalize](https://aws.amazon.com/personalize/).
## FAQ Personalisasi Amazon di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon Personalize di akun AMS saya?**
Minta akses dengan mengirimkan tipe perubahan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny), dan Anda perlu menentukan bucket S3 mana yang berisi data yang akan digunakan oleh personalisasi untuk menghasilkan rekomendasi. AWS RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_personalize_console_role` dan. `customer_personalize_service_role`
+ Setelah `customer_personalize_console_role` disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda. Anda juga dapat melampirkan `customer_personalize_console_policy` ke peran lain yang ada selain`Customer_ReadOnly_Role`.
+ Setelah `customer_personalize_service_role` diberikan ke akun Anda, maka Anda dapat merujuk ARN-nya saat membuat grup dataset baru.
Pada saat ini, Operasi AMS juga akan menerapkan peran layanan ini di akun Anda: `aws_code_pipeline_service_role_policy`
**T: Apa batasan untuk menggunakan Amazon Personalize di akun AMS saya?**
Konfigurasi Amazon Personalize terbatas pada sumber daya tanpa awalan 'ams-' atau 'mc-', untuk mencegah modifikasi apa pun pada infrastruktur AMS.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Personalize di akun AMS saya?**
+ Jika bucket S3 tempat data disimpan dienkripsi, ID kunci KMS harus disediakan, sehingga kami dapat mengizinkan peran yang digunakan oleh Amazon Personalize untuk mendekripsi bucket.
Amazon Personalize tidak mendukung kunci KMS S3 default. Jika diperlukan untuk menggunakan KMS, buat kunci kustom dan tambahkan kebijakan berikut dengan membuka RFC dengan jenis perubahan Kunci KMS \$1 Buat (Otomatisasi terkelola):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
+ Bucket S3 harus dibuat dengan kebijakan bucket berikut. Lakukan ini dengan mengirimkan RFC dengan jenis perubahan S3 Storage \$1 Create Policy. Kebijakan ini memungkinkan Amazon Personalize untuk mengakses data; bucket tersebut akan berisi data yang akan digunakan oleh Amazon Personalize.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
# Gunakan AMS SSP untuk menyediakan Amazon Quick di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan Cepat secara langsung di akun terkelola AMS Anda. Quick adalah layanan intelijen bisnis yang cepat dan bertenaga cloud yang memberikan wawasan kepada semua orang di organisasi Anda. Sebagai layanan yang dikelola sepenuhnya, Quick memungkinkan Anda dengan mudah membuat dan menerbitkan dasbor interaktif yang menyertakan wawasan pembelajaran mesin (ML). Untuk mempelajari lebih lanjut, lihat [Amazon Quick](https://aws.amazon.com/quicksight/).
## FAQ Cepat di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Quick di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_quicksight_console_admin_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Quick di akun AMS saya?**
+ AWS pengaturan sumber daya di Quick tidak akan dapat diakses oleh Anda karena ketergantungan kebijakan IAM. Namun, tim AMS mengaktifkan setiap sumber daya untuk Anda sebagai tanggapan atas permintaan Anda untuk mengaktifkan layanan.
+ Akses sumber daya untuk pengguna individu dan grup tidak didukung dalam model ini karena fitur ini memungkinkan pengguna untuk mengubah izin IAM yang dapat membahayakan infrastruktur AMS.
+ Kemampuan untuk mengundang identitas IAM dari dalam tidak QuickSight didukung karena risiko yang terlibat mengubah objek IAM.
+ Layanan cepat menawarkan dua edisi: Enterprise dan Standard. Keduanya menyediakan opsi masuk tunggal (SSO) yang didukung di AMS. Namun, Enterprise Edition memiliki opsi untuk mengintegrasikan Quick dengan Active Directory (AD). Quick on AMS tidak mendukung integrasi dengan AD karena ketidakcocokan antara struktur akun AMS dan persyaratan kepercayaan Cepat.
**T: Apa prasyarat atau dependensi untuk menggunakan Quick di akun AMS saya?**
+ Ketika AMS menerima RFC ini untuk menambahkan Quick, Anda akan dikirimi permintaan layanan untuk informasi tambahan; berikan mereka yang berikut:
+ Nama akun cepat (misalnya, `CustomerName-quicksight`
+ Edisi Cepat (Standar versus Perusahaan)
+ AWS Wilayah untuk mengaktifkan layanan Cepat (default ke Wilayah AMS AWS Anda).
+ Alamat email notifikasi untuk akun Cepat.
+ (Opsional) Bucket S3 tempat file data yang akan dianalisis berada.
+ VPC dan subnet IDs yang terhubung ke Quick mendukung fitur untuk menambahkan koneksi VPC, yang memungkinkan konektivitas pribadi antara Quick dan sumber daya di dalam akun.
Operator AMS melakukan proses pendaftaran atas nama Anda dan mengonfigurasi dua QuickSight fungsi:
+ [Penemuan otomatis](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html) ke sumber data.
+ [Koneksi VPC](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html).
**catatan**
Tindakan ini perlu dilakukan oleh operator AMS karena izin IAM dan VPC yang ditinggikan diperlukan selama proses masuk.
# Gunakan AMS SSP untuk menyediakan Amazon Rekognition di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Rekognition secara langsung di akun terkelola AMS Anda. Amazon Rekognition memudahkan untuk menambahkan analisis gambar dan video ke aplikasi Anda menggunakan teknologi pembelajaran mendalam yang terbukti, sangat skalabel, dan tidak memerlukan keahlian pembelajaran mesin untuk digunakan. Dengan Amazon Rekognition, Anda dapat mengidentifikasi objek, orang, teks, adegan, dan aktivitas dalam gambar dan video, serta mendeteksi konten yang tidak pantas. Amazon Rekognition juga menyediakan analisis wajah dan kemampuan pencarian wajah yang sangat akurat yang dapat Anda gunakan untuk mendeteksi, menganalisis, dan membandingkan wajah untuk berbagai macam verifikasi pengguna, penghitungan orang, dan kasus penggunaan keselamatan publik.
Dengan Label Kustom Amazon Rekognition, Anda dapat mengidentifikasi objek dan adegan dalam gambar yang spesifik untuk kebutuhan bisnis Anda. Misalnya, Anda dapat membuat model untuk mengklasifikasikan suku cadang mesin tertentu di jalur perakitan Anda atau untuk mendeteksi tanaman yang tidak sehat. Amazon Rekognition Custom Labels menangani pengembangan model angkat berat untuk Anda, jadi tidak diperlukan pengalaman pembelajaran mesin. Anda hanya perlu menyediakan gambar objek atau adegan yang ingin Anda identifikasi, dan layanan menangani sisanya.
Untuk mempelajari lebih lanjut, lihat [Amazon Rekognition](https://aws.amazon.com/rekognition/).
## FAQ Rekognition Amazon di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon Rekognition di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_rekognition_console_role & customer_rekognition_service_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Rekognition di akun AMS saya?**
Fungsionalitas penuh Amazon Rekognition tersedia dengan peran layanan Amazon Rekognition yang disediakan sendiri.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Rekognition di akun AMS saya?**
Jika Anda menggunakan Kinesis Video Streams yang menyediakan video streaming sumber untuk pemroses aliran Video Rekognition Amazon atau aliran data sebagai tujuan untuk menulis data ke Kinesis Data Streams, silakan berikan AMS saat membuat RFC. `kinesisStreamName`
# Gunakan AMS SSP untuk menyediakan Amazon SageMaker AI di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon SageMaker AI secara langsung di akun terkelola AMS Anda. SageMaker AI memberi setiap pengembang dan ilmuwan data kemampuan untuk membangun, melatih, dan menerapkan model pembelajaran mesin dengan cepat. Amazon SageMaker AI adalah layanan yang dikelola sepenuhnya yang mencakup seluruh alur kerja pembelajaran mesin untuk memberi label dan menyiapkan data Anda, memilih algoritme, melatih model, menyetel dan mengoptimalkannya untuk penerapan, membuat prediksi, dan mengambil tindakan. Model Anda dapat berproduksi lebih cepat dengan usaha yang jauh lebih sedikit dan biaya lebih rendah. Untuk mempelajari lebih lanjut, lihat [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/).
## SageMaker FAQ AI di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke SageMaker AI di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_sagemaker_admin_role` dan peran layanan. `AmazonSageMaker-ExecutionRole-Admin` Setelah SageMaker AI disediakan di akun Anda, Anda harus memasukkan `customer_sagemaker_admin_role` peran tersebut dalam solusi federasi Anda. Peran layanan tidak dapat diakses oleh Anda secara langsung; layanan SageMaker AI menggunakannya saat melakukan berbagai tindakan seperti yang dijelaskan di sini: [Melewati Peran](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role).
**T: Apa batasan untuk menggunakan SageMaker AI di akun AMS saya?**
+ Kasus penggunaan berikut tidak didukung oleh peran AMS Amazon SageMaker AI IAM:
+ SageMaker AI Studio tidak didukung saat ini.
+ SageMaker AI Ground Truth untuk mengelola tenaga kerja pribadi tidak didukung karena fitur ini memerlukan akses yang terlalu permisif ke sumber daya Amazon Cognito. Jika mengelola tenaga kerja pribadi diperlukan, Anda dapat meminta peran IAM khusus dengan izin gabungan SageMaker AI dan Amazon Cognito. Jika tidak, sebaiknya gunakan tenaga kerja publik (didukung oleh Amazon Mechanical Turk), AWS Marketplace atau penyedia layanan, untuk pelabelan data.
+ Membuat Titik Akhir VPC untuk mendukung panggilan API ke layanan SageMaker AI (aws.sagemaker. \$1region\$1 .notebook, com.amazonaws. \$1region\$1 .sagemaker.api & com.amazonaws. \$1region\$1 .sagemaker.runtime) tidak didukung karena izin tidak dapat dicakup ke layanan terkait AI saja. SageMaker Untuk mendukung kasus penggunaan ini, kirimkan Manajemen \$1 Lainnya \$1 RFC lainnya untuk membuat titik akhir VPC terkait.
+ SageMaker Penskalaan otomatis titik akhir AI tidak didukung karena SageMaker AI memerlukan `DeleteAlarm` izin pada sumber daya (“\$1”) apa pun. Untuk mendukung penskalaan otomatis titik akhir, kirimkan Manajemen \$1 Lainnya \$1 RFC lainnya untuk mengatur penskalaan otomatis untuk titik akhir AI. SageMaker
**T: Apa prasyarat atau dependensi untuk menggunakan SageMaker AI di akun AMS saya?**
+ Kasus penggunaan berikut memerlukan konfigurasi khusus sebelum digunakan:
+ Jika bucket S3 akan digunakan untuk menyimpan artefak dan data model, maka Anda harus meminta bucket S3 yang diberi nama dengan kata kunci yang diperlukan (“”, “Sagemaker”, SageMaker “sagemaker” atau “aws-glue”) dengan Deployment \$1 Komponen tumpukan lanjutan \$1 Penyimpanan S3 \$1 Buat RFC.
+ Jika Elastic File Store (EFS) akan digunakan, maka penyimpanan EFS harus dikonfigurasi dalam subnet yang sama, dan diizinkan oleh grup keamanan.
+ Jika sumber daya lain memerlukan akses langsung ke layanan SageMaker AI (notebook, API, runtime, dan sebagainya), maka konfigurasi harus diminta oleh:
+ Mengirimkan RFC untuk membuat grup keamanan untuk titik akhir (Deployment \$1 Advanced stack components \$1 Security group \$1 Create (auto)).
+ Mengirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat RFC untuk menyiapkan titik akhir VPC terkait.
**T: Apa konvensi penamaan yang didukung untuk sumber daya yang `customer_sagemaker_admin_role` dapat diakses secara langsung?** (Berikut ini adalah untuk memperbarui dan menghapus izin; jika Anda memerlukan konvensi penamaan tambahan yang didukung untuk sumber daya Anda, hubungi AMS Cloud Architect untuk konsultasi.)
+ Sumber daya: Melewati `AmazonSageMaker-ExecutionRole-*` peran
+ Izin: Peran layanan yang disediakan sendiri SageMaker AI mendukung penggunaan peran layanan SageMaker AI (`AmazonSageMaker-ExecutionRole-*`) Anda dengan AWS Glue,, dan. AWS RoboMaker AWS Step Functions
+ Sumber Daya: Rahasia tentang AWS Secrets Manager
+ Izin: Jelaskan, Buat, Dapatkan, Perbarui rahasia dengan `AmazonSageMaker-*` awalan.
+ Izin: Jelaskan, Dapatkan rahasia saat tag `SageMaker` sumber daya disetel ke`true`.
+ Sumber Daya: Repositori di AWS CodeCommit
+ Izin: Buat/hapus repositori dengan awalan. `AmazonSageMaker-*`
+ Izin: Git Pull/Push pada repositori dengan awalan berikut,,, dan. `*sagemaker*` `*SageMaker*` `*Sagemaker*`
+ Sumber Daya: Repositori Amazon ECR (Amazon Elastic Container Registry)
+ Izin: Izin: Setel, hapus kebijakan repositori, dan unggah gambar kontainer, saat konvensi penamaan sumber daya berikut digunakan,. `*sagemaker*`
+ Sumber daya: ember Amazon S3
+ Izin: Dapatkan, Letakkan, Hapus objek, batalkan objek S3 unggahan multibagian saat sumber daya memiliki awalan berikut:,, dan. `*SageMaker*` `*Sagemaker*` `*sagemaker*` `aws-glue`
+ Izin: Dapatkan objek S3 saat `SageMaker` tag disetel ke. `true`
+ Sumber Daya: Grup CloudWatch Log Amazon
+ Izin: Buat Grup Log atau Streaming, Letakkan Acara Log, Daftar, Perbarui, Buat, Hapus pengiriman log dengan awalan berikut:. `/aws/sagemaker/*`
+ Sumber daya: Amazon CloudWatch Metric
+ Izin: Masukkan data metrik saat awalan berikut digunakan:`AWS/SageMaker`,,,,`AWS/SageMaker/`, `aws/SageMaker` `aws/SageMaker/``aws/sagemaker`, `aws/sagemaker/` dan. `/aws/sagemaker/.`
+ Sumber Daya: CloudWatch Dasbor Amazon
+ Izin: Create/Delete dasbor saat awalan berikut digunakan:. `customer_*`
+ Sumber daya: Topik Amazon SNS (Layanan Pemberitahuan Sederhana)
+ Izin: Subscribe/Create topik saat awalan berikut digunakan:`*sagemaker*`,, `*SageMaker*` dan. `*Sagemaker*`
**Q: Apa perbedaan antara `AmazonSageMakerFullAccess` dan`customer_sagemaker_admin_role`?**
The `customer_sagemaker_admin_role` with the `customer_sagemaker_admin_policy` memberikan izin yang hampir sama dengan AmazonSageMakerFullAccess kecuali:
+ Izin untuk terhubung dengan AWS RoboMaker, Amazon Cognito, dan AWS Glue sumber daya.
+ SageMaker Penskalaan otomatis titik akhir AI. Anda harus mengirimkan RFC dengan Manajemen \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) \$1 Perbarui entitas atau kebijakan (otomatisasi terkelola) jenis perubahan (ct-27tuth19k52b4) untuk meningkatkan izin penskalaan otomatis sementara, atau secara permanen, karena penskalaan otomatis memerlukan akses permisif pada layanan. CloudWatch
**T: Bagaimana cara mengadopsi kunci terkelola AWS KMS pelanggan dalam enkripsi data saat istirahat?**
Anda harus memastikan bahwa kebijakan kunci telah diatur dengan benar pada kunci yang dikelola pelanggan sehingga pengguna atau peran IAM terkait dapat menggunakan kunci. Untuk informasi selengkapnya, lihat [dokumen Kebijakan AWS KMS Utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users).
# Gunakan AMS SSP untuk menyediakan Amazon Simple Email Service di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan Amazon Simple Email Service (Amazon SES) langsung di akun terkelola AMS Anda. Amazon Simple Email Service adalah layanan pengiriman email berbasis cloud yang dirancang untuk membantu pemasar digital dan pengembang aplikasi, mengirim email pemasaran, pemberitahuan, dan transaksional.
Anda dapat menggunakan antarmuka SMTP atau salah satu AWS SDKs untuk mengintegrasikan Amazon SES langsung ke aplikasi yang ada. Anda juga dapat mengintegrasikan kemampuan pengiriman email Amazon SES ke dalam perangkat lunak yang sudah Anda gunakan, seperti sistem tiket dan klien email.
Untuk mempelajari selengkapnya, lihat [Amazon Simple Email Service](https://aws.amazon.com/ses/).
## FAQ Amazon SES di AWS Managed Services
**T: Bagaimana cara meminta akses ke Amazon SES di akun AMS saya?**
Meminta akses ke Amazon SES dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_ses_admin_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon SES di akun AMS saya?**
+ Anda harus mengonfigurasi kebijakan bucket S3 agar Amazon SES dapat memublikasikan peristiwa ke bucket.
+ Anda harus menggunakan default (AWS SES), atau mengonfigurasi, kunci CMK untuk mengizinkan Amazon SES mengenkripsi email dan mendorong peristiwa ke sumber daya layanan lain seperti Amazon S3, Amazon SNS, Lambda, dan Firehose, milik akun.
**T: Apa batasan untuk menggunakan Amazon SES di akun AMS saya?**
Anda harus meningkatkan RFCs untuk membuat sumber daya berikut:
+ Pengguna SMTP dan peran layanan IAM dengan PutEvents izin, ke aliran Kinesis Firehose.
+ Anda harus membuat AWS sumber daya baru seperti bucket S3, aliran Firehose, topik SNS dengan menggunakan jenis perubahan AMS agar aturan Amazon SES dan tujuan set konfigurasi dapat berfungsi dengan sumber daya tersebut.
+ Kredensi SMTP. Untuk meminta kredensi SMTP baru, gunakan Ubah Jenis (Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat). AMS membuat kredensil dan menambahkannya ke Secrets Manager untuk Anda.
# Gunakan AMS SSP untuk menyediakan Amazon Simple Workflow Service di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Simple Workflow Service (Amazon SWF) secara langsung di akun terkelola AMS Anda. Amazon Simple Workflow Service membantu pengembang membangun, menjalankan, dan menskalakan pekerjaan latar belakang yang memiliki langkah paralel atau berurutan. Anda dapat menganggap Amazon SWF sebagai pelacak status dan koordinator tugas yang dikelola sepenuhnya di Cloud. Jika langkah aplikasi Anda membutuhkan waktu lebih dari 500 milidetik untuk diselesaikan, Anda perlu melacak status pemrosesan, atau Anda perlu memulihkan atau mencoba lagi jika tugas gagal, Amazon SWF dapat membantu Anda. Untuk mempelajari selengkapnya, lihat [Amazon Simple Workflow Service](https://aws.amazon.com/swf/).
## FAQ Amazon SWF di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Amazon SWF di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_swf_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon SWF di akun AMS saya?**
`InvokeFunction`Izin Lambda telah disertakan dalam layanan ini, namun AMS `customer_deny_policy` yang ditambahkan ke semua peran pelanggan AMS secara eksplisit menolak akses ke fungsi AMS Lambda dan sumber daya milik AMS. Untuk menandai atau menghapus tag sumber daya dalam Amazon SWF, kirimkan Manajemen \$1 Lainnya \$1 Jenis Perubahan Lainnya.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon SWF di akun AMS saya?**
Amazon SWF bergantung pada AWS Lambda layanan, oleh karena itu, izin untuk memanggil Lambda telah diberikan sebagai bagian dari peran ini dan tidak ada izin tambahan yang diperlukan untuk memanggil Lambda dari Amazon SWF. Jika tidak, tidak ada prasyarat untuk menggunakan Amazon SWF.
# Gunakan AMS SSP untuk menyediakan Amazon Ttract di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Textract secara langsung di akun terkelola AMS Anda. Amazon Textract adalah layanan pembelajaran mesin yang dikelola sepenuhnya yang secara otomatis mengekstrak teks cetak, tulisan tangan, dan data lain dari dokumen yang dipindai yang melampaui pengenalan karakter optik sederhana (OCR) untuk mengidentifikasi, memahami, dan mengekstrak data dari formulir dan tabel. Untuk mempelajari lebih lanjut, lihat [Amazon Texttract](https://aws.amazon.com/textract/).
## FAQ Amazon Texttract di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta Amazon Texttract untuk disiapkan di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:`customer_textract_console_role`,`customer_textract_human_review_execution_role`, dan. `customer_ec2_textract_instance_profile` Setelah disediakan di akun Anda, Anda harus memasukkan peran `customer_textract_console_role` dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Amazon Ttract di akun AMS saya?**
Tidak ada batasan untuk penggunaan Amazon Ttract di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Ttract di akun AMS saya?**
Anda harus meminta pembuatan bucket S3 dengan mengirimkan Deployment RFC \$1 Komponen tumpukan lanjutan \$1S3 storage \$1 Create (ct-1a68ck03fn98r).
# Gunakan SSP AMS untuk menyediakan Amazon Transcribe di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Amazon Transcribe secara langsung di akun terkelola AMS Anda. Amazon Transcribe adalah layanan pengenalan suara otomatis yang dikelola sepenuhnya dan dilatih terus menerus yang secara otomatis menghasilkan transkrip teks berstempel waktu dari file audio. Amazon Transcribe memudahkan pengembang untuk menambahkan speech-to-text kemampuan ke aplikasi mereka. Data audio hampir tidak mungkin bagi komputer untuk mencari dan menganalisis. Oleh karena itu, pidato yang direkam perlu dikonversi menjadi teks sebelum dapat digunakan dalam aplikasi. Secara historis, pelanggan harus bekerja dengan penyedia transkripsi yang mengharuskan mereka menandatangani kontrak mahal dan sulit untuk diintegrasikan ke dalam tumpukan teknologi mereka untuk menyelesaikan tugas ini. Banyak dari penyedia ini menggunakan teknologi usang yang tidak beradaptasi dengan baik untuk skenario yang berbeda, seperti audio telepon dengan kesetiaan rendah yang umum di pusat kontak, yang menghasilkan akurasi yang buruk.
Amazon Transcribe menggunakan proses pembelajaran mendalam yang disebut Automatic Speech Recognition (ASR) untuk mengubah ucapan menjadi teks, dengan cepat dan akurat. Amazon Transcribe dapat digunakan untuk mentranskripsikan panggilan layanan pelanggan, mengotomatiskan teks dan subtitling tertutup, dan menghasilkan metadata untuk aset media guna membuat arsip yang dapat dicari sepenuhnya. Anda dapat menggunakan Amazon Transcribe Medical untuk menambahkan speech-to-text kemampuan medis ke aplikasi dokumentasi klinis. Untuk mempelajari lebih lanjut, lihat [Amazon Transcribe](https://aws.amazon.com/transcribe/).
## FAQ Amazon Transcribe di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta Amazon Transcribe disiapkan di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_transcribe_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan Amazon Transcribe di akun AMS saya?**
Anda harus menggunakan 'customer-transcribe\$1' sebagai awalan untuk bucket Anda saat bekerja dengan transcribe, kecuali RA dan ditentukan lain.
Anda tidak dapat membuat peran IAM dalam transkrip Amazon.
Anda tidak dapat menggunakan bucket S3 yang dikelola layanan untuk data keluaran di SSPS default (jika diperlukan, hubungi CA akun Anda).
Anda harus mengirimkan Penerimaan Risiko jika ingin menggunakan Kunci KMS yang dikelola pelanggan yang tidak termasuk dalam namespace AMS.
**T: Apa prasyarat atau dependensi untuk menggunakan Amazon Transcribe di akun AMS saya?**
S3 harus memiliki akses ke bucket dengan nama 'customer-transcribe\$1'. KMS diperlukan untuk menggunakan Amazon Transcribe jika bucket S3 Anda dienkripsi dengan kunci KMS. Jika ember tidak perlu dienkripsi "KMStranscribeIzinkan” dapat dihapus.
# Gunakan AMS SSP untuk menyediakan Amazon WorkSpaces di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses WorkSpaces kapabilitas secara langsung di akun terkelola AMS Anda. WorkSpaces memungkinkan Anda menyediakan desktop Microsoft Windows atau Amazon Linux virtual berbasis cloud untuk pengguna Anda, yang dikenal sebagai. WorkSpaces WorkSpaces menghilangkan kebutuhan untuk mendapatkan dan menyebarkan perangkat keras atau menginstal perangkat lunak yang kompleks. Anda dapat dengan cepat menambahkan atau menghapus pengguna saat kebutuhan Anda berubah. Pengguna mengaksesnya WorkSpaces dengan menggunakan aplikasi klien dari perangkat yang didukung atau, untuk Windows WorkSpaces, browser web, dan mereka masuk dengan menggunakan kredenal Active Directory (AD) lokal yang ada.
Untuk mempelajari lebih lanjut, lihat [Amazon WorkSpaces](https://aws.amazon.com/workspaces/).
## WorkSpaces di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke WorkSpaces akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_workspaces_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan WorkSpaces di akun AMS saya?**
Fungsionalitas penuh Workspaces tersedia dengan peran layanan Amazon yang WorkSpaces disediakan sendiri.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? WorkSpaces **
+ WorkSpaces dibatasi oleh AWS Wilayah; oleh karena itu, AD Connector harus dikonfigurasi di AWS Wilayah yang sama tempat WorkSpaces instans di-host.
Pelanggan dapat terhubung WorkSpaces ke AD pelanggan menggunakan salah satu dari dua metode berikut:
1. Menggunakan konektor AD untuk otentikasi proxy ke layanan Active Directory lokal (lebih disukai):
Konfigurasikan Konektor Direktori Aktif (AD) di akun AMS Anda sebelum mengintegrasikan WorkSpaces instans Anda dengan layanan direktori lokal. Konektor AD bertindak sebagai proxy bagi pengguna AD yang ada (dari domain Anda) untuk terhubung WorkSpaces menggunakan kredensil AD lokal yang ada. Ini lebih disukai karena WorkSpaces secara langsung bergabung dengan domain on-prem pelanggan, yang bertindak sebagai Resource dan User forest, yang mengarah ke kontrol lebih di sisi pelanggan.
Untuk informasi selengkapnya, lihat [Praktik Terbaik untuk Menerapkan Amazon WorkSpaces (Skenario 1)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.html).
1. Menggunakan Konektor AD dengan AWS Microsoft AD, VPC Layanan Bersama, dan kepercayaan satu arah ke lokal:
Anda juga dapat mengautentikasi pengguna dengan direktori lokal dengan terlebih dahulu membuat kepercayaan keluar satu arah dari AD yang dikelola AMS ke AD lokal. WorkSpaces akan bergabung dengan AMS-managed AD menggunakan AD Connector. WorkSpaces Izin akses kemudian akan didelegasikan ke WorkSpaces instans melalui AD yang dikelola AMS, tanpa perlu membangun kepercayaan dua arah dengan lingkungan lokal Anda. Dalam skenario ini, hutan Pengguna akan berada di AD pelanggan dan hutan Sumber Daya akan berada di AD yang dikelola AMS (perubahan pada AD yang dikelola AMS dapat diminta melalui RFC). Perhatikan bahwa konektivitas antara WorkSpaces VPC dan VPC Layanan Bersama MALZ yang menjalankan AD yang dikelola AMS dibuat melalui Transit Gateway.
Untuk informasi selengkapnya, lihat [Praktik Terbaik untuk Menerapkan Amazon WorkSpaces (Skenario 6)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-6-aws-microsoft-ad-shared-services-vpc-and-a-one-way-trust-to-on-premises.html).
**catatan**
[AD Connector dapat dikonfigurasi dengan mengirimkan Management \$1 Other \$1 Other \$1 Other \$1 Create change type RFC dengan detail konfigurasi AD prasyarat; untuk informasi selengkapnya, lihat Membuat AD Connector.](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html) Jika metode 2 digunakan untuk membuat hutan Sumber Daya di AD yang dikelola AMS, kirimkan Manajemen lain \$1 Lainnya \$1 Lainnya \$1 Lainnya \$1 Buat jenis perubahan RFC di akun layanan bersama AMS dengan menjalankan AD yang dikelola AMS.
# Gunakan SSP AMS untuk menyediakan layanan Kode AMS di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas layanan Kode AMS secara langsung di akun terkelola AMS Anda. Layanan AMS Code adalah bundling eksklusif dari layanan manajemen kode AWS sebagaimana dirinci selanjutnya. Anda dapat memilih untuk menerapkan semua layanan di AMS dengan layanan Kode AMS, atau Anda dapat menerapkannya di AMS satu per satu.
Layanan Kode AMS mencakup layanan berikut:
+ AWS CodeCommit: Layanan [kontrol sumber](https://aws.amazon.com/devops/source-control) yang dikelola sepenuhnya yang menampung repositori berbasis Git yang aman. Itu membuatnya sehingga tim dapat berkolaborasi dalam kode dalam ekosistem yang aman dan sangat skalabel. CodeCommit menghilangkan kebutuhan untuk mengoperasikan sistem kontrol sumber Anda sendiri atau khawatir tentang penskalaan infrastrukturnya. Anda dapat menggunakan CodeCommit untuk menyimpan apa pun dengan aman dari kode sumber ke biner dan bekerja dengan mulus dengan alat Git Anda yang ada. Untuk mempelajari selengkapnya, lihat [AWS CodeCommit](https://aws.amazon.com/codecommit/)
Untuk menerapkan ini di akun AMS Anda secara independen dari layanan Kode AMS, lihat[Gunakan SSP AMS untuk menyediakan AWS CodeCommit di akun AMS Anda](codecommit.md).
+ AWS CodeBuild: Layanan integrasi berkelanjutan yang dikelola sepenuhnya yang mengkompilasi kode sumber, menjalankan pengujian, dan menghasilkan paket perangkat lunak yang siap digunakan. Dengan CodeBuild, Anda tidak perlu menyediakan, mengelola, dan menskalakan server build Anda sendiri. CodeBuild menskalakan terus menerus dan memproses beberapa build secara bersamaan, sehingga build Anda tidak dibiarkan menunggu dalam antrian. Anda dapat memulai dengan cepat menggunakan lingkungan build yang dikemas sebelumnya, atau Anda dapat membuat lingkungan build khusus yang menggunakan alat build Anda sendiri. Dengan CodeBuild, Anda dikenakan biaya per menit untuk sumber daya komputasi yang Anda gunakan. Untuk mempelajari selengkapnya, lihat [AWS CodeBuild](https://aws.amazon.com/codebuild/)
Untuk menerapkan ini di akun AMS Anda secara independen dari layanan Kode AMS, lihat[Gunakan SSP AMS untuk menyediakan AWS CodeBuild di akun AMS Anda](code-build.md).
+ AWS CodeDeploy: Layanan penyebaran terkelola penuh yang mengotomatiskan penerapan perangkat lunak ke berbagai layanan komputasi seperti Amazon EC2 dan server lokal Anda. AWS CodeDeploy membantu Anda merilis fitur baru dengan cepat, membantu Anda menghindari downtime selama penerapan aplikasi, dan menangani kompleksitas memperbarui aplikasi Anda. Anda dapat menggunakan AWS CodeDeploy untuk mengotomatiskan penerapan perangkat lunak, menghilangkan kebutuhan akan operasi manual yang rawan kesalahan. Skala layanan agar sesuai dengan kebutuhan penerapan Anda. Untuk mempelajari selengkapnya, lihat [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)
Untuk menerapkan ini di akun AMS Anda secara independen dari layanan Kode AMS, lihat[Gunakan SSP AMS untuk menyediakan AWS CodeDeploy di akun AMS Anda](code-deploy.md).
+ AWS CodePipeline: Layanan [pengiriman berkelanjutan](https://aws.amazon.com/devops/continuous-delivery/) yang dikelola sepenuhnya yang membantu Anda mengotomatiskan saluran pipa rilis untuk pembaruan aplikasi dan infrastruktur yang cepat dan andal. CodePipeline mengotomatiskan fase build, test, dan deploy dari proses rilis Anda setiap kali ada perubahan kode, berdasarkan model rilis yang Anda tentukan. Ini memungkinkan Anda untuk dengan cepat dan andal memberikan fitur dan pembaruan. Anda dapat dengan mudah mengintegrasikan AWS CodePipeline dengan layanan pihak ketiga seperti GitHub atau dengan plugin kustom Anda sendiri. Dengan AWS CodePipeline, Anda hanya membayar untuk apa yang Anda gunakan. Tidak ada biaya di muka atau komitmen jangka panjang. Untuk mempelajari selengkapnya, lihat [AWS CodePipeline](https://aws.amazon.com/codepipeline/)
Untuk menerapkan ini di akun AMS Anda secara independen dari layanan Kode AMS, lihat[Gunakan SSP AMS untuk menyediakan AWS CodePipeline di akun AMS Anda](code-pipeline.md).
## Layanan Kode AMS di AWS Managed Services FAQ
**T: Bagaimana cara meminta akses ke layanan Kode AMS di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_code_suite_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda. Pada saat ini Operasi AMS juga akan menerapkan`customer_codebuild_service_role`,`customer_codedeploy_service_role`, peran `aws_code_pipeline_service_role` layanan di akun Anda untuk CodeBuild, CodeDeploy dan CodePipeline layanan. Jika izin IAM tambahan untuk diperlukan untuk diperlukan, kirimkan permintaan layanan AMS. `customer_codebuild_service_role`
**catatan**
Anda juga dapat menambahkan layanan ini secara terpisah; untuk informasi, lihat[Gunakan SSP AMS untuk menyediakan AWS CodeBuild di akun AMS Anda](code-build.md),[Gunakan SSP AMS untuk menyediakan AWS CodeDeploy di akun AMS Anda](code-deploy.md), dan[Gunakan SSP AMS untuk menyediakan AWS CodePipeline di akun AMS Anda](code-pipeline.md), masing-masing.
**T: Apa batasan untuk menggunakan layanan Kode AMS di akun AMS saya?**
+ AWS CodeCommit: Fitur pemicu CodeCommit dinonaktifkan mengingat hak terkait untuk membuat topik SNS. Autentikasi langsung terhadap CodeCommit dibatasi; pengguna harus mengautentikasi dengan Credential Helper. Beberapa perintah KMS juga dibatasi: kms: Enkripsi, kms: Dekripsi,,, kms:ReEncrypt, kms: GenereteDataKey dan. kms: GenerateDataKeyWithoutPlaintext kms: DescribeKey
+ CodeBuild: Untuk akses admin AWS CodeBuild konsol, izin dibatasi pada tingkat sumber daya; misalnya, CloudWatch tindakan dibatasi pada sumber daya tertentu dan `iam:PassRole` izin dikontrol.
+ CodeDeploy: Saat ini CodeDeploy mendukung penerapan di Amazon EC2/Hanya di lokasi. Penerapan di ECS dan Lambda melalui tidak didukung. CodeDeploy
+ CodePipeline: CodePipeline fitur, tahapan, dan penyedia terbatas pada hal-hal berikut:
+ Tahap Penerapan: Amazon S3 dan AWS CodeDeploy
+ Tahap Sumber: Amazon S3,, Bit Bucket AWS CodeCommit, dan GitHub
+ Build Stage: AWS CodeBuild dan Jenkins
+ Tahap Persetujuan: Amazon SNS
+ Tahap Uji: AWS CodeBuild, Jenkins,, Pengujian UI Ghost Inspector BlazeMeter, Beban StormRunner Fokus Mikro, Pemantauan API Runscope
+ Panggilan Panggilan: Step Functions dan Lambda
**catatan**
Operasi AMS menyebarkan `customer_code_pipeline_lambda_policy` di akun Anda; itu harus dilampirkan dengan peran eksekusi Lambda untuk tahap pemanggilan Lambda. Berikan nama service/execution peran Lambda yang Anda inginkan agar kebijakan ini ditambahkan. Jika tidak ada service/execution peran Lambda khusus, maka AMS membuat peran baru bernama`customer_code_pipeline_lambda_execution_role`, yaitu salinan dari peran Lambda` customer_lambda_basic_execution_role`. `customer_code_pipeline_lambda_policy`
**T: Apa prasyarat atau dependensi untuk menggunakan layanan Kode AMS di akun AMS saya?**
+ CodeCommit: Jika bucket S3 dienkripsi dengan AWS KMS kunci, S3 dan AWS KMS harus digunakan. AWS CodeCommit
+ CodeBuild: Jika izin IAM tambahan diperlukan untuk peran AWS CodeBuild layanan yang ditentukan, minta izin tersebut melalui permintaan layanan AMS.
+ CodeDeploy: Tidak ada.
+ CodePipeline: Tidak ada. AWS layanan yang didukung—AWS CodeCommit AWS CodeBuild,, AWS CodeDeploy—harus diluncurkan sebelum, atau bersamaan dengan, peluncuran. CodePipeline Namun ini dilakukan oleh insinyur AMS.
# Gunakan SSP AMS untuk menyediakan AWS Amplify di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Amplify kapabilitas secara langsung di akun terkelola AMS Anda. AWS Amplify Ini adalah solusi lengkap yang memungkinkan pengembang web dan seluler frontend untuk dengan mudah membangun, menghubungkan, dan meng-host aplikasi fullstack. Amplify memberikan fleksibilitas untuk memanfaatkan luasnya AWS layanan saat kasus penggunaan Anda berkembang. Amplify menyediakan produk untuk membangun aplikasi iOS, Android, Flutter, Web, dan React Native fullstack. Untuk mempelajari selengkapnya, lihat [AWS Amplify](https://docs.amplify.aws/console).
## AWS Amplify di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara saya meminta AWS Amplify untuk disiapkan di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_amplify_console_role` Setelah disediakan ke akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
Selain itu, Anda harus memberikan Penerimaan Risiko karena AWS Amplify memiliki izin mutasi infrastruktur. Untuk melakukan ini, bekerja dengan Cloud Service Delivery Manager (CSDM) Anda.
**T: Apa batasan penggunaan AWS Amplify di akun AMS saya?**
Anda harus menggunakan `'amplify*'` sebagai awalan untuk bucket Anda saat bekerja dengan Amplify, kecuali RA dan ditentukan lain.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Amplify **
Tidak ada prasyarat untuk penggunaan di akun AMS Anda. AWS Amplify
**Hanya lingkungan Malz**: Peran bawaan bawaan untuk Amplify adalah “customer\$1amplify\$1console\$1role”. Untuk menggunakan peran kustom, pertama-tama gunakan entitas IAM. Kemudian, buat RFC tambahan untuk menambahkan peran kustom Anda ke daftar izin Kebijakan Kontrol Layanan untuk Akun Aplikasi.
# Gunakan AMS SSP untuk menyediakan AWS AppSync
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS AppSync kapabilitas secara langsung di akun terkelola AMS Anda. AWS AppSync menyederhanakan pengembangan aplikasi dengan memungkinkan Anda membuat API fleksibel untuk mengakses, memanipulasi, dan menggabungkan data dengan aman dari satu atau beberapa sumber data. AWS AppSync adalah layanan terkelola yang menggunakan GraphQL untuk memudahkan aplikasi mendapatkan data yang tepat yang mereka butuhkan.
Dengan AWS AppSync, Anda dapat membangun aplikasi yang dapat diskalakan, termasuk yang memerlukan pembaruan waktu nyata, pada berbagai sumber data seperti penyimpanan data NoSQL, database relasional, APIs HTTP, dan sumber data kustom Anda. AWS Lambda Untuk aplikasi seluler dan web, AWS AppSync juga menyediakan akses data lokal saat perangkat offline, dan sinkronisasi data dengan resolusi konflik yang dapat disesuaikan, saat kembali online. Untuk mempelajari selengkapnya, lihat [AWS AppSync](https://aws.amazon.com/appsync/).
## AWS AppSync di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses AWS AppSync di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_appsync_service_role` dan. `customer_appsync_author_role` Setelah disediakan di akun Anda, Anda harus memasukkan solusi `customer_appsync_author_role` dalam federasi Anda.
**T: Apa batasan untuk menggunakan AWS AppSync?**
+ Saat membuat Sumber Data AppSync pada pelanggan perlu menentukan peran layanan yang dibuat sebelumnya, pembuatan peran baru tidak diperbolehkan dan oleh karena itu akan mengembalikan akses yang ditolak
+ AppSync peran dikonfigurasi untuk membatasi izin ke sumber daya yang berisi awalan 'AMS-' atau 'MC-' untuk mencegah modifikasi apa pun pada infrastruktur AMS.
**T: Apa prasyarat atau dependensi yang digunakan? AWS AppSync**
Layanan ini memungkinkan beberapa layanan lain untuk digunakan sebagai sumber data, Izin dasar untuk menggunakannya seperti itu termasuk dalam peran layanan (`customer_appsync_service_role`), tetapi Anda harus secara manual memilih peran layanan saat menggunakan layanan.
# Gunakan SSP AMS untuk menyediakan AWS App Mesh di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS App Mesh kapabilitas secara langsung di akun terkelola AMS Anda. AWS App Mesh menyediakan jaringan tingkat aplikasi untuk memudahkan layanan Anda berkomunikasi satu sama lain di berbagai jenis infrastruktur komputasi. App Mesh menstandarisasi cara layanan Anda berkomunikasi, memberi Anda end-to-end visibilitas dan memastikan ketersediaan tinggi untuk aplikasi Anda.
AWS App Mesh memudahkan menjalankan layanan dengan menyediakan visibilitas yang konsisten dan kontrol lalu lintas jaringan untuk layanan yang dibangun di berbagai jenis infrastruktur komputasi. App Mesh menghilangkan kebutuhan untuk memperbarui kode aplikasi untuk mengubah cara data pemantauan dikumpulkan atau lalu lintas dirutekan antar layanan. App Mesh mengonfigurasi setiap layanan untuk mengekspor data pemantauan dan mengimplementasikan logika kontrol komunikasi yang konsisten di seluruh aplikasi Anda. Ini memudahkan untuk dengan cepat menentukan lokasi kesalahan yang tepat dan secara otomatis merutekan ulang lalu lintas jaringan ketika ada kegagalan atau ketika perubahan kode perlu digunakan. Untuk mempelajari selengkapnya, lihat [AWS App Mesh](https://aws.amazon.com/app-mesh/).
## AWS App Mesh di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses AWS App Mesh di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_app_mesh_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan AWS App Mesh?**
Fungsionalitas penuh AWS App Mesh tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi yang digunakan? AWS App Mesh**
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. AWS App Mesh
# Gunakan SSP AMS untuk menyediakan AWS Audit Manager di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Audit Manager secara langsung di akun terkelola AMS Anda. Audit Manager membantu Anda terus mengaudit AWS penggunaan Anda untuk menyederhanakan cara Anda menilai risiko dan kepatuhan terhadap peraturan dan standar industri. Audit Manager mengotomatisasi pengumpulan bukti untuk membuatnya lebih mudah untuk menilai apakah kebijakan, prosedur, dan aktivitas Anda beroperasi secara efektif. Ketika tiba waktunya untuk audit, Audit Manager membantu Anda mengelola tinjauan pemangku kepentingan atas kontrol Anda dan membantu Anda membuat laporan siap audit dengan upaya manual yang jauh lebih sedikit. Untuk mempelajari lebih lanjut, lihat [Audit Manager](https://aws.amazon.com/audit-manager/).
## AWS Audit Manager di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS Audit Manager akun AMS saya?**
Anda dapat meminta akses melalui pengajuan Manajemen RFC Layanan \$1 Layanan AWS \$1 AWS Layanan yang disediakan sendiri \$1 Tambah (otomatisasi terkelola) (ct-3qe6io8t6jtny). RFC ini menyediakan peran IAM berikut di akun Anda:. `customer-audit-manager-admin-Role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan AWS Audit Manager?**
Tidak ada batasan untuk penggunaan AWS Audit Manager di akun AMS Anda. Fungsionalitas AWS Audit Manager penuh untuk disediakan.
**T: Apa prasyarat atau dependensi yang digunakan? AWS Audit Manager**
1. Anda perlu menyediakan AMS dengan ember s3 tempat Anda reports/assessments ingin tinggal.
1. Jika Anda ingin memiliki enkripsi dengan layanan ini, Anda perlu menyediakan AMS dengan KMS CMK ARN untuk digunakan.
1. Jika Anda ingin mengirim pemberitahuan SNS ke Topik, Anda harus memberikan nama topik atau arn.
1. **(Opsional)** Ada prasyarat tambahan jika Anda ingin mengaktifkan Organizations sebagai bagian dari landing zone multi-akun Anda di Audit Manager dan Anda menginginkan akun administrator yang didelegasikan: Di kolom deskripsi untuk RFC (Manajemen AWS \$1 layanan \$1 Layanan yang Kompatibel \$1 Tambah), sebutkan bahwa Anda ingin menggunakan akun administrator yang didelegasikan sebagai bagian dari Pengaturan Audit Manager dan berikan rincian di bawah ini:
+ KMS CMK ARN (digunakan untuk mengatur Audit Manager, awalnya)
+ ID akun administrator yang didelegasikan untuk Audit Manager untuk digunakan sebagai bagian dari landing zone multi-akun ini (dapat berupa akun aplikasi MALZ)
# Gunakan SSP AMS untuk menyediakan AWS Batch di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Batch kapabilitas secara langsung di akun terkelola AMS Anda. AWS Batch memungkinkan pengembang, ilmuwan, dan insinyur untuk dengan mudah dan efisien menjalankan ratusan ribu pekerjaan komputasi batch AWS. AWS Batch secara dinamis menyediakan kuantitas dan jenis sumber daya komputasi yang optimal (seperti CPU atau instance yang dioptimalkan memori) berdasarkan volume dan persyaratan sumber daya spesifik dari pekerjaan batch yang dikirimkan. Dengan AWS Batch, tidak perlu menginstal dan mengelola perangkat lunak komputasi batch atau cluster server yang Anda gunakan untuk menjalankan pekerjaan Anda, memungkinkan Anda untuk fokus pada menganalisis hasil dan memecahkan masalah. Untuk mempelajari selengkapnya, lihat [AWS Batch](https://aws.amazon.com/batch/).
## AWS Batch di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS Batch akun AMS saya?**
1. Untuk meminta akses ke AWS Batch, kirimkan Manajemen RFC \$1 Layanan AWS \$1 Layanan yang disediakan sendiri \$1 Tambah (ct-1w8z66n899dct). RFC ini menyediakan peran dan kebijakan IAM berikut di akun Anda:
Peran IAM:
+ `customer_batch_console_role`
+ `customer_batch_ecs_instance_role`
+ `customer_batch_events_service_role`
+ `customer_batch_service_role`
+ `customer_batch_ecs_task_role`
Kebijakan:
+ `customer_batch_console_role_policy`
+ `customer_batch_service_role_policy`
+ `customer_batch_events_service_role_policy`
2. Setelah disediakan di akun Anda, Anda harus memasukkan peran `customer_batch_console_role` dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan AWS Batch?**
Saat membuat Lingkungan Komputasi, Anda harus menandai EC2 instance sebagai “customer\$1batch” atau “customer-batch”. Jika instance tidak diberi tag, instance tidak akan dihentikan berdasarkan batch saat pekerjaan selesai.
**T: Apa prasyarat atau dependensi yang digunakan? AWS Batch**
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. AWS Batch
# Gunakan SSP AMS untuk menyediakan AWS Certificate Manager di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas AWS Certificate Manager (ACM) secara langsung di akun terkelola AMS Anda. AWS Certificate Manager adalah layanan yang memungkinkan Anda menyediakan, mengelola, dan menyebarkan sertifikat Secure Sockets Layer/Transport Layer Security (SSL/TLS) publik dan pribadi untuk digunakan dengan AWS layanan dan sumber daya internal Anda yang terhubung. SSL/TLS sertifikat digunakan untuk mengamankan komunikasi jaringan dan menetapkan identitas situs web melalui internet serta sumber daya di jaringan pribadi. AWS Certificate Manager menghapus proses manual yang memakan waktu untuk membeli, mengunggah, dan memperbarui SSL/TLS sertifikat.
Dengan AWS Certificate Manager, Anda dapat meminta sertifikat, menerapkannya pada AWS sumber daya yang terintegrasi dengan ACM, seperti Elastic Load Balancers, distribusi CloudFront Amazon, dan pada APIs API Gateway, dan biarkan menangani perpanjangan sertifikat. AWS Certificate Manager Ini juga memungkinkan Anda untuk membuat sertifikat pribadi untuk sumber daya internal Anda dan mengelola siklus hidup sertifikat secara terpusat. Sertifikat publik dan swasta yang disediakan AWS Certificate Manager untuk digunakan dengan layanan terintegrasi ACM gratis. Anda hanya membayar untuk AWS sumber daya yang Anda buat untuk menjalankan aplikasi Anda. Dengan [AWS Private Certificate Authority](https://aws.amazon.com/certificate-manager/private-certificate-authority/), Anda membayar setiap bulan untuk pengoperasian AWS Private CA dan untuk sertifikat pribadi yang Anda terbitkan. Untuk mempelajari lebih lanjut, lihat [AWS Certificate Manager - AWS Dokumentasi](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
## FAQ ACM di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS Certificate Manager akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_acm_create_role` Anda dapat menggunakan peran ini untuk membuat dan mengelola sertifikat ACM. Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
Sertifikat ACM dapat dibuat menggunakan jenis perubahan berikut, meskipun Anda belum menambahkan peran `customer_acm_create_role` IAM:
+ [ACM \$1 Buat Sertifikat Publik](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-public-certificate.html)
+ [ACM \$1 Buat Sertifikat Pribadi](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-private-certificate.html)
+ [Sertifikat ACM dengan tambahan SANs \$1 Buat](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-certificate-with-additional-sans-create.html)
**T: Apa batasan untuk menggunakan AWS Certificate Manager?**
Anda harus mengirimkan Permintaan Perubahan (RFC) ke AMS untuk menghapus atau memodifikasi sertifikat yang ada, karena tindakan tersebut memerlukan akses admin penuh (gunakan Manajemen \$1 Komponen tumpukan lanjutan \$1 ACM \$1 Hapus jenis perubahan sertifikat (ct-1q8q56cmwqj9m)). Perhatikan bahwa kebijakan IAM tidak dapat mengecualikan hak berdasarkan nama tag (mc\$1, ams\$1, dll). Sertifikat tidak dikenakan biaya, jadi menghapus sertifikat yang tidak digunakan tidak sensitif terhadap waktu.
**T: Apa prasyarat atau dependensi untuk menggunakan Certificate Manager?**
Nama DNS publik yang ada, dan akses untuk membuat catatan DNS CNAME, tetapi itu tidak perlu di-host di akun terkelola.
# Gunakan SSP AMS untuk menyediakan AWS Private Certificate Authority di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Private Certificate Authority kapabilitas secara langsung di akun terkelola AMS Anda. Sertifikat privat digunakan untuk mengidentifikasi dan mengamankan komunikasi antara sumber daya yang terhubung di jaringan pribadi, seperti server, seluler, dan perangkat dan aplikasi IoT. AWS Private CA adalah layanan CA pribadi terkelola yang membantu Anda mengelola siklus hidup sertifikat pribadi Anda dengan mudah dan aman. AWS Private CA memberi Anda layanan CA pribadi yang sangat tersedia tanpa investasi di muka dan biaya pemeliharaan berkelanjutan untuk mengoperasikan CA pribadi Anda sendiri. AWS Private CA memperluas kemampuan manajemen sertifikat ACM ke sertifikat pribadi, memungkinkan Anda untuk membuat dan mengelola sertifikat publik dan swasta secara terpusat. Anda dapat dengan mudah membuat dan menerapkan sertifikat pribadi untuk AWS sumber daya menggunakan AWS Management Console atau ACM API. Untuk instans EC2, container, perangkat IoT, dan sumber daya lokal, Anda dapat dengan mudah membuat dan melacak sertifikat pribadi dan menggunakan kode otomatisasi sisi klien Anda sendiri untuk menerapkannya. Anda juga memiliki fleksibilitas untuk membuat sertifikat pribadi dan mengelolanya sendiri untuk aplikasi yang memerlukan masa pakai sertifikat khusus, algoritme kunci, atau nama sumber daya Untuk mempelajari lebih lanjut, lihat. [AWS Private CA](https://aws.amazon.com/certificate-manager/private-certificate-authority/)
## AWS Private CA di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses AWS Private CA di akun AMS saya?**
Meminta akses melalui pengajuan AWS Layanan RFC (Manajemen \$1 layanan \$1 AWS Layanan yang Kompatibel). Melalui RFC ini peran IAM berikut akan disediakan di akun Anda:. `customer_acm_pca_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan AWS Private CA?**
Saat ini, AWS Resource Access Manager (AWS RAM) tidak dapat digunakan untuk berbagi AWS Private CA lintas akun Anda.
**T: Apa prasyarat atau dependensi yang digunakan? AWS Private CA**
1. Jika Anda berencana untuk membuat CRL, Anda memerlukan ember S3 untuk menyimpannya. AWS Private CA secara otomatis menyetor CRL di bucket Amazon S3 yang Anda tunjuk dan memperbaruinya secara berkala. Merupakan syarat awal bahwa bucket S3 memiliki kebijakan bucket di bawah ini sebelum Anda dapat menyiapkan CRL. Untuk melanjutkan permintaan ini; buat RFC dengan ct-0fpjlxa808sh2 (Manajemen \$1 Komponen tumpukan lanjutan \$1 Penyimpanan S3 \$1 Kebijakan pembaruan) sebagai berikut:
+ Berikan nama bucket S3 atau ARN.
+ Salin kebijakan di bawah ini ke RFC dan ganti `bucket-name` dengan nama bucket S3 yang Anda inginkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource":[
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
2. Jika bucket S3 di atas dienkripsi, maka Service Principal acm-pca.amazonaws.com memerlukan izin untuk mendekripsi. Untuk melanjutkan permintaan ini; buat RFC dengan ct-3ovo7px2vsa6n (Manajemen \$1 Komponen tumpukan lanjutan \$1 Kunci KMS \$1 Pembaruan) sebagai berikut:
+ Berikan ARN Kunci KMS di mana kebijakan harus diperbarui.
+ Salin kebijakan di bawah ini ke RFC dan ganti `bucket-name` dengan nama bucket S3 yang Anda inginkan.
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
"arn:aws:s3:::bucket_name/audit-report/*",
"arn:aws:s3:::bucket_name/crl/*"
]
}
}
}
```
3. AWS Private CA CRLs tidak mendukung pengaturan S3 “Blokir akses publik ke ember dan objek yang diberikan melalui daftar kontrol akses baru (ACLs)”. Anda harus menonaktifkan pengaturan ini dengan akun S3 dan bucket untuk memungkinkan penulisan CRLs seperti yang disebutkan di [Cara membuat dan menyimpan CRL Anda dengan aman untuk ACM Private CA Jika Anda ingin menonaktifkan, buat](https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/) RFC baru dengan ct-0xdawir96cy7k (Manajemen \$1 Lainnya \$1 Lainnya \$1 Pembaruan) dan lampirkan Penerimaan Risiko. AWS Private CA Jika Anda memiliki pertanyaan tentang penerimaan risiko, hubungi Cloud Architect Anda.
# Gunakan SSP AMS untuk menyediakan AWS CloudEndure di akun AMS Anda
**catatan**
Setelah peluncuran yang sukses AWS Application Migration Service, layanan CloudEndure Migrasi sekarang berakhir di semua AWS Wilayah. Kami merekomendasikan penggunaan pelanggan AWS Application Migration Service untuk migrasi lift dan shift ke GovCloud Wilayah dan ke Wilayah Komersil. Untuk informasi, lihat [Apa itu AWS Application Migration Service?](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html) .
Jika Anda ingin menggunakan AWS Application Migration Service, hubungi CA Anda sehingga mereka dapat memandu Anda.
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS CloudEndure kapabilitas secara langsung di akun terkelola AMS Anda. AWS CloudEndure migrasi menyederhanakan, mempercepat, dan mengotomatiskan migrasi skala besar dari infrastruktur fisik, virtual, dan berbasis cloud ke infrastruktur. AWS CloudEndure Disaster Recovery (DR) melindungi terhadap downtime dan kehilangan data dari ancaman apa pun, termasuk ransomware dan korupsi server.
## AWS CloudEndure di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke CloudEndure akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan Pengguna IAM berikut ke akun Anda:. `customer_cloud_endure_user` Setelah disediakan di akun Anda, kunci akses dan kunci rahasia untuk pengguna dibagikan di AWS Secrets Manager.
Kebijakan ini juga disediakan untuk akun: `customer_cloud_endure_policy` dan. `customer_cloud_endure_deny_policy`
Selain itu, Anda harus memberikan Penerimaan Risiko karena solusi CloudEndure DR untuk integrasi aplikasi memiliki izin mutasi infrastruktur. Untuk melakukan ini, bekerja dengan manajer pengiriman layanan cloud (CSDM) Anda.
**T: Apa batasan penggunaan CloudEndure di akun AMS saya?**
Instans replikasi dan konversi cloud endure hanya dapat diluncurkan di subnet yang Anda tunjukkan.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? CloudEndure ** Bagikan hal berikut melalui korespondensi dua arah RFC:
+ Detail Subnet VPC untuk instans Replikasi dan Konversi yang akan diluncurkan.
+ Nama Sumber Daya Amazon Kunci KMS (ARN) jika volume EBS dienkripsi.
# Gunakan SSP AMS untuk menyediakan AWS CloudHSM di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS CloudHSM kapabilitas secara langsung di akun terkelola AMS Anda. AWS CloudHSM membantu Anda memenuhi persyaratan kepatuhan perusahaan, kontraktual, dan peraturan untuk keamanan data dengan menggunakan instans Modul Keamanan Perangkat Keras (HSM) khusus di cloud. AWS AWS, dan mitra AWS Marketplace, menawarkan berbagai solusi untuk melindungi data sensitif dalam AWS platform, tetapi untuk beberapa aplikasi dan data yang tunduk pada mandat kontrak atau peraturan untuk mengelola kunci kriptografi, perlindungan tambahan mungkin diperlukan. AWS CloudHSM melengkapi solusi perlindungan data yang ada dan memungkinkan Anda untuk melindungi kunci enkripsi Anda di dalamnya HSMs yang dirancang dan divalidasi dengan standar pemerintah untuk manajemen kunci yang aman. AWS CloudHSM memungkinkan Anda untuk membuat, menyimpan, dan mengelola kunci kriptografi dengan aman yang digunakan untuk enkripsi data dengan cara yang kunci hanya dapat diakses oleh Anda. Untuk mempelajari selengkapnya, lihat [AWS CloudHSM](https://aws.amazon.com/cloudhsm/).
## AWS CloudHSM di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS CloudHSM akun AMS saya?**
Pemanfaatan di akun AMS Anda adalah proses dua langkah:
1. Minta AWS CloudHSM cluster. Lakukan ini dengan mengirimkan RFC dengan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat (ct-1e1xtak34nx76) jenis perubahan. Sertakan detail berikut:
+ AWS Wilayah.
+ VPC ID/ARN. Provide a VPC ID/VPC ARN yang berada di akun yang sama dengan RFC yang Anda kirimkan.
+ Tentukan setidaknya dua Availability Zone untuk cluster.
+ ID EC2 instans Amazon yang akan terhubung ke cluster HSM.
1. Akses AWS CloudHSM konsol. Lakukan ini dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_cloudhsm_console_role`
Setelah peran disediakan di akun Anda, Anda harus memasukkannya ke dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS CloudHSM di akun AMS saya?**
Akses ke AWS CloudHSM konsol tidak memberi Anda kemampuan untuk membuat, menghentikan, atau memulihkan klaster Anda. Untuk melakukan hal-hal itu, kirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat jenis perubahan (ct-1e1xtak34nx76) jenis perubahan.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS CloudHSM **
Anda harus mengizinkan lalu lintas TCP menggunakan port 2225 melalui EC2 instans Amazon klien dalam VPC, atau menggunakan Direct Connect VPN untuk server on-premise yang menginginkan akses ke cluster HSM. AWS CloudHSM tergantung pada Amazon EC2 untuk grup keamanan dan antarmuka jaringan. Untuk pemantauan atau audit log, HSM mengandalkan CloudTrail (operasi AWS API) dan CloudWatch Log untuk semua aktivitas perangkat HSM lokal.
**T: Siapa yang akan menerapkan pembaruan ke AWS CloudHSM klien dan pustaka perangkat lunak terkait?**
Anda bertanggung jawab untuk menerapkan pembaruan perpustakaan dan klien. Anda akan ingin memantau halaman riwayat [versi CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html) untuk rilis, dan kemudian menerapkan pembaruan menggunakan peningkatan klien [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-upgrade.html).
**catatan**
Tambalan perangkat lunak untuk alat HSM selalu diterapkan secara otomatis oleh layanan. AWS CloudHSM
# Gunakan SSP AMS untuk menyediakan AWS CodeBuild di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS CodeBuild kapabilitas secara langsung di akun terkelola AMS Anda. AWS CodeBuild adalah layanan integrasi berkelanjutan yang dikelola sepenuhnya yang mengkompilasi kode sumber, menjalankan pengujian, dan menghasilkan paket perangkat lunak yang siap digunakan. Dengan CodeBuild, Anda tidak perlu menyediakan, mengelola, dan menskalakan server build Anda sendiri. CodeBuild menskalakan terus menerus dan memproses beberapa build secara bersamaan, sehingga build Anda tidak dibiarkan menunggu dalam antrian. Anda dapat memulai dengan cepat menggunakan lingkungan build yang dikemas sebelumnya, atau Anda dapat membuat lingkungan build khusus yang menggunakan alat build Anda sendiri. Dengan CodeBuild, Anda dikenakan biaya per menit untuk sumber daya komputasi yang Anda gunakan. Untuk mempelajari selengkapnya, lihat [AWS CodeBuild](https://aws.amazon.com/codebuild/).
**catatan**
Untuk onboard CodeCommit,, CodeBuild CodeDeploy, dan CodePipeline dengan satu RFC, kirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) ubah jenis dan minta tiga layanan:, dan. CodeBuild CodeDeploy CodePipeline Kemudian, ketiga peran,`customer_codebuild_service_role`,`customer_codedeploy_service_role`, dan `aws_code_pipeline_service_role` disediakan di akun Anda. Setelah penyediaan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
## CodeBuild di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS CodeBuild akun AMS saya?**
Pemanfaatan AWS CodeBuild di akun AMS Anda adalah proses dua langkah:
1. Menyediakan proses build `CodeBuild Service Role` untuk berkoordinasi dengan bucket AWS S3, Amazon, CloudWatch dan grup Log
1. Minta akses ke CodeBuild konsol
Anda dapat meminta agar keduanya disiapkan di akun AMS Anda dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS CodeBuild di akun AMS saya?**
Untuk akses administrator AWS CodeBuild konsol, izin dibatasi pada tingkat sumber daya; misalnya, CloudWatch tindakan dibatasi pada sumber daya tertentu dan `iam:PassRole` izin dikontrol.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? CodeBuild **
Jika izin IAM tambahan diperlukan untuk peran AWS CodeBuild layanan yang ditentukan, minta izin tersebut melalui permintaan layanan AMS.
# Gunakan SSP AMS untuk menyediakan AWS CodeCommit di akun AMS Anda
**catatan**
AWS telah menutup akses pelanggan baru ke AWS CodeCommit, efektif 25 Juli 2024. AWS CodeCommit Pelanggan yang sudah ada dapat terus menggunakan layanan seperti biasa. AWS terus berinvestasi dalam keamanan, ketersediaan, dan peningkatan kinerja untuk AWS CodeCommit, tetapi kami tidak berencana untuk memperkenalkan fitur baru.
Untuk memigrasikan CodeCommit repositori AWS Git ke penyedia Git lainnya, hubungi arsitek cloud (CA) Anda untuk mendapatkan panduan. Untuk informasi selengkapnya tentang memigrasi repositori Git Anda, lihat [Cara memigrasikan repositori CodeCommit AWS Anda ke penyedia Git lain](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/).
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS CodeCommit kapabilitas secara langsung di akun terkelola AMS Anda. AWS CodeCommit adalah layanan [kontrol sumber](https://aws.amazon.com/devops/source-control/) yang dikelola sepenuhnya yang menampung repositori berbasis Git yang aman. Ini membantu tim untuk berkolaborasi dalam kode dalam ekosistem yang aman dan sangat skalabel. CodeCommit menghilangkan kebutuhan untuk mengoperasikan sistem kontrol sumber Anda sendiri atau khawatir tentang penskalaan infrastrukturnya. Anda dapat menggunakannya CodeCommit untuk menyimpan apa pun dengan aman mulai dari kode sumber hingga binari, dan ini bekerja dengan mulus dengan alat Git Anda yang ada. Untuk mempelajari selengkapnya, lihat [AWS CodeCommit](https://aws.amazon.com/codecommit/).
**catatan**
Untuk onboard CodeCommit,, CodeBuild CodeDeploy, dan CodePipeline dengan satu RFC, kirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) ubah jenis dan minta tiga layanan:, dan. CodeBuild CodeDeploy CodePipeline Kemudian, ketiga peran,`customer_codebuild_service_role`,`customer_codedeploy_service_role`, dan `aws_code_pipeline_service_role` disediakan di akun Anda. Setelah penyediaan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
## CodeCommit di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke CodeCommit akun AMS saya?**
AWS CodeCommit peran konsol dan akses data dapat diminta melalui pengajuan dua AWS Layanan RFCs, akses konsol, dan akses data:
+ Minta akses ke AWS CodeCommit dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_codecommit_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
Akses data (seperti Pelatihan dan Daftar Entitas) memerlukan terpisah CTs untuk setiap sumber data yang menentukan sumber data S3 (wajib), bucket keluaran (wajib) dan KMS (opsional). Tidak ada batasan untuk penciptaan lapangan AWS CodeCommit kerja selama semua sumber data telah diberikan peran akses. Untuk meminta akses data, kirimkan RFC dengan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat (ct-1e1xtak34nx76).
**T: Apa batasan penggunaan AWS CodeCommit di akun AMS saya?**
Fitur pemicu CodeCommit dinonaktifkan mengingat hak terkait untuk membuat topik SNS. Autentikasi langsung terhadap CodeCommit dibatasi, pengguna harus mengautentikasi dengan Credential Helper. Beberapa perintah KMS juga dibatasi:`kms:Encrypt`,,`kms:Decrypt`,`kms:ReEncrypt`, `kms:GenereteDataKey``kms:GenerateDataKeyWithoutPlaintext`, dan`kms:DescribeKey`.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS CodeCommit **
Jika bucket S3 dienkripsi dengan kunci KMS, S3 dan KMS harus digunakan. AWS CodeCommit
# Gunakan SSP AMS untuk menyediakan AWS CodeDeploy di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS CodeDeploy kapabilitas secara langsung di akun terkelola AMS Anda. AWS CodeDeploy adalah layanan penyebaran terkelola penuh yang mengotomatiskan penerapan perangkat lunak ke berbagai layanan komputasi seperti Amazon EC2,, AWS Fargate dan server lokal Anda. AWS Lambda AWS CodeDeploy membantu Anda merilis fitur baru dengan cepat, membantu Anda menghindari downtime selama penerapan aplikasi, dan menangani kompleksitas memperbarui aplikasi Anda. Anda dapat menggunakan AWS CodeDeploy untuk mengotomatiskan penerapan perangkat lunak, menghilangkan kebutuhan akan operasi manual yang rawan kesalahan. Skala layanan agar sesuai dengan kebutuhan penerapan Anda. Untuk mempelajari selengkapnya, lihat [AWS CodeDeploy](https://aws.amazon.com/codedeploy/).
**catatan**
Untuk onboard CodeCommit,, CodeBuild CodeDeploy, dan CodePipeline dengan satu RFC, kirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) ubah jenis dan minta tiga layanan:, dan. CodeBuild CodeDeploy CodePipeline Kemudian, ketiga peran,`customer_codebuild_service_role`,`customer_codedeploy_service_role`, dan `aws_code_pipeline_service_role` disediakan di akun Anda. Setelah menyediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
## CodeDeploy di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke CodeDeploy akun AMS saya?**
Meminta akses CodeDeploy dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_codedeploy_console_role` dan. `customer_codedeploy_service_role` Setelah disediakan di akun Anda, Anda harus memasukkan `customer_codedeploy_console_role` peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan CodeDeploy di akun AMS saya?**
Saat ini kami hanya mendukung Platform Komputasi sebagai — Amazon EC2/On-premise. Blue/Green Penerapan tidak didukung.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? CodeDeploy **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. CodeDeploy
# Gunakan SSP AMS untuk menyediakan AWS CodePipeline di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS CodePipeline kapabilitas secara langsung di akun terkelola AMS Anda. AWS CodePipeline adalah layanan [pengiriman berkelanjutan](https://aws.amazon.com/devops/continuous-delivery/) yang dikelola sepenuhnya yang membantu Anda mengotomatiskan saluran pipa rilis Anda untuk pembaruan aplikasi dan infrastruktur yang cepat dan andal. CodePipeline mengotomatiskan fase build, test, dan deploy dari proses rilis Anda setiap kali ada perubahan kode, berdasarkan model rilis yang Anda tentukan. Ini memungkinkan Anda untuk dengan cepat dan andal memberikan fitur dan pembaruan. Anda dapat dengan mudah mengintegrasikan AWS CodePipeline dengan layanan pihak ketiga seperti GitHub atau dengan plugin kustom Anda sendiri. Dengan AWS CodePipeline, Anda hanya membayar untuk apa yang Anda gunakan. Tidak ada biaya di muka atau komitmen jangka panjang. Untuk mempelajari selengkapnya, lihat [AWS CodePipeline](https://aws.amazon.com/codepipeline/).
**catatan**
Untuk onboard CodeCommit,, CodeBuild CodeDeploy, dan CodePipeline dengan satu RFC, kirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) ubah jenis dan minta tiga layanan:, dan. CodeBuild CodeDeploy CodePipeline Kemudian, ketiga peran,`customer_codebuild_service_role`,`customer_codedeploy_service_role`, dan `aws_code_pipeline_service_role` disediakan di akun Anda. Setelah menyediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
CodePipeline di AMS tidak mendukung “ CloudWatch Acara Amazon” untuk Tahap Sumber karena memerlukan izin yang lebih tinggi untuk membuat peran dan kebijakan layanan, yang melewati model hak istimewa paling sedikit dan proses manajemen perubahan AMS.
## CodePipeline di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke CodePipeline akun AMS saya?**
Minta akses ke CodePipeline dengan mengirimkan permintaan layanan untuk `customer_code_pipeline_console_role` di akun yang relevan. Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
Pada saat ini, Operasi AMS juga akan menerapkan peran layanan ini di akun Anda:`aws_code_pipeline_service_role_policy`.
**T: Apa batasan penggunaan CodePipeline di akun AMS saya?**
Ya. CodePipeline fitur, tahapan, dan penyedia terbatas pada hal-hal berikut:
1. Tahap Penerapan: Terbatas untuk Amazon S3, dan AWS CodeDeploy
1. Tahap Sumber: Terbatas untuk Amazon S3,, AWS CodeCommit, dan BitBucket GitHub
1. Build Stage: Terbatas untuk AWS CodeBuild, dan Jenkins
1. Tahap Persetujuan: Terbatas untuk Amazon SNS
1. Tahap Uji: Terbatas pada AWS CodeBuild, Jenkins,, Ghost Inspector UI Testing BlazeMeter, Micro StormRunner Focus Load, dan Runscope API Monitoring
1. Panggilan Panggilan: Terbatas untuk Step Functions, dan Lambda
**catatan**
Operasi AMS akan diterapkan `customer_code_pipeline_lambda_policy` di akun Anda; itu harus dilampirkan dengan peran eksekusi Lambda untuk tahap pemanggilan Lambda. Harap berikan nama service/execution peran Lambda yang Anda inginkan agar kebijakan ini ditambahkan. Jika tidak ada service/execution peran Lambda khusus, AMS akan membuat peran baru bernama`customer_code_pipeline_lambda_execution_role`, yang akan menjadi salinan dari peran Lambda`customer_lambda_basic_execution_role`. `customer_code_pipeline_lambda_policy`
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? CodePipeline **
AWS layanan yang didukung AWS CodeCommit AWS CodeBuild,, AWS CodeDeploy harus diluncurkan sebelum, atau bersamaan dengan, peluncuran CodePipeline.
# Gunakan SSP AMS untuk menyediakan AWS Compute Optimizer di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Compute Optimizer kapabilitas secara langsung di akun terkelola AMS Anda. AWS Compute Optimizer merekomendasikan sumber daya AWS Komputasi yang optimal untuk beban kerja Anda untuk mengurangi biaya dan meningkatkan kinerja dengan menggunakan pembelajaran mesin untuk menganalisis metrik pemanfaatan historis. Komputasi penyediaan berlebih (Amazon EC2 dan ASG) dapat menyebabkan biaya infrastruktur yang tidak perlu dan komputasi yang kurang penyediaan dapat menyebabkan kinerja aplikasi yang buruk. Compute Optimizer membantu Anda memilih jenis instans Amazon EC2 yang optimal, termasuk yang merupakan bagian dari grup Amazon EC2 Auto Scaling, berdasarkan data pemanfaatan Anda. Untuk mempelajari selengkapnya, lihat [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/).
## FAQ Compute Optimizer di AWS Managed Services
**T: Bagaimana cara meminta akses ke Compute Optimizer di akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_compute_optimizer_readonly_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Compute Optimizer di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh AWS Compute Optimizer tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi untuk menggunakan Compute Optimizer di akun AMS saya?**
+ Anda harus mengirimkan RFC (Manajemen \$1 Lainnya \$1 Lainnya \$1 Pembaruan) yang mengizinkan AMS Ops untuk mengaktifkan layanan di akun. Selama penerapan, peran terkait layanan (SLR) dibuat untuk memungkinkan pengumpulan metrik dan pembuatan laporan. SLR diberi label "” AWSServiceRoleForComputeOptimizer. Untuk informasi selengkapnya, lihat [Menggunakan Peran Tertaut Layanan](https://docs.aws.amazon.com/compute-optimizer/latest/ug/using-service-linked-roles.html) untuk AWS Compute Optimizer
+ CloudWatch metrik harus diaktifkan untuk metrik berikut:
+ **Pemanfaatan CPU**: Persentase unit komputasi Amazon EC2 yang dialokasikan yang digunakan pada instance. Metrik ini mengidentifikasi daya pemrosesan yang diperlukan untuk menjalankan aplikasi pada instance yang dipilih.
+ **Pemanfaatan memori**: Jumlah memori yang telah digunakan dalam beberapa cara selama periode sampel. Metrik ini mengidentifikasi memori yang diperlukan untuk menjalankan aplikasi pada instance yang dipilih. Pemanfaatan memori dianalisis hanya untuk sumber daya yang memiliki CloudWatch agen terpadu diinstal pada mereka. Untuk informasi lebih lanjut, lihat Mengaktifkan Pemanfaatan Memori dengan CloudWatch Agen (hal. 10).
+ **Jaringan di**: Jumlah byte yang diterima pada semua antarmuka jaringan oleh instance. Metrik ini mengidentifikasi volume trafik jaringan yang masuk ke satu instance.
+ **Jaringan keluar**: Jumlah byte yang dikirim pada semua antarmuka jaringan oleh instance. Metrik ini mengidentifikasi volume trafik jaringan keluar dari satu instance.
+ **Disk lokal input/output (I/O)**: Jumlah input/output operasi untuk disk lokal. Metrik ini mengidentifikasi kinerja volume root dari sebuah instance
# Gunakan SSP AMS untuk menyediakan AWS DataSync di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS DataSync kapabilitas secara langsung di akun terkelola AMS Anda. AWS DataSync memindahkan sejumlah besar data secara online antara penyimpanan lokal dan Amazon S3, Amazon Elastic File System (Amazon Elastic File System) atau Amazon. FSx Tugas manual yang terkait dengan transfer data dapat memperlambat migrasi dan membebani operasi TI. DataSync menghilangkan atau secara otomatis menangani banyak tugas ini, termasuk pekerjaan penyalinan skrip, penjadwalan dan pemantauan transfer, memvalidasi data, dan mengoptimalkan pemanfaatan jaringan. Agen DataSync perangkat lunak terhubung ke penyimpanan Network File System (NFS) dan Server Message Block (SMB) Anda, sehingga Anda tidak perlu memodifikasi aplikasi Anda. DataSync Dapat mentransfer ratusan terabyte dan jutaan file dengan kecepatan hingga 10 kali lebih cepat daripada alat sumber terbuka, melalui internet atau tautan. AWS Direct Connect Anda dapat menggunakan DataSync untuk memigrasikan kumpulan data aktif atau arsip ke AWS, mentransfer data ke cloud untuk analisis dan pemrosesan tepat waktu, atau mereplikasi data AWS untuk kelangsungan bisnis.
Untuk mempelajari selengkapnya, lihat [AWS DataSync](https://aws.amazon.com/datasync/).
## DataSync di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke DataSync akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_datasync_console_role`
Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
Grup CloudWatch log yang digunakan untuk melakukan streaming log tugas adalah “/aws/datasync”.
**T: Apa batasan penggunaan DataSync di akun AMS saya?**
Fungsionalitas penuh AWS DataSync tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? DataSync **
+ Amazon S3 (Nama Sumber Daya ARNs Amazon) diperlukan untuk semua bucket S3 yang terkait dengan DataSync tugas yang akan dilakukan menggunakan peran layanan. DataSync `customer_datasync_service_role`
+ Endpoint VPC dan grup keamanan untuk DataSync agen harus diminta dengan RFC dengan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat (ct-1e1xtak34nx76) mengubah jenis sebelum menggunakan VPC Endpoints.
+ AWS DataSync agen berjalan di AMS sebagai alat. AWS DataSync Agen ditambal dan diperbarui oleh layanan; untuk detailnya, lihat [AWS DataSync FAQ](https://aws.amazon.com/datasync/faqs/).
+ Untuk meluncurkan AWS DataSync agen, kirimkan RFC dengan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat (ct-1e1xtak34nx76) jenis perubahan, meminta agen disebarkan. Berikan ID AMI AWS DataSync Amazon EC2, jenis instans, subnet, grup keamanan; dan referensi keypair Amazon EC2 yang ada atau minta pembuatan keypair baru.
**catatan**
AMS menyediakan AWS DataSync agen secara manual atas nama pelanggan, dan tidak memerlukan proses konsumsi WIGS di Amazon AWS DataSync EC2 AMI.
# Gunakan SSP AMS untuk menyediakan AWS Device Farm di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Device Farm kapabilitas secara langsung di akun terkelola AMS Anda. AWS Device Farm adalah layanan pengujian aplikasi yang memungkinkan Anda meningkatkan kualitas web dan aplikasi seluler Anda dengan mengujinya di berbagai browser desktop dan perangkat seluler nyata; tanpa harus menyediakan dan mengelola infrastruktur pengujian apa pun. Layanan ini memungkinkan Anda menjalankan pengujian secara bersamaan di beberapa browser desktop atau perangkat nyata untuk mempercepat eksekusi rangkaian pengujian, serta menghasilkan video dan log untuk membantu Anda mengidentifikasi masalah dengan aplikasi dengan cepat.
Untuk mempelajari selengkapnya, lihat [AWS Device Farm](https://aws.amazon.com/device-farm/).
## AWS Device Farm di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke AWS Device Farm akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_devicefarm_role`
Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Device Farm di akun AMS saya?**
Akses penuh ke AWS Device Farm layanan disediakan dengan pengecualian menggunakan namespace AMS di tag 'Nama'.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Device Farm **
Tidak ada.
# Gunakan SSP AMS untuk menyediakan AWS Elastic Disaster Recovery di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Elastic Disaster Recovery kapabilitas secara langsung di akun terkelola AMS Anda. AWS Elastic Disaster Recovery meminimalkan waktu henti dan kehilangan data dengan pemulihan aplikasi berbasis cloud dan lokal yang cepat dan andal menggunakan penyimpanan yang terjangkau, komputasi minimal, dan pemulihan. point-in-time Anda dapat meningkatkan ketahanan TI saat digunakan AWS Elastic Disaster Recovery untuk mereplikasi aplikasi lokal atau berbasis cloud yang berjalan pada sistem operasi yang didukung. Gunakan Konsol Manajemen AWS untuk mengonfigurasi pengaturan replikasi dan peluncuran, memantau replikasi data, dan meluncurkan instance untuk latihan atau pemulihan.
Untuk mempelajari selengkapnya, lihat [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/).
## AWS Elastic Disaster Recovery di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke AWS Elastic Disaster Recovery akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_drs_console_role`
Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Elastic Disaster Recovery di akun AMS saya?**
Tidak ada batasan untuk digunakan AWS Elastic Disaster Recovery di akun AMS Anda.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Elastic Disaster Recovery **
+ Setelah Anda memiliki akses ke peran konsol, Anda harus menginisialisasi layanan Elastic Disaster Recovery untuk membuat peran IAM yang diperlukan dalam akun.
+ Anda harus mengirimkan tipe perubahan Manajemen \$1 Aplikasi \$1 Profil instans IAM \$1 Buat (otomatisasi terkelola) ubah jenis ct-0ixp4ch2tiu04 RFC untuk membuat tiruan dari profil instans dan melampirkan kebijakan. `customer-mc-ec2-instance-profile` `AWSElasticDisasterRecoveryEc2InstancePolicy` Anda harus menentukan mesin mana yang akan dilampirkan kebijakan baru.
+ Jika instance tidak menggunakan profil instance default, AMS dapat melampirkan `AWSElasticDisasterRecoveryEc2InstancePolicy` melalui otomatisasi.
+ Anda harus menggunakan kunci KMS milik pelanggan untuk pemulihan lintas akun. Kunci KMS akun sumber harus diperbarui mengikuti kebijakan untuk mengizinkan akses akun target. Untuk informasi selengkapnya, lihat [Berbagi kunci enkripsi EBS dengan akun target](https://docs.aws.amazon.com/drs/latest/userguide/multi-account.html#multi-account-ebs).
+ Kebijakan kunci KMS harus diperbarui untuk memungkinkan izin `customer_drs_console_role` melihat kebijakan jika Anda tidak ingin beralih peran ke tampilan.
+ Untuk pemulihan bencana lintas akun dan lintas wilayah, AMS harus menyiapkan akun sumber dan target sebagai Akun Tepercaya dan menerapkan [Failback dan peran dalam ukuran yang tepat.AWS](https://docs.aws.amazon.com/drs/latest/userguide/trusted-accounts-failback-role.html) CloudFormation
# Gunakan SSP AMS untuk menyediakan AWS Elemental MediaConvert di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Elemental MediaConvert kapabilitas secara langsung di akun terkelola AMS Anda. AWS Elemental MediaConvert adalah layanan transcoding video berbasis file dengan fitur tingkat siaran. Ini memungkinkan Anda untuk membuat konten video-on-demand (VOD) untuk siaran dan pengiriman multilayar dalam skala besar. Layanan ini menggabungkan kemampuan video dan audio canggih dengan antarmuka dan pay-as-you-go harga layanan web yang sederhana. Dengan AWS Elemental MediaConvert, Anda dapat fokus pada memberikan pengalaman media yang menarik tanpa harus khawatir tentang kompleksitas membangun dan mengoperasikan infrastruktur pemrosesan video Anda sendiri.
Untuk mempelajari selengkapnya, lihat [AWS Elemental MediaConvert](https://aws.amazon.com/mediaconvert/).
## MediaConvert di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke MediaConvert akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_mediaconvert_author_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
Peran kedua akan disediakan,`customer_MediaConvert_Default_Role`, yang digunakan oleh MediaConvert untuk membaca dari bucket S3 sumber dan menulis output ke bucket S3 tujuan, dan juga untuk memanggil gateway API jika Anda memerlukan manajemen hak digital (DRM).
**T: Apa batasan penggunaan MediaConvert di akun AMS saya?**
Tidak ada batasan untuk penggunaan MediaConvert di AMS.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? MediaConvert **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. MediaConvert
# Gunakan SSP AMS untuk menyediakan AWS Elemental MediaLive di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Elemental MediaLive kapabilitas secara langsung di akun terkelola AMS Anda. AWS Elemental MediaLive adalah layanan pemrosesan video langsung tingkat siaran. Ini memungkinkan Anda untuk membuat aliran video berkualitas tinggi untuk pengiriman ke televisi siaran dan perangkat multilayar yang terhubung ke internet, seperti terhubung, tablet, smartphone, dan TVs set-top box. Layanan ini bekerja dengan menyandikan streaming video langsung Anda secara real-time, mengambil sumber video langsung berukuran lebih besar dan mengompresnya menjadi versi yang lebih kecil untuk didistribusikan ke pemirsa Anda. Dengan AWS Elemental MediaLive, Anda dapat dengan mudah mengatur streaming untuk acara langsung dan saluran 24x7 dengan fitur penyiaran lanjutan, ketersediaan tinggi, dan harga. pay-as-you-go AWS Elemental MediaLive memungkinkan Anda fokus untuk menciptakan pengalaman video langsung yang menarik bagi pemirsa Anda tanpa kerumitan membangun dan mengoperasikan infrastruktur pemrosesan video tingkat siaran.
Untuk mempelajari selengkapnya, lihat [AWS Elemental MediaLive](https://aws.amazon.com/medialive/).
## MediaLive di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke MediaLive akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_medialive_author_role`
Sebagai bagian dari RFC ini, peran kedua diterapkan ke akun Anda; `customer_medialive_service_role` peran, peran ini dapat ditetapkan ke saluran dan input Media Live Anda untuk berinteraksi dengan layanan lain seperti Amazon S3,, dan Log. MediaStore CloudWatch
Setelah peran disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan MediaLive di akun AMS saya?**
Tidak ada batasan untuk penggunaan MediaLive di AMS.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? MediaLive **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. MediaLive
# Gunakan SSP AMS untuk menyediakan AWS Elemental MediaPackage di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Elemental MediaPackage kapabilitas secara langsung di akun terkelola AMS Anda. AWS Elemental MediaPackage andal mempersiapkan dan melindungi video Anda untuk pengiriman melalui internet. Dari satu input video, AWS Elemental MediaPackage buat aliran video yang diformat untuk diputar di ponsel TVs, komputer, tablet, dan konsol game yang terhubung. Ini membuatnya mudah untuk menerapkan fitur video populer untuk pemirsa (start-over, pause, rewind, dan sebagainya.), Seperti yang biasa ditemukan di. DVRs AWS Elemental MediaPackage juga dapat melindungi konten Anda menggunakan Digital Rights Management (DRM). AWS Elemental MediaPackage skala secara otomatis sebagai respons terhadap pemuatan, sehingga pemirsa Anda akan selalu mendapatkan pengalaman hebat tanpa Anda harus memprediksi secara akurat terlebih dahulu kapasitas yang Anda perlukan.
Untuk mempelajari selengkapnya, lihat [AWS Elemental MediaPackage](https://aws.amazon.com/mediapackage/).
## MediaPackage di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke AWS Elemental MediaPackage akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_mediapackage_author_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
Peran kedua akan diberikan,`customer_mediapackage_service_role`, yang dapat ditetapkan ke saluran Media Live Anda dan input untuk berinteraksi dengan layanan lain seperti S3 dan Secrets Manager.
**T: Apa batasan penggunaan MediaPackage di akun AMS saya?**
Tidak ada batasan untuk penggunaan MediaPackage di AMS.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? MediaPackage **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. MediaPackage
# Gunakan SSP AMS untuk menyediakan AWS Elemental MediaStore di akun AMS Anda
**catatan**
Setelah pertimbangan cermat, AWS telah membuat keputusan untuk berhenti MediaStore, efektif 13 November 2025. Jika Anda adalah pelanggan aktif MediaStore, Anda dapat menggunakan MediaStore seperti biasa hingga 13 November 2025, ketika dukungan untuk layanan akan berakhir. Setelah tanggal ini, Anda tidak akan lagi dapat menggunakan MediaStore atau kemampuan apa pun yang disediakan oleh layanan ini.
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Elemental MediaStore kapabilitas secara langsung di akun terkelola AMS Anda. AWS Elemental MediaStore adalah layanan AWS penyimpanan yang dioptimalkan untuk media. Ini memberi Anda kinerja, konsistensi, dan latensi rendah yang diperlukan untuk mengirimkan konten video streaming langsung. AWS Elemental MediaStore bertindak sebagai toko asal dalam alur kerja video Anda. Kemampuan kinerjanya yang tinggi memenuhi kebutuhan beban kerja pengiriman media yang paling menuntut, dikombinasikan dengan penyimpanan jangka panjang yang hemat biaya. Untuk mempelajari selengkapnya, lihat [AWS Elemental MediaStore](https://aws.amazon.com/mediastore/).
## MediaStore di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke MediaStore akun AMS saya?**
Meminta akses MediaStore dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_mediastore_author_role` Sebagai bagian dari RFC ini, peran kedua diterapkan ke akun Anda; `MediaStoreAccessLogs` peran, yang digunakan oleh MediaStore layanan untuk log aktivitas CloudWatch, jika Anda memilih untuk mengaktifkan fitur tersebut. Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
Pada saat ini, Operasi AMS juga akan menerapkan peran layanan ini di akun Anda: `aws_code_pipeline_service_role_policy`
**T: Apa batasan penggunaan MediaStore di akun AMS saya?**
Tidak ada batasan untuk penggunaan MediaStore di AMS.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? MediaStore **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. MediaStore
# Gunakan SSP AMS untuk menyediakan AWS Elemental MediaTailor di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Elemental MediaTailor kapabilitas secara langsung di akun terkelola AMS Anda. AWS Elemental MediaTailor memungkinkan penyedia video memasukkan iklan yang ditargetkan secara individual ke dalam aliran video mereka tanpa mengorbankan tingkat siaran. quality-of-service Dengan AWS Elemental MediaTailor, pemirsa video langsung atau sesuai permintaan Anda masing-masing menerima streaming yang menggabungkan konten Anda dengan iklan yang dipersonalisasi untuk mereka. Tetapi tidak seperti solusi iklan yang dipersonalisasi lainnya, dengan seluruh streaming AWS Elemental MediaTailor Anda — video dan iklan — disampaikan dengan kualitas video tingkat siaran untuk meningkatkan pengalaman bagi pemirsa Anda. AWS Elemental MediaTailor memberikan pelaporan otomatis berdasarkan metrik pengiriman iklan sisi klien dan server, untuk mengukur tayangan iklan dan perilaku pemirsa secara akurat. Anda dapat dengan mudah memonetisasi acara menonton permintaan tinggi yang tidak terduga tanpa menggunakan biaya di muka. AWS Elemental MediaTailor Ini juga meningkatkan tingkat pengiriman iklan, membantu Anda menghasilkan lebih banyak uang dari setiap video, dan bekerja dengan berbagai jaringan pengiriman konten, server keputusan iklan, dan perangkat klien yang lebih luas.
Untuk mempelajari selengkapnya, lihat [AWS Elemental MediaTailor](https://aws.amazon.com/mediatailor/).
## MediaTailor di FAQ AWS Managed Services
**T: Bagaimana cara meminta akses ke MediaTailor akun AMS saya?**
Meminta akses MediaTailor dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer-mediatailor-role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan MediaTailor di akun AMS saya?**
Tidak ada batasan untuk penggunaan MediaTailor di AMS.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? MediaTailor **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. MediaTailor
# Gunakan SSP AMS untuk menyediakan AWS Global Accelerator di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas Global Accelerator secara langsung di akun terkelola AMS Anda. Global Accelerator adalah layanan lapisan jaringan di mana Anda membuat akselerator untuk meningkatkan ketersediaan dan kinerja untuk aplikasi internet yang digunakan oleh khalayak global. Untuk mempelajari lebih lanjut, lihat [Akselerator Global](https://aws.amazon.com/global-accelerator/).
## FAQ Akselerator Global di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta Global Accelerator untuk disiapkan di akun AMS saya?**
Meminta akses melalui pengajuan AWS Layanan RFC (Manajemen \$1 layanan \$1 AWS Layanan Penyediaan Mandiri). Melalui RFC ini, peran IAM berikut akan disediakan di akun Anda:. `customer_global_accelerator_console_role` Setelah disediakan di akun Anda, Anda harus mengaktifkan peran konsol dalam solusi federasi Anda.
**T: Apa batasan penggunaan Global Accelerator di akun AMS saya?**
Global Accelerator adalah layanan global yang mendukung titik akhir di beberapa AWS Wilayah, yang tercantum dalam Tabel [AWS Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
**T: Apa prasyarat atau dependensi untuk menggunakan Global Accelerator di akun AMS saya?**
Saat Anda mengatur akselerator dengan Global Accelerator, Anda mengaitkan alamat IP statis ke titik akhir regional di satu atau beberapa Wilayah. AWS Untuk akselerator standar, titik akhir adalah Network Load Balancer, Application Load Balancer, EC2 instans Amazon, atau alamat IP Elastis. Untuk akselerator perutean khusus, titik akhir adalah subnet virtual private cloud (VPC) dengan satu atau beberapa instance. EC2
# Gunakan SSP AMS untuk menyediakan AWS Glue di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Glue kapabilitas secara langsung di akun terkelola AMS Anda. AWS Glue adalah layanan ekstrak, transformasi, dan pemuatan (ETL) yang dikelola sepenuhnya yang membantu Anda mempersiapkan dan memuat data Anda untuk analitik. Anda dapat membuat dan menjalankan pekerjaan ETL dengan beberapa klik di file. Konsol Manajemen AWS Anda menunjuk AWS Glue ke data yang disimpan AWS, dan AWS Glue menemukan data Anda serta menyimpan metadata terkait (misalnya definisi tabel dan skema) di. AWS Glue Data Catalog Setelah dikatalogkan, data Anda segera dapat dicari, dapat ditanyakan, dan tersedia untuk tindakan ETL. Untuk mempelajari selengkapnya, lihat [AWS Glue](https://aws.amazon.com/glue/).
## AWS Glue di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara saya meminta AWS Glue untuk disiapkan di akun AMS saya?**
Meminta akses AWS Glue dengan mengirimkan RFC dengan Manajemen \$1 Layanan AWS \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:
+ `customer_glue_console_role`
+ `customer_glue_service_role`
Peran sebelumnya mencakup kebijakan terlampir berikut:
+ `customer_glue_secrets_manager_policy`
+ `customer_glue_deny_policy`
Setelah peran disediakan di akun Anda, Anda harus memasukkannya ke dalam solusi federasi Anda.
Untuk akses ke titik akhir Crawler, Jobs, dan Development (peran yang diperlukan untuk kasus penggunaan tertentu), kirimkan RFC dengan Deployment \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) \$1 Buat entitas atau kebijakan (ct-3dpd8mdd9jn1r).
**T: Apa batasan penggunaan AWS Glue di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh AWS Glue tersedia di akun AMS Anda. Untuk lingkungan interaktif tempat Anda dapat membuat dan menguji skrip ETL, gunakan Notebook di Studio. AWS Glue AWS Glue Sesi Interaktif dan Notebook Job adalah fitur tanpa server AWS Glue yang dapat Anda gunakan AWS Glue dan yang memanfaatkan peran layanan. AWS Glue
**AWS Glue sebelum 2.0:** AWS Glue Notebook adalah sumber daya yang tidak dikelola yang meluncurkan instans EC2 Amazon di akun. Ini adalah praktik terbaik untuk meluncurkan EC2 instans Amazon Anda sendiri dan menginstal perangkat lunak yang diperlukan untuk mendukung lingkungan dan pengembangan notebook. [Untuk informasi lebih lanjut, lihat [Tutorial: Mengatur Notebook Apache Zeppelin Lokal untuk Menguji dan Mendebug Skrip ETL dan Menggunakan Titik Akhir Pengembangan untuk Mengembangkan Skrip](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint-tutorial-local-notebook.html).](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html)
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Glue **
AWS Glue memiliki ketergantungan pada Amazon S3 CloudWatch,, CloudWatch dan Log. Dependensi transitif bervariasi berdasarkan sumber data, dan fitur AWS Glue layanan lainnya mungkin berinteraksi dengannya (contoh: Amazon Redshift, Amazon RDS, Athena).
# Gunakan SSP AMS untuk menyediakan AWS Lake Formation di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Lake Formation kapabilitas secara langsung di akun terkelola AMS Anda. AWS Lake Formation adalah layanan yang membuatnya mudah untuk mengatur danau data yang aman dalam beberapa hari. Sebuah danau data adalah repositori terpusat, dikurasi, dan aman yang menyimpan semua data Anda, baik dalam bentuk aslinya dan yang disiapkan untuk analisis. Danau data memungkinkan Anda untuk menguraikan silo data dan menggabungkan berbagai jenis analitik untuk mendapatkan wawasan dan memandu keputusan bisnis yang lebih baik.
Membuat danau data dengan Lake Formation sesederhana mendefinisikan sumber data serta kebijakan akses dan keamanan data apa yang ingin Anda terapkan. Lake Formation kemudian membantu Anda mengumpulkan dan membuat katalog data dari database dan penyimpanan objek, memindahkan data ke danau data Amazon S3 baru Anda, membersihkan dan mengklasifikasikan data Anda menggunakan algoritma machine learning, dan mengamankan akses ke data sensitif Anda. Pengguna Anda dapat mengakses katalog data terpusat (untuk detailnya, lihat [AWS Glue FAQ](https://aws.amazon.com/glue/faqs/#AWS_Glue_Data_Catalog/)) yang menjelaskan kumpulan data yang tersedia dan penggunaannya yang sesuai. Pengguna Anda kemudian memanfaatkan kumpulan data ini dengan pilihan layanan analisis dan pembelajaran mesin mereka, seperti [Amazon Redshift, Amazon](https://aws.amazon.com/redshift/) [Athena, dan (dalam versi beta) Amazon](https://aws.amazon.com/athena/) [EMR](https://aws.amazon.com/emr/) untuk Apache Spark. Lake Formation dibangun di atas kemampuan yang tersedia di [AWS Glue](https://aws.amazon.com/glue/).
Untuk mempelajari selengkapnya, lihat [AWS Lake Formation](https://aws.amazon.com/lake-formation/).
## FAQ Lake Formation di AWS Managed Services
**T: Bagaimana cara meminta akses ke AWS Lake Formation akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_lakeformation_data_analyst_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
Selain itu, dua peran berikut adalah opsional:
+ `customer_lakeformation_admin_role`
+ `customer_lakeformation_workflow_role`
Untuk izin admin, Anda dapat memilih untuk onboard peran `customer_lakeformation_admin_role` sebagai bagian dari jenis perubahan SSPS yang sama (ct-3qe6io8t6jtny).
Jika Anda ingin membuat Cetak Biru di AWS Lake Formation Konsol, Anda harus mengirimkan Manajemen \$1 AWS service \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis dan secara eksplisit menambahkan untuk menerapkan. `customer_lakeformation_workflow_role` Di RFC, Anda harus memberikan nama bucket S3 jika bucket adalah sumber saat Blueprints dibuat. Bucket S3 berlaku jika tipe Blueprint adalah, Classic Load Balancer Load AWS CloudTrail Balancer atau Application Load Balancer Load Balancer.
**T: Apa batasan penggunaan AWS Lake Formation di akun AMS saya?**
Fungsionalitas penuh dari Lake Formation tersedia di AMS.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Lake Formation **
Lake Formation terintegrasi dengan AWS Glue layanan, oleh karena itu AWS Glue pengguna hanya dapat mengakses database dan tabel di mana mereka memiliki izin Lake Formation. Selain itu, pengguna AWS Athena dan Amazon Redshift hanya dapat menanyakan database dan tabel AWS Glue tempat mereka memiliki izin Lake Formation.
# Gunakan SSP AMS untuk menyediakan AWS Lambda di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Lambda kapabilitas secara langsung di akun terkelola AMS Anda. AWS Lambda memungkinkan Anda menjalankan kode tanpa menyediakan atau mengelola server. Anda hanya membayar untuk waktu komputasi yang Anda konsumsi, tidak ada biaya ketika kode Anda tidak berjalan. Dengan Lambda, Anda dapat menjalankan kode untuk hampir semua jenis aplikasi atau layanan back-end, semuanya tanpa administrasi. Unggah kode Anda dan Lambda menangani semua yang diperlukan untuk menjalankan dan menskalakan kode Anda dengan ketersediaan tinggi. Anda dapat mengatur kode untuk memicu secara otomatis dari AWS layanan lain, atau memanggilnya langsung dari Web atau aplikasi seluler apa pun. Untuk mempelajari selengkapnya, lihat [AWS Lambda](https://aws.amazon.com/lambda/).
## Lambda di AWS Managed Services FAQ
**T: Bagaimana cara meminta akses ke AWS Lambda akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_lambda_admin_role` dan. `customer_lambda_basic_execution_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Lambda di akun AMS saya?**
+ Fungsi Lambda dirancang untuk dipanggil oleh sumber peristiwa. Untuk daftar layanan yang dapat digunakan sebagai sumber peristiwa Lambda, lihat [Menggunakan AWS Lambda dengan Layanan Lain](https://docs.aws.amazon.com/lambda/latest/dg/lambda-services.html). Tidak semua layanan ini saat ini tersedia di akun AMS. Jika Anda memerlukan layanan yang tidak tersedia, gunakan AMS CSDM Anda untuk mengajukan pengecualian.
+ [Secara default AMS memberi Anda peran inisiasi Lambda dasar yang berisi izin `AWSLambdaBasicExecutionRole` dan `AWSXrayWriteOnlyAccess` izin; untuk selengkapnya, lihat Peran Inisiasi.AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) Jika Anda memerlukan izin tambahan, seperti kemampuan untuk menyediakan fungsi Lambda dalam VPC AMS Anda, kirimkan RFC ke Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) tipe perubahan.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Lambda **
Tidak ada prasyarat atau dependensi untuk memulai AWS Lambda; Namun, tergantung pada kasus penggunaan spesifik Anda, Anda mungkin memerlukan akses ke AWS layanan lain untuk membuat sumber peristiwa, atau izin tambahan untuk fungsi Anda untuk melakukan berbagai tindakan. Jika izin tambahan diperlukan, kirimkan RFC dengan Management \$1 AWS service \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) jenis perubahan (ct-3qe6io8t6jtny).
**T: Apa yang harus saya lakukan untuk menjalankan fungsi Lambda di salah satu akun saya?**
Untuk menerapkan fungsi Lambda di akun inti, gunakan panduan berikut:
+ Pastikan SSPS untuk AWS Lambda onboard.
+ Tidak ada batasan khusus yang melarang penerapan ini di bawah tanggung jawab AMS, selama sumber daya AMS Anda dilindungi dan sesuai.
+ Jika Anda ingin AMS membuat fungsi Lambda, maka Anda harus terlebih dahulu menggunakan peran SSPS yang disediakan. AWS Lambda Kemudian, jika Anda masih menginginkan bantuan AMS untuk menyebarkan atau mendukung fungsi tersebut, hubungi CA Anda dan mulai proses di luar cakupan (OOS).
# Gunakan SSP AMS untuk menyediakan AWS License Manager di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS License Manager kapabilitas secara langsung di akun terkelola AMS Anda. AWS License Manager terintegrasi dengan AWS layanan untuk menyederhanakan pengelolaan lisensi di beberapa AWS akun, katalog TI, dan lokal, melalui satu akun. AWS AWS License Manager memungkinkan administrator membuat aturan lisensi khusus yang meniru persyaratan perjanjian lisensi mereka, dan kemudian memberlakukan aturan ini ketika instance Amazon diluncurkan. EC2 Aturan AWS License Manager memungkinkan Anda membatasi pelanggaran lisensi dengan menghentikan peluncuran instans secara fisik atau dengan memberi tahu administrator tentang pelanggaran tersebut. Untuk mempelajari selengkapnya, lihat [AWS License Manager](https://aws.amazon.com/license-manager/).
## License Manager di AWS Managed Services FAQ
Pertanyaan dan jawaban umum:
**T: Bagaimana cara saya meminta AWS License Manager untuk disiapkan di akun AMS saya?**
Minta akses ke AWS License Manager dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_license_manager_role` Setelah peran IAM License Manager disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS License Manager di akun AMS saya?**
Anda dapat mengaitkan AWS License Manager aturan dengan aturan yang AMIs Anda miliki (difilter di bawah “Dimiliki oleh saya”). Jika Anda memilih untuk menerapkan asosiasi batas ke AMI (contoh: hanya dapat mendukung 100 vCPU dari AMI ini) dan menghabiskan batasnya, peluncuran future dengan AMI tersebut diblokir dan mengembalikan kesalahan yang menyatakan “Tidak ada lisensi yang tersedia.” Ini adalah perilaku yang dimaksudkan dari layanan ini (tidak mengizinkan kelelahan lisensi). Jika Anda kehabisan batas tetapi perlu meluncurkan AMI lagi, Anda harus mengubah aturan yang dikonfigurasi AWS License Manager.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS License Manager **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. AWS License Manager
# Gunakan SSP AMS untuk menyediakan AWS Migration Hub di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Migration Hub kapabilitas secara langsung di akun terkelola AMS Anda. AWS Migration Hub menyediakan satu lokasi di mana Anda dapat melacak kemajuan migrasi aplikasi di beberapa solusi AWS dan mitra. Menggunakan Migration Hub memungkinkan Anda memilih alat migrasi AWS dan mitra yang paling sesuai dengan kebutuhan Anda, sekaligus memberikan visibilitas ke status migrasi di seluruh portofolio aplikasi Anda. Migration Hub juga menyediakan metrik dan kemajuan utama untuk aplikasi individual, terlepas dari alat mana yang digunakan untuk memigrasikannya. Ini memungkinkan Anda untuk dengan cepat mendapatkan pembaruan kemajuan di semua migrasi Anda, dengan mudah mengidentifikasi dan memecahkan masalah apa pun, dan mengurangi keseluruhan waktu dan upaya yang dihabiskan untuk proyek migrasi Anda. Untuk mempelajari selengkapnya, lihat [AWS Migration Hub](https://aws.amazon.com/migration-hub/).
## FAQ Migration Hub di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Migration Hub di akun AMS saya?**
Minta akses ke Migration Hub dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Self-provisioned service \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_migrationhub_author_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk Migration Hub?**
Tidak ada.
**T: Apa prasyarat untuk mengaktifkan Migration Hub?**
Tidak ada prasyarat untuk mulai menggunakan Migration Hub di akun AMS Anda. Namun, izin di luar Migration Hub mungkin diperlukan selama pengelolaan layanan, seperti menulis izin ke Amazon S3 untuk mengunggah informasi server.
# Gunakan SSP AMS untuk menyediakan AWS Outposts di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Outposts kapabilitas secara langsung di akun terkelola AMS Anda. AWS Outposts adalah layanan yang dikelola sepenuhnya yang memperluas AWS infrastruktur, AWS layanan APIs, dan alat ke hampir semua pusat data, ruang co-lokasi, atau fasilitas lokal untuk pengalaman hybrid yang konsisten. AWS Outposts baik untuk beban kerja yang memerlukan akses latensi rendah ke sistem lokal, pemrosesan data lokal, atau penyimpanan data lokal. Untuk mempelajari selengkapnya, lihat [AWS Outposts](https://aws.amazon.com/outposts/).
## AWS Outposts di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara saya meminta AWS Outposts untuk disiapkan di akun AMS saya?**
Minta akses ke AWS Outposts dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_outposts_role` Setelah peran disediakan di akun Anda, Anda harus memasukkannya ke dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Outposts di akun AMS saya?**
Tidak ada batasan untuk penggunaan AWS Outposts di akun AMS Anda.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Outposts **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. AWS Outposts
# Gunakan SSP AMS untuk menyediakan AWS Resilience Hub di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Resilience Hub kapabilitas secara langsung di akun terkelola AMS Anda. AWS Resilience Hub membantu Anda secara proaktif mempersiapkan dan melindungi AWS aplikasi Anda dari gangguan. Resilience Hub menawarkan penilaian dan validasi ketahanan yang terintegrasi ke dalam siklus hidup pengembangan perangkat lunak Anda untuk mengungkap kelemahan ketahanan. Resilience Hub membantu Anda memperkirakan apakah aplikasi Anda dapat memenuhi target tujuan waktu pemulihan (RTO) dan tujuan titik pemulihan (RPO) atau tidak, dan membantu menyelesaikan masalah sebelum dirilis ke produksi. Setelah menerapkan AWS aplikasi ke dalam produksi, Anda dapat menggunakan Resilience Hub untuk terus melacak postur ketahanan aplikasi Anda. Jika terjadi pemadaman, Resilience Hub mengirimkan pemberitahuan ke operator untuk meluncurkan proses pemulihan terkait.
## AWS Resilience Hub di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS Resilience Hub akun AMS saya?**
Minta akses ke Resilience Hub dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran dan kebijakan IAM berikut ke akun Anda:
**IAM role**
+ `customer_resiliencehub_console_role`
+ `customer_resiliencehub_service_role`
**Kebijakan**
+ `customer_resiliencehub_console_policy`
+ `customer_resiliencehub_service_policy`
Setelah peran disediakan di akun Anda, Anda harus memasukkan peran tersebut `customer_resiliencehub_console_role` dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Resilience Hub di akun AMS saya?**
Tidak ada batasan. Fungsionalitas penuh Resilience Hub tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Resilience Hub **
Tidak ada prasyarat atau dependensi untuk menggunakan Resilience Hub di akun AMS Anda.
# Gunakan SSP AMS untuk menyediakan AWS Secrets Manager di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Secrets Manager kapabilitas secara langsung di akun terkelola AMS Anda. AWS Secrets Manager membantu Anda melindungi rahasia yang diperlukan untuk mengakses aplikasi, layanan, dan sumber daya TI Anda. Layanan ini memungkinkan Anda untuk dengan mudah memutar, mengelola, dan mengambil kredenal database, kunci API, dan rahasia lainnya sepanjang siklus hidupnya. Pengguna dan aplikasi mengambil rahasia dengan panggilan ke Secrets Manager APIs, menghilangkan kebutuhan untuk hardcode informasi sensitif dalam teks biasa. Secrets Manager menawarkan rotasi rahasia dengan integrasi bawaan untuk Amazon RDS, Amazon Redshift, dan Amazon DocumentDB. Selain itu, layanan ini dapat diperluas ke jenis rahasia lainnya, termasuk kunci API dan OAuth token. Untuk mempelajari selengkapnya, lihat [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/).
**catatan**
Secara default, operator AMS dapat mengakses rahasia AWS Secrets Manager yang dienkripsi menggunakan AWS KMS kunci default akun (CMK). Jika Anda ingin rahasia Anda tidak dapat diakses oleh Operasi AMS, gunakan CMK kustom, dengan kebijakan kunci AWS Key Management Service (AWS KMS) yang menentukan izin yang sesuai dengan data yang disimpan dalam rahasia.
## FAQ Secrets Manager di AWS Managed Services
**T: Bagaimana cara meminta akses ke AWS Secrets Manager akun AMS saya?**
Minta akses ke Secrets Manager dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-3qe6io8t6jtny) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_secrets_manager_console_role` dan. `customer-rotate-secrets-lambda-role` `customer_secrets_manager_console_role`Ini digunakan sebagai peran Admin untuk menyediakan dan mengelola rahasia, dan `customer-rotate-secrets-lambda-role` digunakan sebagai peran eksekusi Lambda untuk fungsi Lambda yang memutar rahasia. Setelah disediakan di akun Anda, Anda harus memasukkan `customer_secrets_manager_console_role` peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Secrets Manager di akun AMS saya?**
Fungsionalitas penuh AWS Secrets Manager tersedia di akun AMS Anda, bersama dengan fungsi rotasi otomatis rahasia. Namun, perhatikan bahwa mengatur rotasi Anda menggunakan 'Buat fungsi Lambda baru untuk melakukan rotasi 'tidak didukung karena memerlukan izin yang lebih tinggi untuk membuat CloudFormation tumpukan (Peran IAM dan pembuatan fungsi Lambda), yang melewati proses Manajemen Perubahan. AMS Advanced hanya mendukung 'Gunakan fungsi Lambda yang ada untuk melakukan rotasi 'di mana Anda mengelola fungsi Lambda untuk memutar rahasia menggunakan peran Admin Lambda SSPS. AWS AMS Advanced tidak membuat atau mengelola Lambda untuk memutar rahasia.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Secrets Manager **
Ruang nama berikut dicadangkan untuk digunakan oleh AMS dan tidak tersedia sebagai bagian dari akses langsung ke: AWS Secrets Manager
+ arn:aws:secretsmanager: \$1:\$1:rahasia:ams-shared/\$1
+ arn:aws:secretsmanager: \$1:\$1:rahasia:dibagikan pelanggan/\$1
+ arn:aws:secretsmanager: \$1:\$1:rahasia:ams/\$1
## Berbagi kunci menggunakan Secrets Manager (AMS SSPS)
Berbagi rahasia dengan AMS dalam teks biasa RFC, permintaan layanan, atau laporan insiden, menghasilkan insiden pengungkapan informasi dan AMS menyunting informasi tersebut dari kasus dan meminta Anda membuat ulang kunci.
Anda dapat menggunakan [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)(Secrets Manager) di bawah namespace ini,. `customer-shared`
![\[Alur kerja Secrets Manager.\]](http://docs.aws.amazon.com/id_id/managedservices/latest/onboardingguide/images/secretsManager.png)
### Berbagi Kunci menggunakan Secrets Manager FAQ
**T: Jenis rahasia apa yang harus dibagikan menggunakan Secrets Manager?**
Beberapa contoh adalah kunci yang telah dibagikan sebelumnya untuk pembuatan VPN, kunci rahasia seperti kunci Otentikasi (IAM, SSH), kunci Lisensi, dan Kata Sandi.
**T: Bagaimana cara berbagi kunci dengan AMS menggunakan Secrets Manager?**
1. Masuk ke konsol AWS Manajemen menggunakan akses federasi Anda dan peran yang sesuai:
untuk SALZ, `Customer_ReadOnly_Role`
untuk MALZ,`AWSManagedServicesChangeManagementRole`.
1. Arahkan ke [AWS Secrets Manager konsol](https://console.aws.amazon.com/secretsmanager/home) dan klik **Simpan rahasia baru**.
1. Pilih **Tipe rahasia lainnya**.
1. Masukkan nilai rahasia sebagai teks biasa dan gunakan enkripsi KMS default. Klik **Berikutnya**.
1. Masukkan nama rahasia dan deskripsi, nama selalu dimulai dengan **customer-shared/**. Misalnya yang dibagikan **pelanggan/mykey2022**. Klik **Berikutnya**.
1. Biarkan rotasi otomatis dinonaktifkan, Klik **Berikutnya**.
1. Tinjau dan klik **Store** untuk menyimpan rahasia.
1. Balas kepada kami dengan nama rahasia melalui permintaan Layanan, RFC, atau laporan insiden, sehingga kami dapat mengidentifikasi dan mengambil rahasia tersebut.
**T: Izin apa yang diperlukan untuk berbagi kunci menggunakan Secrets Manager?**
**SALZ**: Cari kebijakan IAM `customer_secrets_manager_shared_policy` terkelola dan verifikasi bahwa dokumen kebijakan sama dengan yang dilampirkan dalam langkah-langkah pembuatan di bawah ini. Konfirmasikan bahwa kebijakan tersebut dilampirkan pada Peran IAM berikut:`Customer_ReadOnly_Role`.
**MALZ**: Validasi bahwa`AMSSecretsManagerSharedPolicy`, dilampirkan ke `AWSManagedServicesChangeManagementRole` peran yang memungkinkan Anda `GetSecretValue` melakukan tindakan di namespace. `ams-shared`
Contoh:
```
{
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
],
"Effect": "Allow",
"Sid": "AllowAccessToSharedNameSpaces"
}
```
**catatan**
Izin yang diperlukan diberikan saat Anda menambahkan AWS Secrets Manager sebagai layanan yang disediakan layanan mandiri.
# Gunakan SSP AMS untuk menyediakan AWS Security Hub CSPM di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Security Hub CSPM kapabilitas secara langsung di akun terkelola AMS Anda. AWS Security Hub CSPM memberi Anda pandangan komprehensif tentang keadaan keamanan Anda di dalam AWS dan kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub CSPM memusatkan dan memprioritaskan temuan keamanan dan kepatuhan dari seluruh AWS akun, layanan, dan mitra pihak ketiga yang didukung untuk membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi. Untuk mempelajari selengkapnya, lihat [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/).
## CSPM Security Hub di AWS Managed Services FAQ
**T: Bagaimana cara meminta akses ke AWS Security Hub CSPM akun AMS saya?**
Meminta akses ke CSPM Security Hub dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_securityhub_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan Security Hub CSPM di akun AMS saya?**
Fungsionalitas pengarsipan telah dicatat sebagai potensi keamanan dan risiko operasional dan telah dibatasi sebagai bagian dari peran Keamanan layanan yang disediakan sendiri.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Security Hub CSPM **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. AWS Security Hub CSPM
# Gunakan SSP AMS untuk menyediakan AWS Service Catalog AppRegistry di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AppRegistry kapabilitas secara langsung di akun terkelola AMS Anda. AppRegistry memungkinkan pencarian aplikasi, pelaporan, dan tindakan manajemen dari lokasi pusat. Pembangun jarang membuat aplikasi dalam satu AWS akun. Mereka biasanya memisahkan sumber daya aplikasi berdasarkan fase siklus hidup, seperti pengembangan, pengujian, dan produksi. AppRegistry memungkinkan Anda untuk mengelompokkan dan melihat semua koleksi sumber daya Anda di seluruh AWS akun yang Anda tentukan.
Dengan AppRegistry, Anda dapat menyimpan AWS aplikasi Anda, kumpulan sumber daya yang terkait dengan aplikasi Anda, dan grup atribut aplikasi. Untuk mempelajari lebih lanjut, lihat [Apa itu AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html).
## FAQ: AWS Service Catalog AppRegistry di AMS
**T: Bagaimana cara meminta akses ke AWS Service Catalog AppRegistry akun AMS saya?**
Minta akses ke AppRegistry dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (otomatisasi terkelola) (ct-3qe6io8t6jtny) mengubah jenis. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer-appregistry-console-role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Service Catalog AppRegistry di akun AMS saya?**
Akses penuh ke AppRegistry layanan disediakan dengan pengecualian menggunakan namespace AMS di `'Name'` tag.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Service Catalog AppRegistry **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. AppRegistry
# Gunakan SSP AMS untuk menyediakan AWS Shield Advanced di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Shield Advanced kapabilitas secara langsung di akun terkelola AMS Anda. AWS Shield Advanced adalah layanan perlindungan Distributed Denial of Service (DDoS) terkelola yang melindungi aplikasi yang berjalan. AWS Shield Advanced menyediakan deteksi selalu aktif dan mitigasi inline otomatis yang meminimalkan waktu henti dan latensi aplikasi, sehingga tidak perlu menggunakan Support untuk mendapatkan manfaat dari perlindungan S. AWS DDo Ada dua tingkatan AWS Shield - Standard dan Advanced; AMS menawarkan Shield Advanced. Untuk mempelajari selengkapnya, lihat [Shield Advanced](https://aws.amazon.com/shield/).
Semua AWS pelanggan mendapat manfaat dari perlindungan otomatis AWS Shield Standard, tanpa biaya tambahan. AWS Shield Standard bertahan terhadap serangan lapisan DDo S jaringan dan transportasi yang paling umum, sering terjadi, yang menargetkan situs web atau aplikasi Anda. Saat Anda menggunakan AWS Shield Standard Amazon CloudFront dan Amazon Route 53, Anda menerima perlindungan ketersediaan komprehensif terhadap semua serangan infrastruktur yang diketahui (Layer 3 dan 4).
Untuk tingkat perlindungan yang lebih tinggi terhadap serangan yang menargetkan aplikasi Anda yang berjalan di Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), CloudFront Amazon, dan AWS Global Accelerator Amazon Route 53 resource, Anda dapat berlangganan. AWS Shield Advanced
Selain perlindungan lapisan jaringan dan transport yang disertakan AWS Shield Standard, AWS Shield Advanced menyediakan deteksi dan mitigasi tambahan terhadap serangan DDo S yang besar dan canggih, visibilitas mendekati real-time ke dalam serangan, dan integrasi dengan AWS WAF, firewall aplikasi web. AWS Shield Advanced juga memberi Anda akses 24x7 ke Tim AWS Shield Response (SRT) dan perlindungan terhadap lonjakan terkait DDo S di Amazon Elastic Compute Cloud (Amazon), EC2 Elastic Load Balancing (Elastic Load Balancing), Amazon, CloudFront dan Amazon Route 53. AWS Global Accelerator
## Pertanyaan Umum tentang Shield Advanced di AWS Managed Services
**T: Bagaimana cara meminta akses ke Shield Advanced di akun AMS saya?**
Minta akses ke Shield Advanced dengan mengirimkan RFC dengan Management \$1 AWS service \$1 Self-provisioned service \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda: `customer_shield_role` dan. `aws_drt_shield_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
Setelah peran diterapkan ke akun Anda, Anda dapat menggunakan `customer_shield_role` untuk mengonfirmasi langganan Anda AWS Shield Advanced di akun Anda.
**catatan**
Perhatikan bahwa ada biaya bulanan dan komitmen satu tahun yang terkait dengan penggunaan. AWS Shield Advanced Selain itu, menggunakan AWS Shield Advanced AMS memberi wewenang kepada AMS untuk meningkatkan ke AWS Shield (SRT), yang dapat membuat perubahan pada aturan firewall (AWS WAF) aplikasi web Anda selama insiden penolakan layanan terdistribusi yang meningkat. DDo Perubahan ini akan dilakukan dalam koordinasi dengan AMS.
**T: Apa batasan penggunaan Shield Advanced di akun AMS saya?**
Meskipun bukan pembatasan, Anda harus memahami bahwa menggunakan Shield Advanced menyebarkan`aws_drt_shield_role`, yang memungkinkan AWS Shield tim (SRT) untuk membuat perubahan darurat pada AWS WAF aturan di dalam akun AMS selama insiden S meningkat DDo. Ini direkomendasikan oleh AMS untuk remediasi tercepat serangan DDo S, dan akan terjadi setelah eskalasi AMS ke SRT.
**T: Apa prasyarat atau dependensi untuk menggunakan Shield Advanced di akun AMS saya?**
Tidak ada prasyarat atau dependensi untuk menggunakan Shield Advanced di akun AMS Anda.
# Gunakan SSP AMS untuk menyediakan AWS Snowball Edge di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan Snowball Edge secara langsung di akun terkelola AMS Anda. Snowball Edge adalah solusi transportasi data skala petabyte yang menggunakan perangkat yang dirancang agar aman, untuk mentransfer sejumlah besar data ke dalam dan keluar dari Cloud. AWS Snowball Edge mengatasi tantangan umum dengan transfer data skala besar termasuk biaya jaringan yang tinggi, waktu transfer yang lama, dan masalah keamanan. Anda dapat menggunakan Snowball Edge untuk memigrasikan data analitik, data genomik, pustaka video, repositori gambar, cadangan, dan untuk mengarsipkan bagian dari shutdown pusat data, penggantian tape, atau proyek migrasi aplikasi. Mentransfer data dengan Snowball Edge sederhana, cepat, lebih aman, dan hanya seperlima biaya transfer data melalui Internet berkecepatan tinggi.
Dengan Snowball Edge, Anda tidak perlu menulis kode apa pun atau membeli perangkat keras apa pun untuk mentransfer data Anda. Mulailah dengan menggunakan Konsol AWS Manajemen untuk [Membuat Pekerjaan Impor](https://docs.aws.amazon.com/snowball/latest/ug/create-import-job.html) untuk Snowball, dan perangkat Snowball akan dikirimkan secara otomatis kepada Anda. Setelah tiba, pasang perangkat ke jaringan lokal Anda, unduh dan jalankan Klien Snowball (“Klien”) untuk membuat koneksi, dan kemudian gunakan Klien untuk memilih direktori file yang ingin Anda transfer ke perangkat. Klien kemudian mengenkripsi dan mentransfer file ke perangkat dengan kecepatan tinggi. Setelah transfer selesai dan perangkat siap dikembalikan, label pengiriman E Ink secara otomatis diperbarui dan Anda dapat melacak status pekerjaan dengan Amazon Simple Notification Service (Amazon SNS), pesan teks, atau langsung di Konsol. Untuk mempelajari selengkapnya, lihat [AWS Snowball Edge](https://aws.amazon.com/snowball/).
## FAQ Snowball Edge di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS Snowball Edge akun AMS saya?**
Implementasi Snowball Edge di AMS adalah proses dua langkah:
1. Kirim Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat (ct-1e1xtak34nx76) ubah jenis dan minta peran layanan untuk Snowball Edge untuk Akun AMS Anda.
1. Minta akses pengguna dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:`customer_snowball_console_role`,`customer_snowball_export_role`, dan. `customer_snowball_import_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Snowball Edge di akun AMS saya?**
Fungsionalitas penuh AWS Snowball Edge tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Snowball Edge **
Anda harus memiliki akun peran layanan seperti yang disebutkan di atas.
# Gunakan SSP AMS untuk menyediakan AWS Step Functions di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Step Functions kapabilitas secara langsung di akun terkelola AMS Anda. AWS Step Functions adalah layanan Web yang memungkinkan Anda untuk mengoordinasikan komponen aplikasi terdistribusi dan layanan mikro dengan menggunakan alur kerja visual. Anda membangun aplikasi dari komponen individu yang masing-masing menjalankan fungsi diskrit, atau tugas, memungkinkan Anda untuk menskalakan dan mengubah aplikasi dengan cepat. Step Functions menyediakan cara yang dapat diandalkan untuk mengkoordinasikan komponen dan langkah melalui fungsi aplikasi Anda. Step Functions menawarkan konsol grafis untuk memvisualisasikan komponen aplikasi Anda sebagai serangkaian langkah. Ini secara otomatis memicu dan melacak setiap langkah, dan mencoba lagi ketika ada kesalahan, sehingga aplikasi Anda berjalan secara berurutan dan seperti yang diharapkan, setiap saat. Step Functions mencatat status setiap langkah, jadi ketika terjadi kesalahan, Anda dapat mendiagnosis dan melakukan debug masalah dengan cepat. Untuk mempelajari selengkapnya, lihat [AWS Step Functions](https://aws.amazon.com/step-functions/).
## FAQ Step Functions di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS Step Functions akun AMS saya?**
Minta akses ke AWS Step Functions dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_step_functions_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Step Functions di akun AMS saya?**
Fungsionalitas penuh AWS Step Functions tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Step Functions **
Saat runtime, peran yang digunakan oleh Step Functions harus memiliki akses ke layanan yang digunakan oleh fungsi step. Misalnya, fungsi langkah dapat bergantung pada fungsi Lambda. Seseorang yang membuat fungsi langkah kemungkinan akan membuat fungsi Lambda pada saat yang sama dan harus meminta akses ke layanan itu juga.
# Gunakan AMS SSP untuk menyediakan AWS Systems Manager Parameter Store di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan AWS Systems Manager Parameter Store secara langsung di akun terkelola AMS Anda. AWS Systems Manager Parameter Store menyediakan penyimpanan hierarkis yang aman untuk manajemen data konfigurasi dan manajemen rahasia. Anda dapat menyimpan data seperti kata sandi, string database, dan kode lisensi sebagai nilai parameter. Anda dapat menyimpan nilai sebagai teks biasa atau data terenkripsi. Anda kemudian dapat mereferensikan nilai dengan menggunakan nama unik yang Anda tentukan saat Anda membuat parameter. Sangat skalabel, tersedia, dan tahan lama, Parameter Store didukung oleh AWS Cloud. Untuk mempelajari lebih lanjut, lihat [Menyimpan AWS Systems Manager Parameter](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html).
**catatan**
Jika Anda ingin menyimpan rahasia khusus dengan manajemen siklus hidup, gunakan [Gunakan SSP AMS untuk menyediakan AWS Secrets Manager di akun AMS Anda](secrets-manager.md) alih-alih Parameter Store. Secrets Manager membantu Anda memenuhi persyaratan keamanan dan kepatuhan dengan memungkinkan Anda memutar rahasia secara otomatis. Secrets Manager menawarkan integrasi bawaan untuk MySQL, PostgreSQL, dan Amazon Aurora di Amazon RDS, yang dapat diperluas ke jenis rahasia lain dengan menyesuaikan fungsi Lambda.
## AWS Systems Manager FAQ Parameter Store di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Systems Manager Parameter Store di akun AMS saya?**
Minta akses ke AWS Systems Manager Parameter Store dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_systemsmanager_parameterstore_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan AWS Systems Manager Parameter Store di akun AMS saya?**
Anda diminta untuk menggunakan kunci AWS Terkelola; akses dibatasi dari membuat kunci KMS kustom. Namun, jika kunci khusus diperlukan, kirimkan RFC untuk membuat kunci yang dikelola pelanggan (CMK) menggunakan Deployment \$1 Komponen Tumpukan Tingkat Lanjut \$1 Kunci KMS \$1 Buat jenis perubahan (ct-1d84keiri1jhg) dengan peran IAM ini, sebagai nilai untuk parameter dan. `customer_systemsmanager_parameterstore_console_role` `IAMPrincipalsRequiringDecryptPermissions` `IAMPrincipalsRequiringEncryptPermissionsPrincipal` Setelah Kunci KMS dibuat, Anda dapat membuat String Aman menggunakannya.
**T: Apa prasyarat atau dependensi untuk menggunakan AWS Systems Manager Parameter Store di akun AMS saya?**
Tidak ada prasyarat; Namun, SSM Parameter Store bergantung pada KMS untuk membuat String Aman sehingga Anda dapat mengenkripsi dan mendekripsi Nilai mereka yang disimpan di Parameter Store.
# Gunakan SSP AMS untuk menyediakan AWS Systems Manager Otomasi di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kemampuan AWS Systems Manager Otomasi secara langsung di akun terkelola AMS Anda. AWS Systems Manager Otomatisasi menyederhanakan tugas pemeliharaan dan penerapan umum instans Amazon Elastic Compute Cloud dan AWS sumber daya lainnya menggunakan runbook, tindakan, dan kuota layanan. Ini memungkinkan Anda untuk membangun, mengeksekusi, dan memantau otomatisasi dalam skala besar. Automasi Systems Manager adalah jenis dokumen Systems Manager yang mendefinisikan tindakan yang dilakukan Systems Manager pada instans terkelola Anda. Runbook yang Anda gunakan untuk melakukan tugas pemeliharaan dan penerapan umum seperti menjalankan perintah atau skrip otomatisasi dalam instance terkelola Anda. Systems Manager menyertakan fitur yang membantu Anda menargetkan grup instans besar dengan menggunakan tag Amazon Elastic Compute Cloud, dan kontrol kecepatan yang membantu Anda meluncurkan perubahan sesuai dengan batas yang Anda tentukan. Runbook ditulis menggunakan JavaScript Object Notation (JSON) atau YAMM. Menggunakan Pembuat Dokumen di konsol Otomatisasi Systems Manager, namun, Anda dapat membuat runbook tanpa harus menulis dalama JSON atau YAML. Atau Anda dapat menggunakan runbook yang disediakan Manajer Sistem dengan langkah-langkah yang telah ditentukan sebelumnya yang sesuai dengan kebutuhan Anda. Untuk mempelajari lebih lanjut, lihat [Bekerja dengan runbook](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) dalam AWS Systems Manager dokumentasi.
**catatan**
Meskipun Systems Manager Automation mendukung 20 jenis tindakan yang dapat digunakan di runbook, sejumlah tindakan terbatas yang dapat Anda gunakan saat membuat runbook untuk digunakan di akun AMS Advanced Anda. Demikian pula, sejumlah runbook yang disediakan Manajer Sistem dapat digunakan baik secara langsung atau dari dalam runbook Anda sendiri. Untuk detailnya, lihat batasan di FAQ berikut.
## AWS Systems Manager FAQ Otomasi di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke Systems Manager Automation di akun AMS saya?**
Minta akses ke AWS Systems Manager Otomasi dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_systemsmanager_automation_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan AWS Systems Manager Otomasi di akun AMS saya?**
Anda diminta untuk membuat runbook Anda, dengan serangkaian tindakan yang didukung Systems Manager terbatas untuk otomatisasi, hanya untuk menjalankan and/or skrip perintah dalam instance terkelola Anda. Tindakan yang tersedia untuk Anda bersama dengan batasan apa pun diuraikan seperti di bawah ini.
**AWS Systems Manager Batasan Otomasi**
| Tindakan | Deskripsi | Batasan |
| --- | --- | --- |
| aws: assertAwsResource Properti — | Menegaskan status AWS sumber daya atau status acara | Hanya EC2 contoh |
| aws:aws:cabang — | Jalankan langkah-langkah otomatisasi bersyarat | Tidak ada batasan |
| AWS: createTags - | Buat tag untuk AWS sumber daya | Hanya untuk runbook otomatisasi SSM yang Anda buat |
| AWS: ExecuteAutomation - | Jalankan otomatisasi lain | Hanya runbook otomatisasi yang Anda buat |
| AWS: ExecuteScript - | Jalankan skrip | Hanya skrip yang tidak melakukan panggilan API apa pun ke layanan apa pun |
| aws:jeda — | Jeda otomatisasi | Tidak ada batasan |
| AWS: runcommand — | Jalankan perintah pada instance terkelola | Hanya menggunakan dokumen yang disediakan Manajer Sistem - AWS- RunShellScript dan AWS- RunPowerShellScript |
| aws:tidur — | Tunda otomatisasi | Tidak ada batasan |
| aws: waitForAws ResourceProperty — | Tunggu properti AWS sumber daya | Hanya EC2 contoh |
Anda juga dapat memilih untuk menjalankan perintah atau skrip secara langsung dengan Systems Manager yang disediakan runbook AWS- RunShellScript dan AWS- RunPowerShellScript menggunakan fitur 'Run Command' dari dalam konsol Systems Manager. Anda juga dapat membuat sarang runbook ini di dalam runbook Anda yang melayani validasi pra and/or posting tambahan atau logika otomatisasi kompleks apa pun.
Peran tersebut mematuhi prinsip hak istimewa terkecil dan hanya memberikan izin yang diperlukan untuk membuat, mengeksekusi, dan mengambil detail eksekusi runbook yang bertujuan untuk mengeksekusi and/or skrip perintah dalam instance terkelola Anda. Itu tidak memberikan izin untuk kemampuan lain yang disediakan AWS Systems Manager layanan. Meskipun fitur ini memungkinkan Anda untuk membuat runbook otomatisasi, eksekusi runbook tidak dapat ditargetkan untuk sumber daya yang dimiliki AMS.
**T: Apa prasyarat atau dependensi untuk menggunakan AWS Systems Manager Otomasi di akun AMS saya?**
Tidak ada prasyarat; Namun, Anda harus memastikan kontrol and/or kepatuhan proses internal Anda dipatuhi saat membuat runbook. Kami juga merekomendasikan untuk menguji runbook secara menyeluruh sebelum menjalankannya terhadap sumber daya produksi.
**T: Dapatkah kebijakan Systems Manager `customer_systemsmanager_automation_policy` dilampirkan ke peran IAM lainnya?**
Tidak, tidak seperti layanan berkemampuan penyediaan mandiri lainnya, kebijakan ini hanya dapat ditetapkan ke peran default yang disediakan. `customer_systemsmanager_automation_console_role`
Tidak seperti kebijakan peran SSPS lainnya, kebijakan SSM SSM ini tidak dapat dibagikan dengan peran IAM kustom lainnya, karena layanan AMS ini hanya untuk menjalankan perintah atau skrip otomatisasi dalam instans terkelola Anda. Jika izin ini diizinkan untuk dilampirkan ke peran IAM kustom lainnya, berpotensi dengan izin pada layanan lain, cakupan tindakan yang diizinkan dapat diperluas ke layanan terkelola, dan berpotensi menurunkan postur keamanan akun Anda.
Untuk mengevaluasi setiap permintaan perubahan (RFCs) terhadap standar teknis AMS kami, bekerja sama dengan Arsitek Cloud atau Manajer Pengiriman Layanan Anda masing-masing, lihat [ulasan keamanan RFC](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html).
**catatan**
AWS Systems Manager memungkinkan Anda menggunakan runbook yang dibagikan dengan akun Anda. Kami menyarankan Anda berhati-hati dan melakukan pemeriksaan uji tuntas saat menggunakan runbook bersama dan pastikan untuk meninjau konten untuk memahami yang dijalankan command/scripts sebelum menjalankan runbook. Untuk detailnya, lihat [Praktik terbaik untuk dokumen SSM bersama](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-before-you-share.html).
# Gunakan SSP AMS untuk menyediakan AWS Transfer Family di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas (Transfer AWS Transfer Family Family) secara langsung di akun terkelola AMS Anda. AWS Transfer Family adalah AWS layanan yang dikelola sepenuhnya yang memungkinkan Anda mentransfer file melalui Secure File Transfer Protocol (SFTP), masuk dan keluar dari penyimpanan Amazon Simple Storage Service (Amazon S3). SFTP juga dikenal sebagai Secure Shell (SSH) File Transfer Protocol. SFTP digunakan dalam alur kerja pertukaran data di berbagai industri seperti layanan keuangan, perawatan kesehatan, periklanan, dan ritel, antara lain.
Dengan AWS SFTP, Anda mendapatkan akses ke server SFTP AWS tanpa perlu menjalankan infrastruktur server apa pun. Anda dapat menggunakan layanan ini untuk memigrasikan alur kerja berbasis SFTP AWS sambil mempertahankan klien dan konfigurasi pengguna akhir Anda apa adanya. Pertama-tama Anda mengaitkan nama host Anda dengan titik akhir server SFTP, lalu tambahkan pengguna Anda dan berikan mereka tingkat akses yang tepat. Setelah Anda melakukannya, permintaan transfer pengguna Anda dilayani langsung dari titik akhir server AWS SFTP Anda. Untuk mempelajari selengkapnya [AWS Transfer for SFTP](https://aws.amazon.com/aws-transfer-family), lihat juga [Membuat server berkemampuan SFTP](https://docs.aws.amazon.com/transfer/latest/userguide/create-server-sftp.html).
## AWS Transfer for SFTP di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS Transfer for SFTP akun AMS saya?**
Minta akses ke AWS Transfer for SFTP dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). Melalui RFC ini, peran IAM berikut, dan kebijakan, disediakan di akun Anda:
+ `customer_transfer_author_role`. Peran ini dirancang bagi Anda untuk mengelola layanan SFTP melalui konsol.
+ `customer_transfer_sftp_server_logging_role`. Peran ini dirancang untuk dilampirkan pada Server SFTP. Hal ini memungkinkan server SFTP untuk menarik log ke dalam. CloudWatch
+ `customer_transfer_sftp_user_role`. Peran ini dirancang untuk dilampirkan pada pengguna SFTP. Ini memungkinkan pengguna SFTP untuk berinteraksi dengan bucket S3.
+ `policy customer_transfer_scope_down_policy`. Kebijakan ini adalah kebijakan cakupan bawah yang dapat diterapkan pada Pengguna SFTP untuk membatasi akses mereka pada bucket S3 ke folder rumah mereka.
+ `customer_transfer_sftp_efs_user_role`. Peran ini dirancang untuk dilampirkan pada pengguna SFTP. Hal ini memungkinkan pengguna SFTP untuk berinteraksi dengan sistem file EFS.
Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Transfer for SFTP di akun AMS saya?**
AWS Transfer untuk konfigurasi SFTP terbatas pada sumber daya tanpa awalan “AMS-” atau “MC-” untuk mencegah modifikasi apa pun pada infrastruktur AMS.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Transfer for SFTP **
+ Anda harus memiliki bucket Amazon S3 dengan nama yang berisi kata kunci “transfer” sebelum membuat AWS Transfer for SFTP server dan pengguna.
+ Untuk menggunakan “Penyedia Identifikasi Pelanggan”, Anda harus menerapkan API Gateway, fungsi Lambda, dan repositori pengguna Anda (AD, Secrets Manager, dan sebagainya). Untuk informasi selengkapnya, lihat [Mengaktifkan otentikasi kata sandi untuk AWS Transfer for SFTP menggunakan AWS Secrets Manager](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-for-sftp-using-aws-secrets-manager/) dan [Bekerja dengan Penyedia Identitas](https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html).
# Gunakan SSP AMS untuk menyediakan AWS Transit Gateway di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Transit Gateway kapabilitas secara langsung di akun terkelola AMS Anda. AWS Transit Gateway adalah layanan yang memungkinkan Anda menghubungkan Amazon Virtual Private Cloud (VPCs) dan jaringan lokal Anda ke satu gateway. Saat Anda meningkatkan jumlah beban kerja yang berjalan AWS, Anda harus dapat menskalakan jaringan Anda di beberapa akun dan Amazon VPCs untuk mengikuti pertumbuhannya. Hari ini, Anda dapat menghubungkan pasangan Amazon VPCs menggunakan peering. Namun, mengelola point-to-point konektivitas di banyak Amazon VPCs, tanpa kemampuan untuk mengelola kebijakan konektivitas secara terpusat, dapat menjadi mahal dan rumit secara operasional. Untuk konektivitas lokal, Anda perlu melampirkan AWS VPN ke setiap VPC Amazon individual. Solusi ini dapat memakan waktu untuk membangun dan sulit untuk mengelola ketika jumlah VPCs tumbuh menjadi ratusan. Untuk mempelajari selengkapnya, lihat [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
## AWS Transit Gateway di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS Transit Gateway akun AMS saya?**
Minta akses ke AWS Transit Gateway dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_tgw_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Transit Gateway di akun AMS saya?**
Fungsionalitas lengkap AWS Transit Gateway tersedia di akun landing zone akun tunggal AMS Anda kecuali modifikasi tabel rute untuk perutean Transit Gateway. Minta perubahan tabel rute dengan mengirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat jenis perubahan (ct-1e1xtak34nx76).
**catatan**
Layanan ini hanya didukung untuk single-account landing zone (SALZ), bukan multi-account landing zone (MALZ).
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Transit Gateway **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. AWS Transit Gateway
# Gunakan AMS SSP untuk menyediakan AWS WAF - Firewall Aplikasi Web di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS WAF kapabilitas secara langsung di akun terkelola AMS Anda. AWS WAF adalah firewall aplikasi web (AWS WAF) yang membantu melindungi aplikasi web Anda dari eksploitasi web umum yang dapat memengaruhi ketersediaan aplikasi, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan. AWS WAF memberi Anda kontrol atas lalu lintas mana yang diizinkan, atau diblokir, ke aplikasi web Anda dengan mendefinisikan aturan keamanan web yang dapat disesuaikan. Anda dapat menggunakan AWS WAF untuk membuat aturan kustom yang memblokir pola serangan umum, seperti injeksi SQL atau cross-site scripting; dan aturan yang dirancang untuk aplikasi spesifik Anda.
Untuk mempelajari lebih lanjut, lihat [AWS WAF - Firewall Aplikasi Web](https://aws.amazon.com/waf/).
AMS tidak mendukung pemantauan (CloudWatch alarm/acara/peringatan MMS) untuk. AWS WAF Karena sifatnya AWS WAF, Anda harus membuat aturan khusus untuk aplikasi Anda; AMS tidak dapat mengukur dan membuat alarm untuk Anda, tanpa konteks aplikasi Anda. Untuk mempelajari lebih lanjut, lihat [AWS WAF - Firewall Aplikasi Web](https://aws.amazon.com/waf/).
## AWS WAF di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara saya meminta AWS WAF untuk disiapkan di akun AMS saya?**
Meminta akses AWS WAF dengan mengirimkan RFC dengan Manajemen \$1 Layanan AWS \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_waf_role` Setelah peran AWS WAF IAM disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan untuk menggunakan AWS WAF?**
Setelah izin disediakan, Anda memiliki fungsionalitas penuh. AWS WAF
**T: Apa prasyarat atau dependensi yang digunakan? AWS WAF**
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. AWS WAF
# Gunakan SSP AMS untuk menyediakan AWS Well-Architected Tool di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Well-Architected Tool kapabilitas secara langsung di akun terkelola AMS Anda. AWS Well-Architected Tool Ini membantu Anda meninjau keadaan beban kerja Anda dan membandingkannya dengan praktik terbaik AWS arsitektur terbaru. Alat ini didasarkan pada [AWS Well-Architected Framework, yang dikembangkan untuk membantu arsitek](https://aws.amazon.com/architecture/well-architected/) cloud membangun infrastruktur aplikasi yang aman, berkinerja tinggi, tangguh, dan efisien. Kerangka kerja ini memberikan pendekatan yang konsisten bagi Anda untuk mengevaluasi arsitektur, telah digunakan dalam puluhan ribu tinjauan beban kerja yang dilakukan oleh tim arsitektur AWS solusi, dan memberikan panduan untuk membantu mengimplementasikan desain yang sesuai dengan kebutuhan aplikasi dari waktu ke waktu. Untuk mempelajari selengkapnya, lihat [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/).
## AWS WA Tool di FAQ AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS Well-Architected Tool akun AMS saya?**
Meminta akses AWS Well-Architected Tool dengan mengirimkan RFC dengan Manajemen \$1 Layanan AWS \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_well_architected_tool_console_admin_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
**T: Apa batasan penggunaan AWS Well-Architected Tool di akun AMS saya?**
Fungsionalitas penuh AWS Well-Architected Tool tersedia di akun AMS Anda.
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS Well-Architected Tool **
Tidak ada prasyarat atau dependensi untuk digunakan di akun AMS Anda. AWS Well-Architected Tool
# Gunakan SSP AMS untuk menyediakan AWS X-Ray di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses kapabilitas ( AWS X-Ray X-Ray) secara langsung di akun terkelola AMS Anda. AWS X-Ray membantu pengembang menganalisis dan men-debug produksi, aplikasi terdistribusi, seperti yang dibangun menggunakan arsitektur microservices. Dengan X-Ray, Anda dapat memahami kinerja aplikasi dan layanan yang mendasarinya, untuk mengidentifikasi dan memecahkan masalah akar penyebab masalah kinerja dan kesalahan. X-Ray memberikan end-to-end tampilan permintaan saat mereka melakukan perjalanan melalui aplikasi Anda, dan menunjukkan peta komponen dasar aplikasi Anda. Anda dapat menggunakan X-Ray untuk menganalisis kedua aplikasi dalam pengembangan dan produksi, dari aplikasi tiga tingkat sederhana, hingga aplikasi layanan mikro kompleks yang terdiri dari ribuan layanan. Untuk mempelajari selengkapnya, lihat [AWS X-Ray](https://aws.amazon.com/xray/).
## FAQ X-Ray di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke AWS X-Ray akun AMS saya?**
Minta akses dengan mengirimkan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan (ct-1w8z66n899dct) jenis perubahan. RFC ini menyediakan peran IAM berikut ke akun Anda:. `customer_xray_console_role` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda. Selain itu, Anda harus memiliki kemampuan `customer_xray_daemon_write_instance_profile` untuk mendorong data dari EC2 instans Amazon Anda ke X-Ray. Profil instance ini dibuat saat Anda menerima file`customer_xray_console_role`.
Anda dapat mengirimkan permintaan layanan ke Operasi AMS untuk menetapkan profil instans yang ada, atau Anda dapat menggunakan profil instans yang dibuat saat Operasi AMS mengaktifkan X-Ray untuk Anda. `customer_xray_daemon_write_policy`
**T: Apa batasan penggunaan AWS X-Ray di akun AMS saya?**
Fungsionalitas penuh AWS X-Ray tersedia di akun AMS Anda kecuali untuk enkripsi dengan kunci AWS KMS (kunci KMS). AWS X-Ray mengenkripsi semua data jejak secara default. Secara default, X-Ray mengenkripsi jejak dan data terkait saat istirahat. Jika Anda perlu mengenkripsi data saat istirahat dengan kunci, Anda dapat memilih kunci KMS AWS-managed (aws/xray) atau kunci KMS Customer-Managed. Untuk kunci KMS yang Dikelola Pelanggan untuk enkripsi X-Ray, kirimkan Manajemen \$1 Lainnya \$1 Lainnya \$1 Buat jenis perubahan (ct-1e1xtak34nx76).
**T: Apa prasyarat atau dependensi yang digunakan di akun AMS saya? AWS X-Ray **
AWS X-Ray memiliki ketergantungan pada Amazon S3 CloudWatch,, CloudWatch dan Log, yang sudah diterapkan di akun AMS. Dependensi transitif bervariasi berdasarkan sumber data dan AWS layanan lain AWS X-Ray yang mungkin berinteraksi dengan fitur (misalnya, Amazon Redshift, Amazon RDS, Athena).
# Gunakan AMS SSP untuk menyediakan VM Import/Export di akun AMS Anda
Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses VM Import/Exportcapabilities secara langsung di akun terkelola AMS Anda. VM Import/Export memungkinkan Anda untuk dengan mudah mengimpor gambar mesin virtual dari lingkungan yang ada ke EC2 instans Amazon dan mengekspornya kembali ke lingkungan lokal Anda. Penawaran ini memungkinkan Anda untuk memanfaatkan investasi yang ada di mesin virtual yang telah Anda buat untuk memenuhi persyaratan keamanan, manajemen konfigurasi, dan kepatuhan TI Anda dengan membawa mesin virtual tersebut ke Amazon EC2 sebagai ready-to-use contoh. Anda juga dapat mengekspor instans yang diimpor kembali ke infrastruktur virtualisasi lokal Anda, memungkinkan Anda untuk menyebarkan beban kerja di seluruh infrastruktur TI Anda. Untuk mempelajari lebih lanjut, lihat [Impor/Ekspor VM](https://aws.amazon.com/ec2/vm-import/).
## FAQ VM Import/Export di AWS Managed Services
Pertanyaan dan jawaban umum:
**T: Bagaimana cara meminta akses ke VM Import/Export di akun AMS saya?**
Minta akses ke VM Import/Export dengan mengirimkan RFC dengan Manajemen \$1 AWS layanan \$1 Layanan yang disediakan sendiri \$1 Tambahkan jenis perubahan (ct-1w8z66n899dct). RFC ini memberikan kebijakan IAM berikut ke akun Anda:. `customer_vmimport_policy` Setelah disediakan di akun Anda, Anda harus memasukkan peran tersebut dalam solusi federasi Anda.
Peran tambahan, peran ** Import/Export Layanan VM**, diperlukan agar layanan dapat melakukan tindakan di akun Anda.
**T: Apa batasan untuk menggunakan VM Import/Export di akun AMS saya?**
+ Fungsionalitas untuk mengimpor gambar mesin khusus dan volume data keduanya tersedia di AMS VM Impor/Ekspor. Namun, izin ke S3 telah dicakup untuk membatasi tindakan ke bucket yang cocok dengan nama untuk membatasi akses ke informasi `customer-vmimport-*` dalam akun.
+ Impor gambar dan snapshot didukung di AMS VM Impor/Ekspor. Namun, fungsi impor instance dan ekspor instance tidak tersedia karena langkah-langkah keamanan.
+ Selain itu, fungsionalitas ekspor telah dinonaktifkan untuk mengurangi risiko mengekspor data yang dibatasi dan sensitif.
**T: Apa prasyarat atau dependensi untuk menggunakan VM di akun AMS saya? Import/Export **
+ Anda harus memberikan image disk yang didukung untuk mengimpor ke AWS lingkungan. Untuk selengkapnya, lihat [ Import/Export Persyaratan VM](https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html).
+ VM Import/Export tidak dapat diakses melalui AWS konsol. Anda harus mengakses layanan ini melalui AWS CLI Alat AWS untuk PowerShell,, atau AWS SDKs. Atau, Anda dapat meminta profil instance dengan mengirimkan jenis perubahan ct-117rmp64d5mvb: Deployment \$1 Komponen tumpukan lanjutan \$1 Identity and Access Management (IAM) \$1 Buat profil instance. EC2 Profil instance ini memungkinkan alat untuk melakukan perintah dari sebuah instance.
# Modus Dikelola Pelanggan
Mode AWS Managed Services (AMS) Customer Managed menyediakan model tata kelola yang fleksibel dan dapat disesuaikan dengan kebutuhan Anda. Ini dapat dianggap sebagai opsi fallback untuk layanan dan aplikasi yang AMS tidak dapat beroperasi untuk Anda. AMS tidak mengoperasikan infrastruktur yang dihosting di akun yang dibuat dalam mode ini. Namun, Anda dapat memanfaatkan manajemen multi-akun terpusat dalam mode ini. Fitur Zona Pendaratan Multi-Akun berikut dapat dimanfaatkan dalam mode ini:
+ Penyebaran Akun Otomatis
+ Konektivitas melalui Transit Gateway di akun jaringan
+ Pustaka Aturan Konfigurasi AMS
+ Simpan salinan log di akun logging
+ Agregasi peringatan Guard Duty yang dikelola pelanggan ke akun Keamanan
+ Tagihan Terkonsolidasi
+ Pengaktifan Kebijakan Kontrol Layanan kustom.
Misalnya: Jika Anda ingin menjalankan beban kerja di Ubuntu Pro, yang bukan Sistem Operasi yang dikelola oleh AMS, Anda dapat menggunakan akun yang dikelola pelanggan untuk hosting itu. Anda juga dapat mengkonsolidasikan beban kerja melalui akun yang dikelola pelanggan, untuk memanfaatkan diskon massal pada Instances/Sharing Paket Cadangan yang tersedia melalui berbagi di seluruh organisasi AWS.
# Memulai mode Customer Managed
Mode Terkelola Pelanggan AMS tersedia melalui akun Aplikasi landing zone multi-akun khusus.
Untuk detailnya, termasuk cara membuat akun Aplikasi Terkelola Pelanggan, lihat [Akun aplikasi yang Dikelola Pelanggan](https://docs.aws.amazon.com/managedservices/latest/userguide/application-account-cust-man.html).
# AMS dan AWS Service Catalog
Service Catalog di AWS Managed Services (AMS) memungkinkan organisasi untuk membuat dan mengelola katalog layanan teknologi informasi AWS (TI) dan memungkinkan administrator TI untuk membuat, mengelola, dan mendistribusikan katalog produk yang disetujui kepada pengguna akhir di akun mereka, yang kemudian dapat mengakses produk yang mereka butuhkan di portal layanan yang dipersonalisasi. Administrator dapat mengontrol pengguna mana yang memiliki akses ke setiap produk untuk menegakkan kepatuhan terhadap kebijakan bisnis organisasi. Administrator juga dapat mengatur peran sehingga pengguna akhir hanya memerlukan akses IAM ke Service Catalog untuk menyebarkan sumber daya yang disetujui. Service Catalog memungkinkan organisasi Anda mendapatkan keuntungan dari peningkatan kelincahan dan pengurangan biaya karena pengguna akhir hanya dapat menemukan dan meluncurkan produk yang mereka butuhkan dari katalog yang Anda kontrol.
Service Catalog memberi Anda alternatif untuk proses permintaan perubahan (RFC) AMS untuk menyediakan dan memperbarui sumber daya di akun terkelola AMS Anda. AMS mengelola semua tugas operasi infrastruktur yang diperlukan untuk menjalankan AWS dalam skala besar untuk semua sumber daya infrastruktur yang disediakan melalui Service Catalog termasuk keamanan, kepatuhan, penyediaan, ketersediaan, tambalan, pemantauan, peringatan, pelaporan, respons insiden, dan pengoptimalan biaya. Memanfaatkan Service Catalog di akun terkelola AMS Anda memberi Anda mekanisme untuk mengelola layanan TI yang umum digunakan secara terpusat dan membantu Anda mencapai tata kelola yang konsisten sekaligus memungkinkan pengguna untuk dengan cepat menerapkan hanya layanan TI yang disetujui yang mereka butuhkan ke lingkungan terkelola mereka.
# Memulai Service Catalog
Untuk memulai Service Catalog di AMS, kirimkan permintaan layanan melalui konsol AMS untuk meminta akses ke Service Catalog. Setelah mengajukan permintaan, tiga peran IAM akan diterapkan ke akun Anda bersama dengan tumpukan terkelola AMS yang berisi CloudFormation makro yang memanggil AMS `Transform` (dijelaskan sebelumnya) sehingga kami dapat mendaftarkan produk di sistem kami, dan untuk melakukan operasi terhadap infrastruktur yang disediakan melalui Service Catalog. Tiga peran IAM yang digunakan termasuk peran bagi admin TI untuk mengelola produk sebagai admin Service Catalog; peran bagi pemilik aplikasi dan pengguna akhir untuk mengonfigurasi, meluncurkan, dan mengelola produk; dan peran yang akan digunakan sebagai kendala peluncuran, yang menentukan izin yang akan digunakan oleh Service Catalog saat meluncurkan atau memperbarui produk Anda.
# Service Catalog di AMS sebelum Anda mulai
**Apakah Service Catalog menggantikan proses AMS request for change (RFC) yang ada?**
Di akun di mana Service Catalog diaktifkan, itu akan bertindak sebagai sistem manajemen perubahan tempat Anda menyediakan dan memperbarui layanan TI di akun AMS Anda melalui katalog produk yang telah ditentukan sebelumnya; AMS akan menyediakan portfolio/product katalog default, dan admin TI Anda dapat membuat dan mengonfigurasi milik Anda sendiri. Service Catalog hanya akan mengakui tumpukan yang disediakan melalui Service Catalog. Demikian juga, layanan yang disediakan melalui Service Catalog tidak akan dapat dimodifikasi melalui proses AMS RFC karena modifikasi di luar Service Catalog akan mengalihkan tumpukan dari konfigurasi produk yang disetujui.
**Dapatkah saya melihat tumpukan yang disediakan melalui katalog layanan di Konsol AMS?**
Ya. Anda dapat melihat semua tumpukan yang disediakan melalui katalog layanan di konsol AMS. Tumpukan yang disediakan melalui katalog layanan mudah diidentifikasi oleh ID tumpukan “SC-”. Meskipun tumpukan dapat dilihat di konsol AMS, Anda tidak akan dapat memperbarui melalui proses AMS RFC. Akses ke sistem manajemen perubahan AMS (RFCs) terbatas pada permintaan akses, orkestrasi patch, dan cadangan saja. RFCs
**Jika saya menyediakan and/or pembaruan tumpukan melalui Service Catalog, apakah akan ada RFC yang sesuai di Konsol AMS?**
Satu-satunya RFC yang akan ditampilkan di konsol AMS adalah RFC untuk mendaftarkan tumpukan dengan AMS saat tumpukan awalnya disediakan. RFC ini diajukan secara otomatis oleh proses validasi AMS yang dipicu saat tumpukan diluncurkan melalui Service Catalog. Semua penyediaan dan perubahan lainnya dilacak secara langsung di Service Catalog dan dapat dilihat di konsol Service Catalog. Selanjutnya, Anda dapat menggunakan fitur **Provisioned Product Plan** di Service Catalog untuk melihat daftar perubahan yang akan dilakukan pada sumber daya sebelum penyediaan atau pembaruan produk.
**Apakah saya harus melakukan sesuatu yang spesifik untuk menyediakan produk di akun terkelola AMS saya?**
Ya. Semua produk Service Catalog yang disediakan di akun AMS harus berisi baris JSON ini dalam template CFN yang mendefinisikan produk tersebut:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
Cuplikan CloudFormation kode ini memicu validasi AMS yang diperlukan sebelum sumber daya dapat disediakan di akun terkelola AMS Anda. Adalah tanggung jawab Anda untuk memasukkan baris kode ini sebagai bagian dari definisi produk. Jika tidak disertakan, penyediaan akan gagal dan pesan kesalahan berikut akan ditampilkan: “Gagal membuat produk. Akun ini dikelola oleh AMS. Semua produk di akun AMS harus memiliki `Transform` kode AMS di template.
**Apakah ada fungsionalitas Service Catalog yang tidak tersedia and/or terbatas untuk pelanggan AMS saat diluncurkan?**
Ya, fitur SC berikut tidak tersedia untuk pelanggan AMS pada peluncuran awal:
+ Pembuatan Akun melalui Service Catalog
+ Kemampuan untuk meluncurkan semua AWS Services melalui Service Catalog ke dalam akun yang dikelola AMS. Ketersediaan AWS Service terbatas pada layanan yang didukung AMS (dikelola dan disediakan sendiri). Untuk informasi selengkapnya tentang layanan yang didukung AMS, lihat deskripsi layanan AMS.
+ Konektor Service Catalog IT service manager (ITSM) tidak akan berkomunikasi dengan laporan insiden AMS, dan permintaan layanan.
+ Kemampuan untuk memanfaatkan Service Catalog mulai cepat dan arsitektur referensi tanpa modifikasi. Ingat bahwa produk Service Catalog untuk akun AMS harus berisi baris kode JSON ini:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
dalam template CNF. Perhatikan bahwa baris ini *bukan* bagian dari CloudFormation template AWS biasa dan harus ditambahkan secara eksplisit.
+ Terraform saat ini tidak didukung oleh AMS untuk menyediakan produk Service Catalog.
+ Stackset AWS CFN tidak didukung di AMS.
+ Anda tidak dapat membuat peran IAM kustom.
+ Tindakan Layanan terbatas pada:
+ [AWS- RebootRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-RebootRdsInstance/description?region=us-east-1)
+ [Instans AWS-Restart EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-RestartEC2Instance/description?region=us-east-1)
+ [Instans AWS-Mulai EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StartEC2Instance/description?region=us-east-1)
+ [AWS- StartRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartRdsInstance/description?region=us-east-1)
+ [Instans AWS-Stop EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StopEC2Instance/description?region=us-east-1)
+ [AWS- StopRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopRdsInstance/description?region=us-east-1)
+ [AWS- CreateImage](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateImage/description?region=us-east-1)
+ [AWS- CreateRdsSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateRdsSnapshot/description?region=us-east-1)
+ [AWS- CreateSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateSnapshot/description?region=us-east-1)
**catatan**
Saat membuat tindakan layanan, Anda dapat mengonfigurasi peran eksekusi menjadi izin pengguna akhir, peran peluncuran, atau peran IAM khusus yang Anda pilih. Peran eksekusi yang dipilih harus memiliki izin yang cukup untuk melakukan tindakan layanan, dan memiliki peran TrustPolicy yang memungkinkannya diasumsikan oleh Service Catalog, jika tidak, tindakan layanan akan gagal pada saat eksekusi. Sebaiknya gunakan AWSManagedServicesServiceCatalogLaunchRole, yang memiliki izin dan kebijakan kepercayaan yang benar untuk digunakan sebagai tindakan layanan.
**Untuk apa saya masih perlu menggunakan sistem AMS RFC?**
Pada ketersediaan umum (GA) Anda masih perlu menggunakan RFCS untuk menjalankan tindakan berikut:
+ Mengkonfigurasi Patch Orchestrator
+ Mengkonfigurasi kebijakan Cadangkan
+ Meminta akses instans
+ Membuat dan menetapkan grup keamanan yang berada di luar pedoman AMS.
+ Melakukan konsumsi beban kerja (WIGS)
+ Membuat Peran IAM
**Dapatkah saya menggunakan Service Catalog CLI untuk mengakses Service Catalog di akun terkelola AMS saya?**
Ya, Service Catalog APIs tersedia dan diaktifkan melalui CLI. Tindakan dari pengelolaan artefak Service Catalog melalui penyediaan dan penghentian artefak tersebut, tersedia. Untuk informasi selengkapnya, lihat [Sumber Daya AWS Service Catalog](https://aws.amazon.com/servicecatalog/resources/), atau unduh AWS SDK atau CLI terbaru.
**Siapa yang membuat, mengelola, dan mendistribusikan katalog produk yang disetujui pelanggan?**
Administrator and/or TI administrator katalog pelanggan, atau sumber daya yang ditetapkan, bertanggung jawab atas pengelolaan katalog Service Catalog dan produk yang disetujui.
**Bisakah saya menggunakan AMS AMIs?**
AMIs AMS yang dijual setelah Maret 2020 dapat digunakan melalui AWS Service Catalog.
**Bagaimana cara bermigrasi ke AMS menggunakan Service Catalog?**
Untuk memigrasikan beban kerja Anda ke AMS menggunakan Service Catalog, Anda mulai dengan mengikuti proses [Workload Ingest](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-workload-ingest.html) (WIGs) untuk membuat AMI di AMS. Anda menggunakan AMI yang diproduksi oleh WIGS untuk membuat produk di Service Catalog. Cara melakukannya dirinci di [AWS Service Catalog - Memulai](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted.html).