Akun Layanan Bersama - Panduan Pengguna Tingkat Lanjut AMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akun Layanan Bersama

Akun Layanan Bersama berfungsi sebagai hub pusat untuk sebagian besar layanan pesawat data AMS. Akun berisi infrastruktur dan sumber daya yang diperlukan untuk manajemen akses (AD), manajemen keamanan titik akhir (Trend Micro), dan berisi benteng pelanggan (SSH/RDP). Gambaran umum tingkat tinggi dari sumber daya yang terkandung dalam Akun Layanan Bersama ditampilkan dalam grafik berikut. 

Diagram of Shared Services Account architecture with VPC, subnets, and various Layanan AWS.

VPC Layanan Bersama terdiri dari subnet AD, subnet EPS, dan subnet benteng pelanggan di tiga zona ketersediaan (). AZs Sumber daya yang dibuat dalam VPC Layanan Bersama tercantum di bawah ini dan memerlukan masukan Anda.

  • Rentang CIDR VPC Layanan Bersama: Saat Anda membuat VPC, Anda harus menentukan rentang alamat IPv4 untuk VPC dalam bentuk blok Classless Inter-Domain Routing (CIDR); misalnya, 10.0.1.0/24. Ini akan menjadi blok CIDR utama VPC Anda.

    catatan

    Tim AMS merekomendasikan kisaran /23.

  • Detail Direktori Aktif: Microsoft Active Directory (AD) digunakan untuk user/resource manajemen, autentikasi/otorisasi, dan DNS, di semua akun landing zone multi-akun AMS Anda. AMS AD juga dikonfigurasi dengan kepercayaan satu arah ke Direktori Aktif Anda untuk otentikasi berbasis kepercayaan. Input berikut diperlukan untuk membuat AD:

    • Domain Fully Qualified Domain Name (FQDN): Nama domain yang sepenuhnya memenuhi syarat untuk direktori AWS Managed Microsoft AD. Domain tidak boleh menjadi domain yang ada atau domain anak dari domain yang ada di jaringan Anda.

    • Nama Domain NetBIOS: Jika Anda tidak menentukan nama NetBIOS, AMS default nama ke bagian pertama dari DNS direktori Anda. Misalnya, corp untuk direktori DNS corp.example.com.

  • Trend Micro — endpoint protection security (EPS): Trend Micro endpoint protection (EPS) adalah komponen utama dalam AMS untuk keamanan sistem operasi. Sistem ini terdiri dari Deep Security Manager (DSM), EC2 instance, EC2 instance relay, dan agen yang hadir dalam semua data plane dan instance pelanggan. EC2

    Anda harus mengasumsikan akun Layanan Bersama, dan berlangganan AMI Trend Micro Deep Security (BYOL), atau Trend Micro Deep Security (Marketplace). EPSMarketplaceSubscriptionRole

    Input default berikut diperlukan untuk membuat EPS (jika Anda ingin mengubah dari default):

    • Jenis Instance Relay: Nilai Default - m5.large

    • Jenis Instans DSM: Nilai Default - m5.xlarge

    • Ukuran Instans DB: Nilai Default - 200 GB

    • Jenis Instans RDS: Nilai Default - db.m5.large

  • Benteng pelanggan: Anda diberikan benteng SSH atau RDP (atau keduanya) di Akun Layanan Bersama, untuk mengakses host lain di lingkungan AMS Anda. Untuk mengakses jaringan AMS sebagai pengguna (SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPNke gateway transit (TGW), dan kemudian dialihkan ke VPC Layanan Bersama. Setelah Anda dapat mengakses benteng, Anda dapat melompat ke host lain di lingkungan AMS, asalkan permintaan akses telah diberikan.

    • Input berikut diperlukan untuk bastion SSH.

      • Kapasitas Instans yang Diinginkan Bastion SSH: Nilai Default - 2.

      • Instans Maksimum SSH Bastion: Nilai Default - 4.

      • Instans Minimum Bastion SSH: Nilai Default -2.

      • SSH Bastion Instance Type: Default Value - m5.large (dapat diubah untuk menghemat biaya; misalnya t3.medium).

      • SSH Bastion Ingress CIDRs: alamat IP berkisar dari mana pengguna di jaringan Anda mengakses SSH Bastions.

    • Input berikut diperlukan untuk benteng Windows RDP.

      • Jenis Instans Bastion RDP: Nilai Default - t3.medium.

      • Sesi Minimum yang Diinginkan Benteng RDP: Nilai Default - 2.

      • Sesi Maksimum RDP: Nilai Default -10.

      • Jenis Konfigurasi Bastion RDP: Anda dapat memilih salah satu konfigurasi di bawah ini

        • SecureStandard = Seorang pengguna menerima satu benteng dan hanya satu pengguna yang dapat terhubung ke benteng.

        • SecureHa = Seorang pengguna menerima dua benteng dalam dua AZ yang berbeda untuk terhubung dan hanya satu pengguna yang dapat terhubung ke benteng.

        • SharedStandard = Seorang pengguna menerima satu benteng untuk terhubung dan dua pengguna dapat terhubung ke benteng yang sama sekaligus.

        • SharedHa = Seorang pengguna menerima dua benteng dalam dua AZ yang berbeda untuk terhubung dan dua pengguna dapat terhubung ke benteng yang sama sekaligus.

      • Customer RDP Ingress CIDRs: Rentang alamat IP dari mana pengguna di jaringan Anda akan mengakses RDP Bastions.