Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Account Multi-Account Landing Zone
**Topics**
+ [Gestione dell'account](management-account.md)
+ [Account di rete](networking-account.md)
+ [Account Shared Services](shared-services-account.md)
+ [Account Log Archive](logging-account.md)
+ [Account di sicurezza](security-account.md)
+ [Tipi di account dell'applicazione](application-account.md)
+ [Account AMS Tools (migrazione dei carichi di lavoro)](tools-account.md)
# Gestione dell'account
L'account di gestione è il tuo account AWS iniziale quando inizi l'onboarding con AMS. Utilizza AWS Organizations come account di gestione (noto anche come account di pagamento che paga gli addebiti di tutti gli account dei membri), che consente all'account di creare e gestire finanziariamente gli account dei membri. Contiene il framework AWS landing zone (ALZ), i set di stack di configurazione degli account, le policy di controllo dei servizi di AWS Organization (SCPs), ecc.
Per ulteriori informazioni sull'utilizzo di un account di gestione, consulta [Best practice per l'account di gestione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html).
Il diagramma seguente fornisce una panoramica di alto livello delle risorse contenute nell'account di gestione.
![\[Account di gestione overview showing AMS Customer Region and various Servizi AWS and features.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/management-account.png)
## Risorse nell'account di gestione
Oltre ai servizi standard di cui sopra, durante l'onboarding non vengono create risorse AWS aggiuntive nell'account di gestione. I seguenti input sono richiesti durante l'onboarding su AMS:
+ *ID dell'account di gestione*: ID dell'account AWS creato inizialmente da te.
+ *Email relative agli account principali*: fornisci le e-mail da associare a ciascuno degli account principali: account di rete, servizi condivisi, registrazione e sicurezza.
+ *Regione di servizio*: fornisci la regione AWS in cui verranno distribuite tutte le risorse della tua landing zone AMS.
# Account di rete
L'account Networking funge da hub centrale per il routing di rete tra gli account di landing zone con più account AMS, la rete locale e il traffico in uscita verso Internet. Inoltre, questo account contiene bastioni DMZ pubblici che rappresentano il punto di ingresso per gli ingegneri AMS per accedere agli host nell'ambiente AMS. Per i dettagli, consultate il seguente diagramma di alto livello dell'account di rete riportato di seguito.
![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malzNetworkAccount.png)
# Architettura degli account di rete
Il diagramma seguente illustra l'ambiente di landing zone multi-account AMS, mostra i flussi di traffico di rete tra gli account ed è un esempio di configurazione ad alta disponibilità.
![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW-2.png)
![\[Diagram showing network traffic flow between Account AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)
AMS configura per te tutti gli aspetti del networking in base ai nostri modelli standard e alle opzioni selezionate fornite durante l'onboarding. Al tuo account AWS viene applicato un design di rete AWS standard e viene creato un VPC per te e connesso ad AMS tramite VPN o Direct Connect. Per ulteriori informazioni su Direct Connect, consulta [AWS Direct Connect](https://aws.amazon.com/directconnect/). Lo standard VPCs include la DMZ, i servizi condivisi e una sottorete di applicazioni. Durante il processo di onboarding, VPCs potrebbero essere richiesti e creati altri dati in base alle esigenze dell'utente (ad esempio, divisioni clienti, partner). Dopo l'onboarding, viene fornito un diagramma di rete: un documento ambientale che spiega come è stata configurata la rete.
**Nota**
Per informazioni sui limiti e i vincoli di servizio predefiniti per tutti i servizi attivi, consulta la documentazione di [AWS Service Limits](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Il design della nostra rete si basa sul [«Principio del minimo privilegio»](https://en.wikipedia.org/wiki/Principle_of_least_privilege) di Amazon. A tal fine, indirizziamo tutto il traffico, in ingresso e in uscita, attraverso una DMZ, ad eccezione del traffico proveniente da una rete affidabile. L'unica rete affidabile è quella configurata tra l'ambiente locale e il VPC tramite l'uso di una and/or VPN e AWS Direct Connect (DX). L'accesso è garantito tramite l'uso di istanze bastion, impedendo così l'accesso diretto a qualsiasi risorsa di produzione. Tutte le applicazioni e le risorse risiedono all'interno di sottoreti private raggiungibili tramite sistemi di bilanciamento del carico pubblici. Il traffico pubblico in uscita attraversa i gateway NAT nel VPC in uscita (nell'account di rete) verso l'Internet Gateway e quindi verso Internet. In alternativa, il traffico può fluire attraverso la tua VPN o Direct Connect verso il tuo ambiente locale.
# Connettività di rete privata all'ambiente di landing zone multi-account AMS
AWS offre connettività privata tramite connettività di rete privata virtuale (VPN) o linee dedicate con AWS Direct Connect. La connettività privata nell'ambiente con più account viene configurata utilizzando uno dei metodi descritti di seguito:
+ Connettività Edge centralizzata tramite Transit Gateway
+ Connessione della and/or VPN Direct Connect (DX) agli account cloud privati virtuali () VPCs
# Connettività edge centralizzata tramite gateway di transito
AWS Transit Gateway è un servizio che ti consente di connettere le tue reti VPCs e quelle locali a un unico gateway. Transit gateway (TGW) può essere utilizzato per consolidare la connettività edge esistente e indirizzarla attraverso un unico punto. ingress/egress Il gateway di transito viene creato nell'account di rete dell'ambiente multi-account AMS. Per ulteriori dettagli sul gateway di transito, consulta [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Il gateway AWS Direct Connect (DX) viene utilizzato per connettere la connessione DX tramite un'interfaccia virtuale di transito a VPCs o VPNs che sono collegati al gateway di transito. È possibile associare un gateway Direct Connect al gateway di transito. Quindi, crea un'interfaccia virtuale di transito per la tua connessione AWS Direct Connect al gateway Direct Connect. Per informazioni sulle interfacce virtuali DX, consulta Interfacce [virtuali AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).
Questa configurazione offre i seguenti vantaggi. È possibile:
+ Gestisci una singola connessione per più connessioni VPCs o VPNs che si trovano nella stessa regione AWS.
+ Pubblicizza prefissi da locale ad AWS e da AWS a locale.
**Nota**
[Per informazioni sull'utilizzo di un DX con i servizi AWS, consulta la sezione Resiliency Toolkit Classic.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Per ulteriori informazioni, consulta [Associazioni Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malz-cent-edge.png)
Per aumentare la resilienza della tua connettività, ti consigliamo di collegare almeno due interfacce virtuali di transito da diverse postazioni AWS Direct Connect al gateway Direct Connect. Per ulteriori informazioni, consulta la [raccomandazione sulla resilienza di AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).
# Connessione di DX o VPN all'account VPCs
Con questa opzione, gli ambienti VPCs di landing zone con più account AMS sono collegati direttamente a Direct Connect o VPN. Il traffico fluisce direttamente VPCs da Direct Connect o VPN senza attraversare il gateway di transito.
# Risorse nell'account di rete
Come illustrato nello schema degli account di rete, i seguenti componenti vengono creati nell'account e richiedono l'input dell'utente.
**L'account Networking ne contiene due VPCs: **Egress VPC** e **DMZ VPC, noto anche come VPC** perimetrale.**
# Gestore di rete AWS
AWS Network Manager è un servizio che consente di visualizzare le reti di gateway di transito (TGW) senza costi aggiuntivi per AMS. Fornisce il monitoraggio centralizzato della rete sia sulle risorse AWS che sulle reti locali, un'unica visione globale della rete privata in un diagramma topologico e in una mappa geografica e metriche di utilizzo, come lo stato della connessione in byte. in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down Per informazioni, consulta [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).
Utilizza uno dei seguenti ruoli per accedere a questa risorsa:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole
# VPC in uscita
L'Egress VPC viene utilizzato principalmente per il traffico in uscita verso Internet ed è composto da sottoreti in un massimo public/private di tre zone di disponibilità (). AZs I gateway NAT (Network Address Translation) vengono forniti nelle sottoreti pubbliche e gli allegati VPC del gateway di transito (TGW) vengono creati nelle sottoreti private. Il traffico Internet in uscita, o in uscita, proveniente da tutte le reti entra attraverso la sottorete privata tramite TGW, dove viene quindi indirizzato a un NAT tramite le tabelle di routing VPC.
Per i tuoi VPCs che contengono applicazioni rivolte al pubblico in una sottorete pubblica, il traffico proveniente da Internet è contenuto all'interno di quel VPC. Il traffico di ritorno non viene instradato al VPC TGW o Egress, ma reindirizzato attraverso il gateway Internet (IGW) nel VPC.
**Nota**
Intervallo CIDR VPC di rete: quando si crea un VPC, è necessario specificare un intervallo di indirizzi IPv4 per il VPC sotto forma di blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.16.0/24. Si tratta del blocco CIDR principale per il VPC.
Il team di AMS multi-account landing zone consiglia l'intervallo di 24 (con più indirizzi IP) per fornire un certo margine nel caso in cui altre risorse/apparecchiature vengano utilizzate in futuro.
# Firewall Palo Alto in uscita gestito
AMS fornisce una soluzione firewall Managed Palo Alto egress, che consente il filtraggio del traffico in uscita verso Internet per tutte le reti nell'ambiente Multi-Account Landing Zone (esclusi i servizi rivolti al pubblico). Questa soluzione combina la tecnologia firewall leader del settore (Palo Alto VM-300) con le funzionalità di gestione dell'infrastruttura di AMS per implementare, monitorare, gestire, scalare e ripristinare l'infrastruttura all'interno di ambienti operativi conformi. Le terze parti, inclusa Palo Alto Networks, non hanno accesso ai firewall; sono gestiti esclusivamente dai tecnici AMS.
## Controllo del traffico
La soluzione di firewall gestito in uscita gestisce un elenco di domini consentiti composto da domini richiesti da AMS per servizi come backup e patch, oltre ai domini definiti dall'utente. Quando il traffico Internet in uscita viene indirizzato al firewall, viene aperta una sessione, il traffico viene valutato e, se corrisponde a un dominio consentito, il traffico viene inoltrato alla destinazione.
## Architettura
La soluzione firewall gestita in uscita segue un modello ad alta disponibilità, in cui vengono implementati da due a tre firewall a seconda del numero di zone di disponibilità (). AZs La soluzione utilizza parte dello spazio IP del VPC in uscita predefinito, ma fornisce anche un'estensione VPC (/24) per le risorse aggiuntive necessarie per la gestione dei firewall.
![\[Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malz-pa-firewall-arch.png)
## Flusso di rete
![\[AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malz-pa-firewall-net-flow.png)
![\[Traffic key showing different types of AWS network traffic with color-coded lines.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malz-pa-firewall-net-flow-legend.png)
Ad un livello elevato, il routing del traffico pubblico in uscita rimane lo stesso, ad eccezione del modo in cui il traffico viene instradato verso Internet dal VPC in uscita:
1. Il traffico in uscita destinato a Internet viene inviato al Transit Gateway (TGW) tramite la tabella di routing VPC
1. TGW indirizza il traffico verso il VPC in uscita tramite la tabella delle rotte TGW
1. Il VPC indirizza il traffico verso Internet tramite le tabelle di routing della sottorete privata
1. Nell'ambiente Multi-Account Landing Zone predefinito, il traffico Internet viene inviato direttamente a un gateway NAT (Network Address Translation). La soluzione firewall gestita riconfigura le tabelle di routing delle sottoreti private in modo che indirizzino invece la route predefinita (0.0.0.0/0) a un'interfaccia firewall.
I firewall stessi contengono tre interfacce:
1. Interfaccia affidabile: interfaccia privata per la ricezione del traffico da elaborare.
1. Interfaccia non affidabile: interfaccia pubblica per inviare traffico a Internet. Poiché i firewall eseguono il NAT, i server esterni accettano le richieste provenienti da questi indirizzi IP pubblici.
1. Interfaccia di gestione: interfaccia privata per l'API del firewall, gli aggiornamenti, la console e così via.
Durante tutto il routing, il traffico viene mantenuto all'interno della stessa zona di disponibilità (AZ) per ridurre il traffico inter-AZ. Il traffico attraversa solo AZs quando si verifica un failover.
## Modifica dell'elenco delle autorizzazioni
Dopo l'onboarding, `ams-allowlist` viene creata una lista di autorizzazioni predefinita denominata, contenente gli endpoint pubblici richiesti da AMS e gli endpoint pubblici per l'applicazione di patch agli host Windows e Linux. Una volta operativi, è possibile creare RFC nella console AMS nella categoria Management \$1 Managed Firewall \$1 Outbound (Palo Alto) per creare o eliminare elenchi di autorizzazioni o modificare i domini. Tieni presente che non può essere modificato. `ams-allowlist` Le RFC vengono gestite in modo completamente automatico (non sono manuali).
## Politica di sicurezza personalizzata
Le politiche di sicurezza determinano se bloccare o consentire una sessione in base agli attributi del traffico, come l'area di sicurezza di origine e destinazione, l'indirizzo IP di origine e destinazione e il servizio. Le politiche di sicurezza personalizzate sono supportate in modo completamente automatizzato RFCs. CTs per creare o eliminare una politica di sicurezza è disponibile nella categoria Management \$1 Managed Firewall \$1 Outbound (Palo Alto), mentre il CT per modificare una politica di sicurezza esistente è disponibile nella categoria Deployment \$1 Managed Firewall \$1 Outbound (Palo Alto). Potrai creare nuove politiche di sicurezza, modificare le politiche di sicurezza o eliminare le politiche di sicurezza.
**Nota**
La politica di sicurezza predefinita `ams-allowlist` non può essere modificata
## CloudWatch Pannelli di controllo PA in uscita
Sono disponibili due dashboard CloudWatch per fornire una visualizzazione aggregata di Palo Alto (PA). La **dashboard AMS-MF-PA-Egress-Config-Config fornisce una panoramica della configurazione PA, collegamenti agli elenchi di autorizzazione** e un elenco di tutte le politiche di sicurezza, inclusi i relativi attributi. La **dashboard** AMS-MF-PA-Egress-Dashboard può essere personalizzata per filtrare i registri di traffico. Ad esempio, per creare una dashboard per una politica di sicurezza, puoi creare un RFC con un filtro come:
```
fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like //
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country
```
## Modello di failover
La soluzione firewall include due-tre host Palo Alto (PA) (uno per AZ). Healthy check canaries funziona secondo un programma costante per valutare lo stato di salute degli host. Se un host viene identificato come non integro, AMS riceve una notifica e il traffico per quella AZ viene automaticamente spostato su un host integro in un'altra AZ modificando la tabella delle rotte. Poiché il flusso di lavoro relativo al controllo dello stato è in esecuzione costante, se l'host torna a funzionare correttamente a causa di problemi temporanei o di una correzione manuale, il traffico torna alla zona di disponibilità corretta con l'host integro.
## Dimensionamento
AMS monitora il firewall per verificare la velocità di trasmissione e i limiti di scalabilità. Quando i limiti di velocità effettiva superano le soglie minime (CPU/rete), AMS riceve un avviso. Una soglia di produzione di acqua bassa indica che le risorse si stanno avvicinando alla saturazione, tanto che AMS valuterà le metriche nel tempo e suggerirà soluzioni di scalabilità.
## Backup e ripristino
I backup vengono creati durante l'avvio iniziale, dopo eventuali modifiche alla configurazione e a intervalli regolari. I backup iniziali all'avvio vengono creati per ogni host, ma le modifiche alla configurazione e i backup a intervalli regolari vengono eseguiti su tutti gli host del firewall quando viene richiamato il flusso di lavoro di backup. I tecnici AMS possono creare backup aggiuntivi al di fuori di tali finestre o fornire dettagli di backup, se richiesto.
Se necessario, gli ingegneri AMS possono eseguire il ripristino dei backup di configurazione. Se è necessario un ripristino, questo verrà eseguito su tutti gli host per mantenere sincronizzata la configurazione tra gli host.
Il ripristino può avvenire anche quando un host richiede il riciclo completo di un'istanza. Il ripristino automatico del backup più recente si verifica quando viene eseguito il provisioning di una nuova EC2 istanza. In generale, gli host non vengono riciclati regolarmente e sono riservati ai guasti gravi o agli scambi AMI richiesti. I ricicli degli host vengono avviati manualmente e l'utente riceve una notifica prima che si verifichi un riciclo.
Oltre ai backup della configurazione del firewall, il backup delle regole specifiche dell'elenco di autorizzazioni viene eseguito separatamente. Un backup viene creato automaticamente quando le regole dell'elenco di autorizzazioni definite vengono modificate. Il ripristino del backup dell'elenco delle autorizzazioni può essere eseguito da un tecnico AMS, se necessario.
## Aggiornamenti
La soluzione AMS Managed Firewall richiede vari aggiornamenti nel tempo per aggiungere miglioramenti al sistema, funzionalità aggiuntive o aggiornamenti al sistema operativo (OS) o al software del firewall.
La maggior parte delle modifiche non influirà sull'ambiente in esecuzione, ad esempio l'aggiornamento dell'infrastruttura di automazione, ma altre modifiche, come la rotazione delle istanze del firewall o l'aggiornamento del sistema operativo, potrebbero causare interruzioni. Quando viene valutata una potenziale interruzione del servizio dovuta agli aggiornamenti, AMS si coordinerà con il cliente per adattare le finestre di manutenzione.
## Accesso da parte dell'operatore
Gli operatori AMS utilizzano ActiveDirectory le proprie credenziali per accedere al dispositivo Palo Alto ed eseguire operazioni (ad esempio, applicare patch, rispondere a un evento, ecc.). La soluzione conserva i registri standard di autenticazione e modifica della configurazione degli operatori AMS per tenere traccia delle azioni eseguite sugli host di Palo Alto.
## Registri predefiniti
Per impostazione predefinita, i log generati dal firewall risiedono nella memoria locale di ogni firewall. Nel tempo, i log locali verranno eliminati in base all'utilizzo dello storage. La soluzione AMS fornisce l'invio in tempo reale dei log dalle macchine ai CloudWatch registri; per ulteriori informazioni, vedere. [CloudWatch Integrazione dei log](#networking-pa-firewall-cw-logs)
Gli ingegneri AMS hanno ancora la possibilità di interrogare ed esportare i log direttamente dalle macchine, se necessario. Inoltre, i registri possono essere spediti a un Panorama di proprietà del cliente; per ulteriori informazioni, vedere. [Integrazione Panorama](#networking-pa-firewall-panorama)
I registri raccolti dalla soluzione sono i seguenti:
**Codici di stato RFC**
| Tipo di log | Descrizione |
| --- | --- |
| Traffico | Visualizza una voce per l'inizio e la fine di ogni sessione. Ogni voce include la data e l'ora, le zone di origine e destinazione, gli indirizzi e le porte, il nome dell'applicazione, il nome della regola di sicurezza applicata al flusso, l'azione della regola (consentire, negare o eliminare), l'interfaccia di ingresso e uscita, il numero di byte e il motivo della fine della sessione. La colonna Tipo indica se la voce riguarda l'inizio o la fine della sessione o se la sessione è stata negata o abbandonata. Un «drop» indica che la regola di sicurezza che ha bloccato il traffico specificava «qualsiasi» applicazione, mentre un «nega» indica che la regola ha identificato un'applicazione specifica. Se il traffico viene interrotto prima che l'applicazione venga identificata, ad esempio quando una regola interrompe tutto il traffico per un servizio specifico, l'applicazione viene mostrata come «non applicabile». |
| Minaccia | Visualizza una voce per ogni allarme di sicurezza generato dal firewall. Ogni voce include la data e l'ora, il nome o l'URL di una minaccia, le zone di origine e destinazione, gli indirizzi e le porte, il nome dell'applicazione, l'azione di allarme (consentire o bloccare) e la gravità. La colonna Tipo indica il tipo di minaccia, ad esempio «virus» o «spyware»; la colonna Nome è la descrizione o l'URL della minaccia; e la colonna Categoria è la categoria di minaccia (ad esempio «keylogger») o la categoria URL. |
| Filtraggio degli URL | Visualizza i registri dei filtri URL, che controllano l'accesso ai siti Web e se gli utenti possono inviare credenziali ai siti Web. |
| Configurazione | Visualizza una voce per ogni modifica alla configurazione. Ogni voce include la data e l'ora, il nome utente dell'amministratore, l'indirizzo IP da cui è stata apportata la modifica, il tipo di client (interfaccia web o CLI), il tipo di comando eseguito, se il comando è riuscito o meno, il percorso di configurazione e i valori prima e dopo la modifica. |
| System (Sistema) | Visualizza una voce per ogni evento di sistema. Ogni voce include la data e l'ora, la gravità dell'evento e una descrizione dell'evento. |
| Allarmi | Il registro degli allarmi registra informazioni dettagliate sugli allarmi generati dal sistema. Le informazioni contenute in questo registro sono riportate anche in Allarmi. Fare riferimento a «Definizione delle impostazioni degli allarmi». |
| Autenticazione | Visualizza informazioni sugli eventi di autenticazione che si verificano quando gli utenti finali tentano di accedere a risorse di rete il cui accesso è controllato dalle regole dei criteri di autenticazione. Gli utenti possono utilizzare queste informazioni per aiutare a risolvere i problemi di accesso e per adattare la politica di autenticazione degli utenti in base alle esigenze. Oltre agli oggetti di correlazione, gli utenti possono anche utilizzare i registri di autenticazione per identificare attività sospette sulla rete degli utenti, come gli attacchi di forza bruta. Facoltativamente, gli utenti possono configurare le regole di autenticazione per registrare i timeout di autenticazione. Questi timeout si riferiscono al periodo di tempo in cui un utente deve autenticarsi per una risorsa una sola volta ma può accedervi ripetutamente. La visualizzazione delle informazioni sui timeout aiuta gli utenti a decidere se e come modificarli. |
| Unificato | Visualizza le ultime voci di registro relative al traffico, alle minacce, al filtro degli URL, agli WildFire invii e al filtro dei dati in un'unica visualizzazione. La visualizzazione collettiva dei log consente agli utenti di esaminare e filtrare questi diversi tipi di log insieme (invece di cercare ogni set di log separatamente). In alternativa, gli utenti possono scegliere quali tipi di log visualizzare: fai clic sulla freccia a sinistra del campo del filtro e seleziona traffico, minaccia, url, data, and/or wildfire per visualizzare solo i tipi di log selezionati. |
## Gestione degli eventi
AMS monitora continuamente la capacità, lo stato di integrità e la disponibilità del firewall. Le metriche generate dal firewall, così come le metriche AWS/AMS generate, vengono utilizzate per creare allarmi che vengono ricevuti dai tecnici operativi di AMS, che esamineranno e risolveranno il problema. Gli allarmi attuali coprono i seguenti casi:
Allarmi relativi agli eventi:
+ Utilizzo della CPU Firewall Dataplane
+ Utilizzo della CPU - Dataplane CPU (elaborazione del traffico)
+ L'utilizzo dei pacchetti Firewall Dataplane è superiore all'80%
+ Utilizzo dei pacchetti - Dataplane (elaborazione del traffico)
+ Utilizzo della sessione Firewall Dataplane
+ Sessione Firewall Dataplane attiva
+ Utilizzo aggregato della CPU del firewall
+ Utilizzo della CPU in tutti i settori CPUs
+ Failover tramite AZ
+ Avvisa quando si verifica un failover in una zona AZ
+ Host Syslog non funzionante
+ L'host Syslog non supera il controllo di integrità
Gestione degli allarmi:
+ Allarme di guasto del Health Check Monitor
+ Quando il flusso di lavoro del controllo dello stato di salute fallisce in modo imprevisto
+ Ciò riguarda il flusso di lavoro stesso, non se il controllo dello stato del firewall fallisce
+ Allarme di errore di rotazione della password
+ Quando la rotazione della password fallisce
+ La password utente dell'API/servizio viene ruotata ogni 90 giorni
## Parametri
Tutte le metriche vengono acquisite e archiviate CloudWatch nell'account di rete. Queste possono essere visualizzate accedendo dalla console all'account di rete e accedendo alla CloudWatch console. **Le singole metriche possono essere visualizzate nella scheda Metriche o in un pannello di controllo a riquadro singolo di determinate metriche, mentre le metriche aggregate possono essere visualizzate accedendo alla scheda Dashboard e selezionando AMS-MF-PA-Egress-Dashboard.**
Metriche personalizzate:
+ Controllo dello stato
+ Spazio dei nomi: AMS/MF/PA/Egress
+ PARouteTableConnectionsByAZ
+ PAUnhealthyByInstance
+ PAUnhealthyAggregatedByAZ
+ PAHealthCheckLockState
+ Firewall generato
+ Spazio dei nomi:/AMS/MF/PA/Egress
+ DataPlaneCPUUtilizationPct
+ DataPlanePacketBuffferUtilization
+ padella GPGateway UtilizationPct
+ panSessionActive
+ panSessionUtilization
## CloudWatch Integrazione dei log
CloudWatch L'integrazione dei log inoltra i log dai firewall ai registri, riducendo così il rischio di perdita dei CloudWatch log a causa dell'utilizzo dello storage locale. I log vengono compilati in tempo reale man mano che i firewall li generano e possono essere visualizzati su richiesta tramite la console o l'API.
È possibile creare query complesse per l'analisi dei log o esportarle in formato CSV utilizzando Insights. CloudWatch Inoltre, la CloudWatch dashboard personalizzata di AMS Managed Firewall mostrerà anche una rapida visualizzazione di specifiche query relative al registro del traffico e una visualizzazione grafica del traffico e degli accessi alle politiche nel tempo. L'utilizzo dei CloudWatch log consente inoltre l'integrazione nativa con altri servizi AWS come AWS Kinesis.
**Nota**
I log PA non possono essere inoltrati direttamente a un raccoglitore Syslog esistente locale o di terze parti. La soluzione AMS Managed Firewall fornisce la spedizione in tempo reale dei log dalle macchine PA ad AWS CloudWatch Logs. Puoi utilizzare la funzionalità CloudWatch Logs Insight per eseguire query ad hoc. Inoltre, i registri possono essere spediti alla soluzione di gestione Panorama di Palo Alto. CloudWatch i registri possono anche essere inoltrati ad altre destinazioni utilizzando i filtri di abbonamento. CloudWatch Scopri di più su Panorama nella sezione seguente. Per saperne di più su Splunk, consulta [Integrazione con](https://docs.aws.amazon.com/managedservices/latest/userguide/enable-Splunk-log-push.html) Splunk.
## Integrazione Panorama
AMS Managed Firewall può, opzionalmente, essere integrato con il tuo Panorama esistente. Ciò consente di visualizzare le configurazioni del firewall da Panorama o inoltrare i log dal firewall a Panorama. L'integrazione di Panorama con AMS Managed Firewall è di sola lettura e non sono consentite modifiche alla configurazione dei firewall da Panorama. Panorama è completamente gestito e configurato da te, AMS sarà responsabile solo della configurazione dei firewall per comunicare con esso.
## Licenze
Il prezzo di AMS Managed Firewall dipende dal tipo di licenza utilizzata, oraria o BYOL (Bring Your Own License) e dalla dimensione dell'istanza in cui viene eseguita l'appliance. Devi ordinare le dimensioni delle istanze e le licenze del firewall Palo Alto che preferisci tramite AWS Marketplace.
+ Licenze Marketplace: accetta i termini e le condizioni del VM-Series Next-Generation Firewall Bundle 1 dall'account di rete in MALZ.
+ Licenze BYOL: accetta i termini e le condizioni del VM-Series Next-Generation Firewall (BYOL) dall'account di rete in MALZ e condividi il «codice di autenticazione BYOL» ottenuto dopo aver acquistato la licenza con AMS.
## Limitazioni
Al momento, AMS supporta i firewall della serie VM-300 o della serie VM-500. Le configurazioni sono disponibili qui: modelli della [serie VM su istanze AWS](https://docs.paloaltonetworks.com/vm-series/10-0/vm-series-performance-capacity/vm-series-performance-capacity/vm-series-on-aws-models-and-instances.html), EC2
**Nota**
La soluzione AMS funziona in modalità Active-Active poiché ogni istanza PA nella relativa zona di disponibilità gestisce il traffico in uscita per la rispettiva AZ. Pertanto, con due istanze PA AZs, ciascuna istanza PA gestisce il traffico in uscita fino a 5 Gbps e fornisce in modo efficace un throughput complessivo di 10 Gbps su due. AZs Lo stesso vale per tutti i limiti in ogni AZ. Se il controllo dello stato dell'AMS dovesse fallire, spostiamo il traffico dalla zona di zona con PA difettosa a un'altra zona e, durante la sostituzione dell'istanza, la capacità viene ridotta ai AZs limiti rimanenti.
AMS attualmente non supporta altri bundle Palo Alto disponibili su AWS Marketplace; ad esempio, non è possibile richiedere il «VM-Series Next-Generation Firewall Bundle 2". Tieni presente che la soluzione AMS Managed Firewall che utilizza Palo Alto attualmente fornisce solo un'offerta di filtraggio del traffico in uscita, quindi l'utilizzo di pacchetti avanzati della serie VM non fornirebbe funzionalità o vantaggi aggiuntivi.
## Requisiti per l'onboarding
+ Devi leggere e accettare i termini e le condizioni del firewall di nuova generazione della serie VM di Palo Alto in AWS Marketplace.
+ È necessario confermare la dimensione dell'istanza che si desidera utilizzare in base al carico di lavoro previsto.
+ È necessario fornire un blocco CIDR /24 che non sia in conflitto con le reti nell'ambiente Multi-Account Landing Zone o On-Prem. Deve essere della stessa classe dell'Egress VPC (la Soluzione fornisce un'estensione VPC /24 al VPC Egress).
## Prezzi
I costi dell'infrastruttura di base di AMS Managed Firewall sono suddivisi in tre fattori principali: l' EC2 istanza che ospita il firewall Palo Alto, la licenza software, le licenze Palo Alto VM-Series e le integrazioni. CloudWatch
I prezzi seguenti si basano sul firewall della serie VM-300.
+ EC2 Istanze: il firewall Palo Alto funziona in un modello ad alta disponibilità di 2-3 EC2 istanze, in cui l'istanza si basa sui carichi di lavoro previsti. Il costo dell'istanza dipende dalla regione e dal numero di AZs
+ Ad esempio us-east-1, m5.xlarge, 3 AZs
+ 0,192 USD\$1 24 \$1 30\$1 3 = 414,72 USD
+ https://aws.amazon.com/ec2/prezzi/su richiesta/
+ Licenze Palo Alto: il costo della licenza software di un firewall Palo Alto VM-300 di nuova generazione dipende dal numero di AZ e dal tipo di istanza.
+ Ad esempio us-east-1, m5.xlarge, 3 AZs
+ 0,87 USD\$1 24 \$1 30\$1 3 = 1879,20 USD
+ https://aws.amazon.com/marketplace/PP/B083M7JPKB? ref\$1=srh\$1res\$1product\$1title \$1pdp -prezzi
+ CloudWatch Integrazione dei log: l'integrazione dei log utilizza server (- t3.medium), CloudWatch NLB e Logs. SysLog EC2 CloudWatch Il costo dei server si basa sulla regione e sul numero di AZs, mentre il costo dei log varia in base all'utilizzo del traffico. NLB/CloudWatch
+ Ad esempio us-east-1, t3.medium, 3AZ
+ 0,0416 US\$1 \$1 24 \$1 30 \$1 3 = 89,86 USD
+ https://aws.amazon.com/ec2/prezzi/su richiesta/
+ https://aws.amazon.com/cloudwatch/prezzi/
# VPC perimetrale (DMZ)
Il VPC Perimeter, o DMZ, contiene le risorse necessarie ai tecnici operativi AMS per accedere alle reti AMS. Contiene sottoreti pubbliche su 2-3 file AZs, con host SSH Bastions in un gruppo di Auto Scaling (ASG) a cui gli ingegneri di AMS Operations possono accedere o effettuare il tunneling. **I gruppi di sicurezza collegati ai bastioni DMZ contengono regole in entrata sulla porta 22 di Amazon Corp Networks.**
*Intervallo CIDR VPC DMZ:* quando si crea un VPC, è necessario specificare un intervallo di indirizzi IPv4 per il VPC sotto forma di blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.16.0/24. Si tratta del blocco CIDR principale per il VPC.
**Nota**
Il team AMS consiglia l'intervallo di 24 (con più indirizzi IP) per fornire un buffer nel caso in cui altre risorse, come un firewall, vengano implementate in futuro.
# AWS Transit Gateway
AWS Transit Gateway (TGW) è un servizio che consente di connettere Amazon Virtual Private Clouds (VPCs) e le reti locali a un unico gateway. Transit gateway è la spina dorsale di rete che gestisce il routing tra reti di account AMS e reti esterne. Per informazioni su Transit Gateway, consulta [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Fornisci il seguente input per creare questa risorsa:
+ *Numero ASN del Transit Gateway* \$1: Fornisci l'Autonomous System Number (ASN) privato per il tuo gateway di transito. Dovrebbe essere l'ASN del lato AWS di una sessione Border Gateway Protocol (BGP). L'intervallo è compreso tra 64512 e 65534 per 16 bit. ASNs
# Account Shared Services
L'account Shared Services funge da hub centrale per la maggior parte dei servizi del piano dati AMS. L'account contiene l'infrastruttura e le risorse necessarie per la gestione degli accessi (AD), la gestione della sicurezza degli endpoint (Trend Micro) e contiene i bastioni dei clienti (SSH/RDP). Una panoramica di alto livello delle risorse contenute in Shared Services Account è mostrata nel grafico seguente.
![\[Diagram of Shared Services Account architecture with VPC, subnets, and various Servizi AWS.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malzSharedServicesAccount2.png)
Il VPC di Shared Services è composto dalla sottorete AD, dalla sottorete EPS e dalla sottorete Customer Bastions nelle tre zone di disponibilità (). AZs Le risorse create nel VPC di Shared Services sono elencate di seguito e richiedono l'input dell'utente.
+ *Intervallo CIDR VPC di Shared Services:* quando si crea un VPC, è necessario specificare un intervallo di indirizzi IPv4 per il VPC sotto forma di blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.1.0/24. Si tratta del blocco CIDR principale per il VPC.
**Nota**
Il team AMS consiglia l'intervallo di /23.
+ *Dettagli su Active Directory*: Microsoft Active Directory (AD) viene utilizzato per la user/resource gestione, l'autenticazione/autorizzazione e il DNS in tutti gli account di landing zone con più account AMS. AMS AD è inoltre configurato con un trust unidirezionale con Active Directory per l'autenticazione basata sulla fiducia. Per creare l'AD è necessario il seguente input:
+ Domain Fully Qualified Domain Name (FQDN): il nome di dominio completo per la directory AWS Managed Microsoft AD. Il dominio non deve essere un dominio esistente o un dominio figlio di un dominio esistente nella rete.
+ Nome NetBIOS di dominio: se non si specifica un nome NetBIOS, AMS imposta come impostazione predefinita il nome sulla prima parte del DNS della directory. Ad esempio, corp per la directory DNS corp.example.com.
+ *Trend Micro — endpoint protection security (EPS)*: Trend Micro endpoint protection (EPS) è il componente principale di AMS per la sicurezza del sistema operativo. Il sistema è composto da Deep Security Manager (DSM), EC2 istanze, istanze relay e un agente presente in tutti i piani dati e EC2 le istanze dei clienti. EC2
È necessario assumerlo `EPSMarketplaceSubscriptionRole` nell'account Shared Services e sottoscrivere l'AMI Trend Micro Deep Security (BYOL) o Trend Micro Deep Security (Marketplace).
Per creare EPS sono necessari i seguenti input predefiniti (se si desidera modificare i valori predefiniti):
+ Tipo di istanza di inoltro: Valore predefinito - m5.large
+ Tipo di istanza DSM: valore predefinito - m5.xlarge
+ Dimensione dell'istanza DB: valore predefinito: 200 GB
+ Tipo di istanza RDS: valore predefinito - db.m5.large
+ *Bastioni per i clienti*: nell'account Shared Services sono disponibili i bastioni SSH o RDP (o entrambi) per accedere ad altri host nell'ambiente AMS. Per accedere alla rete AMS come utente (SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPNverso il gateway di transito (TGW), quindi viene indirizzato al VPC di Shared Services. Una volta che sei in grado di accedere al bastione, puoi passare ad altri host nell'ambiente AMS, a condizione che la richiesta di accesso sia stata accolta.
+ I seguenti input sono necessari per i bastioni SSH.
+ Capacità desiderata dell'istanza SSH Bastion: valore predefinito - 2.
+ Numero massimo di istanze SSH Bastion: valore predefinito - 4.
+ Istanze minime SSH Bastion: valore predefinito -2.
+ Tipo di istanza SSH Bastion: Valore predefinito - m5.large (può essere modificato per risparmiare sui costi, ad esempio t3.medium).
+ SSH Bastion Ingress CIDRs: intervalli di indirizzi IP da cui gli utenti della rete accedono a SSH Bastions.
+ I seguenti input sono necessari per i bastioni RDP di Windows.
+ Tipo di istanza RDP Bastion: Valore predefinito - t3.medium.
+ Sessioni minime desiderate per RDP Bastion: valore predefinito - 2.
+ Sessioni massime RDP: valore predefinito -10.
+ Tipo di configurazione RDP Bastion: puoi scegliere una delle seguenti configurazioni
+ SecureStandard = Un utente riceve un bastione e solo un utente può connettersi al bastione.
+ SecureHA = Un utente riceve due bastioni in due diverse AZ a cui connettersi e solo un utente può connettersi al bastione.
+ SharedStandard = Un utente riceve un bastione a cui connettersi e due utenti possono connettersi contemporaneamente allo stesso bastione.
+ SharedHA = Un utente riceve due bastioni in due diverse AZ a cui connettersi e due utenti possono connettersi contemporaneamente allo stesso bastione.
+ Customer RDP Ingress CIDRs: intervalli di indirizzi IP da cui gli utenti della rete accederanno a RDP Bastions.
# Aggiornamenti ai servizi condivisi: Multi-Account Landing Zone
AMS applica i rilasci del piano dati agli account gestiti su base mensile, senza preavviso.
AMS utilizza l'unità organizzativa principale per fornire servizi condivisi come accesso, rete, EPS, archiviazione dei log e aggregazione degli avvisi nella Multi-Account Landing Zone. AMS è responsabile della risoluzione delle vulnerabilità, dell'applicazione di patch e dell'implementazione di questi servizi condivisi. AMS aggiorna regolarmente le risorse utilizzate per fornire questi servizi condivisi in modo che gli utenti abbiano accesso alle funzionalità più recenti e agli aggiornamenti di sicurezza. Gli aggiornamenti avvengono in genere su base mensile. Le risorse che fanno parte di questi aggiornamenti sono:
+ Account che fanno parte dell'unità organizzativa principale.
L'account di gestione, l'account di servizi condivisi, l'account di rete, l'account di sicurezza e l'account di archiviazione dei registri dispongono di risorse per i bastioni RDP e SSH, i proxy, gli host di gestione e la sicurezza degli endpoint (EPS), che in genere vengono aggiornati ogni mese. AMS utilizza EC2 implementazioni immutabili come parte dell'infrastruttura di servizi condivisi.
+ Nuovo AMS che AMIs incorpora gli ultimi aggiornamenti.
**Nota**
Gli operatori AMS utilizzano un tipo di modifica della soppressione degli allarmi (CT) interno quando eseguono modifiche al piano dati e la relativa RFC viene visualizzata nell'elenco RFC. Questo perché, quando viene implementata la versione del piano dati, diverse infrastrutture possono essere chiuse, riavviate, messe offline oppure possono verificarsi picchi di CPU o altri effetti dell'implementazione che attivano allarmi che, durante l'implementazione del piano dati, sono estranei. Una volta completata l'implementazione, viene verificato il corretto funzionamento di tutta l'infrastruttura e gli allarmi vengono riattivati.
# Account Log Archive
L'account Log Archive funge da hub centrale per l'archiviazione dei log nell'ambiente di landing zone multi-account AMS. Nell'account è presente un bucket S3 che contiene copie dei file di log di AWS CloudTrail e AWS Config da ciascuno degli account dell'ambiente di landing zone multi-account AMS. Puoi utilizzare questo account per la tua soluzione di registrazione centralizzata con AWS Firehose o Splunk e così via. L'accesso di AMS a questo account è limitato a pochi utenti; limitato ai revisori e ai team di sicurezza per la conformità e le indagini forensi relative all'attività dell'account.
![\[Log Archive Account diagram showing Aggregated CloudTrail Logs and Aggregated Config Logs icons.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malzLogAccount.png)
# Account di sicurezza
L'account Security è l'hub centrale per le operazioni relative alla sicurezza degli alloggi e il punto principale per l'inoltro di notifiche e avvisi ai servizi del piano di controllo AMS. Inoltre, l'account Security ospita l'account di gestione Amazon Guard Duty e l'aggregatore AWS Config.
![\[Security Account diagram showing GuardDuty Master, Simple Notification System, and Config Aggregator.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/malzSecurityAccount.png)
# Tipi di account dell'applicazione
Gli account applicativi sono account AWS all'interno dell'architettura di landing zone gestita da AMS che usi per ospitare i tuoi carichi di lavoro. AMS offre tre tipi di account applicativi:
+ [Account applicativi gestiti da AMS](application-account-ams-managed.md)
+ [conti AMS Accelerate](malz-accelerate-account.md)
+ [Account applicativi gestiti dal cliente](application-account-cust-man.md)
Gli account delle applicazioni sono raggruppati in diversi OUs in AWS Organizations a seconda del tipo di account dell'applicazione:
+ Unità organizzativa root:
1. Applicazioni OU
+ Unità organizzativa gestita: account gestiti da AMS
+ Unità organizzativa di sviluppo: account gestiti da AMS con modalità sviluppatore abilitata
1. Accelerazione dell'unità operativa: account AMS Accelerate
1. Unità organizzativa gestita dal cliente: account applicativi gestiti dal cliente
Il provisioning degli account delle applicazioni viene effettuato tramite una richiesta RFC inviata dall'account di gestione:
+ [Crea un account applicativo con VPC ct-1zdasmc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html)
+ Crea un account [Accelerate](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html) ct-2p93tyd5angmi
+ [Crea un account applicativo gestito dal cliente ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)
# Account applicativi gestiti da AMS
Gli account applicativi completamente gestiti da AMS sono denominati account applicativi gestiti da AMS, in cui alcune o tutte le attività operative, come la gestione delle richieste di servizio, la gestione degli incidenti, la gestione della sicurezza, la gestione della continuità (backup), la gestione delle patch, l'ottimizzazione dei costi o il monitoraggio e la gestione degli eventi dell'infrastruttura, vengono eseguite da AMS.
La quantità di attività eseguite da AMS dipende dalla modalità di gestione delle modifiche selezionata. Gli account gestiti da AMS supportano diverse modalità di gestione delle modifiche:
+ [modalità RFC](rfc-mode.md)
+ [Modalità Direct Change in AMS](direct-change-mode-section.md)
+ [AMS e AWS Service Catalog](ams-service-catalog-section.md)
+ [Modalità AMS Advanced Developer](developer-mode-section.md)
+ [Modalità Self-Service Provisioning in AMS](self-service-provisioning-section.md)
Per ulteriori informazioni sulla gestione delle modifiche e sulle diverse modalità, consulta. [Modifiche alle modalità di gestione](using-change-management.md)
Esistono alcuni servizi AWS che puoi utilizzare nel tuo account gestito da AMS senza la gestione di AMS. L'elenco di questi servizi AWS e come aggiungerli al tuo account AMS sono descritti nella sezione [Self-service provisioning](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html).
# conti AMS Accelerate
AMS Accelerate è il piano operativo AMS in grado di gestire l'infrastruttura AWS che supporta i carichi di lavoro. Puoi beneficiare dei servizi operativi di AMS Accelerate come il monitoraggio e gli avvisi, la gestione degli incidenti, la gestione della sicurezza e la gestione dei backup, senza dover effettuare una nuova migrazione, subire interruzioni o modificare il modo in cui utilizzi AWS. AMS Accelerate offre anche un componente aggiuntivo opzionale per carichi di lavoro EC2 basati che richiedono patch regolari.
Con AMS Accelerate hai la libertà di usare, configurare e distribuire tutti i servizi AWS in modo nativo o con i tuoi strumenti preferiti. Utilizzerai i tuoi meccanismi di accesso e modifica preferiti, mentre AMS applica costantemente pratiche collaudate che aiutano a scalare il tuo team, ottimizzare i costi, aumentare la sicurezza e l'efficienza e migliorare la resilienza.
**Nota**
Gli account AMS Accelerate in AMS Advanced non dispongono di AMS change management (RFCs) o della console AMS Advanced. Dispongono invece della console e della funzionalità AMS Accelerate.
È possibile effettuare il provisioning degli account Accelerate solo dal tuo account AMS multi-account landing zone Management. Accelerate offre diverse funzionalità operative. Per ulteriori informazioni, consulta la [descrizione del servizio Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
+ Continuerai a usufruire di alcune delle funzionalità degli account principali multi-account landing zone (MALZ) come la registrazione centralizzata, la fatturazione singola, Config Aggregator nell'account di sicurezza e. SCPs
+ AMS Accelerate non fornisce alcuni servizi AMS Advanced come EPS, gestione degli accessi, gestione delle modifiche e provisioning. Ti consigliamo di seguire i passaggi successivi per accedere e configurare il gateway di transito (TGW).
Per maggiori dettagli su Accelerate, consulta [Cos'è Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html).
## Creazione del tuo account Accelerate
Per creare un account Accelerate, segui i passaggi descritti qui [Crea un account Accelerate](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info).
## Accedere al tuo account Accelerate
Dopo aver effettuato il provisioning di un account Accelerate nel tuo account multi-account landing zone (MALZ), devi assumere un ruolo con autorizzazioni di [accesso amministrativo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) nell'account. `AccelerateDefaultAdminRole`
Per accedere al nuovo account Accelerate:
1. Accedi alla console IAM per l'account di gestione con il `CustomerDefaultAssumeRole` ruolo.
1. Nella console IAM, nella barra di navigazione, scegli il tuo nome utente.
1. Seleziona **Switch Role** (Cambia ruolo). Se è la prima volta che scegli questa opzione, verrà visualizzata una pagina con ulteriori informazioni. Dopo la lettura, scegli **Switch Role (Passaggio di ruolo)**. Se si cancellano i cookie del browser, questa pagina potrebbe apparire di nuovo.
1. Nella pagina **Cambia ruolo**, digita l'ID dell'account Accelerate e il nome del ruolo da assumere:`AccelerateDefaultAdminRole`.
Ora che hai accesso, puoi creare nuovi ruoli IAM per continuare ad accedere al tuo ambiente. Se desideri utilizzare SAML Federation per il tuo account Accelerate, consulta [Abilitare gli utenti federati SAML 2.0 ad accedere alla Console di gestione AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html).
## Connessione del tuo account Accelerate con Transit Gateway
AMS non gestisce la configurazione di rete di un account Accelerate. Hai la possibilità di gestire la tua rete utilizzando AWS APIs (vedi [Networking Solutions](https://aws.amazon.com/solutionspace/networking/)) o di connetterti alla rete MALZ gestita da AMS, utilizzando il Transit Gateway (TGW) esistente distribuito in AMS MALZ.
**Nota**
Puoi avere un VPC collegato al TGW solo se l'account Accelerate si trova nella stessa regione AWS. Per ulteriori informazioni, consulta [Transit gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html).
Per aggiungere il tuo account Accelerate a Transit Gateway, richiedi una nuova rotta utilizzando il tipo di [modifica Deployment \$1 Managed landing zone \$1 Networking account \$1 Aggiungi route statica](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59), includi queste informazioni:
+ **Blackhole**: ha valore True per indicare che la destinazione del percorso non è disponibile. Esegui questa operazione quando il traffico per la route statica deve essere interrotto dal Transit Gateway. Se ha valore False, indirizzerà il traffico verso l'ID dell'allegato TGW specificato. Il valore predefinito è false.
+ **DestinationCidrBlock**: L'intervallo IPV4 CIDR utilizzato per le corrispondenze di destinazione. Le decisioni di instradamento si basano sulla corrispondenza più specifica. Esempio: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: L'ID dell'allegato TGW che fungerà da destinazione della tabella delle rotte. Se **Blackhole** è false, questo parametro è obbligatorio, altrimenti lascia questo parametro vuoto. Esempio: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: L'ID della tabella delle rotte TGW. Esempio: tgw-rtb-06ddc751c0c0c881c.
Crea percorsi nelle tabelle delle rotte TGW per connetterti a questo VPC:
1. Per impostazione predefinita, questo VPC non sarà in grado di comunicare con nessun altro VPC VPCs nella rete MALZ.
1. Decidi con il tuo architetto di soluzioni con cosa VPCs vuoi che comunichi questo Accelerate VPC.
1. Invia una [distribuzione \$1 Managed landing zone \$1 Account di rete \$1 Aggiungi il tipo di modifica della route statica](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59), includi queste informazioni:
+ **Blackhole**: il valore True indica che la destinazione del percorso non è disponibile. Esegui questa operazione quando il traffico per la route statica deve essere interrotto dal Transit Gateway. Se ha valore False, indirizzerà il traffico verso l'ID dell'allegato TGW specificato. Il valore predefinito è false.
+ **DestinationCidrBlock**: L'intervallo IPV4 CIDR utilizzato per le corrispondenze di destinazione. Le decisioni di instradamento si basano sulla corrispondenza più specifica. Esempio: 10.0.2.0/24.
+ **TransitGatewayAttachmentId**: L'ID dell'allegato TGW che fungerà da destinazione della tabella delle rotte. Se **Blackhole** è false, questo parametro è obbligatorio, altrimenti lascia questo parametro vuoto. Esempio: tgw-attach-04eb40d1e14ec7272.
+ **TransitGatewayRouteTableId**: L'ID della tabella delle rotte TGW. Esempio: tgw-rtb-06ddc751c0c0c881c.
**Collegamento di un nuovo account VPC Accelerate alla rete AMS Multi-Account Landing Zone (creazione di un allegato VPC TGW**):
1. Nel tuo account di rete per landing zone multi-account, apri la console [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Transit Gateways (Gateway di transito)**. Registra l'ID TGW del gateway di transito che vedi.
1. Nel tuo account Accelerate, apri la [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, scegli **Transit Gateway Attachments** > **Create Transit Gateway Attachments**. Effettua le seguenti scelte:
+ Per il **Transit Gateway ID**, scegli l'ID del gateway di transito che hai registrato nella fase 2.
+ In **Attachment type (Tipo collegamento)**, selezionare **VPC**.
+ In **VPC Attachment (Collegamento VPC)**, indicare facoltativamente un nome per il campo **Attachment name tag (Tag nome collegamento)**.
+ Scegli se abilitare **DNS Support and **IPv6 Support****.
+ Per **VPC ID (ISD VPC)**, scegliere il VPC da collegare al gateway di transito. Questo VPC deve possedere almeno una sottorete associata ad esso.
+ Per **Subnet IDs**, seleziona una sottorete per ogni zona di disponibilità da utilizzare dal gateway di transito per instradare il traffico. È necessario selezionare almeno una sottorete. È possibile selezionare solo una sottorete per ogni zona di disponibilità.
1. Selezionare **Create attachment (Crea collegamento)**. Registra l'ID dell'allegato TGW appena creato.
**Associazione dell'allegato TGW a una tabella di routing**:
1. Decidi a quale tabella di routing TGW vuoi associare il VPC. Ti consigliamo di creare una nuova tabella di routing dell'applicazione per l'account Accelerate VPCs utilizzando Deployment \$1 Managed landing zone \$1 Account di rete \$1 Crea il tipo di modifica della tabella delle rotte del gateway di transito (ct-3dscwaeyi6cup).
1. Invia un RFC [Management \$1 Managed landing zone \$1 Networking account \$1 Associa l'allegato TGW](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html) (ct-3nmhh0qr338q6) all'account di rete per associare l'allegato VPC o TGW alla tabella di percorso selezionata.
**Crea percorsi nelle tabelle delle rotte TGW per connetterti a questo VPC**:
1. Per impostazione predefinita, questo VPC non sarà in grado di comunicare con nessun altro VPC VPCs nella tua rete di landing zone multi-account.
1. Decidi con il tuo architetto di soluzioni con cosa VPCs vuoi che comunichi questo account VPC di Accelerate.
1. Invia un [Deployment \$1 Managed landing zone \$1 Account di rete \$1 Aggiungi una route statica](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC all'account di rete per creare le rotte TGW di cui hai bisogno.
**Configurazione delle tabelle di routing VPC in modo che puntino al gateway di transito multi-account AMS per le landing zone**:
1. Decidi con il tuo architetto di soluzioni quale traffico inviare al gateway di transito AMS Multi-Account Landing Zone.
1. Invia un [Deployment \$1 Managed landing zone \$1 Account di rete \$1 Aggiungi una route statica](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC all'account di rete per creare le rotte TGW di cui hai bisogno.
# Account applicativi gestiti dal cliente
Puoi creare account che AMS non gestisce nel modo standard. Questi account sono denominati account gestiti dai clienti e ti danno il pieno controllo per gestire autonomamente l'infrastruttura all'interno degli account, sfruttando al contempo i vantaggi dell'architettura centralizzata gestita da AMS.
Gli account gestiti dal cliente non hanno accesso alla console AMS o a nessuno dei servizi che forniamo (patch, backup e così via).
Gli account gestiti dai clienti possono essere forniti solo dal tuo account di gestione delle landing zone multi-account AMS.
Diverse modalità AMS funzionano con gli account delle applicazioni in modo diverso; per ulteriori informazioni sulle modalità, consulta le [modalità di AWS Managed Services](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html).
Per creare un account applicativo gestito dal cliente, consulta [Account di gestione \$1 Crea account di applicazione gestito dal cliente](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html).
Per eliminare un account di applicazione gestito dal cliente, utilizza Account di [gestione \$1 Account applicativo offboard](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html). (Il [Confirm Offboarding](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) CT non si applica agli account delle applicazioni gestite dal cliente.)
# Accesso al tuo account gestito dai clienti
Dopo aver effettuato il provisioning di un account gestito dal cliente (CMA) in una landing zone multi-account, nell'account (MALZ) viene assegnato un ruolo di amministratore`CustomerDefaultAdminRole`, da assumere, tramite la federazione SAML, per configurare l'account.
Per accedere al CMA:
1. Accedi alla console IAM per l'account di gestione con il **CustomerDefaultAssumeRole**ruolo.
1. Nella console IAM, nella barra di navigazione, scegli il tuo nome utente.
1. Seleziona **Switch Role** (Cambia ruolo). Se è la prima volta che scegli questa opzione, verrà visualizzata una pagina con ulteriori informazioni. Dopo la lettura, scegli **Switch Role (Passaggio di ruolo)**. Se si cancellano i cookie del browser, questa pagina potrebbe apparire di nuovo.
1. Nella pagina **Cambia ruolo**, digita l'ID dell'account gestito dal cliente e il nome del ruolo da assumere: **CustomerDefaultAdminRole**.
Ora che hai accesso, puoi creare nuovi ruoli IAM per continuare ad accedere al tuo ambiente. Se desideri utilizzare SAML Federation per il tuo account CMA, consulta [Abilitare gli utenti federati SAML 2.0 ad accedere alla](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) Console di gestione AWS.
# Connessione del CMA con Transit Gateway
AMS non gestisce la configurazione di rete degli account gestiti dal cliente (CMAs). Hai la possibilità di gestire la tua rete utilizzando AWS APIs (vedi [Networking Solutions](https://aws.amazon.com/solutionspace/networking/)) o di connetterti alla rete di landing zone multi-account gestita da AMS, utilizzando il Transit Gateway (TGW) esistente distribuito in AMS MALZ.
**Nota**
Puoi avere un VPC collegato al TGW solo se il CMA si trova nella stessa regione AWS. [Per ulteriori informazioni, consulta Transit gateways.](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)
Per aggiungere il tuo CMA a Transit Gateway, richiedi una nuova rotta con l'[account di rete \$1 Aggiungi route statica (ct-3r2ckznmt0a59](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html)) modifica il tipo e includi queste informazioni:
+ **Blackhole**: True indica che la destinazione del percorso non è disponibile. Esegui questa operazione quando il traffico per la route statica deve essere interrotto dal Transit Gateway. Se ha valore False, indirizzerà il traffico verso l'ID dell'allegato TGW specificato. Il valore predefinito è false.
+ **DestinationCidrBlock**: L'intervallo IPV4 CIDR utilizzato per le corrispondenze di destinazione. Le decisioni di instradamento si basano sulla corrispondenza più specifica. Esempio: `10.0.2.0/24`.
+ **TransitGatewayAttachmentId**: L'ID allegato TGW che fungerà da destinazione della tabella di routing. Se **Blackhole** è false, questo parametro è obbligatorio, altrimenti lascia vuoto questo parametro. Esempio: `tgw-attach-04eb40d1e14ec7272`.
+ **TransitGatewayRouteTableId**: L'ID della tabella delle rotte TGW. Esempio: `tgw-rtb-06ddc751c0c0c881c`.
**Connessione di un nuovo VPC gestito dal cliente alla rete AMS Multi-Account Landing Zone (creazione di un allegato VPC TGW**):
1. Nel tuo account di rete per landing zone multi-account, apri la console [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Nel pannello di navigazione, scegli **Transit** Gateways. Registra l'ID TGW del gateway di transito che vedi.
1. Nel tuo account Customer Managed, apri la [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Nel pannello di navigazione, scegli **Transit Gateway Attachments** > **Create Transit Gateway Attachments**. Effettua le seguenti scelte:
1. Per il **Transit Gateway ID**, scegli l'ID del gateway di transito che hai registrato nella fase 2.
1. In **Attachment type (Tipo collegamento)**, selezionare **VPC**.
1. In **VPC Attachment (Collegamento VPC)**, indicare facoltativamente un nome per il campo **Attachment name tag (Tag nome collegamento)**.
1. Scegli se abilitare **DNS Support and **IPv6 Support****.
1. Per **VPC ID (ISD VPC)**, scegliere il VPC da collegare al gateway di transito. Questo VPC deve possedere almeno una sottorete associata ad esso.
1. Per **Subnet IDs**, seleziona una sottorete per ogni zona di disponibilità da utilizzare dal gateway di transito per instradare il traffico. È necessario selezionare almeno una sottorete. È possibile selezionare solo una sottorete per ogni zona di disponibilità.
1. Selezionare **Create attachment (Crea collegamento)**. Registra l'ID dell'allegato TGW appena creato.
**Associazione dell'allegato TGW a una tabella di routing**:
Decidi a quale tabella di routing TGW vuoi associare il VPC. Consigliamo di creare una nuova tabella di routing dell'applicazione per Customer Managed VPCs inviando un RFC Deployment \$1 Managed landing zone \$1 Networking account \$1 Create transit gateway route table (ct-3dscwaeyi6cup). Per associare l'allegato VPC o TGW alla tabella di percorso selezionata, invia un RFC Deployment \$1 Managed landing zone \$1 Networking \$1 Associate TGW attachment (ct-3nmhh0qr338q6) sull'account Networking.
**Crea percorsi nelle tabelle delle rotte TGW per connetterti a questo VPC**:
1. Per impostazione predefinita, questo VPC non sarà in grado di comunicare con nessun altro VPCs nella tua rete Multi-Account Landing Zone.
1. Decidi con il tuo architetto di soluzioni con cosa VPCs vuoi che comunichi questo VPC gestito dal cliente. Invia un Deployment \$1 Managed landing zone \$1 Account di rete \$1 Aggiungi una route statica (ct-3r2ckznmt0a59) RFC all'account di rete per creare le rotte TGW di cui hai bisogno.
**Nota**
Questo CT (ct-3r2ckznmt0a59) non consente l'aggiunta di route statiche alla tabella di routing principale EgressRouteDomain; se il CMA deve consentire il traffico in uscita, invia una RFC Management \$1 Other \$1 Other (MOO) con ct-0xdawir96cy7k.
**Configurazione delle tabelle di routing VPC in modo che puntino al gateway di transito AMS Multi-Account Landing Zone**:
Decidi con il tuo architetto di soluzioni quale traffico inviare al gateway di transito AMS Multi-Account Landing Zone. Aggiorna le tabelle di routing VPC per inviare traffico all'allegato TGW creato in precedenza
# Ottenere assistenza operativa con i tuoi account gestiti dai clienti
AMS può aiutarti a gestire i carichi di lavoro implementati nei tuoi account Customer Managed integrando l'account in AMS Accelerate. Con AMS Accelerate puoi beneficiare di servizi operativi come monitoraggio e avvisi, gestione degli incidenti, gestione della sicurezza e gestione dei backup, senza dover effettuare una nuova migrazione, subire tempi di inattività o modificare il modo in cui utilizzi. AWS AMS Accelerate offre anche un componente aggiuntivo opzionale per carichi di lavoro EC2 basati su patch che richiedono patch regolari. Con AMS Accelerate puoi continuare a utilizzare, configurare e implementare tutti i AWS servizi in modo nativo o con i tuoi strumenti preferiti, proprio come fai con gli account AMS Advanced Customer Managed. Utilizzi i tuoi meccanismi di accesso e modifica preferiti mentre AMS applica pratiche collaudate che aiutano a scalare il tuo team, ottimizzare i costi, aumentare la sicurezza e l'efficienza e migliorare la resilienza. Per ulteriori informazioni, consulta la [descrizione del servizio Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html).
Per inserire il tuo account Customer Managed in Accelerate, contatta il tuo CSDM e segui la procedura descritta nella [Guida introduttiva ad AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html).
**Nota**
Gli account AMS Accelerate in AMS Advanced non dispongono della gestione delle modifiche AMS (richieste di modifica o RFCs) o della console AMS Advanced. Dispongono invece della console e della funzionalità AMS Accelerate.
# Account AMS Tools (migrazione dei carichi di lavoro)
Il tuo account Multi-Account Landing Zone Tools (con VPC) aiuta ad accelerare le operazioni di migrazione, aumenta la tua posizione di sicurezza, riduce costi e complessità e standardizza il modello di utilizzo.
Un account Tools offre quanto segue:
+ Un limite ben definito per l'accesso alle istanze di replica per gli integratori di sistema al di fuori dei carichi di lavoro di produzione.
+ Consente di creare una camera isolata per verificare la presenza di malware o percorsi di rete sconosciuti in un carico di lavoro prima di trasferirlo in un account con altri carichi di lavoro.
+ Essendo una configurazione definita dell'account, offre tempi più rapidi per l'onboarding e la configurazione per la migrazione dei carichi di lavoro.
+ Percorsi di rete isolati per proteggere il traffico proveniente dall'account locale -> -> Tools account CloudEndure -> AMS ingerita dall'immagine. Una volta che l'immagine è stata inserita, puoi condividerla con l'account di destinazione tramite una RFC AMS Management \$1 Advanced stack components \$1 AMI \$1 Share (ct-1eiczxw8ihc18).
Diagramma di architettura di alto livello:
![\[Account AWS structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/high-level-diagram_v1.png)
Usa Deployment \$1 Managed landing zone \$1 Management account \$1 Create tools account (con VPC) change type (ct-2j7q1hgf26x5c), per implementare rapidamente un account di strumenti e creare un'istanza di un processo di inserimento del carico di lavoro in un ambiente Multi-Account Landing Zone. Vedi [Account di gestione, Account Tools: Creazione (con VPC](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)).
**Nota**
Ti consigliamo di avere due zone di disponibilità (AZs), poiché si tratta di un hub di migrazione.
Per impostazione predefinita, AMS crea i seguenti due gruppi di sicurezza (SGs) in ogni account. Conferma che questi due SGs siano presenti. Se non sono presenti, apri una nuova richiesta di assistenza con il team AMS per richiederli.
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
Assicurati che le istanze di CloudEndure replica vengano create nella sottorete privata in cui sono presenti percorsi di ritorno all'ambiente locale. Puoi confermarlo assicurandoti che le tabelle di routing per la sottorete privata abbiano una route predefinita per tornare a TGW. Tuttavia, se si esegue un cut over CloudEndure automatico, si dovrebbe passare alla sottorete privata «isolata», dove non esiste alcuna via di ritorno alla rete locale, ma è consentito solo il traffico Internet in uscita. È fondamentale garantire che si verifichi il cutover nella sottorete isolata per evitare potenziali problemi alle risorse locali.
Prerequisiti:
1. **Livello di supporto **Plus** o Premium.**
1. L'account dell'applicazione IDs per la chiave KMS in cui AMIs vengono distribuite.
1. L'account degli strumenti, creato come descritto in precedenza.
# AWS Servizio di migrazione delle applicazioni (AWS MGN)
[AWS Application Migration Service](https://aws.amazon.com/application-migration-service/) (AWS MGN) può essere utilizzato nel tuo account MALZ Tools tramite il ruolo `AWSManagedServicesMigrationRole` IAM che viene creato automaticamente durante il provisioning dell'account Tools. [È possibile utilizzare AWS MGN per migrare applicazioni e database eseguiti su versioni supportate dei sistemi operativi Windows e Linux.](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
Per la maggior parte delle up-to-date informazioni sull' Regione AWS assistenza, consulta [l'elenco dei servizi AWS regionali](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Se il tuo preferito non Regione AWS è attualmente supportato da AWS MGN o il sistema operativo su cui vengono eseguite le tue applicazioni non è attualmente supportato da AWS MGN, prendi in considerazione l'utilizzo di [CloudEndure Migration](https://console.cloudendure.com/#/register/register) nel tuo account Tools.
**Richiedere l'inizializzazione AWS di MGN**
AWS MGN deve essere [inizializzato](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html) da AMS prima del primo utilizzo. Per richiederlo per un nuovo account Tools, invia una richiesta RFC Management \$1 Other \$1 Other dall'account Tools con questi dettagli:
```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here:
[ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values
to 'Create template' and complete the initialization process.
```
Una volta che AMS avrà completato con successo la RFC e inizializzato AWS MGN nel tuo account Tools, potrai utilizzarlo `AWSManagedServicesMigrationRole` per modificare il modello predefinito in base alle tue esigenze.
![\[AWS MGN, servizio di configurazione della migrazione delle applicazioni.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/aws_mgn_firstrun.png)
# Abilita l'accesso al nuovo account AMS Tools
Una volta creato l'account Tools, AMS ti fornisce un ID account. Il passaggio successivo consiste nel configurare l'accesso al nuovo account. Segui questi passaggi.
1. Aggiorna i gruppi Active Directory appropriati con l'account appropriato IDs.
Ai nuovi account creati con AMS vengono assegnati i criteri relativi ai ReadOnly ruoli e un ruolo che consente agli utenti di archiviare i file. RFCs
L'account Tools dispone anche di un ruolo e di un utente IAM aggiuntivi:
+ Ruolo IAM: `AWSManagedServicesMigrationRole`
+ Utente IAM: `customer_cloud_endure_user`
1. Richiedi politiche e ruoli per consentire ai membri del team di integrazione dei servizi di configurare il livello successivo di strumenti.
Vai alla console AMS e archivia quanto segue RFCs:
1. Crea una chiave KMS. Usa [Crea chiave KMS (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) o [Crea chiave KMS (revisione richiesta](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html)).
Poiché utilizzi KMS per crittografare le risorse acquisite, l'utilizzo di una singola chiave KMS condivisa con il resto degli account dell'applicazione Multi-Account Landing Zone garantisce la sicurezza delle immagini importate, in modo che possano essere decrittografate nell'account di destinazione.
1. Condividi la chiave KMS.
Utilizza Management \$1 Advanced stack components \$1 KMS key \$1 Share (revisione richiesta) change type (ct-05yb337abq3x5) per richiedere che la nuova chiave KMS venga condivisa con gli account dell'applicazione in cui risiederà quella acquisita. AMIs
Grafico di esempio della configurazione finale dell'account:
![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/WIGS_Account_ExpandedV1.png)
# Esempio di politica IAM CloudEndure preapprovata da AMS
Per visualizzare una CloudEndure policy IAM preapprovata da AMS: decomprimi il file di [esempio WIGS Cloud Endure Landing Zone](samples/wigs-ce-lz-examples.zip) e apri il. `customer_cloud_endure_policy.json`
# Test della connettività e della end-to-end configurazione dell'account AMS Tools
1. Inizia con la configurazione CloudEndure e l'installazione dell' CloudEndure agente su un server che si replicherà su AMS.
1. Crea un progetto in. CloudEndure
1. Inserisci le AWS credenziali condivise quando hai eseguito i prerequisiti, tramite Secrets Manager.
1. Nelle impostazioni di **replica**:
1. Seleziona entrambi i gruppi di sicurezza AMS «Sentinel» (solo privati e EgressAll) per l'**opzione Scegli i gruppi di sicurezza da applicare ai server di replica**.
1. Definite le opzioni di cutover per le macchine (istanze). Per informazioni, consultate la [Fase 5. Tagliare](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)
1. **Sottorete**: sottorete privata.
1. **Gruppo di sicurezza**:
1. Seleziona entrambi i gruppi di sicurezza AMS «Sentinel» (solo privato e EgressAll).
1. Le istanze Cutover devono comunicare con l'Active Directory (MAD) gestito da AMS e con gli endpoint pubblici: AWS
1. **IP elastico: nessuno**
1. **IP pubblico**: no
1. **Ruolo IAM: profilo** a customer-mc-ec 2 istanze
1. Imposta i tag secondo la tua convenzione di etichettatura interna.
1. Installa l' CloudEndure agente sulla macchina e cerca l'istanza di replica da visualizzare nel tuo account AMS nella EC2 console.
Il processo di ingestione di AMS:
![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/Ingestion_Process_v1.png)
# Igiene dell'account AMS Tools
Ti consigliamo di ripulire l'account dopo aver condiviso l'AMI e non avrai più bisogno delle istanze replicate:
+ Dopo l'ingestione dell'istanza WIGs :
+ Istanza Cutover: come minimo, interrompi o termina questa istanza, una volta completato il lavoro, tramite la console AWS
+ Backup AMI pre-incorporazione: rimuovi una volta che l'istanza è stata inserita e l'istanza locale terminata
+ Istanze inserite da AMS: disattivate lo stack o terminate una volta che l'AMI è stata condivisa
+ AMS-Ingested: elimina una volta completata la condivisione con l'account di destinazione AMIs
+ Pulizia alla fine della migrazione: documenta le risorse distribuite tramite la modalità Sviluppatore per garantire che la pulizia avvenga regolarmente, ad esempio:
+ Gruppi di sicurezza
+ Risorse create tramite Cloud-formation
+ Rete ACK
+ Sottorete
+ VPC
+ Tabella di routing
+ Ruoli
+ Utenti e account
# Migrazione su larga scala - Migration Factory
Vedi [Presentazione della soluzione AWS CloudEndure Migration Factory](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/).