Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Introduzione all'onboarding di AWS Managed Services
Benvenuto in AWS Managed Services (AMS). AMS è un servizio aziendale che fornisce la gestione continua dell'infrastruttura AWS. Questa guida è progettata per aiutarti a iniziare a utilizzare AMS, incluso come configurare un nuovo account per AMS, configurare la rete e l'accesso ad AMS e convalidare la configurazione di onboarding.
È destinato agli amministratori IT incaricati di preparare ed eseguire le attività necessarie per l'onboarding del servizio AMS su un nuovo account AWS. L'onboarding del servizio AMS richiede privilegi speciali per configurare i trust di Active Directory e completare altre attività a livello di rete. Per ricevere assistenza nella decisione se utilizzare account di landing zone con più account o account di landing zone con account singolo, visita [Scegliere un MALZ singolo](https://docs.aws.amazon.com/managedservices/latest/userguide/malz-single-or-multi.html) o multiplo. MALZs
**Importante**
Dopo questa introduzione, questa guida è divisa in due parti: una per gli account di landing zone con più account e una per gli account di landing zone con account singolo. L'onboarding è molto diverso per le due situazioni, vai accanto alla sezione della guida che si riferisce alla tua situazione.
**Topics**
+ [Informazioni su AMS](#learning-about-sent)
+ [Termini chiave AMS](key-terms.md)
+ [Modalità AMS](ams-modes-og.md)
+ [Guida prescrittiva AMS post-account](ams-ob-prescriptive-guidance.md)
+ [Cosa facciamo, cosa non facciamo](ams-do-not-do.md)
+ [Gestione del traffico in uscita AMS](egress-traffic-mgmt.md)
+ [Ruolo utente IAM in AMS](defaults-user-role.md)
+ [Regole firewall di accesso predefinite](firewall-default-access-rules.md)
## Informazioni su AMS
Per comprendere meglio AMS, consulta queste sezioni della [Guida per l'utente AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/index.html):
+ [What Is AWS Managed Services](https://docs.aws.amazon.com/managedservices/latest/userguide/what-is-sent.html) introduce il servizio AMS e descrive le caratteristiche, le operazioni e le interfacce principali, nonché una tipica architettura di rete gestita da AMS. Questo capitolo fornisce anche informazioni sulla gestione degli accessi, incluso come accedere alle risorse gestite da AMS e utilizzare i bastioni.
+ [Key Terms](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html) fornisce definizioni e spiegazioni per la terminologia AMS.
+ [Understanding AMS Defaults](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/understanding-sent-defaults.html) fornisce i valori predefiniti utilizzati da AMS, inclusi i valori predefiniti per i componenti di base dell'ambiente, IAM e i proxy, le metriche monitorate EC2, la registrazione, la sicurezza degli endpoint (EPS), i backup e l'applicazione di patch.
+ [Change Management](https://docs.aws.amazon.com/managedservices/latest/userguide/change-mgmt.html) fornisce dettagli su come funzionano le richieste di change () e change types (RFCs) e include esempi di utilizzo di AMS. CTs RFCs
+ Diversi capitoli aggiuntivi riguardano l'accesso alla console AWS, l'AMS CLI, l'utilizzo del sistema di gestione delle modifiche AMS, AMS SKMS, la sicurezza, le richieste di servizio, gli incidenti, il monitoraggio, i log, l'EPS, i backup e la gestione delle patch.
Per saperne di più sull'architettura delle landing zone multi-account AMS, consulta Architettura di rete [Multi-Account Landing Zone](https://docs.aws.amazon.com/managedservices/latest/userguide/malz-net-arch.html)
Per saperne di più sull'architettura della landing zone a account singolo di AMS, consulta Architettura di rete [Single-Account Landing Zone](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-net-arch.html)
# Termini chiave AMS
+ *AMS Advanced*: i servizi descritti nella sezione «Descrizione del servizio» della documentazione di AMS Advanced. Vedi [Descrizione del servizio](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html).
+ *Account AMS Advanced*: AWS account che soddisfano sempre tutti i requisiti degli AMS Advanced Onboarding Requirements. Per informazioni sui vantaggi di AMS Advanced, sui case study e per contattare un addetto alle vendite, consulta [AWS Managed Services](https://aws.amazon.com/managed-services/).
+ *Account AMS Accelerate*: AWS account che soddisfano in ogni momento tutti i requisiti degli AMS Accelerate Onboarding Requirements. Vedi [Guida introduttiva ad AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html).
+ *AWS Managed Services*: AMS e/o AMS Accelerate.
+ Account *AWS Managed Services: gli account* AMS e/o gli account AMS Accelerate.
+ *Raccomandazione critica*: una raccomandazione emessa AWS tramite una richiesta di servizio che informa l'utente che è necessario intervenire per proteggersi da potenziali rischi o interruzioni delle risorse o del. Servizi AWS Se decidi di non seguire una raccomandazione critica entro la data specificata, sei l'unico responsabile di eventuali danni derivanti dalla tua decisione.
+ *Configurazione richiesta dal cliente*: qualsiasi software, servizio o altra configurazione non identificata in:
+ Accelerazione: [configurazioni supportate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html#supported-configs) o [AMS Accelerate](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html); descrizione del servizio.
+ AMS Advanced: [configurazioni supportate](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#supported-configs) o [AMS Advanced; descrizione del servizio](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html).
+ *Comunicazione di un incidente*: AMS comunica un Incidente all'utente o l'utente richiede un Incidente ad AMS tramite un Incidente creato nel Support Center for AMS Accelerate e nella console AMS per AMS. La console AMS Accelerate fornisce un riepilogo degli incidenti e delle richieste di assistenza sulla dashboard e collegamenti al Support Center per i dettagli.
+ *Ambiente gestito*: gli account AMS Advanced e/o gli account AMS Accelerate gestiti da AMS.
Per AMS Advanced, questi includono account multi-account landing zone (MALZ) e account single-account landing zone (SALZ).
+ *Data di inizio della fatturazione*: il giorno lavorativo successivo alla AWS ricezione delle informazioni richieste nell'e-mail di onboarding di AWS Managed Services. L'e-mail di onboarding di AWS Managed Services si riferisce AWS all'e-mail inviata dall'utente per raccogliere le informazioni necessarie per attivare AWS Managed Services sui propri account.
Per gli account registrati successivamente da te, la data di inizio della fatturazione è il giorno successivo all'invio da parte di AWS Managed Services di una notifica di attivazione di AWS Managed Services per l'account registrato. Una notifica di attivazione di AWS Managed Services si verifica quando:
1. Concedi l'accesso a un AWS account compatibile e lo consegni a AWS Managed Services.
1. AWS Managed Services progetta e crea l'account AWS Managed Services.
+ *Interruzione del servizio*: puoi chiudere AWS Managed Services per tutti gli account AWS Managed Services o per uno specifico account AWS Managed Services per qualsiasi motivo fornendo un preavviso di AWS almeno 30 giorni tramite una richiesta di servizio. Alla data di cessazione del servizio, puoi:
1. AWS ti cede i controlli di tutti gli account AWS Managed Services o degli account AWS Managed Services specificati, a seconda dei casi, oppure
1. Le parti rimuovono i AWS Identity and Access Management ruoli che consentono AWS l'accesso da tutti gli account AWS Managed Services o dagli account AWS Managed Services specificati, a seconda dei casi.
+ Data *di cessazione del servizio: la data* di cessazione del servizio è l'ultimo giorno del mese di calendario successivo alla fine del periodo di preavviso di cessazione richiesto di 30 giorni. Se la fine del periodo di disdetta richiesto cade dopo il ventesimo giorno del mese solare, la data di cessazione del servizio è l'ultimo giorno del mese di calendario successivo. Di seguito sono riportati alcuni esempi di scenari relativi alle date di cessazione.
+ Se l'avviso di risoluzione viene fornito il 12 aprile, il preavviso di 30 giorni termina il 12 maggio. La data di cessazione del servizio è il 31 maggio.
+ Se viene fornito un avviso di risoluzione il 29 aprile, il preavviso di 30 giorni termina il 29 maggio. La data di cessazione del servizio è il 30 giugno.
+ *Fornitura di AWS Managed Services*: ti AWS mette a disposizione e puoi accedere e utilizzare AWS Managed Services per ogni account AWS Managed Services a partire dalla data di inizio del servizio.
+ *Chiusura per determinati account AWS Managed Services*: puoi chiudere AWS Managed Services per uno specifico account AWS Managed Services per qualsiasi motivo fornendo un AWS preavviso tramite una richiesta di servizio («Richiesta di terminazione dell'account AMS»).
Termini di **gestione degli incidenti**:
+ *Evento*: un cambiamento nell'ambiente AMS.
+ *Avviso*: ogni volta che un evento di un Servizio AWS operatore supportato supera una soglia e attiva un allarme, viene creato un avviso e viene inviato un avviso all'elenco dei contatti. Inoltre, viene creato un incidente nell'elenco degli incidenti.
+ *Incidente*: un'interruzione o un peggioramento non pianificato delle prestazioni dell'ambiente AMS o di AWS Managed Services che provoca un impatto come riportato da AWS Managed Services o da te.
+ *Problema*: causa principale condivisa di uno o più incidenti.
+ *Risoluzione di un incidente o risoluzione* *di un incidente*:
+ AMS ha ripristinato tutti i servizi o le risorse AMS non disponibili relativi all'incidente riportandoli allo stato disponibile, oppure
+ AMS ha stabilito che gli stack o le risorse non disponibili non possono essere ripristinati allo stato disponibile, oppure
+ AMS ha avviato un ripristino dell'infrastruttura autorizzato dall'utente.
+ *Tempo di risposta agli incidenti*: la differenza di tempo tra il momento in cui si crea un incidente e il momento in cui AMS fornisce una risposta iniziale tramite console, e-mail, centro di assistenza o telefono.
+ *Tempo di risoluzione dell'incidente*: la differenza di tempo tra il momento in cui AMS o l'utente creano un incidente e il momento in cui l'incidente viene risolto.
+ *Priorità dell'incidente*: in che modo AMS o l'utente assegna la priorità agli incidenti, definendoli come bassa, media o alta.
+ *Bassa*: un problema non critico del servizio AMS.
+ *Medio*: un servizio AWS all'interno dell'ambiente gestito è disponibile ma non funziona come previsto (secondo la descrizione del servizio applicabile).
+ *Alto*: (1) la console AMS o uno o più AMS APIs nell'ambiente gestito non sono disponibili; oppure (2) uno o più stack o risorse AMS all'interno dell'ambiente gestito non sono disponibili e l'indisponibilità impedisce all'applicazione di svolgere la propria funzione.
AMS può riclassificare gli incidenti in base alle linee guida di cui sopra.
+ *Ripristino dell'infrastruttura*: ridistribuzione degli stack esistenti, sulla base di modelli degli stack interessati, e avvio di un ripristino dei dati basato sull'ultimo punto di ripristino noto, se non diversamente specificato dall'utente, quando la risoluzione degli incidenti non è possibile.
Termini relativi all'**infrastruttura**:
+ *Ambiente di produzione gestito*: un account cliente in cui risiedono le applicazioni di produzione del cliente.
+ *Ambiente non di produzione gestito*: un account cliente che contiene solo applicazioni non di produzione, come applicazioni per lo sviluppo e il test.
+ *Stack AMS*: un gruppo di una o più AWS risorse gestite da AMS come singola unità.
+ *Infrastruttura immutabile*: un modello di manutenzione dell'infrastruttura tipico EC2 dei gruppi Amazon Auto Scaling ASGs () in cui i componenti dell'infrastruttura aggiornati (ad AWS esempio l'AMI) vengono sostituiti per ogni implementazione, anziché essere aggiornati sul posto. Il vantaggio dell'infrastruttura immutabile è che tutti i componenti rimangono in uno stato sincrono poiché vengono sempre generati dalla stessa base. L'immutabilità è indipendente da qualsiasi strumento o flusso di lavoro per la creazione dell'AMI.
+ *Infrastruttura mutabile*: un modello di manutenzione dell'infrastruttura tipico per gli stack che non sono gruppi di Amazon EC2 Auto Scaling e contengono una singola istanza o solo poche istanze. Questo modello rappresenta più da vicino l'implementazione di sistema tradizionale, basata su hardware, in cui un sistema viene distribuito all'inizio del suo ciclo di vita e poi gli aggiornamenti vengono distribuiti su quel sistema nel tempo. Tutti gli aggiornamenti del sistema vengono applicati alle istanze singolarmente e possono comportare tempi di inattività del sistema (a seconda della configurazione dello stack) a causa del riavvio dell'applicazione o del sistema.
+ *Gruppi di sicurezza*: firewall virtuali per l'istanza per controllare il traffico in entrata e in uscita. I gruppi di sicurezza operano a livello di istanza, non di sottorete. Pertanto, a ciascuna istanza di una sottorete del VPC potrebbe essere assegnato un set diverso di gruppi di sicurezza.
+ *Accordi sul livello di servizio (SLAs)*: parte dei contratti AMS con voi che definiscono il livello di servizio previsto.
+ SLA *non disponibile* e *indisponibilità*:
+ Una richiesta API da te inviata che genera un errore.
+ Una richiesta di console inviata da te che genera una risposta HTTP 5xx (il server non è in grado di eseguire la richiesta).
+ [Tutte Servizio AWS le offerte che costituiscono stack o risorse nell'infrastruttura gestita da AMS si trovano in uno stato di «interruzione del servizio», come indicato nella Service Health Dashboard.](https://status.aws.amazon.com/)
+ L'indisponibilità derivante direttamente o indirettamente da un'esclusione di AMS non viene considerata nel determinare l'idoneità ai crediti di servizio. I servizi sono considerati disponibili a meno che non soddisfino i criteri per l'indisponibilità.
+ *Obiettivi del livello di servizio (SLOs)*: parte dei contratti AMS con l'utente che definiscono obiettivi di servizio specifici per i servizi AMS.
**Termini di applicazione delle patch**:
+ *Patch obbligatorie*: aggiornamenti di sicurezza critici per risolvere problemi che potrebbero compromettere lo stato di sicurezza dell'ambiente o dell'account. Un «aggiornamento critico di sicurezza» è un aggiornamento di sicurezza classificato come «Critico» dal fornitore di un sistema operativo supportato da AMS.
+ *Patch annunciate o rilasciate: le patch vengono generalmente annunciate e rilasciate* in base a una pianificazione. Le patch emergenti vengono annunciate quando viene scoperta la necessità della patch e, di solito, subito dopo, la patch viene rilasciata.
+ *Patch add-on: applicazione di patch* basata su tag per le istanze AMS che sfrutta la funzionalità AWS Systems Manager (SSM) in modo da poter etichettare le istanze e applicare le patch a tali istanze utilizzando una linea di base e una finestra configurate dall'utente.
+ *Metodi di patch:*
+ *Patch sul posto: applicazione* di patch che viene eseguita modificando le istanze esistenti.
+ *Patch sostitutiva dell'AMI: patch* che viene eseguita modificando il parametro di riferimento AMI di una configurazione di avvio del gruppo Auto EC2 Scaling esistente.
+ *Fornitore di patch* (fornitori di sistemi operativi, terze parti): le patch vengono fornite dal fornitore o dall'organo direttivo dell'applicazione.
+ *Tipi di patch:*
+ *Aggiornamento critico di sicurezza (CSU)*: aggiornamento di sicurezza classificato come «critico» dal fornitore di un sistema operativo supportato.
+ *Aggiornamento importante (UI)*: un aggiornamento di sicurezza classificato come «Importante» o un aggiornamento non relativo alla sicurezza classificato come «Critico» dal fornitore di un sistema operativo supportato.
+ *Altro aggiornamento (OU)*: un aggiornamento del fornitore di un sistema operativo supportato che non è una CSU o un'interfaccia utente.
+ *Patch supportate: AMS supporta le patch* a livello di sistema operativo. Gli aggiornamenti vengono rilasciati dal fornitore per correggere vulnerabilità di sicurezza o altri bug o per migliorare le prestazioni. Per un elenco delle configurazioni attualmente supportate OSs, consulta [Support Configurations.](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html#supported-configs)
**Termini di sicurezza:**
+ *Detective Controls*: una libreria di monitor creati o abilitati da AMS che forniscono una supervisione continua degli ambienti e dei carichi di lavoro gestiti dai clienti per configurazioni che non sono in linea con i controlli di sicurezza, operativi o dei clienti e intervengono informando i proprietari, modificando in modo proattivo o interrompendo le risorse.
Termini della richiesta di assistenza**:**
+ *Richiesta di assistenza*: una richiesta da parte tua relativa a un'azione che desideri che AMS intraprenda per tuo conto.
+ *Notifica di avviso*: avviso pubblicato da AMS nella pagina di elenco delle **richieste di assistenza** quando viene attivato un avviso AMS. Il contatto configurato per il tuo account viene inoltre avvisato tramite il metodo configurato (ad esempio, e-mail). Se hai dei tag di contatto sulle tue istanze/risorse e hai fornito il consenso al tuo cloud service delivery manager (CSDM) per le notifiche basate su tag, le informazioni di contatto (valore chiave) contenute nel tag vengono notificate anche per gli avvisi AMS automatici.
+ *Notifica di servizio***: un avviso di AMS che viene pubblicato nella pagina dell'elenco delle richieste di assistenza.**
**Termini vari**:
+ *Interfaccia AWS Managed Services*: per AMS: la console AWS Managed Services Advanced, l'API AMS CM e Supporto l'API. Per AMS Accelerate: la Supporto console e Supporto l'API.
+ *Soddisfazione del cliente (CSAT)*: AMS CSAT viene informata con analisi approfondite, tra cui le valutazioni della corrispondenza dei casi su ogni caso o corrispondenza, sondaggi trimestrali e così via.
+ *DevOps*: DevOps è una metodologia di sviluppo che promuove fortemente l'automazione e il monitoraggio in tutte le fasi. DevOps mira a cicli di sviluppo più brevi, a una maggiore frequenza di implementazione e a rilasci più affidabili, riunendo le funzioni di sviluppo e operazioni, tradizionalmente separate, su una base di automazione. Quando gli sviluppatori possono gestire le operazioni e le operazioni informano lo sviluppo, problemi e problemi vengono scoperti e risolti più rapidamente e gli obiettivi aziendali vengono raggiunti più rapidamente.
+ *ITIL*: Information Technology Infrastructure Library (denominata ITIL) è un framework ITSM progettato per standardizzare il ciclo di vita dei servizi IT. ITIL è organizzato in cinque fasi che coprono il ciclo di vita dei servizi IT: strategia del servizio, progettazione del servizio, transizione del servizio, funzionamento del servizio e miglioramento del servizio.
+ *Gestione dei servizi IT (ITSM)*: un insieme di pratiche che allineano i servizi IT alle esigenze dell'azienda.
+ *Managed Monitoring Services (MMS)*: AMS gestisce il proprio sistema di monitoraggio, Managed Monitoring Service (MMS), che utilizza gli eventi AWS Health e aggrega i dati di CloudWatch Amazon e i dati di Servizi AWS altri, notificando agli operatori AMS (online 24 ore su 24, 7 giorni su 7) qualsiasi allarme creato tramite un argomento di Amazon Simple Notification Service (Amazon SNS).
+ *Namespace*: quando crei policy IAM o lavori con Amazon Resource Names (ARNs), identifichi un utente Servizio AWS utilizzando uno spazio dei nomi. È possibile utilizzare gli spazi dei nomi quando si identificano azioni e risorse.
# Modalità AMS
Utilizzalo per aiutarti a selezionare la modalità AWS Managed Services (AMS) appropriata per ospitare le tue applicazioni, in base alla combinazione desiderata di flessibilità e governance prescrittiva per raggiungere i tuoi risultati di business.
Il pubblico a cui sono destinate queste informazioni è:
+ Team clienti responsabili della strategia e della governance delle rispettive landing zone. Queste informazioni aiuteranno il team a gettare le basi di una landing zone gestita da AMS, con le modalità AMS che vorrebbe offrire ai propri clienti interni ed esterni.
+ Proprietari di aziende e applicazioni incaricati di migrare la propria applicazione su AMS. Queste informazioni aiuteranno a pianificare la migrazione delle applicazioni, con la modalità AMS appropriata alla migrate/host loro applicazione. Nota, la stessa applicazione può essere ospitata in più di una modalità AMS durante diverse fasi del ciclo di vita del Software Development Life Cycle (SDLC).
+ I partner AMS hanno il compito di guidare i clienti sulle diverse opzioni di creazione e migrazione ad AMS.
Queste informazioni presuppongono che tu abbia già deciso di sfruttare AMS per accelerare il tuo percorso verso il cloud. Fai riferimento a questo paper in due momenti del tuo percorso di migrazione al cloud: in primo luogo, durante la fase di base della configurazione della piattaforma gestita da AMS. In secondo luogo, quando state passando dalla fase di base a quella di migrazione del vostro percorso di adozione del cloud, subito dopo il completamento dell'onboarding verso AMS vi state concentrando sulla governance e sulle operazioni delle applicazioni.
# Modalità e applicazioni o carichi di lavoro AMS
Considerate i requisiti operativi e di governance per le vostre applicazioni quando scegliete la modalità giusta, richiedendo un nuovo account applicativo o ospitando l'applicazione in un account applicativo esistente. La scelta della modalità AMS appropriata per ogni applicazione o carico di lavoro dipende dai seguenti fattori:
+ Il tipo di funzione del ciclo di vita SDLC che l'ambiente fornirà (ad esempio, sandbox con modifiche non moderate, UAT con alcune modifiche frequenti, produzione con modifiche minime e altamente regolamentata)
+ Le politiche di governance necessarie (applicate a livello di unità organizzativa) SCPs
+ Modello operativo (se desideri assumere la responsabilità operativa o desideri esternalizzarla ad AMS)
+ I risultati aziendali desiderati, come il tempo impiegato per operare nel cloud e il costo delle operazioni.
**Nota**
Per una descrizione dei tipi di modalità per servizio AMS, consulta [Tipi di modalità e account in AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html).
Per i casi d'uso reali delle diverse modalità, consulta Casi d'[uso nel mondo reale per le modalità AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)
La tabella seguente riporta le considerazioni chiave per i proprietari delle applicazioni per aiutarli a decidere la modalità AMS più adatta. I proprietari delle applicazioni dovrebbero includere una fase di valutazione prima della migrazione delle applicazioni per comprendere appieno quale modalità si applica alla loro applicazione specifica. Esempio: per le applicazioni basate su servizi nativi del cloud o su un'architettura serverless, l'opzione migliore potrebbe essere iniziare a creare e iterare in modalità sviluppatore e implementare l'infrastruttura come codice finale utilizzando la modalità AMS Managed — SSP. In questo caso può essere necessario un leggero rifattorizzazione per garantire che tutti i CloudFormation modelli creati per l'implementazione automatizzata soddisfino le linee guida di acquisizione stabilite da AMS. Inoltre, tutte le autorizzazioni IAM devono essere approvate da AMS Security per garantire che seguano il modello con privilegi minimi.
La modalità AMS selezionata per ospitare l'applicazione può aiutarvi a sviluppare il modello operativo cloud desiderato.
**Nota**
In una singola AMS Managed Landing Zone possono esistere più modelli operativi cloud in base alle diverse modalità AMS selezionate per ospitare le applicazioni.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/ams-modes-and-apps-og.html)
**\$1** Operations On Demand (OOD) offre un'offerta ai clienti che utilizzano la modalità CM Standard per gestire le modifiche tramite risorse dedicate. Per ulteriori dettagli, [consultate il catalogo di offerte di Operations on Demand e contattate](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) il vostro cloud service delivery manager (CSDM).
**Nota**
Il confronto dei prezzi tra la modalità SSP e la modalità Developer presuppone che vengano forniti gli stessi servizi AWS.
Confronto delle modalità AMS con gli obiettivi aziendali e IT
![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)
Come mostrato, se stai cercando un modello di governance altamente controllato e standardizzato per le tue applicazioni, le modalità Standard Change gestite da AMS, AWS Service Catalog o Direct Change sono la soluzione migliore. Se hai bisogno di un modello di governance personalizzato incentrato sull'innovazione delle applicazioni senza la necessità di una prontezza operativa, seleziona la modalità Customer Managed. Con la modalità Customer Managed, potrebbe essere necessario più tempo per rendere operative le applicazioni, in quanto spetta a te definire persone, processi e strumenti per supportare funzionalità operative come la gestione degli incidenti, la gestione della configurazione, la gestione del provisioning, la gestione della sicurezza, la gestione delle patch, ecc.
# Guida prescrittiva AMS post-account
Poiché le organizzazioni adottano operazioni e DevOps pratiche distribuite, esistono una serie di funzionalità operative di base che devono essere applicate a ogni account prima dell'implementazione dei carichi di lavoro per soddisfare i pilastri di Well Architected.
Questo collegamento consente di scaricare un file ZIP contenente un documento Word e un file ZIP con script ed esempi. La configurazione automatica dell'account è un insieme di script per automatizzare, o avviare, la configurazione di un nuovo account dell'applicazione.
Una volta venduto un nuovo account e prima dell'implementazione dei carichi di lavoro, per rendere l'account pronto dal punto di vista operativo, di sicurezza e di gestione, si configurano piani di backup predefiniti, finestre di patch e crittografia (e altro ancora). Per contribuire a migliorare l'agilità, la coerenza e la reattività della configurazione degli account applicativi, viene fornito il seguente esempio di «How To» come riferimento.
[Configurazione automatica dell'account.](samples/automate-account-setup-Bash-Script.zip)
# Cosa facciamo, cosa non facciamo
AMS offre un approccio standardizzato all'implementazione dell'infrastruttura AWS e fornisce la necessaria gestione operativa continua. Per una descrizione completa dei ruoli, delle responsabilità e dei servizi supportati, consulta Descrizione del [servizio](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html).
**Nota**
Per richiedere che AMS fornisca un servizio AWS aggiuntivo, invia una richiesta di servizio. Per ulteriori informazioni, consulta [Making Service Requests](https://docs.aws.amazon.com/managedservices/latest/userguide/mk-service-requests.html).
+ **Cosa facciamo**:
Dopo aver completato l'onboarding, l'ambiente AMS è disponibile per ricevere richieste di modifica (RFCs), incidenti e richieste di assistenza. L'interazione con il servizio AMS ruota attorno al ciclo di vita di uno stack di applicazioni. I nuovi stack vengono ordinati da un elenco preconfigurato di modelli, lanciati in specifiche sottoreti di cloud privato virtuale (VPC), modificati durante la loro vita operativa tramite request for change (RFCs) e monitorati per eventi e incidenti 24 ore su 24, 7 giorni su 7.
Gli stack di applicazioni attivi sono monitorati e mantenuti da AMS, comprese le patch, e non richiedono ulteriori azioni per tutta la durata dello stack, a meno che non sia necessaria una modifica o lo stack non venga smantellato. Gli incidenti rilevati da AMS che influiscono sullo stato e sul funzionamento dello stack generano una notifica e possono richiedere o meno l'intervento dell'utente per risolverli o verificarli. È possibile porre domande pratiche e altre richieste inviando una richiesta di assistenza.
Inoltre, AMS consente di abilitare servizi AWS compatibili che non sono gestiti da AMS. Per informazioni sui servizi compatibili con AWS-AMS, consulta Modalità di provisioning [self-service](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-up-compatible.html).
+ **Cosa NON facciamo**:
Sebbene AMS semplifica l'implementazione delle applicazioni fornendo una serie di opzioni manuali e automatizzate, sei responsabile dello sviluppo, del test, dell'aggiornamento e della gestione della tua applicazione. AMS fornisce assistenza per la risoluzione dei problemi di infrastruttura che influiscono sulle applicazioni, ma AMS non può accedere o convalidare le configurazioni delle applicazioni.
# Gestione del traffico in uscita AMS
Per impostazione predefinita, la route con un CIDR di destinazione di 0.0.0.0/0 per le sottoreti AMS private e per le applicazioni personalizzate ha come destinazione un gateway NAT (Network Address Translation). I servizi AMS TrendMicro e l'applicazione delle patch sono componenti che devono disporre dell'accesso in uscita a Internet in modo che AMS sia in grado di fornire il proprio servizio e che i sistemi operativi possano ottenere aggiornamenti. TrendMicro
AMS supporta la deviazione del traffico in uscita verso Internet tramite un dispositivo di uscita gestito dal cliente a condizione che:
+ Funziona come un proxy implicito (ad esempio trasparente).
e
+ Consente le dipendenze HTTP e HTTPS di AMS (elencate in questa sezione) per consentire l'applicazione di patch e la manutenzione continui dell'infrastruttura gestita da AMS.
Alcuni esempi sono:
+ Il gateway di transito (TGW) ha una route predefinita che punta al firewall locale gestito dal cliente tramite la connessione AWS Direct Connect nell'account Multi-Account Landing Zone Networking.
+ Il TGW ha una route predefinita che punta a un endpoint AWS nel Multi-Account Landing Zone egress VPC che sfrutta AWS PrivateLink, puntando a un proxy gestito dal cliente in un altro account AWS.
+ Il TGW ha un percorso predefinito che punta a un firewall gestito dal cliente in un altro account AWS, con una connessione site-to-site VPN come allegato alla Multi-Account Landing Zone TGW.
AMS ha identificato le dipendenze AMS HTTP e HTTPS corrispondenti e sviluppa e perfeziona queste dipendenze su base continuativa. [Vedi egressMgmt.zip.](samples/egressMgmt.zip) Oltre al file JSON, lo ZIP contiene un file README.
**Nota**
Queste informazioni non sono complete: alcuni siti esterni obbligatori non sono elencati qui.
Non utilizzare questo elenco nell'ambito di una lista negata o di una strategia di blocco.
Questo elenco è inteso come punto di partenza per un set di regole di filtraggio delle uscite, con l'aspettativa che vengano utilizzati strumenti di reporting per determinare con precisione dove il traffico effettivo diverge dall'elenco.
Per richiedere informazioni sul filtraggio del traffico in uscita, inviate un'e-mail al vostro CSDM: ams-csdm@amazon.com.
# Ruolo utente IAM in AMS
Un ruolo IAM è simile a quello di un utente IAM, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque.
Attualmente esiste un ruolo utente AMS predefinito`Customer_ReadOnly_Role`, per gli account AMS standard e un ruolo aggiuntivo, `customer_managed_ad_user_role` per gli account AMS con Managed Active Directory.
Le politiche di ruolo stabiliscono le autorizzazioni CloudWatch e le azioni di registro di Amazon S3, l'accesso alla console AMS, le restrizioni di sola lettura per la Servizi AWS maggior parte, l'accesso limitato alla console S3 dell'account e l'accesso al tipo di modifica AMS.
Inoltre, `Customer_ReadOnly_Role` dispone di autorizzazioni mutative per le istanze riservate che consentono di prenotare le istanze. Ha alcuni vantaggi in termini di risparmio, quindi, se sai che avrai bisogno di un certo numero di istanze Amazon EC2 per un lungo periodo di tempo, puoi chiamarle. APIs Per ulteriori informazioni, consulta la pagina [Istanze riservate di Amazon EC2](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**Nota**
L'obiettivo del livello di servizio (SLO) di AMS per la creazione di policy IAM personalizzate per gli utenti IAM è di quattro giorni lavorativi, a meno che non si voglia riutilizzare una policy esistente. Se desideri modificare il ruolo utente IAM esistente o aggiungerne uno nuovo, invia rispettivamente una RFC [IAM: Update Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) o [IAM: Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html).
Se non conosci i ruoli Amazon IAM, consulta Ruoli [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) per informazioni importanti.
**Multi-Account Landing Zone (MALZ)**: per visualizzare le politiche relative ai ruoli utente predefinite e non personalizzate di AMS per i ruoli utente, vedere, successivo. [MALZ: ruoli utente IAM predefiniti](#json-default-role-malz)
## MALZ: ruoli utente IAM predefiniti
Dichiarazioni sulle policy JSON per i ruoli utente predefiniti multi-account AMS multi-account landing zone.
**Nota**
I ruoli utente sono personalizzabili e possono differire in base all'account. Vengono fornite istruzioni su come trovare il proprio ruolo.
Questi sono esempi dei ruoli utente MALZ predefiniti. Per assicurarti di avere le policy impostate di cui hai bisogno, esegui il comando AWS [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)o accedi alla [console AWS Management -> IAM](https://console.aws.amazon.com/iam/) e scegli **Ruoli** nel riquadro di navigazione.
### Ruoli principali dell'account OU
Un account principale è un account di infrastruttura gestito da Malz. Gli account AMS multi-account landing zone Gli account Core includono un account di gestione e un account di rete.
**Account Core OU: ruoli e politiche comuni**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/defaults-user-role.html)
**Account Core OU: ruoli e politiche dell'account di gestione**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/defaults-user-role.html)
**Account Core OU: ruoli e politiche degli account di rete**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/defaults-user-role.html)
### Ruoli dell'account dell'applicazione
I ruoli degli account dell'applicazione vengono applicati agli account specifici dell'applicazione.
**Account dell'applicazione: ruoli e politiche**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/defaults-user-role.html)
### Esempi di policy
Vengono forniti esempi per la maggior parte delle politiche utilizzate. Per visualizzare la ReadOnlyAccess policy (lunga pagine in quanto fornisce l'accesso in sola lettura a tutti i AWS servizi), puoi utilizzare questo link, se disponi di un account AWS attivo:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Inoltre, qui è inclusa una versione ridotta.
#### AMSBillingPolitica
`AMSBillingPolicy`
Il nuovo ruolo Fatturazione può essere utilizzato dal reparto contabilità per visualizzare e modificare le informazioni di fatturazione o le impostazioni dell'account nell'account di gestione. Per accedere a informazioni come Contatti alternativi, visualizzare l'utilizzo delle risorse dell'account o tenere sotto controllo la fatturazione o persino modificare i metodi di pagamento, utilizzi questo ruolo. Questo nuovo ruolo comprende tutte le autorizzazioni elencate nella [pagina Web delle azioni IAM di AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Autorizzazioni per visualizzare tutti i tipi di modifica AMS e la cronologia dei tipi di modifica richiesti.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Autorizzazioni per richiedere il tipo di modifica Deployment \$1 Managed landing zone \$1 Management account \$1 Create application account (con VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Autorizzazioni per richiedere l'account Deployment \$1 Managed landing zone \$1 Networking \$1 Create application route table.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(per gestione \$1 Altro \$1 Altro CTs)
Autorizzazioni per richiedere i tipi di modifica Gestione \$1 Altro \$1 Altro \$1 Creazione e gestione \$1 Altro \$1 Altro \$1 Aggiornamento dei tipi di modifica.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Autorizzazioni per la visualizzazione di dati segreti passwords/hashes condivisi da AMS Gestione dei segreti AWS (ad esempio password di accesso all'infrastruttura per il controllo).
Autorizzazioni per creare dati segreti da condividere con AMS password/hashes . (ad esempio, chiavi di licenza per prodotti che devono essere distribuiti).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Autorizzazioni per richiedere e visualizzare tutti i tipi di modifica AMS e la cronologia dei tipi di modifica richiesti.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Autorizzazioni per gestire le istanze riservate di Amazon EC2; per informazioni sui prezzi, consulta le istanze riservate di Amazon [EC2](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Policy
`AMSS3Policy`
Autorizzazioni per creare ed eliminare file da bucket Amazon S3 esistenti.
**Nota**
Queste autorizzazioni non garantiscono la possibilità di creare bucket S3; ciò deve essere fatto con il tipo Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create change.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAccesso
`AWSSupportAccess`
Accesso completo a Supporto. Per informazioni, consulta [Guida introduttiva a Supporto](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Per informazioni su Premium Support, vedere [Supporto](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Politica AWS gestita dal pubblico)
Autorizzazioni per sottoscrivere, annullare l'iscrizione e visualizzare Marketplace AWS gli abbonamenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Accesso completo a. AWS Certificate Manager Per ulteriori informazioni, consulta [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)informazioni, (Public AWS Managed Policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAccesso
`AWSWAFFullAccess`
Accesso completo a AWS WAF. Per ulteriori informazioni, vedere [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)informazioni, (politica AWS gestita dal pubblico). Questa politica garantisce l'accesso completo alle AWS WAF risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Accesso in sola lettura a tutti i AWS servizi e le risorse sulla console. AWS Quando AWS lancia un nuovo servizio, AMS aggiorna la ReadOnlyAccess policy per aggiungere autorizzazioni di sola lettura per il nuovo servizio. Le autorizzazioni aggiornate vengono applicate a tutte le entità principali a cui la policy è collegata.
Ciò non garantisce la possibilità di accedere agli host EC2 o agli host di database.
Se ne hai una attiva Account AWS, puoi utilizzare questo link [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)per visualizzare l'intera ReadOnlyAccess policy. L'intera ReadOnlyAccess politica è molto lunga in quanto fornisce l'accesso in sola lettura a tutti. Servizi AWS Di seguito è riportato un estratto parziale della politica. ReadOnlyAccess
**Single-Account Landing Zone (SALZ)**: per visualizzare le politiche relative ai ruoli utente predefinite e non personalizzate di AMS relative ai ruoli utente, vedere, successivo. [SALZ: ruolo utente IAM predefinito](#json-default-role)
## SALZ: ruolo utente IAM predefinito
Dichiarazioni di policy JSON per il ruolo utente predefinito di AMS single-account landing zone.
**Nota**
Il ruolo utente predefinito di SALZ è personalizzabile e potrebbe differire in base all'account. Vengono fornite istruzioni su come trovare il proprio ruolo.
Di seguito è riportato un esempio del ruolo utente SALZ predefinito. Per assicurarti di avere le politiche impostate per te, esegui il [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)comando. In alternativa, accedi alla AWS Identity and Access Management console all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), quindi scegli **Ruoli**.
Il ruolo di sola lettura del cliente è una combinazione di più politiche. Segue una suddivisione del ruolo (JSON).
Politica di audit di Managed Services:
ReadOnly Politica IAM di Managed Services
Politica per gli utenti di Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Politica condivisa di Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Politica di iscrizione al Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# Regole firewall di accesso predefinite
Queste sono le regole firewall predefinite necessarie per accedere alle istanze.
**Nota**
Per informazioni sulle regole e le porte del firewall necessarie per stabilire un trust unidirezionale AD, consulta la AMS Security Guide accedendo alla console AWS Artifact -> scheda Report e cerca AWS Managed Services.
## Porte di istanze Linux Stack
Queste regole sono necessarie per l'autenticazione negli stack AMS Linux.
**Regole per le porte delle istanze Linux DA: Istanza Linux Stack A: CORP Domain Controller**
| Porta | Protocollo | Servizio | Direzione |
| --- | --- | --- | --- |
| 389 | TCP | LDAP | Ingresso |
| 389 | UDP | LDAP | Ingresso |
| 88 | TCP | Kerberos | Ingresso |
| 88 | UDP | Kerberos | Ingresso |
## Porte per istanze Windows Stack
Queste regole sono necessarie per l'autenticazione negli stack AMS Windows.
**DA: Windows Stack Instance A: CORP Domain Controller**
| Porta | Protocollo | Servizio | Direzione |
| --- | --- | --- | --- |
| 88 | TCP \$1 UDP | Kerberos | Ingresso e uscita |
| 135 | TCP \$1 UDP | servizio DCE/RPC Locator | Ingresso e uscita |
| 389 | TCP \$1 UDP | LDAP | Ingresso e uscita |
| 3268 | TCP \$1 UDP | msft-gc, Microsoft Global Catalog (servizio LDAP che contiene dati provenienti da foreste di Active Directory) | Ingresso e uscita |
| 445 | TCP | Microsoft-DS Active Directory, condivisioni Windows | Ingresso e uscita |
| 49152 - 65535 | TCP | Porte dinamiche o private che non possono essere registrate con IANA. Questo intervallo viene utilizzato per servizi privati o personalizzati o per scopi temporanei e per l'allocazione automatica di porte effimere. | Ingresso e uscita |