Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Fase 2: Risorse di gestione dell'onboarding in Accelerate
Questa è una panoramica del processo di onboarding delle risorse di gestione.
**Accetti i termini**
Il tuo gestore di distribuzione dei servizi cloud (CSDM) ti guida attraverso il processo di accettazione. Devi accettare i Termini e condizioni Regioni AWS, selezionare i componenti aggiuntivi e un contratto sul livello di servizio (SLA).
**Concedi le autorizzazioni ai ruoli AMS**
Devi concedere l'accesso ai processi AMS e al tuo Cloud Architect. Puoi farlo creando uno CloudFormation stack per ogni ruolo. Vedi [Il modello per creare ruoli AMS](acc-onb-roles.md) e poi[Crea `aws_managedservices_onboarding_role` con CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md). Per ulteriori dettagli, consulta [Gestione degli accessi in AMS Accelerate](acc-access.md).
**AMS esamina la tua configurazione**
Il tuo Cloud Architect (CA) cerca anche possibili problemi di configurazione nel tuo account, come le politiche di controllo dei servizi (SCPs), e i problemi di sicurezza che potrebbero impedire ad AMS di implementare gli strumenti e le risorse richiesti da AMS. La tua CA collabora con te per aiutarti a correggere i risultati e rimuovere eventuali ostacoli all'implementazione degli strumenti e delle risorse AMS.
**AMS esamina le configurazioni dei percorsi AWS CloudTrail **
Il tuo Cloud Architect (CA) esaminerà le configurazioni del CloudTrail percorso e confermerà se desideri che AMS distribuisca un CloudTrail trail globale o integri Accelerate con le risorse del tuo CloudTrail account o dell'organizzazione. Se scegli di integrare Accelerate con il tuo CloudTrail trail, il tuo CA ti guiderà attraverso gli aggiornamenti necessari alle configurazioni per le tue CloudTrail risorse trail.
**AMS distribuisce risorse di gestione**
Il team AMS utilizza strumenti e AWS risorse per fornire i diversi servizi di AMS Accelerate. Una volta completato, AMS ha creato l'account AWS Managed Services e AMS ti notifica che il tuo account è attivo.
Questo conclude la fase delle risorse di gestione dell'*onboarding*. Puoi procedere direttamente alla fase successiva del processo di onboarding:. [Fase 3. Integrazione delle funzionalità AMS con policy predefinite](acc-get-feature-config.md)
**Nota**
Ora che il tuo account è attivo, hai la possibilità di eseguire una di queste attività:
Crea incidenti e richieste di assistenza per l' AWS infrastruttura utilizzando la console Support Center. Per informazioni, consulta [Segnalazioni di incidenti, richieste di assistenza e domande di fatturazione in AMS Accelerate](acc-supp-ex.md).
Visualizza lo stato di conformità nel tuo account delle AWS Config regole implementate da AMS,. [Conformità della configurazione in Acceler](acc-sec-compliance.md)
Individua GuardDuty e analizza i risultati di Macie (opzionale). Per informazioni, consulta [Monitora con GuardDuty](acc-sec-data-protect.md#acc-sec-data-protect-gd).
Registri di accesso e controllo CloudTrail
Tieni traccia delle modifiche nel tuo account AMS Accelerate. Per informazioni, consulta [Monitoraggio delle modifiche nei tuoi account AMS Accelerate](acc-change-record.md).
Usa Resource Tagger per creare tag. Per informazioni, consulta [Accelera Resource Tagger](acc-resource-tagger.md).
Richiedi patch, backup e AWS Config report. Per informazioni, consulta [Rapporti e opzioni](ams-reporting.md).
# Rivedi e aggiorna le configurazioni per consentire ad AMS Accelerate di utilizzare il tuo trail CloudTrail
AMS Accelerate si affida alla AWS CloudTrail registrazione per gestire gli audit e la conformità per tutte le risorse del tuo account. Durante l'onboarding, scegli se Accelerate distribuisca un CloudTrail percorso nella tua AWS regione principale o utilizzi gli eventi generati dal tuo account o percorso organizzativo esistente. CloudTrail Se sul tuo account non è configurato un trail, Accelerate implementerà un percorso gestito CloudTrail durante l'onboarding.
**Importante**
CloudTrail la configurazione della gestione dei registri è richiesta solo quando scegli di integrare AMS Accelerate con il tuo CloudTrail account o Organization trail.
## Rivedi le configurazioni dei CloudTrail percorsi, la policy sui bucket di Amazon S3 AWS KMS e la politica chiave per CloudTrail la destinazione di consegna degli eventi con Cloud Architect (CA)
Prima che Accelerate possa utilizzare il tuo CloudTrail trail, devi collaborare con Cloud Architect (CA) per rivedere e aggiornare le configurazioni per soddisfare i requisiti di Accelerate. Se scegli di integrare Accelerate con la tua CloudTrail organizzazione, il tuo CA collaborerà con te per aggiornare il bucket Amazon S3 della destinazione di distribuzione CloudTrail degli eventi e le politiche AWS KMS chiave per abilitare le query su più account dal tuo account Accelerate. Il tuo bucket Amazon S3 può trovarsi in un account gestito da Accelerate o in un account che gestisci tu. Durante l'onboarding, Accelerate verifica che sia possibile effettuare query verso la destinazione di consegna degli eventi di tracciamento CloudTrail dell'organizzazione e sospende l'onboarding se le richieste non riescono. Collaborate con la vostra CA per correggere queste configurazioni in modo che l'onboarding possa riprendere.
### Rivedi e aggiorna le configurazioni CloudTrail dell'account o dell'organizzazione
Le seguenti configurazioni sono necessarie per integrare Accelerate CloudTrail log management, il tuo CloudTrail account o le risorse Organization trail:
+ Il CloudTrail percorso è configurato per registrare tutti Regioni AWS gli eventi.
+ Il tuo CloudTrail percorso ha [gli eventi di servizio globali](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events) abilitati.
+ Il percorso dell' CloudTrail account o dell'organizzazione registra tutti [gli eventi di gestione](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events), inclusi gli eventi di [lettura e scrittura, AWS KMS e la registrazione degli](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt) eventi di Amazon RDS Data API è abilitata.
+ Il CloudTrail percorso ha la convalida dell'[integrità dei file di registro abilitata](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html).
+ [Il bucket Amazon S3 che CloudTrail percorri fornisce eventi per crittografare gli eventi utilizzando la crittografia SSE-S3 o [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)
+ Il bucket Amazon S3 a cui il CloudTrail percorso consegna l'evento ha la registrazione degli [accessi al server abilitata](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html).
+ Il bucket Amazon S3 a cui distribuisci CloudTrail l'evento ha una [configurazione del ciclo](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) di vita che conserva i dati del CloudTrail percorso per almeno 18 mesi.
+ Il bucket Amazon S3 a cui il CloudTrail percorso consegna l'evento ha [Object Ownership](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) impostato su Bucket owner applicato.
+ Il bucket Amazon S3 a cui il CloudTrail percorso fornisce l'evento è accessibile da Accelerate.
#### Rivedi e aggiorna la policy sui bucket di Amazon S3 per la destinazione di consegna dei tuoi eventi CloudTrail
Durante l'onboarding, collabori con il tuo Cloud Architect (CA) per aggiungere dichiarazioni sulle policy relative ai bucket di Amazon S3 alla CloudTrail destinazione di distribuzione degli eventi. Per consentire ai tuoi utenti di richiedere le modifiche nel bucket Amazon S3 di destinazione di distribuzione CloudTrail degli eventi dal tuo account Accelerate, puoi implementare un ruolo IAM denominato in modo uniforme in ogni account dell'organizzazione gestito da Accelerate e aggiungerlo all'elenco in `aws:PrincipalArn` tutte le dichiarazioni politiche sui bucket di Amazon S3. Con questa configurazione, gli utenti possono interrogare e analizzare gli eventi del percorso CloudTrail organizzativo del tuo account in Accelerate utilizzando Athena. Per ulteriori informazioni su come aggiornare una policy sui bucket di Amazon S3, consulta [Aggiungere una policy bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Storage *Service*.
**Importante**
L'aggiornamento della policy sui bucket Amazon S3 è necessario solo quando Accelerate si integra con un CloudTrail trail che fornisce eventi a un bucket S3 centralizzato. Accelerate non supporta l'integrazione con un CloudTrail trail che effettua consegne a un bucket centralizzato ma non dispone di account sotto un'organizzazione. AWS
**Nota**
Prima di aggiornare la tua policy sui bucket di Amazon S3, sostituisci *red* i campi con i valori applicabili:
*amzn-s3-demo-bucket*con il nome del bucket Amazon S3 che contiene gli eventi trail dei tuoi account.
*your-organization-id*con l'ID dell' AWS organizzazione di cui i tuoi account sono membri.
*your-optional-s3-log-delievery-prefix*con il CloudTrail prefisso di consegna del bucket Amazon S3 del percorso. Ad esempio`my-bucket-prefix`, che potresti aver impostato al momento della [creazione del percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html). CloudTrail
Se non hai configurato un prefisso Amazon S3 bucket Delivery per il tuo percorso, rimuovi "*your-optional-s3-log-delievery-prefix*" e la barra progressiva () `/` dalle seguenti istruzioni sulla politica relativa ai bucket di Amazon S3.
Le seguenti tre dichiarazioni sulla politica dei bucket Amazon S3 concedono ad Accelerate l'accesso per recuperare le configurazioni ed eseguire query AWS Athena per [analizzare gli eventi nel bucket Amazon S3 di destinazione di distribuzione degli eventi dal CloudTrail tuo](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) account Accelerate.
```
{
"Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringLike": {
"s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
#### Rivedi e aggiorna la politica chiave per la destinazione di distribuzione degli eventi AWS KMS CloudTrail
Durante l'onboarding, collabori con il tuo Cloud Architect (CA) per aggiornare la policy AWS KMS chiave utilizzata per crittografare gli eventi CloudTrail trail distribuiti al tuo bucket Amazon S3. Assicurati di aggiungere le dichiarazioni politiche AWS KMS chiave di riferimento alla chiave esistente. AWS KMS Ciò configura Accelerate per l'integrazione con il bucket Amazon S3 di distribuzione di eventi CloudTrail trail esistente e decrittografa gli eventi. Per consentire ai tuoi utenti di richiedere le modifiche nel bucket Amazon S3 di destinazione di distribuzione CloudTrail degli eventi dal tuo account Accelerate, puoi implementare un ruolo IAM denominato in modo uniforme in ogni account dell'organizzazione gestito da Accelerate e aggiungerlo all'elenco «aws:». PrincipalArn Con questa configurazione, gli utenti possono interrogare gli eventi.
Esistono diversi scenari AWS KMS chiave di aggiornamento delle politiche da prendere in considerazione. Potresti avere solo una AWS KMS chiave configurata per il tuo CloudTrail percorso per crittografare tutti gli eventi e non avere una AWS KMS chiave che crittografa gli oggetti nel tuo bucket Amazon S3. In alternativa, potresti avere una AWS KMS chiave che crittografa gli eventi forniti da CloudTrail e un'altra AWS KMS chiave che crittografa tutti gli oggetti archiviati nel tuo bucket Amazon S3. Se disponi di due AWS KMS chiavi, aggiorni la policy delle chiavi per ciascuna AWS KMS chiave per concedere ad Accelerate l'accesso ai tuoi eventi. CloudTrail Assicurati di modificare la dichiarazione politica AWS KMS chiave di riferimento con la politica AWS KMS chiave esistente prima di aggiornare la politica. Per ulteriori informazioni su come aggiornare una politica AWS KMS chiave, consulta [Modifica di una politica chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) nella *Guida per l'AWS Key Management Service utente*.
**Importante**
È necessario aggiornare la politica AWS KMS chiave solo quando Accelerate si integra con un CloudTrail percorso con la crittografia SSE-KMS dei file di registro abilitata.
**Nota**
Prima di applicare questa dichiarazione sulla politica AWS KMS chiave alla AWS KMS chiave utilizzata per crittografare AWS CloudTrail gli eventi distribuiti al bucket Amazon S3, sostituisci i *red* seguenti campi con i valori applicabili:
*YOUR-ORGANIZATION-ID*con l'ID dell' AWS organizzazione di cui i tuoi account sono membri.
[Questa dichiarazione politica AWS KMS chiave garantisce ad Accelerate l'accesso agli eventi di decrittografia e query trail distribuiti al bucket Amazon S3 da ogni account dell'organizzazione con accesso limitato ad Athena, utilizzata da Accelerate per interrogare e analizzare gli eventi. CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) .
```
{
"Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
# Il modello per creare ruoli AMS
Il seguente ruolo AMS concede le autorizzazioni al tuo architetto cloud AMS (CA). Il seguente file zip contiene il codice e il CloudFormation modello Terraform che semplificano la creazione del ruolo IAM, della politica di autorizzazione e della politica di fiducia. Per ulteriori informazioni, rivolgetevi al vostro CA.
| Nome ruolo | Richiesto da | Modelli di esempio |
| --- |--- |--- |
| `aws_managedservices_onboarding_role` | Personale AMS solo durante l'onboarding | [onboarding\$1role\$1minimal.zip](samples/onboarding_role_minimal.zip) |
**Nota**
Dopo aver selezionato e scaricato un modello di esempio (uno per ruolo), lo caricherai come definizioni di CloudFormation stack in[Crea `aws_managedservices_onboarding_role` con CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md).
# Crea `aws_managedservices_onboarding_role` con CloudFormation for Accelerate
Puoi creare il AWS Identity and Access Management ruolo`aws_managedservices_onboarding_role`, con CloudFormation from Console di gestione AWS. In alternativa, puoi utilizzare i comandi di AWS CloudShell per distribuire il ruolo.
## Usa il Console di gestione AWS
**Nota**
Prima di iniziare, tieni pronto per il caricamento un file JSON o YAML per ogni ruolo. Per ulteriori informazioni, consulta [Il modello per creare ruoli AMS](acc-onb-roles.md).
Per creare il ruolo da Console di gestione AWS, completa i passaggi seguenti:
1. Accedi Console di gestione AWS e apri la CloudFormation console all'indirizzo [https://console.aws.amazon.com/cloudformazione.](https://console.aws.amazon.com/cloudformation/)
![\[CloudFormation Stacks interface showing no stacks and options to create or view guide.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/image1.png)
1. Scegli **Crea stack > Con nuove risorse** (standard). Viene visualizzata la pagina seguente.
![\[Create stack interface with options to specify template and upload template file.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/image2.png)
1. **Scegli **Carica un file modello**, carica il file JSON o YAML del ruolo IAM, quindi scegli Avanti.** Viene visualizzata la pagina seguente.
![\[Form for specifying stack details, including stack name and parameters fields.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/image3.png)
1. Inserisci il nome dello stack "**ams-onboarding-role**" nel campo **Nome pila**. Inserisci un **DateOfExpiry**utilizzando il formato «YYYY-MM-DDT 00:00:00 Z» (si consigliano 30 giorni dalla data corrente). Continua a scorrere verso il basso e seleziona Avanti fino a raggiungere questa pagina:
![\[Capabilities section with AWSIAM role requirement and checkbox for custom names.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/accelerate-guide/images/image4.png)
1. Assicurati che la casella di controllo sia selezionata, quindi seleziona **Crea pila**.
1. Assicurati che lo stack sia stato creato correttamente.
## Usa i comandi di AWS CloudShell
Per distribuire il ruolo `aws_managedservices_onboarding_role` IAM, esegui il seguente comando in [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html):
------
#### [ AWS CLI ]
```
curl -s "https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip" -o "onboarding_role_minimal.zip"
unzip -q -o onboarding_role_minimal.zip
aws cloudformation create-stack \
--stack-name "aws-managedservices-onboarding-role" \
--capabilities CAPABILITY_NAMED_IAM \
--template-body file://onboarding_role_minimal.json \
--parameters ParameterKey=DateOfExpiry,ParameterValue="`date -d '+30 days' -u '+%Y-%m-%dT%H:%M:%SZ'`"
```
------
#### [ AWS Tools for PowerShell ]
```
Invoke-WebRequest -Uri 'https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip' -OutFile 'onboarding_role_minimal.zip'
Expand-Archive -Path 'onboarding_role_minimal.zip' -DestinationPath . -Force
New-CFNStack `
-StackName 'aws-managedservices-onboarding-role' `
-Capability CAPABILITY_NAMED_IAM `
-TemplateBody (Get-Content 'onboarding_role_minimal.json' -Raw) `
-Parameter @{ParameterKey = "DateOfExpiry"; ParameterValue = (Get-Date).AddDays(30).ToString('yyyy-MM-ddTHH:mm:ssZ')}
```
------
Dopo aver creato il ruolo, collabora con il tuo Cloud Architect (CA) per completare il [Fase 2: Risorse di gestione dell'onboarding in Accelerate](acc-get-mgmt-resource-onboard.md) processo. Dopo che AMS ti ha informato che il tuo account è attivo, sei pronto per l'onboarding delle tue istanze.