Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Modifiche alle modalità di gestione
AWS Managed Services (AMS) utilizza la modalità di gestione delle modifiche per bloccare le modifiche in AMS Advanced. Le modalità di gestione delle modifiche aiutano a mantenere elevati standard operativi per l'ambiente, a controllare i rischi e prevenire impatti negativi. AMS Advanced dispone di diverse modalità che offrono diversi livelli di controllo e rischio. Tutte le modalità, ad eccezione della modalità Customer-Managed, sono gestite da AMS. Le seguenti sono le modalità di gestione delle modifiche disponibili:
+ Modalità RFC (in precedenza modalità CM standard): fornisce un sistema di «richiesta di modifica» (RFC) e tipi di modifica personalizzati AMS () CTs
+ Modalità Direct Change: uguale alla modalità RFC più utilizzo di AWS APIs e console per creare risorse gestite da AMS
+ AWS Service Catalog su AMS: simile alla modalità Direct Change, ma invece di utilizzare il sistema di gestione delle modifiche AMS (RFCs), utilizzi AWS Service Catalog per creare risorse che poi AMS gestisce.
+ Modalità sviluppatore: come nella modalità Direct Change, solo le risorse create con AWS APIs e le console non sono gestite da AMS: sei responsabile della loro gestione
+ Modalità Self Service Provisioning (SSP): uguale alla modalità Developer, tranne per il fatto che non è possibile accedere al sistema di gestione delle modifiche AMS (no) RFCs
+ Modalità gestita dal cliente: AMS ti offre una landing zone multi-account, ma la gestione di tutte le risorse è a tuo carico
Il sistema di gestione delle modifiche AWS Managed Services (AMS), che utilizza l'API di gestione delle modifiche (CM), fornisce operazioni per creare e gestire le richieste di modifica (RFCs) per gli account multi-account landing zone (MALZ) e single-account landing zone (SALZ).
Una richiesta di modifica (RFC) è una richiesta creata dall'utente o da AMS tramite l'interfaccia AMS per apportare una modifica all'ambiente gestito e include un ID del tipo di modifica (CT) per una particolare operazione.
L'API AMS change management (CM) fornisce operazioni per creare e gestire le richieste di modifica (RFCs). Puoi creare, aggiornare, inviare, approvare, rifiutare e annullare. RFCs Gli operatori AMS possono creare, aggiornare, inviare, approvare, rifiutare, annullare e contrassegnare come chiuso. RFCs
[Per un elenco dei prefissi riservati AMS da non utilizzare nei tag o in altri nomi, consulta Prefissi riservati.](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html)
[Per informazioni su ogni tipo di modifica, inclusi schemi ed esempi, consulta l'AMS Change Type Reference.](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)
**Nota**
Tutte le chiamate API di gestione delle modifiche vengono registrate in AWS CloudTrail. Per ulteriori informazioni, consulta [Accesso ai log.](https://docs.aws.amazon.com/managedservices/latest/userguide/access-to-logs.html)
# Panoramica delle modalità
Usa queste informazioni per aiutarti a selezionare la modalità AWS Managed Services (AMS) appropriata per ospitare le tue applicazioni, in base alla combinazione desiderata di flessibilità e governance prescrittiva per raggiungere i tuoi risultati di business.
Il pubblico a cui sono destinate queste informazioni è:
+ Team clienti responsabili della strategia e della governance delle rispettive landing zone. Queste informazioni aiuteranno il team a gettare le basi di una landing zone gestita da AMS, con le modalità AMS che vorrebbe offrire ai propri clienti interni ed esterni.
+ Proprietari di aziende e applicazioni incaricati di migrare la propria applicazione su AMS. Queste informazioni aiuteranno a pianificare la migrazione delle applicazioni, con la modalità AMS appropriata alla migrate/host loro applicazione. Nota, la stessa applicazione può essere ospitata in più di una modalità AMS durante diverse fasi del ciclo di vita del Software Development Life Cycle (SDLC).
+ I partner AMS hanno il compito di guidare i clienti sulle diverse opzioni di creazione e migrazione ad AMS.
Queste informazioni sono particolarmente utili durante la fase di base della configurazione della piattaforma gestita da AMS e durante la transizione dalla fase di base a quella di migrazione del percorso di adozione del cloud, subito dopo il completamento dell'onboarding verso AMS e ti concentri sulla governance e sulle operazioni delle applicazioni.
# Tipi di modalità e account in AMS
Le modalità AWS Managed Services (AMS) possono essere definite come modalità di interazione con il servizio AMS nell'ambito del framework di governance specifico per ciascuna modalità. Sono riportate le differenze tra le zone di atterraggio, la multi-account landing zone o MALZ e la single-account landing zone o SALZ.
**Nota**
Per dettagli sull'implementazione delle applicazioni e sulla scelta della modalità AMS corretta, consulta Modi [e applicazioni o carichi di lavoro AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-apps-ug.html).
Per i casi d'uso reali delle diverse modalità, consulta [Casi d'uso nel mondo reale](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-use-cases.html) per le modalità AMS
La tabella seguente fornisce le descrizioni delle modalità per servizio AMS.
| Funzionalità AMS | **modalità RFC (precedentemente modalità CM standard) /OOD\$1** | modalità Direct Change | AWS Service Catalog | Provisioning self-service /modalità sviluppatore | Gestito dal cliente |
| --- | --- | --- | --- | --- | --- |
| Configurazione della zona di atterraggio | MALZ e SALZ | MALZ e SALZ | MALZ e SALZ |
| Gestione delle modifiche | Pianificazione delle modifiche, revisione delle modifiche manuali e registrazione delle modifiche | Uguale alla modalità RFC per modifiche ad alto rischio come IAM o gruppi di sicurezza | Nessuno |
| Registrazione, monitoraggio, guardrail e gestione degli eventi | Sì (risorse supportate) | No |
| Gestione della continuità | Sì (risorse supportate) | Non applicabile/No | No |
| Gestione della sicurezza | Controlli di sicurezza a livello di istanza e controlli a livello di account | Controlli a livello di account | Controlli a livello di AWS Org |
| Gestione delle patch | Sì | Non applicabile/No | No |
| Gestione degli incidenti e dei problemi | SLA di risposta e risoluzione per le risorse supportate da AMS | SLA di risposta per le risorse risultanti | No |
| Creazione di report | Sì | No |
| Gestione delle richieste di assistenza | Sì | Solo richieste di supporto | No |
**\$1** Operations On Demand (OOD) offre un'offerta ai clienti che utilizzano la modalità RFC per gestire le modifiche tramite risorse dedicate. Per ulteriori dettagli, consultate il [catalogo di offerte di Operations on Demand e contattate il vostro responsabile della](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) fornitura di servizi cloud (CSDM).
**Nota**
[Modalità Self-Service Provisioning in AMS](self-service-provisioning-section.md)e [Modalità AMS Advanced Developer](developer-mode-section.md) possono entrambi sembrare adatti per un'applicazione con un'architettura complessa radicata nei servizi AWS nativi. Quando si progettano carichi di lavoro, si fanno compromessi tra eccellenza operativa e agilità, in base al contesto aziendale. Questo è un buon modo di pensare alla selezione della modalità SSP o della modalità Sviluppatore per l'applicazione. La selezione può cambiare anche in base alla fase SDLC dell'applicazione. Ad esempio: quando l'applicazione è pronta per la produzione, la modalità SSP potrebbe essere l'opzione più appropriata a causa dei guardrail AMS più rigidi in questa modalità. I guardrail vengono applicati sotto forma di controlli preventivi come il controllo delle modifiche basato su RFC per gli aggiornamenti IAM e a livello di unità organizzativa dell'applicazione. SCPs Le decisioni aziendali possono stabilire le priorità di progettazione. È possibile ottimizzare per aumentare la flessibilità per i proprietari delle applicazioni nella fase di «pre-produzione», a scapito della governance e del supporto operativo.
## Architettura MALZ e modalità AMS associate
AMS multi-account landing zone (MALZ) offre la possibilità di effettuare automaticamente il provisioning degli account delle applicazioni (o account delle risorse) nelle unità organizzative (OU) predefinite: Customer Managed OU, Managed OU o Development OU. L'infrastruttura fornita negli account applicativi creati in ciascuna di queste unità organizzative è soggetta alla modalità AMS specifica offerta da tali unità organizzative di base. È comune trovare una combinazione di due o più modalità nello stesso account dell'applicazione. Ad esempio: la modalità RFC e la modalità SSP possono coesistere in un account gestito AMS che ospita un'architettura di pipeline composta da API Gateway e Lambda per le funzioni di attivazione ed EC2, S3 e SQS per l'ingestione e l'orchestrazione. In questo caso, la modalità SSP si applicherebbe a Lambda e API Gateway.
La Figura 1 illustra come vengono offerte diverse modalità tramite la funzionalità di base di AMS. OUs Quando si richiede un nuovo account di applicazione in AMS, è necessario selezionare l'unità organizzativa per l'account.
Architettura MALZ e modalità AMS associate
![\[Diagram showing Account AWS structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/MALZ-high-level-(Mar2021).png)
AMS sfrutta le best practice di OUs base basate su AWS per gestire in modo logico gli account utilizzando Service Control Policies (). SCPs Questo serve come modo per applicare il framework di governance con ogni modalità AMS. Qualsiasi barriera di governance e sicurezza (sotto forma di SCPs) applicata al sistema di base viene applicata OUs anche automaticamente. custom/child OUs SCPs È possibile richiederne di aggiuntivi per il bambino. OUs È importante comprendere che gli account delle applicazioni non sono la stessa cosa delle modalità. Le modalità vengono applicate all'infrastruttura fornita all'interno degli account e definiscono le responsabilità operative tra AMS e i clienti.
Figura 1: Architettura MALZ e modalità AMS associate
![\[Table comparing AMS modes, default governance controls, and support for customer-added controls.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/ams-modes-guardrails-dcm.png)
**Nota**
Il termine «restrittivo» implica la possibilità di richiedere politiche personalizzate in merito OUs, che vengono approvate da AMS per garantire che non interferiscano con le capacità di AMS di fornire l'eccellenza operativa. case-by-case Per un elenco dettagliato dei guardrail AMS, consulta [AMS Guardrails nella guida per l'utente.](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#detective-rules)
# Modalità e applicazioni o carichi di lavoro AMS
Considerate i requisiti operativi e di governance per le vostre applicazioni quando scegliete la modalità giusta, richiedendo un nuovo account applicativo o ospitando l'applicazione in un account applicativo esistente. La scelta della modalità AMS appropriata per ogni applicazione o carico di lavoro dipende dai seguenti fattori:
+ Il tipo di funzione del ciclo di vita SDLC che l'ambiente fornirà (ad esempio, sandbox con modifiche non moderate, UAT con alcune modifiche frequenti, produzione con modifiche minime e altamente regolamentata)
+ Le politiche di governance necessarie (applicate a livello di unità organizzativa) SCPs
+ Modello operativo (se desideri assumere la responsabilità operativa o desideri esternalizzarla ad AMS)
+ I risultati aziendali desiderati, come il tempo impiegato per operare nel cloud e il costo delle operazioni.
**Nota**
Per una descrizione dei tipi di modalità per servizio AMS, consulta [Tipi di modalità e account in AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html).
Per i casi d'uso reali delle diverse modalità, consulta Casi d'[uso nel mondo reale per le modalità AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)
La tabella seguente riporta le considerazioni chiave per i proprietari delle applicazioni per aiutarli a decidere la modalità AMS più adatta. I proprietari delle applicazioni dovrebbero includere una fase di valutazione prima della migrazione delle applicazioni per comprendere appieno quale modalità si applica alla loro applicazione specifica. Esempio: per le applicazioni basate su servizi nativi del cloud o su un'architettura serverless, l'opzione migliore potrebbe essere iniziare a creare e iterare in modalità sviluppatore e implementare l'infrastruttura come codice finale utilizzando la modalità AMS Managed — SSP. In questo caso può essere necessario un leggero rifattorizzazione per garantire che tutti i CloudFormation modelli creati per l'implementazione automatizzata soddisfino le linee guida di acquisizione stabilite da AMS. Inoltre, tutte le autorizzazioni IAM devono essere approvate da AMS Security per garantire che seguano il modello con privilegi minimi.
La modalità AMS selezionata per ospitare l'applicazione può aiutarvi a sviluppare il modello operativo cloud desiderato.
**Nota**
In una singola AMS Managed Landing Zone possono esistere più modelli operativi cloud in base alle diverse modalità AMS selezionate per ospitare le applicazioni.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/ams-modes-and-apps-ug.html)
**\$1** Operations On Demand (OOD) offre un'offerta ai clienti che utilizzano la modalità CM Standard per gestire le modifiche tramite risorse dedicate. Per ulteriori dettagli, [consultate il catalogo di offerte di Operations on Demand e contattate](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html) il vostro cloud service delivery manager (CSDM).
**Nota**
Il confronto dei prezzi tra la modalità SSP e la modalità Developer presuppone che vengano forniti gli stessi servizi AWS.
Confronto delle modalità AMS con gli obiettivi aziendali e IT
![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)
Come mostrato, se stai cercando un modello di governance altamente controllato e standardizzato per le tue applicazioni, le modalità Standard Change gestite da AMS, AWS Service Catalog o Direct Change sono la soluzione migliore. Se hai bisogno di un modello di governance personalizzato incentrato sull'innovazione delle applicazioni senza la necessità di una prontezza operativa, seleziona la modalità Customer Managed. Con la modalità Customer Managed, potrebbe essere necessario più tempo per rendere operative le applicazioni, in quanto spetta a te definire persone, processi e strumenti per supportare funzionalità operative come la gestione degli incidenti, la gestione della configurazione, la gestione del provisioning, la gestione della sicurezza, la gestione delle patch, ecc.
# Casi d'uso reali per le modalità AMS
Esaminali per determinare come utilizzare le modalità AMS.
+ **Caso d'uso 1, imperativo aziendale per ridurre i costi con un'uscita dal data center urgente**: un'azienda che organizza un evento aziendale importante, come l'uscita dal data center, è interessata a riospitare le proprie applicazioni on-premise sul cloud. La maggior parte dell'inventario locale è costituito da server Windows e Linux con una combinazione di versioni del sistema operativo. In tal modo, il cliente desidera anche sfruttare i risparmi sui costi offerti dal passaggio al cloud e migliorare il livello tecnico e di sicurezza delle proprie applicazioni. Il cliente desidera muoversi rapidamente, ma non ha ancora maturato le competenze interne in materia di operazioni cloud. Il cliente deve trovare un equilibrio tra il refactoring, un eccesso di refactoring può essere rischioso in tempi ristretti. Tuttavia, con alcune operazioni di refactoring, come l'aggiornamento delle versioni del sistema operativo e l'ottimizzazione dei database, le applicazioni possono raggiungere un livello di prestazioni superiore. In questo esempio, il cliente può selezionare la modalità RFC gestita da AMS per riospitare la maggior parte delle proprie applicazioni. AMS fornisce operazioni infrastrutturali, guidando al contempo i team operativi dei clienti sulle migliori pratiche per operare in sicurezza nel cloud.
La modalità AWS Service Catalog gestita da AMS e Direct Change gestita da AMS offre al cliente una maggiore flessibilità e al contempo il raggiungimento degli stessi risultati e obiettivi di business. Inoltre, il cliente può utilizzare l'offerta AMS Operations On Demand (OOD) per disporre di tecnici operativi AMS dedicati a dare priorità all'esecuzione delle richieste di modifica (). RFCs
Oltre a delegare ad AMS le attività operative indifferenziate dell'infrastruttura (patch, backup, gestione degli account, ecc.), il cliente può continuare a concentrarsi sull'ottimizzazione della propria applicazione e potenziare i team interni sulle operazioni cloud. AMS fornisce report mensili al cliente sui risparmi sui costi e fornisce raccomandazioni sull'ottimizzazione delle risorse. In questo caso d'uso, se ci sono end-of-life applicazioni ospitate su versioni di sistemi operativi precedenti come Windows 2003 e 2008, che il cliente ha deciso di non rifattorizzare, anche quelle possono essere migrate su AMS e ospitate in un account che sfrutta la modalità Customer Managed.
+ **Usa Case 2, creando un data lake con Lambda, Glue, Athena entro i confini sicuri di AMS**: un'azienda sta cercando di configurare un Data Lake per soddisfare le esigenze di reporting per più applicazioni in AMS. Il cliente desidera utilizzare i bucket S3 per l'archiviazione di set di dati e AWS Athena per eseguire query sul set di dati per ogni report. S3 e AWS Athena verranno distribuiti in account AMS Managed separati. L'account con S3 dispone anche di altri servizi come Glue, Lambda e Step Functions per creare una pipeline di ingestione dei dati. Glue, Lambda, Athena e Step Functions sono considerati servizi Self-Service Provisioning (SSP) in questo caso. Il cliente ha inoltre distribuito un' EC2 istanza nell'account che funge da server ad hoc. tooling/scripting Il cliente inizia richiedendo ad AMS di abilitare i servizi SSP nel proprio account AMS Managed. AMS assegna un ruolo IAM per ogni servizio che il cliente può assumere, una volta che il ruolo è stato integrato nella soluzione di federazione del cliente. Per facilitare la gestione, il cliente può anche combinare le policy per i ruoli IAM separati in un unico ruolo personalizzato, alleviando la necessità di cambiare ruolo quando si lavora tra i servizi AWS. Una volta abilitato il ruolo nell'account, il cliente può configurare i servizi in base alle proprie esigenze. Tuttavia, il cliente deve utilizzare il sistema di gestione delle modifiche AMS per richiedere autorizzazioni aggiuntive, a seconda del caso d'uso.
Ad esempio, per accedere a Glue Crawlers, Glue ha bisogno di autorizzazioni aggiuntive. Saranno inoltre necessarie autorizzazioni aggiuntive per creare sorgenti di eventi per Lambda. Il cliente collaborerà con AMS per aggiornare i ruoli IAM per consentire l'accesso da più account ad Athena per interrogare i bucket S3. Saranno inoltre necessari aggiornamenti ai ruoli di servizio o ai ruoli collegati ai servizi tramite AMS change management for Lambda per chiamare il servizio Step Functions e Glue per leggere e scrivere su tutti i bucket S3. AMS collabora con i clienti per garantire che venga seguito il modello di accesso con privilegi minimi e che le modifiche IAM richieste non siano eccessivamente permissive e non espongano l'ambiente a rischi inutili. Il team del data lake del cliente dedica del tempo alla pianificazione di tutte le autorizzazioni IAM necessarie per i servizi specifici dell'architettura del cliente e richiede ad AMS di abilitarle. Questo perché tutte le modifiche IAM vengono elaborate manualmente e sottoposte a revisione da parte del team di sicurezza AMS. Il tempo necessario per elaborare queste richieste deve essere preso in considerazione nella pianificazione di distribuzione delle applicazioni.
Poiché i servizi SSP sono operativi nell'account, il cliente può richiedere assistenza e segnalare problemi tramite la gestione degli incidenti e le richieste di assistenza AMS. Tuttavia, AMS non monitorerà attivamente le metriche delle prestazioni e della concorrenza per Lambda o le metriche dei lavori per Glue. È responsabilità del cliente garantire che la registrazione e il monitoraggio appropriati siano abilitati per i servizi SSP. L' EC2 istanza e il bucket S3 dell'account sono completamente gestiti da AMS.
+ **Usa Case 3, configurazione rapida e flessibile di una pipeline di implementazione CICD in AMS: un cliente sta cercando di configurare una pipeline** CICD basata su Jenkins per distribuire la pipeline di codice a tutti gli account di applicazione in AMS. Il cliente potrebbe ritenere più adatto ospitare questa pipeline CICD nella modalità Direct Change (DCM) gestita da AMS o nella modalità Developer gestita da AMS, perché offre la flessibilità necessaria per configurare il server Jenkins con la configurazione personalizzata richiesta EC2, con le autorizzazioni IAM desiderate per l'accesso CloudFormation e i bucket S3 che ospitano l'artifact repository. Sebbene ciò possa essere fatto anche in modalità RFC gestita da AMS, il team del cliente dovrebbe creare più manuali RFCs per i ruoli IAM per iterare sul set meno permissivo di autorizzazioni approvate, che vengono riviste manualmente da AMS. DCM consente ai clienti di raggiungere i propri obiettivi operativi su AWS evitando al contempo la necessità di creare più ruoli manuali RFCs per IAM, quando utilizzano la modalità RFC gestita da AMS, per iterare sul set meno permissivo di autorizzazioni approvate, che vengono riviste manualmente da AMS. Ciò richiederebbe tempo e formazione da parte del cliente per potenziare i processi e gli strumenti AMS. Utilizzando la modalità Developer, il cliente può iniziare con un «ruolo di sviluppatore» per il provisioning dell'infrastruttura utilizzando AWS nativo APIs. Il modo più rapido e flessibile per configurare questa pipeline sarebbe utilizzare la modalità AMS Managed-Developer. La modalità sviluppatore offre il modo più rapido e semplice, compromettendo al contempo l'integrazione operativa, mentre DCM è meno flessibile ma fornisce lo stesso livello di supporto operativo della modalità RFC.
+ **Usa Case 4, modello operativo personalizzato all'interno di AMS Foundation**: un cliente sta cercando di uscire dal data center in base alle scadenze e una delle sue applicazioni aziendali è completamente gestita da un MSP di terze parti, comprese le operazioni delle applicazioni e le operazioni dell'infrastruttura. Supponendo che il cliente non abbia il tempo di programmare per rifattorizzare l'applicazione in modo che possa essere gestita da AMS, la modalità Customer Managed è un'opzione adatta. Il cliente può sfruttare la configurazione automatica e rapida della Landing Zone gestita da AMS. Possono sfruttare la gestione centralizzata degli account che controlla la vendita e la connettività degli account tramite l'account di rete centralizzato. Inoltre, semplifica la loro fatturazione consolidando gli addebiti per tutti gli account gestiti dai clienti tramite l'account AMS Payer. Il cliente ha la flessibilità necessaria per configurare il proprio modello di gestione degli accessi personalizzato con l'MSP, separato dalla gestione degli accessi standard utilizzata per gli account AMS Managed. In questo modo, utilizzando la modalità Customer Managed, può configurare un ambiente gestito AMS soddisfacendo al contempo l'esigenza aziendale di abbandonare l'ambiente locale. In questo caso, se il cliente dispone anche di applicazioni basate su Windows da migrare sul cloud e sceglie di trasferirle su un account Customer Managed, è responsabile della creazione di un modello operativo cloud. Questa operazione può essere complessa, costosa e dispendiosa in termini di tempo, a seconda della capacità del cliente di trasformare i processi IT tradizionali e formare il personale. Il cliente può risparmiare tempo e costi trasferendo tali carichi di lavoro su un account gestito da AMS e affidando le operazioni dell'infrastruttura ad AMS.
**Nota**
A volte i clienti possono sentire la necessità di spostare gli account delle applicazioni tra il framework di governance della modalità RFC o SSP e la modalità Developer. Ad esempio, i clienti possono ospitare un'applicazione in modalità gestita da AMS come parte della migrazione iniziale, ma col tempo desiderano riscrivere l'applicazione per ottimizzarla per i servizi AWS nativi del cloud. Potrebbero cambiare la modalità dell'account di pre-produzione dalla modalità RFC gestita da AMS alla modalità Developer gestita da AMS, offrendo loro la flessibilità e l'agilità necessarie per il provisioning dell'infrastruttura. Tuttavia, una volta apportate le modifiche al provisioning dell'infrastruttura utilizzando il «ruolo di sviluppatore», la stessa infrastruttura non può essere riportata alla modalità RFC gestita da AMS. Questo perché AMS non può garantire il funzionamento dell'infrastruttura fornita al di fuori del sistema di gestione delle modifiche AMS. I clienti potrebbero dover creare un nuovo account applicativo che offra la modalità RFC gestita da AMS e quindi ridistribuire la configurazione dell'infrastruttura «ottimizzata» tramite CloudFormation modelli o inserendola in modo personalizzato AMIs in un account gestito da AMS. Questo è un modo semplice per implementare una configurazione pronta per la produzione. Una volta implementata, l'applicazione sarà soggetta alla governance e alle operazioni prescrittive di AMS. Lo stesso vale per il passaggio dalla modalità gestita dal cliente alla modalità gestita da AMS.
# modalità RFC
La modalità RFC è la modalità predefinita per i clienti del piano operativo AMS Advanced. Include un sistema di gestione delle modifiche con richieste di modifica o RFCs un catalogo di tipi di modifica da utilizzare per richiedere l'aggiunta o la modifica di cui hai bisogno ai tuoi account. Questo sistema di gestione delle modifiche offre un livello di sicurezza nel limitare chi può apportare modifiche agli account.
Per dettagli sui tipi di modifica di AMS Advanced, consulta [Cosa sono i tipi di modifica AMS](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)? .
Per dettagli sull'onboarding in AMS Advanced, consulta [AWS Managed Services Onboarding](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html) Introduction.
[Per esempi di procedura dettagliata relativi al tipo di modifica, consulta la sezione «Informazioni aggiuntive» per il tipo di modifica pertinente nella sezione *AMS Advanced Change Type Reference Change Types* by Classification.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)
**Nota**
La modalità RFC era precedentemente chiamata «modalità di gestione delle modifiche» o «modalità CM standard».
**Topics**
+ [Scopri di più RFCs](ex-rfc-works.md)
+ [Cosa sono i tipi di modifica?](understanding-cts.md)
+ [Risoluzione degli errori RFC in AMS](rfc-troubleshoot.md)
# Scopri di più RFCs
Le richieste di modifica, oppure RFCs, funzionano in due modi. Innanzitutto, ci sono dei parametri richiesti per la RFC stessa. Queste sono le opzioni dell'`CreateRfc`API. In secondo luogo, ci sono parametri necessari per l'azione dell'RFC (i parametri di esecuzione). Per maggiori informazioni sulle `CreateRfc` opzioni, consulta la [CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)sezione dell'*AMS API Reference.* Queste opzioni compaiono in genere nell'area **Configurazioni aggiuntive** delle pagine Crea RFC.
Puoi creare e inviare una RFC con l'`CreateRfc`API, la `aws amscm create-rfc` CLI o utilizzando la console AMS Crea pagine RFC. Per un tutorial sulla creazione di un RFC, vedi. [Crea un RFC](ex-rfc-create-col.md)
**Topics**
+ [Cosa sono RFCs?](what-r-rfcs.md)
+ [Autenticazione quando si utilizza l'API/CLI AMS](ex-rfc-authentication.md)
+ [Comprendi le revisioni sulla sicurezza RFC](rfc-security.md)
+ [Comprendi le classificazioni dei tipi di modifica RFC](ex-rfc-csio.md)
+ [Comprendi gli stati di azione e attività della RFC](ex-rfc-action-state.md)
+ [Comprendi i codici di stato RFC](ex-rfc-status-codes.md)
+ [Comprendi l'aggiornamento RFC CTs e il rilevamento della deriva dei CloudFormation modelli](ex-rfc-updates-and-dd.md)
+ [Pianificazione RFCs](ex-rfc-scheduling.md)
+ [Approva o rifiuta RFCs](ex-rfc-approvals.md)
+ [Richiedi periodi di esecuzione con restrizioni RFC](ex-rfc-restrict-execute.md)
+ [Crea, clona, aggiorna, trova e annulla RFCs](ex-rfc-use-examples.md)
+ [Usa la console AMS con RFCs](ex-rfc-gui.md)
+ [Scopri i parametri RFC più comuni](rfc-common-params.md)
+ [Iscriviti all'e-mail quotidiana di RFC](rfc-digest.md)
# Cosa sono RFCs?
Una richiesta di modifica, o RFC, è il modo in cui apporti una modifica al tuo ambiente gestito da AMS o chiedi ad AMS di apportare una modifica per tuo conto. Per creare un RFC, scegli tra i tipi di modifica AMS, scegli i parametri RFC (come la pianificazione), quindi invia la richiesta utilizzando la console AMS o i comandi API e. [CreateRfc[SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html)](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)
Un RFC contiene due specifiche, una per la RFC stessa e una per i parametri del tipo di modifica (CT). Nella riga di comando, è possibile utilizzare un comando RFC in linea o un CreateRfc modello standard in formato JSON, da compilare e inviare insieme al file di schema CT JSON creato (in base ai parametri CT). Il nome CT è una descrizione informale del CT. Un CSIO (categoria, sottocategoria, articolo, operazione) è una descrizione più formale di un CT. Quando si crea un RFC, è necessario specificare solo l'ID CT.
RFCs passano attraverso due fasi chiave: convalida ed esecuzione.
1. Nella fase di convalida, AMS esamina la richiesta RFC per verificarne la completezza e la correttezza. [AMS valuta inoltre la richiesta di sicurezza in conformità con i nostri standard tecnici di sicurezza.](rfc-security.md#rfc-security.title) AMS verifica che la modifica richiesta sia valida ed eseguibile.
1. Nella fase di esecuzione, AMS tenta di apportare le modifiche richieste all'account dell'utente.
AMS gestisce entrambe le fasi tramite un processo automatizzato, un processo manuale o una combinazione di entrambi. Il processo manuale è gestito dal team AMS Operations. Per ulteriori informazioni, consulta [Automatizzato e manuale CTs](ug-automated-or-manual.md).
AMS offre tre modalità di esecuzione per la gestione delle richieste:
+ **(Consigliato da AMS) Modalità di esecuzione: automatizzata**. Queste CTs utilizzano l'automazione per le convalide e le esecuzioni RFC, che è il modo più rapido per raggiungere i risultati aziendali.
+ **(Consigliata da AMS) Modalità di esecuzione: manuale e designazione: automazione gestita**. Questi CTs utilizzano una combinazione di processi automatizzati e manuali per le convalide e le esecuzioni RFC. Se l'automazione non è in grado di eseguire la modifica richiesta, la RFC viene trasferita (tramite routing automatico o mediante la creazione di una RFC sostitutiva) al team AMS Operations per la gestione manuale. L'invio di queste informazioni CTs consente una ricezione più strutturata della richiesta, integrata dall'automazione AMS per migliorare i tempi di gestione ed esecuzione.
+ **Modalità di esecuzione: manuale e designazione: revisione richiesta**. Modifiche richieste tramite [ct-1e1xtak34nx76 Management \$1 Altro \$1 Altro \$1 Aggiornamento (revisione richiesta) o [ct-0xdawir96cy7k](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-create-review-required.html) Management \$1 Altro \$1 Altro \$1 Crea (revisione richiesta)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-update-review-required.html). CTs Questi si basano sulla gestione manuale per le convalide e le esecuzioni. Questi CTs dipendono dall'interpretazione manuale della richiesta di modifica.
AMS ti avvisa quando la modifica è stata completata correttamente (Operazione riuscita) o meno (Errore).
**Nota**
Per informazioni sulla risoluzione dei problemi relativi agli errori RFC, consulta. [Risoluzione degli errori RFC in AMS](rfc-troubleshoot.md)
L'immagine seguente mostra il flusso di lavoro di una RFC inviata dall'utente.
![\[Il flusso di lavoro di una RFC inviata dal cliente.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/requestForChange-v5g.png)
# Autenticazione quando si utilizza l'API/CLI AMS
Quando utilizzi l'API/CLI AMS, devi autenticarti con credenziali temporanee. Per richiedere credenziali di sicurezza temporanee per utenti federati [ GetFederationToken[AssumeRole](https://docs.aws.amazon.com/STS/latest/UsingSTS/sts_delegate.html)](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html), chiama [AssumeRoleWithSAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithsaml) o [ AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithwebidentity)AWS Security Token Service (STS). APIs
Una scelta comune è SAML. Dopo la configurazione, aggiungi un argomento a ogni operazione che chiami. Ad esempio: `aws --profile saml amscm list-change-type-categories`.
Una scorciatoia per i profili SAML 2.0 consiste nell'impostare la variabile di profilo all'inizio di ogni API/CLI comando `set AWS_DEFAULT_PROFILE=saml` (per Windows; per Linux lo sarebbe`export AWS_DEFAULT_PROFILE=saml`). Per informazioni sull'impostazione delle variabili di ambiente CLI, consulta [Configurazione dell'interfaccia a riga di comando AWS,](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-environment) Variabili di ambiente.
# Comprendi le revisioni sulla sicurezza RFC
Il processo di approvazione della gestione delle modifiche di AWS Managed Services (AMS) garantisce l'esecuzione di una revisione di sicurezza delle modifiche che apportiamo ai tuoi account.
AMS valuta tutte le richieste di modifica (RFCs) rispetto agli standard tecnici AMS. Qualsiasi modifica che possa ridurre il livello di sicurezza del tuo account deviando dagli standard tecnici viene sottoposta a una revisione di sicurezza. Durante la revisione di sicurezza, AMS evidenzia i rischi pertinenti e, in caso di rischio di sicurezza elevato o molto elevato, il personale di sicurezza autorizzato accetta o rifiuta la RFC. Tutte le modifiche vengono inoltre valutate per valutare l'impatto negativo sulla capacità operativa di AMS. Se vengono rilevati potenziali impatti negativi, sono necessarie ulteriori revisioni e approvazioni all'interno di AMS.
## Standard tecnici AMS
Gli standard tecnici AMS definiscono i criteri, le configurazioni e i processi minimi di sicurezza per stabilire la sicurezza di base dei tuoi account. Questi standard devono essere rispettati sia da AMS che da voi.
Qualsiasi modifica che possa potenzialmente ridurre il livello di sicurezza del vostro account deviando dagli standard tecnici viene sottoposta a un processo di accettazione del rischio, in cui il rischio rilevante viene evidenziato da AMS e accettato o respinto dal personale di sicurezza autorizzato da parte dell'utente. Tutte queste modifiche vengono inoltre valutate per valutare se potrebbero esserci ripercussioni negative sulla capacità di AMS di gestire l'account e, in tal caso, sono necessarie ulteriori revisioni e approvazioni all'interno di AMS.
## Processo RFC di gestione del rischio di sicurezza dei clienti (CSRM)
Quando qualcuno della tua organizzazione richiede una modifica all'ambiente gestito, AMS esamina la modifica per determinare se la richiesta potrebbe peggiorare il livello di sicurezza del tuo account non rientrando negli standard tecnici. Se la richiesta riduce il livello di sicurezza dell'account, AMS comunica al team di sicurezza il rischio pertinente ed esegue la modifica; oppure, se la modifica introduce un rischio di sicurezza elevato o molto elevato nell'ambiente, AMS richiede l'approvazione esplicita del contatto del team di sicurezza sotto forma di accettazione del rischio (spiegato di seguito). Il processo AMS Customer Risk Acceptance è progettato per:
+ Garantire che i rischi siano chiaramente identificati e comunicati ai legittimi proprietari
+ Riducete al minimo i rischi identificati per l'ambiente
+ Ottenete e documentate l'approvazione dei contatti di sicurezza designati che comprendono il profilo di rischio della vostra organizzazione
+ Riduci i costi operativi continui per i rischi identificati
## Come accedere agli standard tecnici e ai rischi elevati o molto elevati
Abbiamo reso disponibile la documentazione sugli standard tecnici AMS [https://console.aws.amazon.com/artifact/](https://console.aws.amazon.com/artifact/)come riferimento nel rapporto. Utilizzate la documentazione sugli standard tecnici AMS per capire se una modifica richieda l'accettazione del rischio da parte del vostro contatto di sicurezza autorizzato prima di inviare una richiesta di modifica (RFC).
Trova il rapporto sugli standard tecnici cercando «AWS Managed Services (AMS) Technical Standards» nella barra di ricerca della scheda AWS Artifact **Rapporti** dopo aver effettuato l'accesso con l'impostazione predefinita **AWSManagedServicesChangeManagementRole**.
**Nota**
Il documento sullo standard tecnico AMS è accessibile per il Customer\$1 ReadOnly \$1Role nella landing zone con account singolo. Nella landing zone multiaccount, è possibile AWSManaged ServicesAdminRole utilizzare per accedere al documento quella AWSManaged ServicesChangeManagementRole utilizzata dagli amministratori della sicurezza e quella utilizzata dai team delle applicazioni. Se il tuo team utilizza un ruolo personalizzato, crea un RFC Other \$1 Other per richiedere l'accesso e aggiorneremo il ruolo personalizzato specificato.
# Comprendi le classificazioni dei tipi di modifica RFC
I tipi di modifica utilizzati per inviare una RFC sono suddivisi in due grandi categorie:
+ **Distribuzione**: questa classificazione serve per la creazione di risorse.
+ **Gestione**: questa classificazione serve per l'aggiornamento o l'eliminazione delle risorse. La categoria **Gestione** contiene anche i tipi di modifica per l'accesso alle istanze, la crittografia o la condivisione e l'avvio AMIs, l'arresto, il riavvio o l'eliminazione degli stack.
# Comprendi gli stati di azione e attività della RFC
`RfcActionState`(API)/**Activity State** (console) ti aiutano a comprendere lo stato dell'intervento o dell'azione umana su una RFC. Utilizzati principalmente a scopo manuale RFCs, ti `RfcActionState` aiutano a capire quando sono necessarie azioni da parte tua o delle operazioni AMS e ti aiuta a vedere quando AMS Operations sta lavorando attivamente sulla tua RFC. Ciò garantisce una maggiore trasparenza sulle azioni intraprese su una RFC durante il suo ciclo di vita.
`RfcActionState`Definizioni (API)/**Activity State** (console):
+ **AwsOperatorAssigned**: Un operatore AWS sta lavorando attivamente alla tua RFC.
+ **AwsActionPending**: è prevista una risposta o un'azione da parte di AWS.
+ **CustomerActionPending**: È prevista una risposta o un'azione da parte del cliente.
+ **NoActionPending**: non è richiesta alcuna azione da parte di AWS o del cliente.
+ **NotApplicable**: questo stato non può essere impostato dagli operatori o dai clienti AWS e viene utilizzato solo per RFCs quelli creati prima del rilascio di questa funzionalità.
Gli stati di azione RFC variano a seconda che il tipo di modifica inviato richieda una revisione manuale e che la pianificazione sia impostata su **ASAP** o meno.
+ **ActionState**Modifiche RFC durante la revisione, l'approvazione e l'avvio di un tipo di modifica manuale con pianificazione differita:
+ Dopo aver inviato una RFC manuale e pianificata, questa cambia **ActionState**automaticamente in modo da **AwsActionPending**indicare che un operatore deve rivedere e approvare la RFC.
+ Quando un operatore inizia a esaminare attivamente la tua RFC, la modifica diventa. **ActionState**AwsOperatorAssigned****
+ Quando l'operatore approva la tua RFC, lo stato della RFC cambia in Pianificato e quindi cambia automaticamente in. **ActionState**NoActionPending****
+ Quando viene raggiunta l'ora di inizio pianificata della RFC, lo stato RFC cambia in e cambia **ActionState**automaticamente per **InProgress**indicare che è necessario **AwsActionPending**assegnare un operatore alla revisione della RFC.
+ Quando un operatore inizia a utilizzare attivamente la RFC, cambia in. **ActionState**AwsOperatorAssigned****
+ Una volta completata, l'operatore chiude la RFC. Questo cambia automaticamente in. **ActionState**NoActionPending****
![\[ActionStateModifiche RFC durante la revisione, l'approvazione e l'avvio di un tipo di modifica manuale con pianificazione differita\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/actionStateRfc.png)
**Importante**
Gli stati d'azione non possono essere impostati dall'utente. Vengono impostati automaticamente in base alle modifiche nella RFC o impostati manualmente dagli operatori AMS.
Se si aggiunge corrispondenza a un RFC, **ActionState**viene impostato automaticamente su. **AwsActionPending**
Quando viene creata una RFC, viene impostata **ActionState**automaticamente su. **NoActionPending**
Quando viene inviata una RFC, **ActionState**viene automaticamente impostata su. **AwsActionPending**
Quando una RFC viene rifiutata, annullata o completata con lo stato di Successo o Fallimento, **ActionState**viene automaticamente reimpostata su. **NoActionPending**
Gli stati di azione sono abilitati sia per quelli automatici che manuali RFCs, ma sono importanti soprattutto per quelli manuali, RFCs perché RFCs spesso questi tipi richiedono comunicazioni.
# Esamina gli stati d'azione RFC, esempi di casi d'uso
**Caso d'uso: visibilità sul processo RFC manuale**
+ Una volta inviata una RFC manuale, lo stato di azione RFC cambia automaticamente `AwsActionPending` per indicare che un operatore deve rivedere e approvare la RFC. Quando un operatore inizia a esaminare attivamente la tua RFC, lo stato di azione RFC cambia in. `AwsOperatorAssigned`
+ Prendi in considerazione una RFC manuale che sia stata approvata e programmata e che sia pronta per iniziare a funzionare. Una volta che lo stato RFC cambia in`InProgress`, lo stato di azione RFC cambia automaticamente in. `AwsActionPending` Cambia nuovamente `AwsOperatorAssigned` quando un operatore inizia a eseguire attivamente la RFC.
+ Quando viene completata una RFC manuale (chiusa come «Successo» o «Fallimento»), lo stato di azione RFC cambia `NoActionPending` per indicare che non sono necessarie ulteriori azioni da parte del cliente o dell'operatore.
**Caso d'uso: corrispondenza RFC**
+ Se si utilizza una RFC manuale`Pending Approval`, un operatore AMS potrebbe aver bisogno di ulteriori informazioni da parte dell'utente. Gli operatori pubblicheranno una corrispondenza sulla RFC e modificheranno lo stato di azione RFC in. `CustomerActionPending` Quando rispondi aggiungendo una nuova corrispondenza RFC, lo stato di azione RFC cambia automaticamente in. `AwsActionPending`
+ Quando una RFC automatica o manuale ha esito negativo, puoi aggiungere una corrispondenza ai dettagli RFC, chiedendo all'operatore AMS perché la RFC non è riuscita. Quando viene aggiunta la corrispondenza, lo stato di azione RFC viene impostato automaticamente su. `AwsActionPending` Quando l'operatore AMS preleva l'RFC per visualizzare la corrispondenza, lo stato di azione RFC cambia in. `AwsOperatorAssigned` Quando l'operatore risponde aggiungendo una nuova corrispondenza RFC, lo stato di azione RFC può essere impostato su, indicando che è prevista un'altra risposta da parte del cliente`CustomerActionPending`, oppure su`NoActionPending`, a indicare che non è necessaria o prevista alcuna risposta da parte del cliente.
# Comprendi i codici di stato RFC
I codici di stato RFC ti aiutano a tenere traccia delle tue richieste. È possibile osservare questi codici di stato durante un'esecuzione RFC nell'output CLI o aggiornando la pagina dell'elenco RFC nella console.
Puoi anche vedere i codici di una RFC nella pagina dei dettagli di quella RFC, che potrebbe avere il seguente aspetto:
![\[Codici di stato RFC.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/guiRfcStatusCodes.png)
Nel tuo elenco potresti vedere una RFC che non hai inviato. Quando gli operatori AMS utilizzano una CT solo interna, la inviano in una RFC e la visualizzano nell'elenco RFC. Per ulteriori informazioni, consulta [Tipi di modifiche solo interni](ct-internals.md).
**Importante**
È possibile richiedere notifiche sulle modifiche dello stato RFC. Per i dettagli, consulta Notifiche di [modifica dello stato RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html).
**Codici di stato RFC**
| Completato | Errore |
| --- | --- |
| Modifica: la RFC è stata creata ma non inviata PendingApproval /Inviata: la RFC è stata inviata e il sistema sta determinando se richiede l'approvazione e sta ottenendo tale approvazione, se necessario Approvato da AWS /Approvato dal cliente: la RFC è stata approvata. RFCs Gli automatizzati sono approvati da AWS, RFCs i manuali sono approvati dagli operatori e, a volte, dai clienti Pianificato: la RFC ha superato i controlli della sintassi e dei requisiti ed è pianificata per l'esecuzione InProgress: la RFC è in corso di esecuzione, si noti che se si forniscono più risorse o RFCs che hanno tempi di esecuzione prolungati UserData, l'esecuzione richiede più tempo Eseguito: la RFC è stata eseguita Riuscito/Riuscito: la RFC è stata completata con successo | RFCs Rifiutati: vengono rifiutati in genere perché non superano la convalida; ad esempio, viene specificata una risorsa inutilizzabile, ad esempio una sottorete Annullate: RFCs vengono annullate in genere perché non superano la convalida prima che sia trascorsa l'ora di inizio configurata Fallimento: la richiesta RFC non è riuscita; consultate l' StatusReason output per eventuali motivi di errore e AMS Operations crea automaticamente una segnalazione di problemi e comunica con l'utente in base alle esigenze |
**Nota**
L'annullamento o il rifiuto RFCs possono essere inviati nuovamente utilizzando; vedi anche. [UpdateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRfc.html)[Aggiorna RFCs](ex-update-rfcs.md)
Se la RFC soddisfa tutte le condizioni necessarie (ad esempio, vengono specificati tutti i parametri obbligatori), lo stato cambia in `PendingApproval` (anche automatizzato CTs richiede l'approvazione, cosa che avviene automaticamente se i controlli della sintassi e dei parametri hanno esito positivo). Se non viene superato, lo stato diventa. `Rejected` `StatusReason`Fornisce informazioni sui rifiuti; i `ExecutionOutput` campi forniscono informazioni sull'approvazione e il completamento. I codici di errore includono:
+ InvalidRfcStateException: Lo stato dell'RFC non consente l'operazione che è stata chiamata. Ad esempio, se la RFC è passata allo stato Inviato, non può più essere modificata.
+ InvalidRfcScheduleException: I TimeoutInMinutes parametri StartTime EndTime, o sono stati violati.
+ InternalServerError: è stata riscontrata una difficoltà con il sistema.
+ InvalidArgumentException: Un parametro è specificato in modo errato; ad esempio, viene utilizzato un valore non accettabile.
+ ResourceNotFoundException: Non è possibile trovare un valore, ad esempio l'ID dello stack.
Se gli orari di inizio e fine pianificati richiesti (noti anche come finestra di esecuzione delle modifiche) si verificano prima dell'approvazione della modifica, lo stato RFC cambia in. `Canceled` Se la modifica viene approvata, lo stato RFC diventa. `Scheduled` La finestra di esecuzione delle modifiche per ASAP RFCs è l'ora di invio più il `ExpectedExecutionDuration` valore per il CT.
In qualsiasi momento prima dell'arrivo della finestra di esecuzione delle modifiche, una modifica pianificata (inviata con una `RequestedStartTime` nella CLI) può essere modificata o annullata. Se la modifica pianificata viene modificata, deve essere inviata nuovamente.
Quando arriva l'ora di inizio della modifica (pianificata o il prima possibile) e dopo il completamento delle approvazioni, lo stato cambia `InProgress` e non è possibile apportare alcuna modifica. Se la modifica viene completata entro la finestra di esecuzione delle modifiche specificata, lo stato cambia in. `Success` Se una parte della modifica fallisce o se la modifica è ancora in corso al termine della finestra di esecuzione della modifica, lo stato cambia in`Failure`.
**Nota**
Durante lo stato `InProgress``Success`, o `Failure` change, la RFC non può essere modificata o annullata.
Il diagramma seguente illustra gli stati RFC dalla chiamata CreaterFC fino alla risoluzione.
![\[Gli stati RFC dalla chiamata CreaterFC alla risoluzione.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/RfcStateFlow2.png)
# Comprendi l'aggiornamento RFC CTs e il rilevamento della deriva dei CloudFormation modelli
Le risorse fornite in AMS utilizzano un modello modificato CloudFormation . Se un parametro di una risorsa viene modificato direttamente tramite la console di AWS gestione di un servizio, il record di CloudFormation creazione di tale risorsa non è sincronizzato. Se ciò accade e si tenta di utilizzare un tipo di modifica dell'aggiornamento AMS per aggiornare la risorsa in AMS, AMS fa riferimento alla configurazione originale della risorsa e potenzialmente ripristina i parametri modificati. Questo ripristino potrebbe essere dannoso, pertanto AMS non consente l'utilizzo di tipi di modifiche RFCs di aggiornamento se vengono rilevate ulteriori modifiche alla configurazione AMS.
Per un elenco dei tipi di modifiche agli aggiornamenti, usa il filtro della console.
## Correzione della deriva FAQs
Domande e risposte sulla correzione della deriva da AMS. Esistono due tipi di modifica che è possibile utilizzare per avviare la correzione della deriva, uno è modalità di esecuzione=manuale o «automazione gestita», l'altro è modalità di esecuzione=automatizzata.
### Risorse supportate per la bonifica del drift (ct-3kinq0u4l33zf)
Queste sono le risorse supportate dal tipo di modifica della correzione della deriva (ct-3kinq0u4l33zf). Per la riparazione di qualsiasi risorsa, utilizzate invece il tipo di modifica «managed automation» (ct-34sxfo53yuzah).
```
AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm
```
### Tipi di modifica per la correzione della deriva
Domande e risposte sull'utilizzo dei tipi di modifica della correzione della deriva di AMS.
Per un elenco delle risorse supportate per la funzione di correzione delle deviazioni, consulta. [Risorse supportate per la bonifica del drift (ct-3kinq0u4l33zf)](#drift-remeditate-faqs-sr)
**Importante**
Drift remediation modifica i and/or parametri del modello di stack ed è obbligatorio aggiornare gli archivi di modelli locali o qualsiasi automazione che aggiorna questi stack per utilizzare il modello e i parametri di stack più recenti. L'utilizzo dei vecchi and/or parametri del modello senza sincronizzazione può causare modifiche dannose alle risorse sottostanti.
Il CT automatizzato e non gestito (ct-3kinq0u4l33zf) supporta la correzione di solo 10 risorse per RFC. Per ripristinare le risorse rimanenti in batch da 10, creane di nuove fino a quando tutte le risorse non saranno state riparate. RFCs
Quale tipo di modifica per la correzione della deriva devo utilizzare?
Consigliamo di utilizzare il CT automatico **senza automazione gestita** (ct-3kinq0u4l33zf) quando:
+ Si tenta di eseguire un aggiornamento a una risorsa dello stack esistente utilizzando un CT automatico e la RFC viene rifiutata così come lo stack. `DRIFTED`
+ Hai utilizzato un Update CT in passato e non è riuscito perché lo stack era DRIFTED. Non è necessario tentare nuovamente un aggiornamento, ma è possibile utilizzare invece l'automazione gestita, manuale, CT.
Si consiglia di utilizzare l'**automazione gestita**, CT manuale (ct-34sxfo53yuzah) solo quando i tipi di risorse alla deriva non sono supportati dalla correzione della deriva no managed automation, automatizzata, CT (ct-3kinq0u4l33zf) o quando la correzione della deriva no automazione gestita, automatizzata, CT fallisce.
Quali modifiche vengono apportate allo stack durante la riparazione?
La riparazione richiede aggiornamenti dei and/or parametri del modello dello stack a seconda delle proprietà modificate. La riparazione aggiorna inoltre la politica dello stack dello stack durante la riparazione e ripristina la politica dello stack al suo valore precedente una volta completata la riparazione.
Come possiamo vedere le modifiche apportate ai parametri del modello dello stack? and/or
Nella risposta alla RFC, viene fornito un riepilogo delle modifiche con le seguenti informazioni:
+ `ChangeSummaryJson`: contiene un riepilogo delle modifiche ai and/or parametri dello Stack Template come parte della correzione della deriva. La riparazione viene eseguita in più fasi. Questo riepilogo delle modifiche comprende le modifiche relative alle singole fasi. Se la riparazione ha esito positivo, controlla le modifiche dell'ultima fase. Vedi ExecutionPlan nel JSON le fasi eseguite in ordine. Ad esempio, la RestoreReferences sezione, se presente, viene sempre eseguita alla fine e contiene JSON per le modifiche successive alla correzione. Se la riparazione viene eseguita in DryRun modalità, nessuna di queste modifiche sarebbe stata applicata allo stack.
+ `PreRemediationStackTemplateAndConfigurationJson`: contiene un'istantanea della configurazione dello CloudFormation stack, tra cui Template, Parameters, Output, StackPolicyBody prima che la riparazione venisse attivata sullo stack.
Cosa devo fare una volta eseguita la riparazione?
È necessario aggiornare gli archivi di modelli locali, o qualsiasi automazione, che aggiorni lo stack riparato, con il modello e i parametri più recenti forniti nel riepilogo RFC. È molto importante farlo perché l'utilizzo dei vecchi and/or parametri del modello può causare ulteriori modifiche distruttive sulle risorse dello stack.
La mia richiesta verrà effettuata durante questa correzione?
La riparazione è un processo offline che viene eseguito solo nella configurazione dello CloudFormation stack. Non viene eseguito alcun aggiornamento sulla risorsa sottostante.
Posso continuare a utilizzare Management \$1 Other \$1 Other RFCs per aggiornare le risorse dopo la riparazione?
Si consiglia di eseguire sempre gli aggiornamenti delle risorse dello stack utilizzando l'aggiornamento automatico disponibile. CTs Quando l'aggiornamento disponibile CTs non supporta il tuo caso d'uso, usa Gestione \$1 Altro \$1 Altre richieste.
La riparazione crea nuove risorse nello stack?
La riparazione non crea nuove risorse nello stack. Tuttavia, la correzione crea nuovi output e aggiorna la sezione dei [metadati](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/metadata-section-structure.html) del modello di stack per archiviare il riepilogo della correzione come riferimento.
La riparazione avrà sempre successo?
La riparazione richiede un'attenta analisi e convalida della configurazione del modello per determinare se è possibile eseguirla. Negli scenari in cui queste convalide falliscono, il processo di riparazione viene interrotto e non viene apportata alcuna modifica al modello o ai parametri dello stack. Inoltre, la correzione può essere eseguita solo sui tipi di risorse supportati.
Come posso aggiornare le risorse dello stack se la riparazione non ha esito positivo?
È possibile utilizzare Management \$1 Other \$1 Other \$1 Update CT (ct-0xdawir96cy7k) per richiedere modifiche. AMS monitora tali scenari e lavora per migliorare la soluzione di riparazione.
Posso rimediare a stack con tipi di risorse supportati e non supportati?
Sì. Tuttavia, la riparazione viene eseguita solo se i tipi di risorse supportati vengono trovati DRIFTED nello stack. Se alcuni tipi di risorse non supportati sono DRIFTED, la riparazione non continua.
Posso richiedere la riparazione per gli stack creati tramite un programma non CFN Ingest? CTs
Sì. La riparazione può essere eseguita sugli stack indipendentemente dal tipo di modifica utilizzato per creare lo stack.
Posso conoscere le modifiche che verrebbero apportate allo stack prima della riparazione?
Sì. Entrambi i tipi di modifiche offrono un'**DryRun**opzione che puoi utilizzare per richiedere modifiche che verrebbero eseguite se lo stack venisse corretto. Tuttavia, le modifiche correttive finali possono differire a seconda della deriva presente nello stack al momento della correzione.
# Pianificazione RFCs
La funzione **di pianificazione** consente di scegliere un orario di inizio per. RFCs Le seguenti opzioni sono disponibili nella **funzionalità di pianificazione**:
+ **Esegui questa modifica il prima possibile**: AMS esegue la RFC non appena viene approvata. La maggior parte CTs viene approvata automaticamente. Utilizza questa opzione se non desideri che la RFC inizi in un momento specifico.
+ **Pianifica questa modifica**: imposta un giorno, un'ora e un fuso orario per l'esecuzione della RFC. Per i tipi di modifiche automatizzate, è consigliabile richiedere un'ora di inizio che sia almeno 10 minuti dopo la previsione di inviare la RFC. Per i tipi di modifica dell'automazione gestita, è necessario richiedere un'ora di inizio che sia di almeno 24 ore dopo la previsione di inviare la RFC. Se la RFC non viene approvata entro l'ora di inizio configurata, la RFC viene rifiutata.
## Imposta una pianificazione RFC
Per pianificare una RFC, utilizzate uno dei seguenti metodi:
**Esegui questa modifica il prima possibile:**
+ Console: non fare nulla. Viene utilizzata la pianificazione RFC predefinita.
+ API o CLI: rimuovi le `RequestedEndTime` opzioni `RequestedStartTime` and nell'operazione Create RFC.
Le «automazioni gestite» **ASAP** RFCs vengono rifiutate automaticamente se non vengono approvate entro trenta giorni dall'invio.
**Pianifica questa modifica**:
+ Console: seleziona il pulsante di opzione **Pianifica questa modifica**. Si apre un'area **relativa all'ora di inizio**. Digita manualmente un giorno o usa il widget del calendario per scegliere un giorno. Inserisci un'ora, in UTC, espressa in formato ISO 8601 e usa l'elenco a discesa per selezionare una località. Per impostazione predefinita, AMS utilizza il formato ISO 8601 Z YYYYMMDDThhmmss YYYY-MM-DDThh o:MM:SSZ, entrambi i formati sono accettati.
**Nota**
**L'ora di **fine predefinita è di 4 ore dall'ora** di inizio inserita.** Per impostare l'**ora di fine** della modifica pianificata oltre le 4 ore, utilizza l'API o la CLI per eseguire la modifica.
+ API o CLI: invia i valori per i `RequestedEndTime` parametri `RequestedStartTime` and nell'operazione Create RFC. Il passaggio di un tipo di modifica configurato `RequestedEndTime` non interrompe l'esecuzione di un tipo di modifica automatica che è già stato avviato. Per un tipo di modifica di tipo «automazione gestita», se `RequestedEndTime` viene raggiunta mentre la ricerca di AMS Operations è ancora in corso e sei in contatto con AMS, puoi richiedere un'estensione o ti potrebbe essere chiesto di inviare nuovamente la RFC.
**Suggerimento**
Per un esempio di lettura dell'ora UTC, consulta [UTC](https://time.is/UTC) sul sito web Time-is. ****Esempio di formato ISO 8601 per un date/time valore del 05/12/2016 alle 14:20:2016-12-05T 14:20:00 Z o 20161205T142000Z.****
Se fornisci...
+ solo a`RequestedStartTime`, la RFC è considerata pianificata e `RequestedEndTime` viene compilata utilizzando il `ExecutionDurationInMinutes` valore.
+ solo un`RequestedEndTime`, lanciamo un. InvalidArgumentException
+ entrambi `RequestedStartTime` e`RequestedEndTime`, sovrascriviamo il `RequestedEndTime` con l'ora di inizio specificata più il `ExecutionDurationInMinutes` valore.
+ né `RequestedStartTime` né`RequestedEndTime`, manteniamo tali valori come nulli e la RFC viene trattata come una RFC ASAP.
**Nota**
Per tutte le pianificazioni RFCs, viene scritto che un'ora di fine non specificata corrisponde all'ora specificata `RequestedStartTime` più l'`ExpectedExecutionDurationInMinutes`attributo del tipo di modifica inviato. Ad esempio, se `ExpectedExecutionDurationInMinutes` è «60" (minuti) e il valore specificato `RequestedStartTime` è `2016-12-05T14:20:00Z` (5 dicembre 2016 alle 4:20), l'ora di fine effettiva sarà impostata sul 5 dicembre 2016 alle 5:20. Per trovare il tipo di modifica `ExpectedExecutionDurationInMinutes` per uno specifico, esegui questo comando:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
## Usa l'opzione RFC Priority
Utilizzate l'opzione **Priority** nei tipi di `execution mode = manual` modifica per avvisare AMS Operations dell'urgenza della richiesta.
Opzione **prioritaria** in`execution mode = manual`:
Specificate la priorità di una RFC manuale come **Alta**, **Media** o **Bassa**. RFCs Le classificate come **Alta** vengono esaminate e approvate prima di essere RFCs classificate come **Medium**, in base agli obiettivi del livello di servizio RFC (SLOs) e ai relativi tempi di invio. RFCs con priorità **bassa** o nessuna priorità specificata vengono elaborati nell'ordine in cui vengono inviati.
# Approva o rifiuta RFCs
RFCs la richiesta di approvazione (manuale) CTs deve essere approvata dall'utente o da AMS. Le approvazioni preliminari vengono elaborate automaticamente CTs . Per ulteriori informazioni, consulta [Requisiti di approvazione CT](constrained-unconstrained-ctis.md).
**Nota**
Quando si utilizza la CTs modalità manuale, AMS consiglia di utilizzare l'opzione ASAP **Scheduling** (scegliere **ASAP** nella console, lasciare vuote le date di inizio e fine nell'API/CLI) in quanto CTs richiedono che un operatore AMS esamini la RFC ed eventualmente comunichi con l'utente prima che possa essere approvata ed eseguita. Se li pianifichi RFCs, assicurati di attendere almeno 24 ore. Se l'approvazione non avviene prima dell'orario di inizio programmato, la RFC viene rifiutata automaticamente.
Se una RFC richiesta per l'approvazione viene inviata con successo da AMS, deve essere approvata esplicitamente dall'utente. Oppure, se invii una RFC richiesta per l'approvazione, questa deve essere approvata da AMS. Se ti viene richiesto di approvare una RFC inviata da AMS, ti verrà inviata un'e-mail o altra comunicazione predeterminata per richiedere l'approvazione. La comunicazione include l'ID RFC. Dopo l'invio della comunicazione, effettuate una delle seguenti operazioni:
+ Approvazione o rifiuto della console: utilizza la pagina dei dettagli RFC per la RFC pertinente:
![\[Pagina dei dettagli RFC.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/AMS_Console-App-Rej.png)
+ Approvazione API/CLI: [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html)contrassegna una modifica come approvata. L'azione deve essere intrapresa sia dal proprietario che dall'operatore, se entrambi sono necessari. Di seguito è riportato un esempio di comando CLI approve. Nell'esempio seguente, sostituisci RFC\$1ID con l'ID RFC appropriato.
```
aws amscm approve-rfc --rfc-id RFC_ID
```
+ API/CLI Reject: [RejectRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_RejectRfc.html)contrassegna una modifica come rifiutata. Di seguito è riportato un esempio di comando CLI reject. Nell'esempio seguente, sostituisci RFC\$1ID con l'ID RFC appropriato.
```
aws amscm reject-rfc --rfc-id RFC_ID --reason "no longer relevant"
```
# Richiedi periodi di esecuzione con restrizioni RFC
In precedenza noti come giorni di blackout, è possibile richiedere di limitare determinati periodi di tempo. Non è possibile eseguire alcuna modifica durante questi periodi.
Per impostare un periodo di esecuzione limitato, utilizza l'operazione [UpdateRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRestrictedExecutionTimes.html)API e imposta un periodo di tempo specifico, in UTC. Il periodo specificato ha la precedenza su tutti i periodi precedenti specificati. Se si invia una RFC durante il periodo di esecuzione limitato specificato, l'invio ha esito negativo e viene visualizzato l'errore Invalid RFC Schedule. È possibile specificare fino a 200 periodi di tempo limitati. Per impostazione predefinita, non è impostato alcun periodo limitato. Di seguito è riportato un esempio di comando di richiesta (con l'autenticazione SAML configurata):
```
aws amscm --profile saml update-restricted-execution-times --restricted-execution-times="[{\"TimeRange\":{\"StartTime\":\"2018-01-01T12:00:00Z\",\"EndTime\":\"2018-01-01T12:00:01Z\"}}]"
```
Puoi anche visualizzare le tue RestrictedExecutionTimes impostazioni correnti eseguendo l'operazione [ListRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRestrictedExecutionTimes.html)API. Esempio:
```
aws amscm --profile saml list-restricted-execution-times
```
Se desideri inviare una RFC durante un periodo di esecuzione limitato specificato, aggiungi il valore **RestrictedExecutionTimesOverrideId**con il valore di **OverrideRestrictedTimeRanges**e invia la RFC come faresti normalmente. È consigliabile utilizzare questo metodo solo per una RFC critica o di emergenza. Per ulteriori informazioni, consulta il riferimento all'API per [SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html).
# Crea, clona, aggiorna, trova e annulla RFCs
Gli esempi seguenti illustrano varie operazioni RFC.
**Topics**
+ [Crea un RFC](ex-rfc-create-col.md)
+ [Clona RFCs (ricrea) con la console AMS](ex-clone-rfcs.md)
+ [Aggiorna RFCs](ex-update-rfcs.md)
+ [Trova RFCs](ex-rfc-find-col.md)
+ [Annulla RFCs](ex-cancel-rfcs.md)
# Crea un RFC
## Creazione di un RFC con la console
Quella che segue è la prima pagina del processo RFC Create nella console AMS, con **Quick cards** aperte e **Browse change types attivi**:
![\[Quick create section with options for common AWS stack operations and access management.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/quickCreate1.png)
Quella che segue è la prima pagina del processo RFC Create nella console AMS, con **Select by category attivo:**
![\[Create RFC page with change type categorization options for managed services environment.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/guiRfcCreate1-2.png)
Come funziona:
1. Vai alla pagina **Crea RFC**: nel riquadro di navigazione a sinistra della console AMS, fai clic **RFCs**per aprire la pagina dell' RFCs elenco, quindi fai clic su **Crea** RFC.
1. Scegli un tipo di modifica (CT) popolare nella visualizzazione predefinita **Sfoglia i tipi di modifica** o seleziona un CT nella visualizzazione **Scegli per categoria**.
+ **Naviga per tipo di modifica**: puoi fare clic su un CT popolare nell'area di **creazione rapida** per aprire immediatamente la pagina **Run RFC**. Nota che non puoi scegliere una versione CT precedente con creazione rapida.
Per ordinare CTs, utilizzate l'area **Tutti i tipi di modifica** nella vista a **scheda** o **tabella**. In entrambe le visualizzazioni, selezionate un CT, quindi fate clic su **Crea RFC** per aprire la pagina **Esegui RFC**. Se applicabile, accanto al **pulsante Crea **RFC viene visualizzata l'opzione Crea** con una versione precedente**.
+ **Scegli per categoria**: seleziona una categoria, sottocategoria, articolo e operazione e la casella dei dettagli CT si apre con l'opzione **Crea con una versione precedente, se applicabile**. Fai clic su **Crea RFC** per aprire la pagina **Esegui RFC**.
1. Nella pagina **Run RFC**, apri l'area del nome CT per visualizzare la casella dei dettagli CT. È richiesto un **oggetto** (questo campo viene compilato automaticamente se si sceglie il CT nella vista **Sfoglia i tipi di modifica**). Apri l'area **di configurazione aggiuntiva** per aggiungere informazioni sull'RFC.
Nell'area di **configurazione dell'esecuzione**, utilizza gli elenchi a discesa disponibili o inserisci i valori per i parametri richiesti. Per configurare i parametri di esecuzione opzionali, aprite l'area di **configurazione aggiuntiva**.
1. Al termine, fate clic su **Esegui**. Se non sono presenti errori, viene visualizzata la pagina **RFC creata correttamente** con i dettagli RFC inviati e l'output iniziale di **Run**.
1. Apri l'area dei **parametri di esecuzione** per visualizzare le configurazioni inviate. Aggiorna la pagina per aggiornare lo stato di esecuzione RFC. Facoltativamente, annulla la RFC o creane una copia con le opzioni nella parte superiore della pagina.
## Creazione di un RFC con la CLI
Come funziona:
1. Utilizzate Inline Create (emettete un `create-rfc` comando con tutti i parametri RFC e di esecuzione inclusi) o Template Create (create due file JSON, uno per i parametri RFC e uno per i parametri di esecuzione) ed emettete il `create-rfc` comando con i due file come input. Entrambi i metodi sono descritti qui.
1. Invia il `aws amscm submit-rfc --rfc-id ID` comando RFC: con l'ID RFC restituito.
Monitora il comando RFC:. `aws amscm get-rfc --rfc-id ID`
Per verificare la versione del tipo di modifica, usa questo comando:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**Nota**
È possibile utilizzare qualsiasi `CreateRfc` parametro con qualsiasi RFC, indipendentemente dal fatto che faccia parte o meno dello schema per il tipo di modifica. Ad esempio, per ricevere notifiche quando lo stato RFC cambia, aggiungi questa riga `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` alla parte dei parametri RFC della richiesta (non ai parametri di esecuzione). Per un elenco di tutti i CreateRfc parametri, consulta l'[AMS Change Management API](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) Reference.
*CREAZIONE IN LINEA*:
Esegui il comando create RFC con i parametri di esecuzione forniti in linea (evita le virgolette quando fornisci i parametri di esecuzione in linea), quindi invia l'ID RFC restituito. Ad esempio, puoi sostituire il contenuto con qualcosa del genere:
```
aws amscm create-rfc --change-type-id "CT_ID" --change-type-version "VERSION" --title "TITLE" --execution-parameters "{\"Description\": \"example\"}"
```
*CREAZIONE DEL MODELLO*:
**Nota**
Questo esempio di creazione di una RFC utilizza il tipo di modifica dello stack Load Balancer (ELB).
1. Trova il CT pertinente. Il comando seguente cerca nei riepiloghi delle classificazioni CT quelli che contengono «ELB» nel nome **dell'elemento** e crea l'output di Categoria, Articolo, Operazione e ChangeType ID sotto forma di tabella (la sottocategoria per entrambi è). `Advanced stack components`
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries[?contains(Item,'ELB')].[Category,Item,Operation,ChangeTypeId]" --output table
```
```
---------------------------------------------------------------------
| CtSummaries |
+-----------+---------------------------+---------------------------+
| Deployment| Load balancer (ELB) stack | Create | ct-123h45t6uz7jl |
| Management| Load balancer (ELB) stack | Update | ct-0ltm873rsebx9 |
+-----------+---------------------------+---------------------------+
```
1. Trova la versione più recente del CT:
`ChangeTypeId`e`ChangeTypeVersion`: L'ID del tipo di modifica per questa procedura dettagliata è `ct-123h45t6uz7jl` (create ELB). Per scoprire l'ultima versione, esegui questo comando:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=ct-123h45t6uz7jl
```
1. Scopri le opzioni e i requisiti. Il comando seguente genera lo schema in un file JSON denominato CreateElbParams .json.
```
aws amscm get-change-type-version --change-type-id "ct-123h45t6uz7jl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateElbParams.json
```
1. Modifica e salva il file JSON dei parametri di esecuzione. Questo esempio nomina il file CreateElbParams .json.
Per un CT di provisioning, StackTemplateId è incluso nello schema e deve essere inviato nei parametri di esecuzione.
Per TimeoutInMinutes quanti minuti sono consentiti per la creazione dello stack prima che la RFC fallisca, questa impostazione non ritarderà l'esecuzione della RFC, ma è necessario concedere tempo sufficiente (ad esempio, non specificare «5"). I valori validi sono compresi tra «60" e «360", per CT con esecuzione prolungata UserData: Create EC2 e Create ASG. Consigliamo il valore massimo consentito di «60" per tutti gli altri tipi di provisioning. CTs
Fornisci l'ID del VPC in cui desideri creare lo stack; puoi ottenere l'ID VPC con il comando CLI. `aws amsskms list-vpc-summaries`
```
{
"Description": "ELB-Create-RFC",
"VpcId": "VPC_ID",
"StackTemplateId": "stm-sdhopv00000000000",
"Name": "MyElbInstance",
"TimeoutInMinutes": 60,
"Parameters": {
"ELBSubnetIds": ["SUBNET_ID"],
"ELBHealthCheckHealthyThreshold": 4,
"ELBHealthCheckInterval": 5,
"ELBHealthCheckTarget": "HTTP:80/",
"ELBHealthCheckTimeout": 60,
"ELBHealthCheckUnhealthyThreshold": 5,
"ELBScheme": false
}
}
```
1. Esporta il modello JSON RFC in un file nella cartella corrente denominata .json: CreateElbRfc
```
aws amscm create-rfc --generate-cli-skeleton > CreateElbRfc.json
```
1. Modifica e salva il file.json. CreateElbRfc Poiché hai creato i parametri di esecuzione in un file separato, rimuovi la `ExecutionParameters` riga. Ad esempio, puoi sostituire il contenuto con qualcosa del genere:
```
{
"ChangeTypeVersion": "2.0",
"ChangeTypeId": "ct-123h45t6uz7jl",
"Title": "Create ELB"
}
```
1. Crea la RFC. Il comando seguente specifica il file dei parametri di esecuzione e il file modello RFC:
```
aws amscm create-rfc --cli-input-json file://CreateElbRfc.json --execution-parameters file://CreateElbParams.json
```
Nella risposta si riceve l'ID della nuova RFC e si può utilizzare per inviare e monitorare la RFC. Finché non la invii, la RFC rimane nello stato di modifica e non si avvia.
## Suggerimenti
**Nota**
È possibile utilizzare AMS API/CLI per creare un RFC senza creare un file JSON RFC o un file JSON dei parametri di esecuzione CT. Per fare ciò, si usa il `create-rfc` comando e si aggiungono i parametri RFC e di esecuzione richiesti al comando, questo si chiama «Inline Create». Si noti che tutti i provisioning CTs hanno contenuto all'interno del `execution-parameters` blocco un `Parameters` array con i parametri della risorsa. I parametri devono avere le virgolette separate da una barra rovesciata (\$1).
L'altro metodo documentato per creare un RFC è chiamato «Template Create». Qui si crea un file JSON per i parametri RFC e un altro file JSON per i parametri di esecuzione e si inviano i due file con il comando. `create-rfc` Questi file possono fungere da modelli ed essere riutilizzati per future applicazioni. RFCs
Quando si crea RFCs con modelli, è possibile utilizzare un comando per creare il file JSON con i contenuti desiderati emettendo un comando come illustrato. I comandi creano un file denominato «parameters.json» con il contenuto mostrato; puoi anche usare questi comandi per creare il file JSON RFC.
# Clona RFCs (ricrea) con la console AMS
È possibile utilizzare la console AMS per clonare un RFC esistente.
Per clonare o ricreare un RFC utilizzando la console AMS, segui questi passaggi:
1. Trova la RFC pertinente. Dalla barra di navigazione a sinistra, fai clic su **RFCs**.
Si apre la RFCs dashboard.
1. Scorri le pagine fino a trovare la RFC che desideri clonare. Usa l'opzione **Filtro** per restringere l'elenco. Scegliete l'RFC che volete clonare.
Si apre la pagina dei dettagli RFC.
1. Fai clic su **Crea una copia**.
Viene visualizzata la pagina **Crea una richiesta di modifica** con tutte le opzioni impostate come nella RFC originale.
1. Apporta le modifiche che desideri. Per impostare opzioni aggiuntive, modificate l'opzione **Base** in **Avanzata**. Dopo aver impostato tutte le opzioni, scegliete **Invia**.
La pagina dei dettagli RFC attiva si apre con un nuovo ID RFC per l'RFC clonato e l'RFC clonato viene visualizzato nella dashboard RFC.
# Aggiorna RFCs
È possibile inviare nuovamente una RFC che è stata rifiutata o che non è ancora stata inviata aggiornando la RFC e quindi inviandola o inviandola nuovamente. Tieni presente che la RFCs maggior parte viene rifiutata perché lo specificato `RequestedStartTime` è passato prima dell'invio o perché lo specificato non TimeoutInMinutes è adeguato per eseguire la RFC (poiché TimeoutInMinutes non prolunga una RFC di successo, consigliamo di impostarlo sempre su almeno «60" e fino a «360" per un gruppo Amazon o EC2 Amazon Auto EC2 Scaling con tempi di esecuzione prolungati). UserData Questa sezione descrive come utilizzare la versione CLI del `UpdateRfc` comando per aggiornare un RFC con un nuovo parametro RFC o nuovi parametri utilizzando JSON con stringhe o un file di parametri aggiornato.
Questo esempio descrive l'utilizzo della versione CLI dell' UpdateRfc API AMS (vedi [Update RFC](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/update-rfc.html)). Sebbene esistano tipi di modifica per l'aggiornamento di alcune risorse (DNS privato e pubblico, stack di bilanciamento del carico e configurazione delle patch agli stack), non esiste un CT per aggiornare una RFC.
Ti consigliamo di inviare un'operazione alla volta. UpdateRfc Se invii più aggiornamenti, ad esempio su uno stack DNS, il tentativo di aggiornamento del DNS contemporaneamente potrebbe fallire.
DATI RICHIESTI`RfcId`: L'RFC che stai aggiornando.
DATI FACOLTATIVI`ExecutionParameters`: A meno che tu non stia aggiornando un campo non obbligatorio, ad esempio`Description`, invierai parametri di esecuzione modificati per risolvere i problemi che hanno causato il rifiuto o l'annullamento della RFC. Tutti i valori non nulli inviati sovrascrivono tali valori nella RFC originale.
1. Trova la relativa RFC rifiutata o annullata, puoi usare questo comando (puoi sostituire il valore con): `Canceled`
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Rejected
```
1. Puoi modificare uno qualsiasi dei seguenti parametri RFC:
```
{
"Description": "string",
"ExecutionParameters": "string",
"ExpectedOutcome": "string",
"ImplementationPlan": "string",
"RequestedEndTime": "string",
"RequestedStartTime": "string",
"RfcId": "string",
"RollbackPlan": "string",
"Title": "string",
"WorstCaseScenario": "string"}
```
Esempio di comando che aggiorna il campo Descrizione:
```
aws amscm update-rfc --description "AMSTestNoOpsActionRequired" --rfc-id "RFC_ID" --region us-east-1
```
Esempio di comando che aggiorna il ExecutionParameters VpcId campo:
```
aws amscm update-rfc --execution-parameters "{\"VpcId\":\"VPC_ID\"}" --rfc-id "RFC_ID" --region us-east-1
```
Comando di esempio che aggiorna la RFC con un file di parametri di esecuzione che contiene gli aggiornamenti; vedi esempio di file di parametri di esecuzione nel passaggio 2 di: [EC2 stack \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ec2-stack-create.html):
```
aws amscm update-rfc --execution-parameters file://CreateEc2ParamsUpdate.json --rfc-id "RFC_ID" --region us-east-1
```
1. Invia nuovamente la RFC utilizzando `submit-rfc` lo stesso ID RFC che hai utilizzato quando la RFC è stata creata per la prima volta:
```
aws amscm submit-rfc --rfc-id RFC_ID
```
Se la RFC ha esito positivo, non riceverai alcun messaggio di conferma o di errore sulla riga di comando.
1. Per monitorare lo stato della richiesta e visualizzare l'output di esecuzione, esegui il comando seguente.
```
aws amscm get-rfc --rfc-id RFC_ID
```
# Trova RFCs
## Trova una richiesta di modifica (RFC) con la console
Per trovare una RFC utilizzando la console AMS, segui questi passaggi.
**Nota**
Questa procedura si applica solo ai programmi pianificati RFCs, ovvero a coloro RFCs che non hanno utilizzato l'opzione **ASAP**.
1. Dalla barra di navigazione a sinistra, fai clic su **RFCs**.
Si apre il RFCs pannello di controllo.
1. Scorri l'elenco o usa l'opzione **Filtro** per rifinire l'elenco.
L'elenco RFC cambia in base ai criteri di filtro.
1. Scegli il link Oggetto per la RFC che desideri.
Viene visualizzata la pagina dei dettagli della RFC relativa a tale RFC con informazioni tra cui l'ID RFC.
1. Se ce ne sono molti RFCs nella dashboard, puoi utilizzare l'opzione **Filtro** per cercare tramite RFC:
+ **Oggetto**: l'oggetto o il titolo (nell'API/CLI) assegnato alla RFC al momento della creazione.
+ ID **RFC: l'identificatore** della RFC.
+ **Stato di attività**: se conosci lo stato RFC, puoi scegliere se **AwsOperatorAssigned**significare che un operatore sta attualmente esaminando la RFC, **AwsActionPending**ovvero che un operatore AMS deve eseguire qualcosa prima che l'esecuzione RFC possa procedere o **CustomerActionPending**che tu debba intraprendere qualche azione prima che l'esecuzione RFC possa procedere.
+ **Stato**: se conosci lo stato RFC, puoi scegliere tra:
+ **Pianificato**: RFCs erano programmati.
+ **Annullato: sono stati RFCs annullati**.
+ In corso: **in corso**. RFCs
+ **Operazione riuscita**: RFCs eseguita con successo.
+ ** RFCs Rifiutati**: sono stati rifiutati.
+ **Modifiche**: RFCs che vengono modificate.
+ **Fallimento**: RFCs quello non è riuscito.
+ **Approvazione in sospeso: RFCs non è possibile procedere fino all'approvazione** da parte tua o di AMS. In genere, ciò indica che è necessario approvare la RFC. Avrai ricevuto una notifica di servizio in merito nell'elenco delle richieste di assistenza.
+ **Tipo di modifica**: seleziona la **categoria**, la **sottocategoria**, l'**articolo** e **l'operazione** e l'ID del tipo di modifica verrà recuperato automaticamente.
+ Ora di **inizio richiesta o Ora** **di fine richiesta**: questa opzione di filtro consente di scegliere **Prima** o **Dopo**, quindi inserire una **data** e, facoltativamente, un'**ora (hh:mm e fuso orario**). Questo filtro funziona correttamente solo in base alla pianificazione RFCs (non al più presto). RFCs
+ **Stato****: **Pianificato**, **Annullato**, **In corso, Operativo **riuscito****, **Rifiutato**, **Modificato** o Non riuscito.**
+ **Oggetto**: l'oggetto (o il titolo, se la RFC è stata creata con l'API/CLI) che hai fornito alla RFC.
+ **ID del tipo di modifica**: utilizza l'identificatore per il tipo di modifica inviato con la RFC.
La ricerca consente di aggiungere i filtri, come mostrato nella schermata seguente.
![\[Search or filter options including Subject, RFC ID, Activity state, and various time-related fields.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/filterRfcAllOptions3.png)
1. Fai clic sul link Oggetto della RFC che desideri.
Si apre la pagina dei dettagli della RFC relativa a tale RFC con informazioni tra cui l'ID RFC.
## Individuazione di una richiesta di modifica (RFC) con la CLI
Puoi utilizzare più filtri per trovare una RFC.
Per verificare la versione del tipo di modifica, usa questo comando:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**Nota**
È possibile utilizzare qualsiasi `CreateRfc` parametro con qualsiasi RFC, indipendentemente dal fatto che faccia parte o meno dello schema per il tipo di modifica. Ad esempio, per ricevere notifiche quando lo stato RFC cambia, aggiungi questa riga `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` alla parte dei parametri RFC della richiesta (non ai parametri di esecuzione). Per un elenco di tutti i CreateRfc parametri, consulta l'[AMS Change Management API](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html) Reference.
Se non scrivi l'ID RFC e hai bisogno di trovarlo in un secondo momento, puoi utilizzare il sistema di gestione delle modifiche AMS (CM) per cercarlo e restringere i risultati con un filtro o una query.
1. Il [ListRfcSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRfcSummaries.html)funzionamento dell'API CM dispone di filtri. È possibile [filtrare](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_Filter.html) i risultati in base a `Attribute` e `Value` combinati in un'operazione AND logica oppure in base a un `Attribute``Condition`, a e`Values`.
**Filtraggio RFC**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/ex-rfc-find-col.html)
Esempi:
Per trovare tutto ciò che RFCs riguarda SQS (dove SQS è contenuto nella parte Item del CT), puoi usare questo comando: IDs
```
list-rfc-summaries --query 'RfcSummaries[?contains(Item.Name,`SQS`)].[Category.Id,Subcategory.Id,Type.Id,Item.Id,RfcId]' --output table
```
Il che restituisce qualcosa del genere:
```
----------------------------------------------------------------------------
| ListRfcSummaries |
+----------+--------------------------------+-------+-------+----------------+
|Deployment| Advanced Stack Components |SQS |Create |ct-123h45t6uz7jl|
|Management| Monitoring & Notification |SQS |Update |ct-123h45t6uz7jl|
+----------+--------------------------------+-------+-------+----------------+
```
Un altro filtro disponibile `list-rfc-summaries` è`AutomationStatusId`, da cercare RFCs , automatizzato o manuale:
```
aws amscm list-rfc-summaries --filter Attribute=AutomationStatusId,Value=Automated
```
Un altro filtro disponibile per `list-rfc-summaries` è `Title` (**Oggetto** nella console):
```
Attribute=Title,Value=RFC-TITLE
```
Esempio della nuova struttura di richiesta in JSON che restituisce RFCs dove:
+ (Il titolo CONTIENE la frase «Windows 2012" O «Amazon Linux») E
+ (È RfcStatusId UGUALE A «Successo» O "«) E InProgress
+ (20170101T000000Z <= <= 20170103T000000Z) E (<= 20170103T000000Z) RequestedStartTime ActualEndTime
```
{
"Filters": [
{
"Attribute": "Title",
"Values": ["Windows 2012", "Amazon Linux"],
"Condition": "Contains"
},
{
"Attribute": "RfcStatusId",
"Values": ["Success", "InProgress"],
"Condition": "Equals"
},
{
"Attribute": "RequestedStartTime",
"Values": ["20170101T000000Z", "20170103T000000Z"],
"Condition": "Between"
},
{
"Attribute": "ActualEndTime",
"Values": ["20170103T000000Z"],
"Condition": "Before"
}
]
}
```
**Nota**
Con versioni più avanzate, AMS `Filters` intende rendere obsoleti i seguenti campi in una prossima versione:
Valore: il campo Valore fa parte del campo Filtri. Utilizza il campo Valori che supporta funzionalità più avanzate.
RequestedEndTimeRange: utilizza l' RequestedEndTime interno del campo Filtri che supporta funzionalità più avanzate
RequestedStartTimeRange: Utilizza l' RequestedStartTime interno del campo Filtri che supporta funzionalità più avanzate.
[Per informazioni sull'utilizzo delle query CLI, vedere [Come filtrare l'output con l'opzione --query e il](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) riferimento al linguaggio di interrogazione, Specificazione. JMESPath ](http://jmespath.org/specification.html)
1. Se utilizzi la console AMS:
Vai alla pagina dell'**RFCs**elenco. Se necessario, puoi filtrare in base all'**oggetto** RFC, che è quello che hai inserito come RFC al `Title` momento della creazione.
## Suggerimenti
**Nota**
Questa procedura si applica solo ai programmi programmati RFCs, ovvero a quelli RFCs che non hanno utilizzato l'opzione **ASAP**.
# Annulla RFCs
È possibile annullare una RFC utilizzando la console o l'API/CLI AMS.
**Per annullare una RFC con la console, individua la RFC nell'elenco RFC, aprila e fai clic su Annulla.**
Dati richiesti:
+ `Reason`: Perché stai annullando la RFC.
+ `RfcId`: La RFC che stai annullando.
1. In genere si annulla una RFC subito dopo averla inviata (quindi l'ID RFC dovrebbe essere a portata di mano); in caso contrario, non sarebbe possibile annullarla a meno che non sia stata pianificata prima dell'ora di inizio specificata. Se hai bisogno di trovare l'ID RFC, puoi usare questo comando (puoi sostituirlo `Value` con un RFC `PendingApproval` approvato manualmente):
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Scheduled
```
1. Esempio di comando per annullare un RFC:
```
aws amscm cancel-rfc --reason "Bad Stack ID" --rfc-id "RFC_ID" --profile saml --region us-east-1
```
# Usa la console AMS con RFCs
La console AMS offre funzionalità che ti aiutano a creare e inviare RFCs con successo.
## Usa la pagina RFC List (Console)
La pagina con l'**RFCs**elenco delle console AMS offre le seguenti opzioni:
+ Ricerca RFC avanzata tramite un **filtro**. Per informazioni, consulta [Trova RFCs](ex-rfc-find-col.md).
+ **Ricerca dell'ultima volta che la RFC è stata modificata.** Questo valore rappresenta l'ultima volta che lo stato RFC è stato modificato.
+ **Visualizzazione dei dettagli RFC con l'oggetto RFC.** Scegliendo questo link si apre la pagina dei dettagli di quella RFC.
+ Visualizzazione dello stato RFC. Per informazioni, consultare, [Comprendi i codici di stato RFC](ex-rfc-status-codes.md)
![\[Pagina dell'elenco RFC.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/guiRfcListTable.png)
## Usa la creazione rapida RFC (console)
Usa la creazione rapida di schede RFC o la tabella degli elenchi oppure scegli i tipi di modifica in RFCs base alla classificazione.
Per ulteriori informazioni, consulta [Crea un RFC](ex-rfc-create-col.md).
## Aggiungi corrispondenza e allegati RFC (console)
È possibile aggiungere corrispondenza a una RFC dopo che è stata inviata e prima dell'approvazione, ad esempio mentre è nello stato "». PendingApproval Dopo l'approvazione di una RFC (nello stato «Programmato» o "InProgress«), la corrispondenza non può essere aggiunta, poiché potrebbe essere interpretata come una modifica alla richiesta. Una volta completata una RFC (nello stato «Annullato», «Rifiutato», «Successo» o «Errore»), la corrispondenza viene nuovamente abilitata, anche se la corrispondenza viene disattivata quando una RFC viene chiusa per più di 30 giorni.
**Nota**
Ogni corrispondenza è limitata a 5.000 caratteri.
**Limitazioni per gli allegati:**
+ Solo tre allegati per corrispondenza.
+ Limite di cinquanta allegati per RFC.
+ Ogni allegato deve avere una dimensione inferiore a 5 MB.
+ Sono accettati solo file di testo come testo in chiaro (`.txt`), valori separati da virgole (`.csv`), JSON () o YAML (`.json`). `.yaml` Nel caso del formato YAML, il file deve essere allegato utilizzando l'estensione del file. `.yaml`
**Nota**
I file di testo con contenuto XML sono proibiti. Se hai contenuti XML da condividere con AMS, utilizza una richiesta di servizio.
+ I nomi dei file sono limitati a 255 caratteri, con solo numeri, lettere, spazi, trattini (-), caratteri di sottolineatura (\$1) e punti (.).
+ L'aggiornamento e l'eliminazione degli allegati su un RFC non sono attualmente supportati.
Per aggiungere corrispondenza e allegati a una RFC, procedi nel seguente modo:
1. Nella console AMS, nella pagina dei dettagli RFC di una RFC, trova la sezione **Corrispondenza** in fondo alla pagina.
Prima di qualsiasi corrispondenza:
![\[Sezione di corrispondenza vuota.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/correspondence-rfc-detail-new.png)
Dopo un po' di corrispondenza:
![\[Sezione della corrispondenza che mostra il modulo di risposta e la corrispondenza ricevuta.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/correspondence-reply-form2.png)
1. Per aggiungere una nuova corrispondenza, digita il messaggio nella casella di testo **Rispondi**. Per allegare file relativi alla corrispondenza, scegli **Aggiungi allegato**, quindi scegli i file che desideri.
![\[Sezione di corrispondenza che mostra la casella dei commenti e gli allegati.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/correspondence-add-attachments.png)
1. **Quando hai finito, scegli Invia.**
La nuova corrispondenza, insieme ai collegamenti ai file allegati, viene visualizzata nell'elenco delle corrispondenze nella pagina dei dettagli RFC.
![\[Elenco della corrispondenza ricevuta.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/correspondence-list2.png)
# Configurazione delle notifiche e-mail RFC (console)
La pagina di creazione di **Requests for Change** della console AMS offre la possibilità di aggiungere indirizzi e-mail per ricevere notifiche sulle modifiche dello stato RFC:
![\[Aggiungi indirizzi e-mail per ricevere notifiche sulle modifiche dello stato RFC.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/emailNoticeOption2.png)
Inoltre, puoi aggiungere indirizzi e-mail per le notifiche relative a qualsiasi tipo di modifica, ad esempio:
```
aws amscm create-rfc --change-type-id
--change-type-version 1.0 --title "TITLE"
--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"
```
Aggiungi una riga (`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`) simile a qualsiasi tipo di modifica in linea o richiesta di modello nella parte dei parametri RFC della richiesta, non nella parte dei parametri.
# Scopri i parametri RFC più comuni
Di seguito sono riportati i parametri RFC che è necessario inviare e i parametri comunemente utilizzati in: RFCs
+ Informazioni sul tipo di modifica: ChangeTypeId e ChangeTypeVersion. Per un elenco del tipo di modifica IDs e dei numeri di versione, consulta [Change Type Reference](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html).
Esegui `list-change-type-classification-summaries` nella CLI con l'`query`argomento per restringere i risultati. Ad esempio, restringi i risultati per modificare i tipi che contengono «Access» nel `Item` nome.
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains (Item, 'access')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
Esegui `get-change-type-version` e specifica l'ID del tipo di modifica. Il comando seguente ottiene la versione CT per ct-2tylseo8rxfsc.
```
aws amscm get-change-type-version --change-type-id ct-2tylseo8rxfsc
```
+ Titolo: Un nome per la RFC; questo diventa l'**oggetto** della RFC nell'elenco RFC della console AMS ed è possibile cercarlo con il comando e un filtro su `GetRfc` `Title`
+ Pianificazione: se desideri una RFC pianificata, devi includere i `RequestedEndTime` parametri `RequestedStartTime` and o utilizzare l'opzione **Pianifica** questa modifica della console. Per un RFC **ASAP** (che viene eseguito non appena viene approvato), quando si utilizza la CLI, leave e null. `RequestedStartTime` `RequestedEndTime` **Quando usi la console, accetta l'opzione ASAP.**
Se `RequestedStartTime` viene omesso, la RFC viene rifiutata.
+ Fornitura CTs: i parametri di esecuzione o `Parameters` le impostazioni specifiche necessarie per il provisioning della risorsa. Essi variano notevolmente a seconda del CT.
+ Mancato provisioning CTs: quelli CTs che non forniscono una risorsa, come access CTs o Other \$1 Other, o delete stack, hanno parametri di esecuzione minimi e nessun blocco. `Parameters`
+ Alcuni richiedono RFCs anche che si specifichi uno `TimeoutInMinutes` o quanti minuti sono consentiti per la creazione dello stack prima che la RFC fallisca. I valori validi sono da 60 (minuti) a 360, per le esecuzioni a lungo termine. UserData Se l'esecuzione non può essere completata prima del superamento del `TimeoutInMinutes` limite, la RFC fallisce. Tuttavia, questa impostazione non ritarda l'esecuzione della RFC.
+ RFCs che creano istanze, come un bucket S3 o un ELB, generalmente forniscono uno schema che consente di aggiungere fino a sette tag (coppie chiave/valore). Puoi aggiungere altri tag al tuo bucket S3 inviando una RFC utilizzando Deployment \$1 Advanced stack components \$1 Tag \$1 Create change type (ct-3cx7we852p3af). EC2, EFS, RDS e gli schemi a più livelli (HA a due livelli e HA a un livello) consentono fino a cinquanta tag. I tag sono specificati nella parte dello schema. `ExecutionParameters` Fornire tag può essere di grande utilità. Per ulteriori informazioni, consulta [Tagging Your Amazon EC2 Resources](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).
Quando si utilizza la console AMS, è necessario aprire l'area di **configurazione aggiuntiva** per aggiungere tag.
**Suggerimento**
Molti schemi CT hanno un `Name` campo `Description` and nella parte superiore dello schema. Questi campi vengono utilizzati per denominare lo stack o il componente dello stack, non la risorsa che stai creando. Alcuni schemi offrono un parametro per denominare la risorsa che stai creando, altri no. Ad esempio, lo schema CT per Create EC2 stack non offre un parametro per denominare l' EC2 istanza. Per fare ciò, devi creare un tag con la chiave «Nome» e il valore di quello che vuoi che sia il nome. Se non crei un tag di questo tipo, l' EC2 istanza viene visualizzata nella EC2 console senza un attributo name.
## Utilizza l'opzione RFC AWS Region
L'API AMS e gli endpoint CLI (`amscm`e`amsskms`) sono attivi. `us-east-1` Se esegui la federazione con Security Assertion Markup Language (SAML), al momento dell'onboarding ti verranno forniti degli script che impostano la tua regione su us-east-1. AWS Se si utilizza SAML, non è necessario specificare l'opzione quando si impartisce un comando. `--region` Se il tuo SAML è configurato per utilizzare us-east-1 ma il tuo account non si trova in AWS quella regione, devi specificare la regione di registrazione dell'account quando impartisci altri comandi (ad esempio,). AWS `aws s3`
**Nota**
La maggior parte degli esempi di comandi forniti in questa guida non include l'opzione. `--region`
# Iscriviti all'e-mail quotidiana di RFC
Puoi registrarti per ricevere un'e-mail giornaliera che riepiloga l'attività RFC del tuo account nelle ultime 24 ore utilizzando la funzione RFC digest. La funzione RFC digest è un processo semplificato che riduce il numero di notifiche e-mail che ricevi relative al tuo account. RFCs Il digest RFC potrebbe ridurre la probabilità che tu perda azioni in attesa di risposta.
Per attivare la funzione RFC Digest, contatta il tuo AMS Cloud Service Delivery Manager (CSDM). Il CSDM ti sottoscrive. Puoi richiedere fino a 20 indirizzi e-mail (o alias) da includere nella tua mailing list di RFC Digest. L'attuale pianificazione delle e-mail è fissata alle 09:00 UTC-8.
Per disattivare la funzione RFC Digest, contatta il tuo CSDM con la tua richiesta.
Se non hai configurato RFC digest e desideri ricevere notifiche relative a te RFCs oppure se desideri informazioni più dettagliate su di te RFCs rispetto a quelle fornite dal digest RFC, utilizza il Change Management System per impostare notifiche di CloudWatch eventi o notifiche e-mail per ogni singolo RFC su cui desideri informazioni. [Per informazioni sulla configurazione delle notifiche RFC, consulta RFC State Change Notifications.](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)
Gli argomenti contenuti nel digest RFC includono quanto segue:
+ In attesa di approvazione da parte del cliente: elenchi RFCs con **PendingApproval**lo stato attuale, in attesa di approvazione da parte dell'utente
+ In attesa di risposta da parte del cliente: elenchi RFCs in attesa di risposta nella corrispondenza RFC
+ In attesa di approvazione o risposta da AWS: elenchi RFCs in attesa di risposta o approvazione da parte di AMS
+ **Completato: elenchi RFCs con stato di **successo****, non riuscito**, **annullato** e rifiutato**
Di seguito è riportato un esempio di digest RFC:
![\[Esempio di digest RFC\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/RFCDigestExample.png)
# Cosa sono i tipi di modifica?
Il tipo di modifica si riferisce all'azione eseguita da una richiesta di modifica (RFC) di AWS Managed Services (AMS) e comprende l'azione di modifica stessa e il tipo di modifica: manuale o automatizzata. AMS dispone di un'ampia raccolta di tipi di modifiche non utilizzati da altri servizi web Amazon. Utilizzi questi tipi di modifica quando invii una richiesta di modifica (RFC) per distribuire, gestire o accedere a risorse.
**Topics**
+ [Automatizzato e manuale CTs](ug-automated-or-manual.md)
+ [Requisiti di approvazione CT](constrained-unconstrained-ctis.md)
+ [Cambia tipo di versioni](ct-versions.md)
+ [Creare tipi di modifica](ct-creates.md)
+ [Aggiorna i tipi di modifica](ct-updates.md)
+ [Tipi di modifiche solo interni](ct-internals.md)
+ [Cambia gli schemi dei tipi](ct-schemas.md)
+ [Gestione delle autorizzazioni per i tipi di modifica](ct-permissions.md)
+ [Oscurazione di informazioni sensibili dai tipi di modifiche](ct-redaction.md)
+ [Ricerca di un tipo di modifica, utilizzando l'opzione di interrogazione](ug-find-ct-ex-section.md)
# Automatizzato e manuale CTs
Un vincolo sui tipi di modifica è che siano automatici o manuali, questo è l'`AutomationStatusId`attributo change type, chiamato **modalità di esecuzione** nella console AMS.
I tipi di modifica automatizzata hanno i risultati e i tempi di esecuzione previsti e vengono eseguiti attraverso il sistema automatizzato AMS, in genere entro un'ora o meno (ciò dipende in gran parte dalle risorse che il CT fornisce). I tipi di modifica manuale sono rari, ma vengono trattati in modo diverso perché richiedono che un operatore AMS agisca sulla RFC prima che questa possa essere eseguita. A volte ciò significa comunicare con il mittente della RFC, pertanto i tipi di modifica manuale richiedono tempi diversi per essere completati.
Per tutti gli orari programmati RFCs, viene scritto che un'ora di fine non specificata corrisponde all'ora specificata `RequestedStartTime` più l'attributo del tipo di modifica inviato. `ExpectedExecutionDurationInMinutes` Ad esempio, se `ExpectedExecutionDurationInMinutes` è «60" (minuti) e il valore specificato `RequestedStartTime` è `2016-12-05T14:20:00Z` (5 dicembre 2016 alle 4:20), l'ora di fine effettiva sarà impostata sul 5 dicembre 2016 alle 5:20. Per trovare il tipo di modifica `ExpectedExecutionDurationInMinutes` per uno specifico, esegui questo comando:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
**Nota**
Pianificato RFCs con **modalità di esecuzione** = Manuale, nella console, deve essere impostato per funzionare per almeno 24 ore nelle future settimane.
**Nota**
Quando si utilizza la CTs modalità manuale, AMS consiglia di utilizzare l'opzione ASAP **Scheduling** (scegliere **ASAP** nella console, lasciare vuote le date di inizio e fine nell'API/CLI) in quanto CTs richiedono che un operatore AMS esamini la RFC ed eventualmente comunichi con l'utente prima che possa essere approvata ed eseguita. Se li pianifichi RFCs, assicurati di attendere almeno 24 ore. Se l'approvazione non avviene prima dell'orario di inizio programmato, la RFC viene rifiutata automaticamente.
AMS intende rispondere a una TAC manuale entro quattro ore e risponderà il prima possibile, ma potrebbe essere necessario molto più tempo prima che la RFC venga effettivamente eseguita.
Per un elenco di quelli CTs che sono manuali e richiedono la revisione da parte di AMS, consulta il file CSV Change Type, disponibile nella pagina **Developer's Resources** della console.
**YouTube Video**: [Come posso trovare tipi di modifiche automatiche per AMS RFCs](https://www.youtube.com/watch?v=sOzDuCCOduI&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=2&t=1s)?
Per trovare la **modalità di esecuzione** per un CT nella console AMS, è necessario utilizzare l'opzione di ricerca **Sfoglia i tipi di modifica**. I risultati mostrano la modalità di esecuzione del tipo o dei tipi di modifica corrispondenti.
Per trovare un tipo di modifica specifico utilizzando la CLI AMS, esegui questo comando: `AutomationStatus`
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
Puoi anche cercare i tipi di modifica nell'[AMS Change Type Reference](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html), che fornisce informazioni su tutti i tipi di modifica AMS.
**Nota**
API/CLI Gli AMS non fanno attualmente parte di AWSAPI/CLI. To access the AMS API/CLI, è possibile scaricare l'SDK AMS tramite la console AMS.
# Requisiti di approvazione CT
AMS prevede CTs sempre due condizioni di approvazione, **AwsApprovalId**CustomerApprovalId****che indicano se la RFC richiede ad AMS o all'utente o a chiunque altro di approvare l'esecuzione.
La condizione di approvazione è in qualche modo correlata alla modalità di esecuzione; per i dettagli, vedere. [Automatizzato e manuale CTs](ug-automated-or-manual.md)
Per scoprire le condizioni di approvazione per un CT, puoi consultare l'[AMS Change Type Reference](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) o eseguire [GetChangeTypeVersion](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_GetChangeTypeVersion.html). Entrambi ti offriranno anche la **modalità CT `AutomationStatusId` o Execution**.
Puoi approvare RFCs utilizzando la console AMS o con il seguente comando:
```
aws amscm approve-rfc --rfc-id RFC_ID
```
**Condizione di approvazione CT**
| Se la condizione di approvazione CT è | Richiede l'approvazione di | And |
| --- | --- | --- |
| `AwsApprovalId: Required` | Il sistema AMS cambia tipo, | Nessuna operazione richiesta. Questa condizione è tipica dell'automazione CTs. |
| `AwsApprovalId: NotRequiredIfSubmitter` | Il sistema AMS cambia tipo e nessun altro, se la RFC inviata riguarda l'account con cui è stata presentata, | Nessuna operazione richiesta. Questa condizione è tipica dei manuali, in CTs quanto verranno sempre esaminati dagli operatori AMS. |
| `CustomerApprovalId: NotRequired` | Il sistema AMS Change Type, | Se la RFC supera i controlli della sintassi e dei parametri, viene approvata automaticamente. |
| `CustomerApprovalId: Required` | Il sistema AMS cambia tipo e tu, | All'utente viene inviata una notifica ed è necessario approvare esplicitamente la RFC, rispondendo all'avviso o eseguendo l'operazione. [ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html) |
| `CustomerApprovalId: NotRequiredIfSubmitter` | Il sistema AMS cambia tipo e nessun altro, se hai inviato la RFC. | Se la RFC supera i controlli della sintassi e dei parametri, viene approvata automaticamente. |
| Incidente o patch di sicurezza urgente | AMS | È approvato e implementato automaticamente. |
# Cambia tipo di versioni
I tipi di modifica vengono versionati e la versione cambia quando viene apportato un aggiornamento importante al tipo di modifica.
Dopo aver selezionato un tipo di modifica utilizzando la console AMS, è possibile aprire l'area di **configurazione aggiuntiva** e selezionare una versione del tipo di modifica. È inoltre possibile specificare una versione del tipo di modifica nella API/CLI riga di comando. Potresti volerlo fare per vari motivi, tra cui:
+ Sai che la versione del tipo di modifica **Aggiorna** che desideri deve corrispondere alla versione del tipo **Crea** modifica che hai usato per creare la risorsa che ora desideri aggiornare. Ad esempio, potresti avere un'istanza Elastic Load Balancer (ELB) creata con ELB Create change type versione 1. Per aggiornarla, scegli ELB Update versione 1.
+ Desiderate utilizzare una versione del tipo di modifica con opzioni diverse rispetto al tipo di modifica più recente. Non lo consigliamo perché AMS aggiorna i tipi di modifica principalmente per motivi di sicurezza e ti consigliamo di scegliere sempre la versione più recente.
# Creare tipi di modifica
I tipi di modifica di creazione corrispondono ai tipi version-to-version di modifica di aggiornamento. In altre parole, la versione del tipo di modifica utilizzata per il provisioning di una risorsa deve corrispondere alla versione del tipo di modifica Update che verrà utilizzata in seguito per modificare tale risorsa. Ad esempio, se crei un bucket S3 con il tipo di modifica Create S3 Bucket versione 2.0 e successivamente desideri inviare una RFC per modificare quel bucket S3, devi utilizzare anche il tipo di modifica Update S3 Bucket versione 2.0, anche se esiste un tipo di modifica Update S3 Bucket con la versione 3.0.
Ti consigliamo di tenere traccia dell'ID del tipo di modifica e della versione che utilizzi quando fornisci a una risorsa il tipo Crea modifica nel caso in cui in seguito desideri utilizzare un tipo di modifica Aggiorna per modificarla.
# Aggiorna i tipi di modifica
AMS fornisce i tipi di modifica di aggiornamento per aggiornare le risorse create con Create change types. I tipi di modifica Update devono corrispondere version-to-version al tipo Create change originariamente utilizzato per fornire la risorsa.
Ti consigliamo di tenere traccia del tipo di modifica, dell'ID e della versione utilizzati per il provisioning di una risorsa per facilitarne l'aggiornamento.
**YouTube Video**: [Come posso utilizzare l'aggiornamento CTs per modificare le risorse in un account AWS Managed Services (AMS)?](https://www.youtube.com/watch?v=dqb31yaAXhc&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=8&t=30s)
# Tipi di modifiche solo interni
È possibile visualizzare i tipi di modifica solo per uso interno. In questo modo saprai quali azioni può o fa AMS. Se desideri rendere disponibile un tipo di modifica esclusivamente interno, invia una richiesta di assistenza.
Ad esempio, esiste una funzione Gestione \$1 Monitoraggio e notifica \$1 soppressione degli CloudWatch allarmi \$1 Update CT che è solo interna. AMS lo utilizza per implementare gli aggiornamenti dell'infrastruttura (come l'applicazione di patch) per disattivare le notifiche di allarme che gli aggiornamenti potrebbero attivare erroneamente. Una volta inviato questo CT, noterai la relativa RFC nell'elenco delle RFC. Qualsiasi CT esclusivamente interno implementato in una RFC viene visualizzato nell'elenco RFC.
# Cambia gli schemi dei tipi
Tutti i tipi di modifica forniscono uno schema JSON per l'input dell'utente nella creazione, modifica o accesso alle risorse. Lo schema fornisce i parametri e le relative descrizioni per la creazione di una richiesta di modifica (RFC).
L'esecuzione corretta di una RFC genera un output di esecuzione. Per il provisioning RFCs, l'output di esecuzione include un «stack\$1id» che rappresenta lo stack in CloudFormation e può essere cercato nella console. CloudFormation L'output di esecuzione a volte include l'output dell'ID dell'istanza creata e tale ID può essere utilizzato per cercare l'istanza nella console AWS corrispondente. Ad esempio, l'output di esecuzione Create ELB CT include uno «stack\$1id» ricercabile in CloudFormation e restituisce un valore key=ELB value= che è ricercabile nella console Amazon per Elastic Load Balancing. EC2
Esaminiamo uno schema CT. Questo è lo schema di CodeDeploy Application Create, uno schema abbastanza piccolo. Alcuni schemi hanno `Parameter` aree molto ampie.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/ct-schemas.html)
**Nota**
Questo schema consente fino a sette tag; tuttavia, EFS EC2, RDS e gli schemi di creazione multilivello consentono fino a 50 tag.
# Gestione delle autorizzazioni per i tipi di modifica
È possibile utilizzare una politica personalizzata per limitare i tipi di modifica (CTs) disponibili per diversi gruppi o utenti.
Per ulteriori informazioni su questa operazione, consulta la sezione [Impostazione delle autorizzazioni](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-permissions.html) nella Guida per l'utente AMS.
# Oscurazione di informazioni sensibili dai tipi di modifiche
Gli schemi dei tipi di modifica AMS offrono un attributo di parametro, `"metadata":"ams:sensitive":"true"` che viene utilizzato per i parametri che potrebbero contenere informazioni riservate, come una password. Quando questo attributo è impostato, l'input fornito è oscurato. Tieni presente che non puoi impostare questo attributo del parametro; tuttavia, se stai lavorando con AMS per creare un tipo di modifica e desideri che un parametro venga oscurato all'input, puoi richiederlo.
# Ricerca di un tipo di modifica, utilizzando l'opzione di interrogazione
Questo esempio dimostra come utilizzare la console AMS per trovare il tipo di modifica appropriato per la RFC che si desidera inviare.
Puoi utilizzare la console o il API/CLI per trovare un ID del tipo di modifica (CT) o una versione. Esistono due metodi: la ricerca o la scelta della classificazione. Per entrambi i tipi di selezione, è possibile ordinare la ricerca scegliendo Usato **più di frequente, Usato** **più di recente** o **Alfabetico**.
**YouTube Video**: [Come posso creare una RFC utilizzando la CLI di AWS Managed Services e dove posso trovare lo schema CT](https://www.youtube.com/watch?v=IluDFwnJJFU&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=3&t=150s)?
Nella console AMS, nella **RFCs**pagina -> **Crea RFC:**
+ Con l'opzione **Sfoglia per tipo di modifica** selezionata (impostazione predefinita), puoi:
+ Utilizza l'area di **creazione rapida** per selezionare tra i più diffusi di AMS CTs. Fai clic su un'etichetta e si apre la pagina **Esegui RFC** con l'opzione **Oggetto** compilata automaticamente per te. Completa le opzioni rimanenti secondo necessità e fai clic su **Esegui** per inviare la RFC.
+ In alternativa, scorri verso il basso fino all'area **Tutti i tipi di modifica** e inizia a digitare un nome CT nella casella delle opzioni, non è necessario avere il nome esatto o completo del tipo di modifica. Puoi anche cercare un CT in base alla modifica dell'ID del tipo, alla classificazione o alla modalità di esecuzione (automatica o manuale) inserendo le parole pertinenti.
Con la visualizzazione **Carte** predefinita selezionata, le schede CT corrispondenti vengono visualizzate durante la digitazione, seleziona una scheda e fai clic su **Crea RFC**. Con la vista **Tabella** selezionata, scegli il CT pertinente e fai clic su **Crea RFC**. Entrambi i metodi aprono la pagina **Run RFC**.
+ In alternativa, e per esplorare le opzioni di modifica, fai clic su **Scegli per categoria nella** parte superiore della pagina per aprire una serie di caselle di opzioni a discesa.
+ **Scegli una **categoria**, una **sottocategoria**, un **articolo** e un'operazione.** Viene visualizzata la casella delle informazioni per quel tipo di modifica e nella parte inferiore della pagina viene visualizzato un pannello.
+ Quando sei pronto, premi **Invio** per visualizzare un elenco dei tipi di modifica corrispondenti.
+ Scegli un tipo di modifica dall'elenco. La casella delle informazioni per quel tipo di modifica viene visualizzata nella parte inferiore della pagina.
+ Dopo aver impostato il tipo di modifica corretto, scegli **Crea RFC**.
**Nota**
Affinché questi comandi funzionino, è necessario installare l'AMS CLI. Per installare l'API o la CLI AMS, vai alla pagina **Risorse per gli sviluppatori** della console AMS. Per il materiale di riferimento sull'API AMS CM o sull'API AMS SKMS, consulta la sezione AMS Information Resources nella Guida per l'utente. Potrebbe essere necessario aggiungere un'`--profile`opzione per l'autenticazione, `aws amsskms ams-cli-command --profile SAML` ad esempio. Potrebbe essere necessario aggiungere l'`--region`opzione anche perché tutti i comandi AMS non utilizzano us-east-1, ad esempio. `aws amscm ams-cli-command --region=us-east-1`
**Nota**
Gli endpoint AMS API/CLI (amscm e amsskms) si trovano nella regione AWS della Virginia settentrionale,. `us-east-1` A seconda di come è impostata l'autenticazione e della regione AWS in cui si trovano l'account e le risorse, potrebbe essere necessario aggiungerli `--region us-east-1` quando si emettono i comandi. Potrebbe anche essere necessario aggiungere`--profile saml`, se questo è il metodo di autenticazione utilizzato.
Per cercare un tipo di modifica utilizzando l'API AMS CM (vedi [ListChangeTypeClassificationSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html)) o la CLI:
Puoi utilizzare un filtro o una query per effettuare la ricerca. L' ListChangeTypeClassificationSummaries operazione dispone delle opzioni di [filtro](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html#amscm-ListChangeTypeClassificationSummaries-request-Filters) per `Category``Subcategory`,`Item`, e`Operation`, ma i valori devono corrispondere esattamente ai valori esistenti. Per risultati più flessibili quando si utilizza la CLI, è possibile utilizzare l'`--query`opzione.
**Filtraggio dei cambi di tipo con l'API/CLI AMS CM**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/ug-find-ct-ex-section.html)
1. Ecco alcuni esempi di classificazione dei tipi di modifica delle inserzioni:
Il comando seguente elenca tutte le categorie dei tipi di modifica.
```
aws amscm list-change-type-categories
```
Il comando seguente elenca le sottocategorie appartenenti a una categoria specificata.
```
aws amscm list-change-type-subcategories --category CATEGORY
```
Il comando seguente elenca gli elementi appartenenti a una categoria e sottocategoria specificate.
```
aws amscm list-change-type-items --category CATEGORY --subcategory SUBCATEGORY
```
1. Ecco alcuni esempi di ricerca dei tipi di modifica con le query CLI:
Il comando seguente cerca nei riepiloghi delle classificazioni CT quelli che contengono «S3" nel nome dell'elemento e crea l'output della categoria, della sottocategoria, dell'elemento, dell'operazione e dell'ID del tipo di modifica sotto forma di tabella.
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains(Item, 'S3')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
```
+---------------------------------------------------------------+
| ListChangeTypeClassificationSummaries |
+----------+-------------------------+--+------+----------------+
|Deployment|Advanced Stack Components|S3|Create|ct-1a68ck03fn98r|
+----------+-------------------------+--+------+----------------+
```
1. È quindi possibile utilizzare l'ID del tipo di modifica per ottenere lo schema CT ed esaminare i parametri. Il comando seguente genera lo schema in un file JSON denominato Creates3Params.schema.json.
```
aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateS3Params.schema.json
```
[Per informazioni sull'utilizzo delle query CLI, vedere [Come filtrare l'output con l'opzione --query e il](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter) riferimento al linguaggio di interrogazione, Specificazione. JMESPath ](http://jmespath.org/specification.html)
1. Dopo aver ottenuto l'ID del tipo di modifica, ti consigliamo di verificare la versione del tipo di modifica per assicurarti che sia la versione più recente. Usa questo comando per trovare la versione per un tipo di modifica specificato:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CHANGE_TYPE_ID
```
Per trovare la versione `AutomationStatus` per un tipo di modifica specifico, esegui questo comando:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
Per trovare il tipo di modifica `ExpectedExecutionDurationInMinutes` per un tipo di modifica specifico, esegui questo comando:
```
aws amscm --profile saml get-change-type-version --change-type-id ct-14027q0sjyt1h --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
# Risoluzione degli errori RFC in AMS
Molti errori RFC relativi al provisioning di AMS possono essere esaminati tramite la documentazione. CloudFormation Vedi [Risoluzione dei problemi di AWS CloudFormation: Risoluzione degli errori](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors)
Ulteriori suggerimenti per la risoluzione dei problemi sono forniti nelle seguenti sezioni.
## Errori RFC di «gestione» in AMS
I tipi di cambio di categoria AMS «Management» (CTs) consentono di richiedere l'accesso alle risorse e di gestire le risorse esistenti. Questa sezione descrive alcuni problemi comuni.
### Errori di accesso RFC
+ Assicurati che il nome utente e il nome di dominio completo che hai specificato nella RFC siano corretti e che esistano nel dominio. [Per informazioni su come trovare il tuo FQDN, vedi Ricerca del tuo FQDN.](https://docs.aws.amazon.com/managedservices/latest/userguide/find-FQDN.html)
+ Assicurati che l'ID dello stack che hai specificato per l'accesso sia uno stack relativo a EC2. Gli stack come ELB e Amazon Simple Storage Service (S3) non sono candidati RFCs all'accesso, ma utilizza il tuo ruolo di accesso di sola lettura per accedere a queste risorse degli stack. [Per assistenza nella ricerca di un ID dello stack, consulta Finding stack IDs](https://docs.aws.amazon.com/managedservices/latest/userguide/find-stack.html)
+ Assicurati che l'ID dello stack che hai fornito sia corretto e appartenga all'account pertinente.
[Per informazioni su altri errori RFC di accesso, consulta Gestione degli accessi.](https://docs.aws.amazon.com/managedservices/latest/userguide/access-mgmt.html)
**YouTube Video**: [Come posso inviare correttamente una Request for Change (RFC) per evitare rifiuti ed errori](https://www.youtube.com/watch?v=IFOn4Q-5Cas&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=5&t=242s)?
### Errori di pianificazione CT RFC (manuale)
La maggior parte dei tipi di modifica sono ExecutionMode =Automatizzati, ma alcuni sono ExecutionMode =Manuali e ciò influisce sulla modalità di pianificazione per evitare errori RFC.
Pianificato RFCs con ExecutionMode =Manual, deve essere impostato per essere eseguito almeno 24 ore nelle future se si utilizza la console AMS per creare la RFC.
AMS mira a rispondere a una CT manuale entro otto ore e risponderà il prima possibile, ma potrebbe essere necessario molto più tempo prima che la RFC venga effettivamente eseguita.
### Utilizzo RFCs con aggiornamento manuale CTs
AMS Operations reject Management \$1 Other \$1 Other RFCs per gli aggiornamenti agli stack, quando esiste un tipo di modifica Update per il tipo di stack che si desidera aggiornare.
### Errori di eliminazione dello stack RFC
Errori di eliminazione dello stack RFC: se utilizzi Management \$1 Standard stacks \$1 Stack \$1 Delete CT, vedrai gli eventi dettagliati nella Console per lo stack con il nome dello stack AMS. CloudFormation Puoi identificare lo stack confrontandolo con il nome che ha nella console AMS. La CloudFormation console fornisce maggiori dettagli sulle cause dei guasti.
Prima di eliminare uno stack, dovresti considerare come è stato creato lo stack. Se avete creato lo stack utilizzando un CT AMS e non avete aggiunto o modificato le risorse dello stack, potete aspettarvi di eliminarlo senza problemi. Tuttavia, è una buona idea rimuovere tutte le risorse aggiunte manualmente da uno stack prima di inviare un RFC dello stack di eliminazione relativo allo stack. Ad esempio, se crei uno stack utilizzando lo stack CT completo (HA Two Tier), include un gruppo di sicurezza -. SG1 Se poi usi AMS per creare un altro gruppo di sicurezza e fai riferimento al nuovo SG2 gruppo SG1 creato come parte dello stack completo, e poi usi lo stack di eliminazione CT per eliminare lo stack, non SG1 verrà eliminato in quanto è referenziato da. SG2 SG2
**Importante**
L'eliminazione degli stack può avere conseguenze indesiderate e impreviste. Per questo motivo, AMS preferisce \$1non\$1 eliminare gli stack o le risorse dello stack per conto dei clienti. Tieni presente che AMS eliminerà solo le risorse per tuo conto (tramite un tipo di modifica inviato in Gestione \$1 Altro \$1 Altro \$1 Aggiorna) che non è possibile eliminare utilizzando il tipo di modifica appropriato e automatizzato da eliminare. Ulteriori considerazioni:
Se le risorse sono abilitate per la «protezione da eliminazione», AMS può aiutarti a sbloccarla inviando un tipo di modifica Gestione \$1 Altro \$1 Altro \$1 Aggiorna e, dopo aver rimosso la protezione da eliminazione, puoi utilizzare il CT automatico per eliminare quella risorsa.
[Se ci sono più risorse in uno stack e desideri eliminare solo un sottoinsieme delle risorse dello stack, usa il tipo di modifica CloudFormation Update (vedi Ingest Stack: Updating). CloudFormation ](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html) Puoi anche inviare un tipo di modifica Management \$1 Other \$1 Other \$1 Update e gli ingegneri AMS possono aiutarti a creare il changeset, se necessario.
In caso di problemi nell'utilizzo di CloudFormation Update CT dovuti a deviazioni, AMS può aiutarti inviando un Management \$1 Other \$1 Other \$1 Update per risolvere la deriva (nella misura supportata dal CloudFormation servizio AWS) e fornirne uno ChangeSet da convalidare ed eseguire utilizzando CT, Management/Custom Stack/Stack From CloudFormation Template/Approve Changeset e Update automatizzati.
AMS mantiene le restrizioni di cui sopra per garantire che non si verifichino eliminazioni di risorse impreviste o impreviste.
Per ulteriori informazioni, consulta [Risoluzione dei problemi di AWS CloudFormation: delete stack fail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails).
### Errori DNS di aggiornamento RFC
L'aggiornamento multiplo RFCs di una zona ospitata DNS può fallire, in alcuni casi senza motivo. La creazione RFCs simultanea di più zone ospitate dal DNS per aggiornare (private o pubbliche) può causare il fallimento RFCs di alcune zone perché stanno tentando di aggiornare lo stesso stack contemporaneamente. La gestione delle modifiche AMS rifiuta o RFCs fallisce chi non è in grado di aggiornare uno stack perché lo stack è già aggiornato da un'altra RFC. AMS consiglia di creare una RFC alla volta e di attendere che la RFC abbia esito positivo prima di crearne una nuova per lo stesso stack.
### Errori delle entità RFC IAM
AMS fornisce una serie di ruoli e profili IAM predefiniti negli account AMS progettati per soddisfare le tue esigenze. Tuttavia, potrebbe essere necessario richiedere occasionalmente risorse IAM aggiuntive.
Il processo di invio della RFCs richiesta di risorse IAM personalizzate segue il flusso di lavoro standard per il manuale RFCs, ma il processo di approvazione include anche una revisione della sicurezza per garantire che siano in atto controlli di sicurezza appropriati. Pertanto, il processo richiede in genere più tempo rispetto ad altri manuali. RFCs Per ridurre il tempo di ciclo di questi RFCs, segui le seguenti linee guida.
Per informazioni su cosa intendiamo per revisione IAM e su come corrisponda ai nostri standard tecnici e al processo di accettazione dei rischi, consulta[Comprendi le revisioni sulla sicurezza RFC](rfc-security.md).
Richieste comuni di risorse IAM:
+ Se stai chiedendo una policy relativa a una delle principali applicazioni compatibili con il cloud, ad esempio CloudEndure, consulta la CloudEndure policy IAM preapprovata da AMS: decomprimi il file di esempio [WIGs Cloud Endure Landing](samples/wigs-ce-lz-examples.zip) Zone e apri il `customer_cloud_endure_policy.json`
**Nota**
Se desideri una policy più permissiva, discuti le tue esigenze e richiedi, se necessario, un'AMS Security Review CloudArchitect/CSDM and Signoff prima di inviare una RFC che implementi la policy.
+ Se desideri modificare di default una risorsa distribuita da AMS nel tuo account, ti consigliamo di richiedere una copia modificata di quella risorsa anziché modificare quella esistente.
+ Se richiedi le autorizzazioni per un utente umano (anziché assegnarle all'utente), allega le autorizzazioni a un ruolo, quindi concedi all'utente il permesso di assumere quel ruolo. Per maggiori dettagli su questa operazione, consulta Accesso [temporaneo](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html) alla console AMS Advanced.
+ Se hai bisogno di autorizzazioni eccezionali per una migrazione o un flusso di lavoro temporanei, fornisci una data di fine per tali autorizzazioni nella richiesta.
+ Se avete già discusso l'argomento della richiesta con il team addetto alla sicurezza, fornite al CSDM una prova della loro approvazione nel modo più dettagliato possibile.
Se AMS rifiuta una RFC IAM, forniamo un motivo chiaro per il rifiuto. Ad esempio, potremmo rifiutare una policy IAM, creare una richiesta e spiegare quali aspetti della policy sono inappropriati. In tal caso, puoi apportare le modifiche identificate e inviare nuovamente la richiesta. Se è necessaria maggiore chiarezza sullo stato di una richiesta, invia una richiesta di assistenza o contatta il tuo CSDM.
L'elenco seguente descrive i rischi tipici che AMS cerca di mitigare mentre esaminiamo il vostro IAM. RFCs Se la tua RFC IAM presenta uno di questi rischi, ciò potrebbe comportare il rifiuto della RFC. Nei casi in cui è necessaria un'eccezione, AMS richiede l'approvazione del team di sicurezza. Per cercare un'eccezione di questo tipo, contattate il vostro CSDM.
**Nota**
AMS può, per qualsiasi motivo, rifiutare qualsiasi modifica alle risorse IAM all'interno di un account. Per dubbi riguardanti il rifiuto di una RFC, contatta AMS Operations tramite una richiesta di assistenza o contatta il tuo CSDM.
+ Aumento dei privilegi, ad esempio autorizzazioni che consentono di modificare le proprie autorizzazioni o di modificare le autorizzazioni di altre risorse all'interno dell'account. Esempi:
+ L'uso di con un altro ruolo più `iam:PassRole` privilegiato.
+ Autorizzazione alle politiche attach/detach IAM da parte di un ruolo o di un utente.
+ La modifica delle politiche IAM nell'account.
+ La capacità di effettuare chiamate API nel contesto dell'infrastruttura di gestione.
+ Autorizzazioni per modificare risorse o applicazioni necessarie per fornirti i servizi AMS. Esempi:
+ Modifica dell'infrastruttura AMS come i bastions, l'host di gestione o l'infrastruttura EPS.
+ Eliminazione delle funzioni o dei flussi di log di gestione dei log di AWS Lambda.
+ L'eliminazione o la modifica dell'applicazione di CloudTrail monitoraggio predefinita.
+ La modifica di Directory Services Active Directory (AD).
+ Disabilitazione degli CloudWatch allarmi (CW).
+ La modifica dei principi, delle politiche e dei namespace implementati nell'account come parte della landing zone.
+ Implementazione dell'infrastruttura al di fuori delle migliori pratiche, ad esempio autorizzazioni che consentono la creazione di infrastrutture in uno stato che mette a rischio la sicurezza delle informazioni. Esempi:
+ La creazione di bucket S3 pubblici o non crittografati o la condivisione pubblica di volumi EBS.
+ Fornitura di indirizzi IP pubblici.
+ La modifica dei gruppi di sicurezza per consentire un ampio accesso.
+ Autorizzazioni eccessivamente ampie in grado di influire sulle applicazioni, ad esempio autorizzazioni che possono causare perdita di dati, perdita di integrità, configurazione inappropriata o interruzioni del servizio per l'infrastruttura e le applicazioni all'interno dell'account. Esempi:
+ Disabilitazione o reindirizzamento del traffico di rete tramite like or. APIs `ModifyNetworkInterfaceAttribute` `UpdateRouteTable`
+ La disabilitazione dell'infrastruttura gestita mediante il distacco dei volumi dagli host gestiti.
+ Le autorizzazioni per i servizi non fanno parte della descrizione del servizio AMS e non sono supportate da AMS.
I servizi non elencati nella descrizione del servizio AMS non possono essere utilizzati negli account AMS. Per richiedere assistenza per una funzionalità o un servizio, contatta il tuo CSDM.
+ Autorizzazioni che non soddisfano l'obiettivo dichiarato in quanto troppo generose o troppo conservative o applicate a risorse sbagliate. Esempi:
+ Una richiesta di `s3:PutObject` autorizzazioni per un bucket S3 con crittografia KMS obbligatoria, senza `KMS:Encrypt` autorizzazioni per la chiave pertinente.
+ Autorizzazioni relative a risorse che non esistono nell'account.
+ IAM RFCs in cui la descrizione della RFC non sembra corrispondere alla richiesta.
## Errori RFC di «implementazione»
I tipi di cambio di categoria AMS «Deployment» (CTs) consentono di richiedere l'aggiunta di varie risorse supportate da AMS al proprio account.
La maggior parte degli AMS CTs che creano una risorsa si basano su CloudFormation modelli. In qualità di cliente hai accesso in sola lettura a tutti i servizi AWS CloudFormation, tra cui puoi identificare rapidamente lo CloudFormation stack che rappresenta il tuo stack in base alla descrizione dello stack utilizzando la Console. CloudFormation Lo stack fallito sarà probabilmente nello stato DELETE\$1COMPLETE. Una volta identificato lo CloudFormation stack, gli eventi mostreranno la risorsa specifica che non è stata creata e il motivo.
### Utilizzo della CloudFormation documentazione per la risoluzione dei problemi
La maggior parte del provisioning AMS RFCs utilizza un CloudFormation modello e tale documentazione può essere utile per la risoluzione dei problemi. Consulta la documentazione relativa a quel CloudFormation modello:
+ Errore di creazione del sistema di bilanciamento del carico delle applicazioni: [ AWS::ElasticLoadBalancingV2::LoadBalancer (Application Load](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html) Balancer)
+ Crea gruppo di Auto Scaling: [ AWS::AutoScaling::AutoScalingGroup (Auto Scaling](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-group.html) Group)
+ [Crea cache memcached: AWS::ElastiCache::CacheCluster (Cache Cluster)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ Crea cache Redis: [ AWS::ElastiCache::CacheCluster (Cache Cluster)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html)
+ [Crea zona ospitata DNS (utilizzata con Create DNS private/public): (R53 Hosted Zone) AWS::Route53::HostedZone ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html)
+ [Crea set di record DNS (utilizzato con Create DNS private/public): (Resource Record Sets) AWS::Route53::RecordSet ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-route53-recordset.html)
+ [Crea stack EC2: (Elastic Compute Cloud) AWS::EC2::Instance ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html)
+ Crea un file system elastico (EFS): [ AWS::EFS::FileSystem (Elastic File System)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-efs-filesystem.html)
+ Crea un sistema di bilanciamento del carico: [ AWS::ElasticLoadBalancing::LoadBalancer (Elastic Load](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html) Balancer)
+ Crea DB RDS: [ AWS::RDS::DBInstance (database relazionale)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-rds-database-instance.html)
+ Crea Amazon S3: [ AWS::S3::Bucket (Servizio di storage semplice)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket.html)
+ Crea coda: [ AWS::SQS::Queue (Simple Queue](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sqs-queues.html) Service)
### Errori di creazione di RFC AMIs
Un'Amazon Machine Image (AMI) è un modello che contiene una configurazione software (ad esempio un sistema operativo, un server di applicazioni e le applicazioni). Da un'AMI, puoi avviare un'istanza, ovvero una copia dell'AMI in esecuzione come server virtuale nel cloud. Le AMI sono molto utili e necessarie per creare istanze EC2 o gruppi di Auto Scaling; tuttavia, è necessario rispettare alcuni requisiti:
+ L'istanza specificata `Ec2InstanceId` deve trovarsi in uno stato interrotto affinché la RFC abbia esito positivo. Non utilizzate istanze del gruppo Auto Scaling (ASG) per questo parametro perché l'ASG terminerà un'istanza interrotta.
+ Per creare un'Amazon Machine Image (AMI) AMS, devi iniziare con un'istanza AMS. Prima di poter utilizzare l'istanza per creare l'AMI, è necessario prepararla assicurandosi che venga interrotta e disconnessa dal relativo dominio. Per i dettagli, consulta [Creare un'immagine di macchina Amazon standard utilizzando Sysprep](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html#23ami-create-standard)
+ Il nome specificato per la nuova AMI deve essere univoco all'interno dell'account, altrimenti la RFC fallirà. La procedura per eseguire questa operazione è descritta in [AMI \$1 Create](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html) e per ulteriori dettagli, consulta [AWS AMI Design](https://aws.amazon.com/answers/configuration-management/aws-ami-design/).
**Nota**
Per ulteriori informazioni sulla preparazione per la creazione di AMI, consulta [AMI \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html) Create.
### RFCs creazione di errori EC2s ASGs
Per i guasti EC2 o ASG con timeout, AMS consiglia di confermare se l'AMI utilizzato è personalizzato. In tal caso, consulta la procedura di creazione dell'AMI inclusa in questa guida (vedi [AMI \$1 Crea](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)) per assicurarti che l'AMI sia stata creata correttamente. Un errore comune quando si crea un'AMI personalizzata è non seguire i passaggi indicati nella guida per rinominare o richiamare Sysprep.
### RFCs creazione di errori RDS
I guasti di Amazon Relational Database Service (RDS) possono verificarsi per molte ragioni diverse, perché è possibile utilizzare molti motori diversi quando si crea l'RDS e ogni motore ha i propri requisiti e limitazioni. [Prima di tentare di creare uno stack AMS RDS, esamina attentamente i valori dei parametri AWS RDS, consulta Create. DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)
Per ulteriori informazioni su Amazon RDS in generale, incluse le raccomandazioni sulle dimensioni, consulta la documentazione di [Amazon Relational Database Service](https://aws.amazon.com/documentation/rds/).
### RFCs creazione di errori Amazon S3s
Un errore comune durante la creazione di un bucket di archiviazione S3 è il mancato utilizzo di un nome univoco per il bucket. Se hai inviato un bucket S3 Create CT con lo stesso nome di uno inviato in precedenza, non riuscirebbe perché esisterebbe già un bucket S3 con quello stesso nome. BucketName Questo verrebbe descritto in dettaglio nella CloudFormation Console, dove vedrai che l'evento stack mostra che il nome del bucket è già in uso.
## Validazione RFC rispetto agli errori di esecuzione
Gli errori RFC e i messaggi correlati differiscono nei messaggi di output nella pagina dei dettagli RFC della console AMS per un RFC selezionato:
+ I motivi degli errori di convalida sono disponibili solo nel campo Status
+ I motivi degli errori di esecuzione sono disponibili in Execution Output e Status Fields.
![\[Request for change details showing rejected status due to no domain trust found.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/rfcReason.png)
## Messaggi di errore RFC
Quando riscontri il seguente errore per i tipi di modifica elencati (CTs), puoi utilizzare queste soluzioni per individuare l'origine dei problemi e risolverli.
`{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}`
Se hai bisogno di ulteriore assistenza dopo aver fatto riferimento alle seguenti opzioni di risoluzione dei problemi, contatta AMS tramite corrispondenza RFC. Per ulteriori informazioni, consulta [Corrispondenza e allegato RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence) (console).
### Errori di inserimento del carico di lavoro (WIGS)
**Nota**
Gli strumenti di convalida per Windows e Linux possono essere scaricati ed eseguiti direttamente sui server locali, nonché sulle istanze EC2 in AWS. [È possibile trovarli nella *AMS Advanced Application Developer's Guide*[Migrating workload: Linux pre-ingestion validation e Migrating workload: Windows pre-ingestion validation.](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-linux-validation.html)](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-win-validation.html)
+ Assicurati che l'istanza EC2 esista nell'account AMS di destinazione. Ad esempio, se hai condiviso il tuo AMI da un account non AMS a un account AMS, dovrai creare un'istanza EC2 nel tuo account AMS con l'AMI condiviso prima di poter inviare un Workload Ingest RFC.
+ Verifica se per i gruppi di sicurezza collegati all'istanza è consentito il traffico in uscita. L'agente SSM deve essere in grado di connettersi al suo endpoint pubblico.
+ Verifica se l'istanza dispone delle autorizzazioni giuste per connettersi con l'agente SSM. Queste autorizzazioni vengono fornite con`customer-mc-ec2-instance-profile`, puoi verificarle nella console EC2:
![\[EC2 instance details showing IAM role set to customer-mc-ec2-instance-profile.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/ec2ConsoleWCircle.png)
### Errori di blocco dello stack di istanze EC2
+ Verifica se l'istanza è già in uno stato interrotto o terminato.
+ Se l'istanza EC2 è online e vedi l'`InternalError`errore, invia una richiesta di servizio per consentire ad AMS di indagare.
+ Tieni presente che non puoi utilizzare il tipo di modifica Management \$1 Advanced stack components \$1 EC2 instance stack \$1 Stop ct-3mvvt2zkyveqj per interrompere un'istanza del gruppo Auto Scaling (ASG). Se devi interrompere un'istanza ASG, invia una richiesta di servizio.
### Lo stack di istanze EC2 crea errori
Il `InternalError` messaggio proviene da CloudFormation; un motivo dello stato CREATION\$1FAILED. Puoi trovare dettagli sull'errore dello stack negli eventi dello CloudWatch stack seguendo questi passaggi:
+ Nella console di gestione AWS, puoi visualizzare un elenco di eventi dello stack durante la creazione, l'aggiornamento o l'eliminazione dello stack. In questo elenco, trova l'evento relativo al problema e quindi visualizzane il motivo dello stato.
Il motivo dello stato potrebbe contenere un messaggio di errore di AWS CloudFormation o di un particolare servizio che può aiutarti a comprendere il problema.
+ Per ulteriori informazioni sulla visualizzazione degli eventi dello stack, consulta [Visualizzazione dei dati e delle risorse di AWS CloudFormation Stack nella Console di gestione AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html).
### Errori di ripristino del volume delle istanze EC2
AMS crea una RFC interna per la risoluzione dei problemi quando il ripristino del volume delle istanze EC2 fallisce. Ciò avviene perché il ripristino del volume delle istanze EC2 è una parte importante del disaster recovery (DR) e AMS crea automaticamente questa RFC interna per la risoluzione dei problemi.
Quando viene creata la RFC interna per la risoluzione dei problemi, viene visualizzato un banner che fornisce i collegamenti alla RFC. Questa RFC interna per la risoluzione dei problemi offre una maggiore visibilità sugli errori RFC e, anziché ripetere RFCs i tentativi che generano gli stessi errori o richiedere di contattare manualmente AMS in caso di errore, potete tenere traccia delle modifiche apportate e sapere che AMS sta lavorando sull'errore. In questo modo si riduce anche la metrica time-to-recovery (TTR) relativa alla modifica, in quanto gli operatori AMS lavorano in modo proattivo sull'errore RFC anziché attendere la richiesta dell'utente.
## Come ottenere assistenza con un RFC
Puoi contattare AMS per identificare la causa principale del tuo errore. L'orario di lavoro di AMS è 24 ore al giorno, 7 giorni alla settimana, 365 giorni all'anno.
AMS offre diverse possibilità per chiedere aiuto.
+ Se hai bisogno di assistenza per una RFC aperta o una RFC completata ma non corretta, contatta AMS tramite corrispondenza bidirezionale RFC. Per ulteriori informazioni, consulta Corrispondenza e allegato [RFC (console)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence).
+ Per segnalare un problema di prestazioni del servizio AWS o AMS che influisce sull'ambiente gestito, utilizza la console AMS e invia un rapporto sull'incidente. Per i dettagli, consulta [Segnalazione di un incidente](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-report-incident.html). Per informazioni generali sulla gestione degli incidenti con AMS, consulta [Risposta agli incidenti](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html).
+ Per domande specifiche su come voi, le vostre risorse o applicazioni state lavorando con AMS o per segnalare un incidente, inviate un'e-mail a uno o più dei seguenti documenti:
1. Innanzitutto, se non siete soddisfatti della richiesta di servizio o della risposta alla segnalazione dell'incidente, inviate un'e-mail al vostro CSDM: ams-csdm@amazon.com
1. Successivamente, se è necessaria un'escalation, puoi inviare un'e-mail all'AMS Operations Manager (ma probabilmente il tuo CSDM lo farà): ams-opsmanager@amazon.com
1. Un'ulteriore escalation verrebbe indirizzata al direttore di AMS: ams-director@amazon.com
1. Infine, puoi sempre contattare il vicepresidente di AMS: ams-vp@amazon.com
# Modalità Direct Change in AMS
**Topics**
+ [Guida introduttiva alla modalità Direct Change](dcm-get-started.md)
+ [Sicurezza e conformità](dcm-security-n-compliance.md)
+ [Gestione delle modifiche in modalità Direct Change](dcm-change-mgmt.md)
+ [Creazione di pile utilizzando la modalità Direct Change](dcm-creating-stacks.md)
+ [Casi d'uso della modalità Direct Change](dcm-use-cases.md)
La modalità Direct Change (DCM) di AWS Managed Services (AMS) estende la gestione delle modifiche di AMS Advanced fornendo AWS accesso nativo agli account AMS Advanced Plus e Premium per fornire e aggiornare AWS le risorse. Con DCM, hai la possibilità di utilizzare AWS API native (console o CLI/SDK) o richieste di modifica AMS Advanced Change Management (RFCs) e in entrambi i casi le risorse e le modifiche ad esse apportate sono completamente supportate da AMS, tra cui monitoraggio, patch, backup e gestione della risposta agli incidenti. Le risorse fornite tramite DCM sono registrate nel sistema di gestione della conoscenza dei servizi AMS (SKMS), aggiunte al dominio Active Directory gestito da AMS (se applicabile) ed eseguono agenti di gestione AMS. Utilizza gli strumenti esistenti (ad esempio AWS SDK e CDK) per sviluppare e distribuire stack gestiti da AMS. CloudFormation CloudFormation
**Nota**
La modalità Direct Change non rimuove la gestione delle modifiche AMS. RFCs Hai pieno accesso ad AMS RFCs con DCM.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob)
# Guida introduttiva alla modalità Direct Change
Inizia controllando i prerequisiti e poi inviando una richiesta di modifica (RFC) nel tuo account AMS Advanced idoneo.
1. Verifica che l'account che desideri utilizzare con DCM soddisfi i requisiti:
+ L'account è AMS Advanced Plus o Premium.
+ L'account non ha Service Catalog abilitato. Al momento non supportiamo l'onboarding degli account sia su DCM che su Service Catalog allo stesso tempo. Se hai già effettuato l'accesso a Service Catalog ma sei interessato a DCM, discuti le tue esigenze con il tuo cloud service delivery manager (CSDM). Se decidi di passare da Service Catalog a DCM, offboard Service Catalog, per farlo, includi la richiesta nella richiesta di modifica riportata di seguito. Per informazioni dettagliate su Service Catalog in AMS, consulta [AMS and Service Catalog](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html).
1. Invia una richiesta di modifica (RFC) utilizzando la modalità Gestione \$1 Account gestito \$1 Modifica diretta \$1 Abilita il tipo di modifica (ct-3rd4781c2nnhp). [Per un esempio di procedura dettagliata, consulta la modalità Direct Change \$1 Enable.](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)
Dopo l'elaborazione del CT, i ruoli IAM predefiniti `AWSManagedServicesUpdateRole` vengono assegnati all'account specificato. `AWSManagedServicesCloudFormationAdminRole`
1. Assegna il ruolo appropriato agli utenti che richiedono l'accesso a DCM utilizzando il processo di federazione interno.
**Nota**
È possibile specificare un numero qualsiasi di SAMLIdentity provider, AWS servizi ed entità IAM (ruoli, utenti, ecc.) per assumere i ruoli. È necessario fornire almeno uno: `SAMLIdentityProviderARNs``IAMEntityARNs`, o`AWSServicePrincipals`. Per ulteriori informazioni, rivolgiti al dipartimento IAM della tua azienda o al tuo architetto cloud AMS (CA).
## Ruoli e politiche IAM in modalità Direct Change
Quando la modalità Direct Change è abilitata in un account, vengono implementate queste nuove entità IAM:
`AWSManagedServicesCloudFormationAdminRole`: Questo ruolo consente l'accesso alla CloudFormation console, la creazione e l'aggiornamento degli CloudFormation stack, la visualizzazione dei report sulle deviazioni e la creazione e l'esecuzione. CloudFormation ChangeSets L'accesso a questo ruolo è gestito tramite il tuo provider SAML.
Le politiche gestite che vengono implementate e associate al ruolo `AWSManagedServicesCloudFormationAdminRole` sono:
+ Account applicativo AMS Advanced multi-account landing zone (MALZ)
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ Questa politica rappresenta le autorizzazioni concesse a. `AWSManagedServicesCloudFormationAdminRole` Tu e i tuoi partner utilizzate questa politica per concedere l'accesso a un ruolo esistente nell'account e consentire a tale ruolo di avviare e aggiornare gli CloudFormation stack nell'account. Ciò potrebbe richiedere aggiornamenti aggiuntivi della politica di controllo dei servizi AMS (SCP) per consentire ad altre entità IAM di avviare CloudFormation stack.
+ Account di landing zone con account singolo AMS Advanced (SALZ)
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ cdk-legacy-mode-s3 accessi [politica in linea]
+ AWS ReadOnlyAccess politica
`AWSManagedServicesUpdateRole`: Questo ruolo garantisce un accesso limitato al servizio downstream AWS . APIs Il ruolo viene implementato con policy gestite che forniscono operazioni API mutanti e non mutanti, ma in generale limita le operazioni mutanti (ad esempioCreate/Delete/PUT) rispetto a determinati servizi come IAM, KMS, GuardDuty VPC, risorse e configurazione dell'infrastruttura AMS e così via. L'accesso a questo ruolo è gestito tramite il tuo provider SAML.
Le politiche gestite che vengono implementate e associate al ruolo `AWSManagedServicesUpdateRole` sono:
+ Account applicativo AMS Advanced multi-account per la landing zone
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyPolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2E RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica
+ Account di landing zone AMS Advanced con account singolo
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2E RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica 1
+ AWSManagedServicesUpdateDenyActionsOnAMSInfraPolitica 2
Oltre a questi, al `AWSManagedServicesUpdateRole` ruolo di policy gestita è `ViewOnlyAccess` associata anche la policy AWS gestita.
# Sicurezza e conformità
La sicurezza e la conformità sono una responsabilità condivisa tra AMS Advanced e te, in qualità di nostro cliente. La modalità AMS Advanced Direct Change non modifica questa responsabilità condivisa.
## Sicurezza in modalità Direct Change
AMS Advanced offre un valore aggiunto con una landing zone prescrittiva, un sistema di gestione delle modifiche e una gestione degli accessi. Quando si utilizza la modalità Direct Change, questo modello di responsabilità non cambia. Tuttavia, è necessario essere consapevoli dei rischi aggiuntivi.
Il ruolo «Aggiornamento» della modalità Direct Change (vedi[Ruoli e politiche IAM in modalità Direct Change](dcm-get-started.md#dcm-gs-iam-roles-and-policies)) fornisce autorizzazioni elevate che consentono all'entità che vi ha accesso di apportare modifiche alle risorse di infrastruttura dei servizi supportati da AMS presenti nell'account. Con autorizzazioni elevate, esistono rischi diversi a seconda della risorsa, del servizio e delle azioni, specialmente in situazioni in cui viene apportata una modifica errata a causa di supervisione, errore o mancanza di aderenza al processo interno e al framework di controllo.
In base agli standard tecnici AMS, sono stati identificati i seguenti rischi e vengono formulate le seguenti raccomandazioni. Informazioni dettagliate sugli standard tecnici AMS sono disponibili all'indirizzo AWS Artifact. Per accedervi AWS Artifact, contattate il vostro CSDM per ricevere istruzioni o consultate la sezione [Guida introduttiva](https://aws.amazon.com/artifact/getting-started). AWS Artifact
**AMS-STD-001: etichettatura**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-002: Identity and Access Management (IAM)**
| Standard | Si rompe | Rischi | Raccomandazioni |
| --- | --- | --- | --- |
| 4.7 Non devono essere consentite azioni che aggirano il processo di gestione delle modifiche (RFC), come l'avvio o l'arresto di un'istanza, la creazione di bucket S3 o istanze RDS e così via. Gli account in modalità sviluppatore e i servizi in modalità Self-Service Provisioned (SSPS) sono esentati a condizione che le azioni vengano eseguite entro i limiti del ruolo assegnato. | Sì. Lo scopo delle azioni self-service consente di eseguire azioni aggirando il sistema RFC AMS. | Il modello di accesso sicuro è un aspetto tecnico fondamentale di AMS e un utente IAM per l'accesso da console o programmatico elude questo controllo di accesso. L'accesso degli utenti IAM non è monitorato dalla gestione delle modifiche di AMS. L'accesso è registrato CloudTrail solo. | L'utente IAM deve disporre di un periodo di tempo limitato e concedere le autorizzazioni in base al privilegio minimo e. need-to-know |
**AMS-STD-003: Sicurezza di rete**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-007: Registrazione**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
Collabora con il tuo team interno di autorizzazione e autenticazione per controllare di conseguenza le autorizzazioni relative ai ruoli della modalità Direct Change.
## Conformità in modalità Direct Change
La modalità Direct Change è compatibile con i carichi di lavoro di produzione e non di produzione. È responsabilità dell'utente garantire il rispetto di tutti gli standard di conformità (ad esempio, PHI, HIPAA, PCI) e garantire che l'uso della modalità Direct Change sia conforme ai framework e agli standard di controllo interni.
# Gestione delle modifiche in modalità Direct Change
La gestione delle modifiche è il processo utilizzato da AMS Advanced per implementare le richieste di modifica. Una richiesta di modifica (RFC) è una richiesta creata dall'utente o da AMS Advanced tramite l'interfaccia AMS Advanced per apportare una modifica all'ambiente gestito e include un ID di tipo di modifica (CT) AMS Advanced per una particolare operazione. Per ulteriori informazioni, consulta [Gestione delle modifiche](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html).
**Nota**
La modalità Direct Change non rimuove la gestione delle RFCs modifiche di AMS; hai comunque pieno accesso ad AMS RFCs con DCM.
La modalità AMS Direct Change (DCM) estende la gestione delle modifiche di AMS Advanced fornendo AWS l'accesso nativo agli account AMS Advanced Plus e Premium per fornire e aggiornare AWS le risorse. Gli utenti a cui è stata concessa l'autorizzazione in modalità Direct Change tramite i ruoli IAM possono utilizzare l'accesso AWS API nativo per fornire e apportare modifiche alle risorse nei propri account AMS Advanced. Gli utenti possono comunque utilizzare la gestione delle modifiche di AMS Advanced RFCs utilizzando gli stessi ruoli IAM. In entrambi i casi, le risorse e le relative modifiche sono pienamente supportate da AMS, tra cui monitoraggio, patch, backup e gestione della risposta agli incidenti. Gli utenti che non hanno il ruolo appropriato in questi account devono utilizzare il processo RFC di AMS Advanced change management per apportare modifiche.
## Casi d'uso della gestione delle modifiche
Per motivi di sicurezza, alcune modifiche in AMS Advanced possono essere apportate solo tramite il processo RFC (Change Management Request for Change). `AWSManagedServicesCloudFormationAdminRole`È limitato alle azioni intraprese tramite CloudFormation (CFN). Per ulteriori informazioni su come creare pile tramite DCM, consulta [Creazione di pile utilizzando la modalità Direct](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html) Change. `AWSManagedServicesUpdateRole`È limitato alle seguenti azioni.
*[Ad esempio, le procedure dettagliate per ogni tipo di modifica, tra cui Gestione \$1 Account gestito \$1 Modalità Direct Change \$1 Abilita (ct-3rd4781c2nnhp), consulta la sezione «Informazioni aggiuntive» per il tipo di modifica pertinente nella sezione AMS Advanced Change Type Reference Change Type Reference Change Types by Classification.](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)*
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/dcm-change-mgmt.html)
# Creazione di pile utilizzando la modalità Direct Change
Per consentire la gestione dello stack da parte di CloudFormation AMS`AWSManagedServicesCloudFormationAdminRole`, sono necessari due requisiti per avviare gli stack:
+ Il modello deve contenere un. `AmsStackTransform`
+ Il nome dello stack deve iniziare con il prefisso `stack-` seguito da una stringa alfanumerica di 17 caratteri.
**Nota**
Per utilizzare correttamente lo`AmsStackTransform`, devi riconoscere che il tuo modello di stack contiene la `CAPABILITY_AUTO_EXPAND` funzionalità in order for CloudFormation (CFN) di creare o aggiornare lo stack. Puoi farlo passandolo `CAPABILITY_AUTO_EXPAND` come parte della tua richiesta create-stack. CFN rifiuta la richiesta se questa funzionalità non viene riconosciuta quando viene inclusa nel `AmsStackTransform` modello. La console CFN ti assicura di passare questa funzionalità se hai la trasformazione nel tuo modello, ma questa può essere ignorata quando interagisci con CFN tramite loro. APIs
Devi passare questa funzionalità ogni volta che utilizzi le seguenti chiamate API CFN:
[CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html)
[ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters)
[UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html)
[Quando si crea o si aggiorna uno stack con DCM, sullo stack CTs vengono eseguite le stesse convalide e potenziamenti di CFN Ingest e Stack Update. Per maggiori informazioni, consulta le Linee guida per l'inserimento, le migliori pratiche e le limitazioni.CloudFormation](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html) L'eccezione è che i gruppi di sicurezza predefiniti di AMS (SGs) non verranno collegati a nessuna istanza autonoma o EC2 EC2 istanza nei gruppi di Auto Scaling (). ASGs Quando create il CloudFormation modello, con EC2 istanze autonome oppure, potete allegare quello predefinito. ASGs SGs
**Nota**
I ruoli IAM possono ora essere creati e gestiti con. `AWSManagedServicesCloudFormationAdminRole`
L'impostazione predefinita SGs di AMS prevede regole di ingresso e uscita che consentono alle istanze di avviarsi correttamente e di accedervi successivamente tramite SSH o RDP da parte delle operazioni AMS e dell'utente. Se ritieni che i gruppi di sicurezza predefiniti di AMS siano troppo permissivi, puoi crearne di personalizzati SGs con regole più restrittive e collegarli all'istanza, purché ciò consenta comunque a te e alle operazioni AMS di accedere all'istanza durante gli incidenti.
I gruppi di sicurezza predefiniti di AMS sono i seguenti:
+ SentinelDefaultSecurityGroupPrivateOnly: È possibile accedere nel modello CFN tramite questo parametro SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly`
+ SentinelDefaultSecurityGroupPrivateOnlyEgressAll: È possibile accedere nel modello CFN tramite questo parametro SSM `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll`
## Trasforma AMS
Aggiungi una `Transform` dichiarazione al tuo CloudFormation modello. Questo aggiunge una CloudFormation macro che convalida e registra lo stack con AMS al momento del lancio.
**Esempio JSON**
```
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
}
```
**Esempio YAML**
```
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
```
Aggiungi l'`Transform`istruzione anche quando aggiorni il modello di uno stack esistente.
**Esempio JSON**
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Description" : "Create an SNS Topic",
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
},
"Parameters": {
"TopicName": {
"Type": "String",
"Default": "HelloWorldTopic"
}
},
"Resources": {
"SnsTopic": {
"Type": "AWS::SNS::Topic",
"Properties": {
"TopicName": {"Ref": "TopicName"}
}
}
}
}
```
**Esempio YAML**
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Create an SNS Topic
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
Parameters:
TopicName:
Type: String
Default: HelloWorldTopic
Resources:
SnsTopic:
Type: AWS::SNS::Topic
Properties:
TopicName: !Ref TopicName
```
## Nome stack
Il nome dello stack deve iniziare con il prefisso `stack-` seguito da una stringa alfanumerica di 17 caratteri. Ciò serve a mantenere la compatibilità con altri sistemi AMS che operano sullo stack AMS. IDs
Di seguito sono riportati alcuni esempi di modi per generare stack compatibili: IDs
Bash:
```
echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)"
```
Python:
```
import string
import random
'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17))
```
Powershell:
```
"stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) )
```
# Casi d'uso della modalità Direct Change
Di seguito sono riportati i casi d'uso della modalità Direct Change:
**Fornitura e gestione delle risorse tramite CloudFormation**
+ Integra CloudFormation gli strumenti e i processi esistenti.
**Gestione e aggiornamenti continui delle risorse**
+ Piccole modifiche atomiche a basso rischio.
+ Modifiche che altrimenti verrebbero eseguite tramite una RFC manuale o automatizzata.
+ Strumenti che richiedono l'accesso nativo all' AWS API.
+ Il ruolo DCM può essere utilizzato se sei in fase di migrazione. I team di migrazione sfruttano le autorizzazioni del DCM per creare o modificare gli stack.
+ I ruoli DCM possono essere utilizzati nella CI/CD pipeline per crearne di nuovi AMIs, creare attività Amazon ECS e così via.
# Modalità AMS Advanced Developer
**Topics**
+ [Guida introduttiva alla modalità AMS Advanced Developer](developer-mode-implement.md)
+ [Sicurezza e conformità in modalità Sviluppatore](developer-mode-security-and-compliance.md)
+ [Gestione delle modifiche in modalità Sviluppatore](developer-mode-change-management.md)
+ [Provisioning dell'infrastruttura in modalità AMS Developer](developer-mode-provisioning.md)
+ [Controlli Detective in modalità AMS Developer](developer-mode-detective-controls.md)
+ [Registrazione, monitoraggio e gestione degli eventi in modalità AMS Developer](developer-mode-logging.md)
+ [Gestione degli incidenti in modalità AMS Developer](developer-mode-incident-management.md)
+ [Gestione delle patch in modalità AMS Developer](developer-mode-patch-management.md)
+ [Gestione della continuità in modalità AMS Developer](developer-mode-continuity.md)
+ [Gestione della sicurezza e degli accessi in modalità AMS Developer](developer-mode-security-and-access.md)
La modalità sviluppatore di AWS Managed Services (AMS) utilizza autorizzazioni elevate negli account AMS Advanced Plus e Premium per fornire e aggiornare le risorse AWS al di fuori del processo di gestione delle modifiche di AMS Advanced. La modalità AMS Advanced Developer esegue questa operazione sfruttando le chiamate API AWS native all'interno di AMS Advanced Virtual Private Cloud (VPC), consentendoti di progettare e implementare infrastrutture e applicazioni nel tuo ambiente gestito.
Quando si utilizza un account con la modalità Sviluppatore abilitata, vengono fornite la gestione della continuità, la gestione delle patch e la gestione delle modifiche per le risorse fornite tramite il processo di gestione delle modifiche AMS Advanced o utilizzando un'Amazon Machine Image (AMI) AMS. Tuttavia, queste funzionalità di gestione AMS non sono disponibili per le risorse fornite in modalità nativa. AWS APIs
L'utente è responsabile del monitoraggio delle risorse dell'infrastruttura fornite al di fuori del processo di gestione delle modifiche di AMS Advanced. La modalità sviluppatore è compatibile con i carichi di lavoro di produzione e non di produzione. Con autorizzazioni elevate, hai una maggiore responsabilità nel garantire il rispetto dei controlli interni.
**Importante**
Le risorse create utilizzando la modalità Sviluppatore possono essere gestite da AMS Advanced solo se vengono create utilizzando i processi di gestione delle modifiche di AMS Advanced.
La modalità sviluppatore è una delle modalità AMS Advanced che puoi utilizzare. Per ulteriori informazioni, consulta [Panoramica delle modalità](ams-modes-ug.md).
# Guida introduttiva alla modalità AMS Advanced Developer
Scopri i vari account AMS Advanced con la modalità AMS Advanced Developer e come implementare con successo la modalità Sviluppatore.
**Topics**
+ [Prima di iniziare](developer-mode-faqs.md)
+ [Prerequisiti per la modalità Sviluppatore](#developer-mode-implement-prerequisites)
+ [Come implementare la modalità Sviluppatore](#developer-mode-implement-steps)
+ [Autorizzazioni in modalità sviluppatore](#developer-mode-role)
# Prima di iniziare con la modalità AMS Developer
Prima di implementare la modalità Sviluppatore, ci sono alcune cose che dovresti sapere.
AMS Advanced non è in grado di gestire gli stack o le risorse esistenti in un DevMode account creato al di fuori del processo di gestione delle modifiche di AMS Advanced tramite richieste di modifica (RFCs). Tuttavia, mentre l'account è attivo DevMode, AMS Advanced continua a gestire le risorse fornite tramite il processo di gestione delle modifiche di AMS Advanced con. RFCs
Non è possibile iniziare con un DevMode account e successivamente convertirlo in un account di applicazione gestito da AMS Advanced.
## Prerequisiti per la modalità AMS Developer
Di seguito sono riportati i prerequisiti per l'implementazione della modalità Sviluppatore:
+ Devi essere un cliente AMS Advanced con almeno un account AMS Advanced Plus o Premium registrato.
+ Qualsiasi account utilizzato deve essere un account AMS Advanced Plus o Premium.
+ **Multi-Account Landing Zone (MALZ)**: è necessario utilizzare il ruolo `AWSManagedServicesDevelopmentRole` predefinito AWS Identity and Access Management (IAM). Richiedete questo ruolo. La sezione successiva descrive come acquisire le autorizzazioni in modalità Sviluppatore.
+ **Single-Account Landing Zone (SALZ)**: è necessario utilizzare il ruolo `customer_developer_role` predefinito AWS Identity and Access Management (IAM). Richiedete questo ruolo. La sezione successiva descrive come acquisire le autorizzazioni in modalità Sviluppatore.
## Come implementare la modalità AMS Advanced Developer
Implementate la modalità Developer richiedendo che al vostro account AMS Advanced idoneo venga assegnato il ruolo IAM predefinito:
+ **MALZ:** `AWSManagedServicesDevelopmentRole`
+ **SALE**: `customer_developer_role`
Quindi assegni il ruolo agli utenti pertinenti nella tua rete federata.
AMS Advanced consiglia di assicurarsi che l'uso della modalità Sviluppatore sia conforme ai framework e agli standard di controllo interni in quanto la modalità Sviluppatore crea due vettori di cambiamento: AMS Advanced change management per AMS Advanced e federazione dei ruoli gestita dal cliente per le risorse che, in qualità di nostro cliente, gestisci. Sebbene i processi AMS Advanced rimangano conformi alle nostre dichiarazioni, potrebbe essere necessario aggiornare i processi e i quadri di controllo dei clienti.
**Per implementare la modalità Sviluppatore nel tuo account AMS Advanced**
1. Verifica che l'account che desideri utilizzare con la modalità Sviluppatore soddisfi i requisiti elencati in[Prerequisiti per la modalità AMS Developer](#developer-mode-implement-prerequisites).
1. Invia una richiesta di modifica (RFC) utilizzando la modalità Gestione del tipo di modifica (CT) \$1 Account gestito \$1 Modalità sviluppatore \$1 Abilita (automazione gestita). Per un esempio di come utilizzare questo CT, vedi [Developer Mode \$1 Enable (Managed Automation)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html).
Dopo l'elaborazione del CT, il ruolo IAM predefinito (`AWSManagedServicesDevelopmentRole`per **MALZ**, `customer_developer_role` per **SALZ**) viene fornito nell'account richiesto.
1. Assegna il ruolo appropriato agli utenti che richiedono l'accesso in modalità Sviluppatore utilizzando il processo di federazione interno.
AMS Advanced consiglia di limitare l'accesso per evitare la fornitura o la modifica delle risorse indesiderate o non approvate.
## Autorizzazioni in modalità AMS Advanced Developer
Il ruolo predefinito (`AWSManagedServicesDevelopmentRole`per **MALZ, `customer_developer_role` per **SALZ****) concede l'autorizzazione a creare risorse di infrastruttura applicativa all'interno di AMS Advanced VPC, inclusi i ruoli IAM, limitando al contempo l'accesso ai componenti di *servizio condivisi* gestiti da AMS Advanced (ad esempio, host di gestione, controller di dominio, Trend Micro EPS, bastioni e servizi AWS non supportati). Il ruolo limita anche l'accesso ai seguenti registri Servizi AWS: Amazon GuardDuty e AMS Advanced. AWS Organizations AWS Directory Service APIs
Sebbene il ruolo consenta di creare ruoli IAM aggiuntivi, gli stessi limiti di autorizzazione inclusi nell'accesso in modalità Sviluppatore vengono applicati a qualsiasi ruolo IAM creato da. `AWSManagedServicesDevelopmentRole`
# Sicurezza e conformità in modalità Sviluppatore
La sicurezza e la conformità sono una responsabilità condivisa tra AMS Advanced e te come nostro cliente. La modalità AMS Advanced Developer trasferisce all'utente la responsabilità condivisa per le risorse fornite al di fuori del processo di gestione delle modifiche o fornite tramite la gestione delle modifiche ma aggiornate con le autorizzazioni della modalità Sviluppatore. Per ulteriori informazioni sulla responsabilità condivisa, consulta [AWS Managed Services](https://aws.amazon.com/managed-services/).
**Avvertenze:**
+ DevMode consente a te e al tuo team autorizzato di aggirare i deny-by-default principi alla base della sicurezza AMS. I vantaggi, il self-service e la riduzione dei tempi di attesa per AMS devono essere soppesati rispetto agli svantaggi: chiunque può eseguire azioni impreviste e distruttive all'insaputa del proprio team di sicurezza. I tipi di modifiche automatiche per abilitare la modalità Dev e la modalità Direct Change sono esposti e qualsiasi persona autorizzata dell'organizzazione può eseguirli CTs e abilitarli.
+ Sei responsabile della gestione delle autorizzazioni di esecuzione CT dalla tua base di utenti.
+ AMS non gestisce i permessi di esecuzione CT
**Raccomandazioni:**
+ **Proteggere**
+ I clienti possono impedire l'accesso a questo CT tramite autorizzazioni, vedi [Restrict permissions with IAM role policy statements](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ Impedisci l'accesso a questo CT implementando un proxy come un sistema ITSM
+ Utilizza politiche di controllo del servizio (SCPs) che impediscono politiche e comportamenti secondo necessità, vedi [AMS Preventative and Detective](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html) Controls Library
+ **Rileva**
+ Monitora le tue RFC per verificare che queste CTs (abilita la modalità sviluppatore ct-1opjmhuddw194 e la modalità Direct change, abilita ct-3rd4781c2nnhp) vengano eseguite e rispondi di conseguenza
+ Esamina e and/or verifica la presenza delle risorse IAM nei tuoi account per identificare quegli account in cui sono state implementate la modalità Developer o la modalità Direct Change
+ **Rispondi**
+ Se necessario, rimuovi gli account in modalità Sviluppatore
## Sicurezza in modalità Sviluppatore
AMS Advanced offre un valore aggiunto con una landing zone prescrittiva, un sistema di gestione delle modifiche e una gestione degli accessi. Quando si utilizza la modalità Sviluppatore, il valore di sicurezza di AMS Advanced viene mantenuto utilizzando la stessa configurazione degli account AMS Advanced standard che stabilisce la rete di base con protezione avanzata AMS Advanced. La rete è protetta dal limite di autorizzazioni applicato nel ruolo (`AWSManagedServicesDevelopmentRole`per **MALZ, `customer_developer_role` per **SALZ****), che impedisce all'utente di scomporre le protezioni dei parametri stabilite al momento della configurazione dell'account.
Ad esempio, gli utenti con il ruolo possono accedere ad Amazon Route 53 ma la zona ospitata interna di AMS Advanced è limitata. Gli stessi limiti di autorizzazione vengono applicati a un ruolo IAM creato da, applicando i limiti di autorizzazione su the`AWSManagedServicesDevelopmentRole`, `AWSManagedServicesDevelopmentRole` che impedisce all'utente di scomporre le protezioni dei parametri stabilite al momento dell'onboarding dell'account su AMS Advanced.
## Conformità in modalità Sviluppatore
La modalità sviluppatore è compatibile con i carichi di lavoro di produzione e non di produzione. È responsabilità dell'utente garantire il rispetto di tutti gli standard di conformità (ad esempio, PHI, HIPAA, PCI) e garantire che l'uso della modalità Sviluppatore sia conforme ai framework e agli standard di controllo interni.
# Gestione delle modifiche in modalità Sviluppatore
La gestione delle modifiche è il processo utilizzato dal servizio AMS Advanced per implementare le richieste di modifica. Una richiesta di modifica (RFC) è una richiesta creata dall'utente o da AMS Advanced tramite l'interfaccia AMS Advanced per apportare una modifica all'ambiente gestito e include un ID del tipo di modifica (CT) per una particolare operazione. Per ulteriori informazioni, consulta [Modifiche alle modalità di gestione](using-change-management.md).
La gestione delle modifiche non viene applicata negli account AMS Advanced a cui sono concesse le autorizzazioni in modalità Sviluppatore. Gli utenti a cui è stata concessa l'autorizzazione in modalità Sviluppatore con il ruolo IAM (`AWSManagedServicesDevelopmentRole`per **MALZ**, `customer_developer_role` per **SALZ**), possono utilizzare l'accesso AWS API nativo per fornire e apportare modifiche alle risorse nei propri account AMS Advanced. Gli utenti che non hanno il ruolo appropriato in questi account devono utilizzare il processo di gestione delle modifiche di AMS Advanced per apportare modifiche.
**Importante**
Le risorse create utilizzando la modalità Sviluppatore possono essere gestite da AMS Advanced solo se vengono create utilizzando i processi di gestione delle modifiche di AMS Advanced. Le richieste di modifiche inviate ad AMS Advanced per risorse create al di fuori del processo di gestione delle modifiche di AMS Advanced vengono rifiutate da AMS Advanced perché devono essere gestite dall'utente.
## Restrizioni dell'API per i servizi di provisioning self-service
Tutti i servizi autoforniti da AMS Advanced sono supportati dalla modalità Sviluppatore. L'accesso ai servizi forniti autonomamente è soggetto alle limitazioni descritte nelle rispettive sezioni della guida per l'utente per ciascuno di essi. Se un servizio con fornitura automatica non è disponibile con il ruolo in modalità Sviluppatore, puoi richiedere un ruolo aggiornato tramite il tipo di modifica della modalità Sviluppatore.
I seguenti servizi non forniscono l'accesso completo al servizio: APIs
**Servizi forniti autonomamente limitati in modalità Sviluppatore**
| Servizio | Note |
| --- | --- |
| Amazon API Gateway | Tutte le APIs chiamate Gateway sono consentite tranne. `SetWebACL` |
| Application Auto Scaling | Può solo registrare o annullare la registrazione di obiettivi scalabili e inserire o eliminare una politica di scalabilità. |
| AWS CloudFormation | Non è possibile accedere o modificare gli CloudFormation stack il cui nome è preceduto da. `mc-` |
| AWS CloudTrail | Non è possibile accedere o modificare CloudTrail risorse il cui nome è preceduto da. `ams-` and/or `mc-` |
| Amazon Cognito (pool di utenti) | Impossibile associare token software. Impossibile creare pool di utenti, processi di importazione utenti, server di risorse o provider di identità. |
| AWS Directory Service | Solo le seguenti Directory Service azioni sono richieste da `Connect` and `WorkSpaces` services. Tutte le altre azioni del Directory Service sono negate dalla politica sui limiti delle autorizzazioni della modalità Sviluppatore: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/developer-mode-change-management.html) Negli account di landing zone con account singolo, la politica di confine nega esplicitamente l'accesso alla directory gestita di AMS Advanced utilizzata da AMS Advanced per mantenere l'accesso agli account abilitati alla modalità sviluppo. |
| Amazon Elastic Compute Cloud | Impossibile accedere ad Amazon EC2 APIs che contiene la stringa: `DhcpOptions``Gateway`,`Subnet`,`VPC`, e`VPN`. Non è possibile accedere o modificare EC2 le risorse Amazon con un tag preceduto da`AMS`, `mc``ManagementHostASG`, and/or `sentinel`. |
| Amazon EC2 (rapporti) | È concesso solo l'accesso alla visualizzazione (non è possibile modificare). Nota: Amazon EC2 Reports si sta trasferendo. La voce del menu **Report** verrà rimossa dal menu di navigazione EC2 della console Amazon. Per visualizzare i report EC2 sull'utilizzo di Amazon dopo la rimozione, usa la console AWS Billing and Cost Management. |
| AWS Identity and Access Management (IAM) | Non è possibile eliminare i limiti di autorizzazione esistenti o modificare le politiche relative alle password degli utenti IAM. Non è possibile creare o modificare risorse IAM a meno che non si utilizzi il ruolo IAM corretto (`AWSManagedServicesDevelopmentRole`per **MALZ**, `customer_developer_role` per **SALZ**)). Non è possibile modificare le risorse IAM con il prefisso:`ams`,,,`mc`. `customer_deny_policy` and/or `sentinel` Quando si crea una nuova risorsa IAM (ruolo, utente o gruppo), è necessario allegare il limite di autorizzazione (**MALZ**:`AWSManagedServicesDevelopmentRolePermissionsBoundary`, **SALZ**:`ams-app-infra-permissions-boundary`). |
| AWS Key Management Service (AWS KMS) | Impossibile accedere o modificare le chiavi KMS gestite da AMS Advanced. |
| AWS Lambda | Non è possibile accedere o modificare le AWS Lambda funzioni che hanno il prefisso con. `AMS` |
| CloudWatch Registri | Impossibile accedere ai flussi di CloudWatch log il cui nome è preceduto da:`mc`,,,`aws`. `lambda` and/or `AMS` |
| Amazon Relational Database Service (Amazon RDS) | Non è possibile accedere o modificare i database Amazon Relational Database Service (Amazon RDS) DBs () con un nome preceduto da:. `mc-` |
| AWS Resource Groups | Può accedere solo alle azioni `Get` API `List` di `Search` Resource Group e. |
| Amazon Route 53 | Impossibile accedere o modificare le risorse gestite da Route53 AMS Advanced. |
| Amazon S3 | Non è possibile accedere ai bucket Amazon S3 il cui nome è preceduto da:`ams-*`,, `ams` o. `ms-a` `mc-a` |
| AWS Security Token Service | L'unica API del servizio di token di sicurezza consentita è. `DecodeAuthorizationMessage` |
| Amazon SNS | Impossibile accedere agli argomenti SNS il cui nome è preceduto da: `AMS-``Energon-Topic`, o. `MMS-Topic` |
| AWS Systems Manager Gestore (SSM) | Impossibile modificare i parametri SSM con il prefisso`ams`, `mc` o. `svc` Non è possibile utilizzare l'API SSM `SendCommand` con EC2 istanze Amazon con un tag preceduto da o. `ams` `mc` |
| AWS Etichettatura | Hai accesso solo alle azioni dell'API di AWS tagging con il prefisso. `Get` |
| AWS Lake Formation | Le seguenti azioni AWS Lake Formation API sono negate: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | Puoi chiamare solo l'azione dell'API Elastic Inference. `elastic-inference:Connect` Questa autorizzazione è inclusa nel `customer_sagemaker_admin_policy` file allegato a. `customer_sagemaker_admin_role` Questa azione consente di accedere all'acceleratore Elastic Inference. |
| AWS Shield | Nessun accesso a nessuno di questi servizi APIs o console. |
| Amazon Simple Workflow Service | Nessun accesso a nessuno di questi servizi APIs o console. |
# Provisioning dell'infrastruttura in modalità AMS Developer
Gli utenti che non dispongono del ruolo IAM in modalità Sviluppatore`AWSManagedServicesDevelopmentRole`, negli account in cui è abilitata la modalità Sviluppatore, devono seguire il processo di gestione delle modifiche di AMS Advanced che sfrutta AMS Advanced. AMIs Gli utenti con il ruolo corretto (**MALZ:`AWSManagedServicesDevelopmentRole`, **SALZ****:`customer_developer_role`) possono utilizzare il sistema di gestione delle modifiche AMS Advanced e AMS Advanced AMIs ma non sono obbligati a farlo.
**Nota**
Un' AWS AMI che non è stata elaborata tramite l'inserimento di carichi di lavoro AMS Advanced o creata in un account AMS Advanced, non includerà le configurazioni richieste da AMS Advanced.
# Controlli Detective in modalità AMS Developer
Questa sezione è stata redatta perché contiene informazioni sensibili relative alla sicurezza di AMS. **Queste informazioni sono disponibili nella documentazione della console AMS.** Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact.
# Registrazione, monitoraggio e gestione degli eventi in modalità AMS Developer
La registrazione, il monitoraggio e la gestione degli eventi non sono disponibili per le risorse fornite al di fuori del processo di gestione delle modifiche di AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni in modalità Sviluppatore.
# Gestione degli incidenti in modalità AMS Developer
Nessuna modifica ai tempi di risposta agli incidenti. La risoluzione degli incidenti è il modo migliore per le risorse fornite al di fuori del processo di gestione delle modifiche o per le risorse fornite tramite la gestione delle modifiche e quindi modificate da un account utilizzando le autorizzazioni della modalità Sviluppatore.
**Nota**
L'accordo sul livello di servizio (SLA) di AMS non si applica alle risorse create o aggiornate al di fuori del sistema di gestione delle modifiche AMS (richieste di modifica o RFCs), inclusa la modalità sviluppatore; pertanto, le risorse aggiornate o create in modalità sviluppatore vengono automaticamente degradate a un P3 e il supporto AMS è il massimo sforzo.
# Gestione delle patch in modalità AMS Developer
La gestione delle patch non è disponibile per le risorse fornite al di fuori del processo di gestione delle modifiche AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni in modalità Sviluppatore. Tempi di applicazione delle patch:
+ Per un aggiornamento di sicurezza fondamentale: entro 10 giorni lavorativi dal rilascio da parte del fornitore per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni della modalità Sviluppatore.
+ Per un aggiornamento importante: entro 2 mesi dal rilascio da parte del fornitore per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni in modalità Sviluppatore.
# Gestione della continuità in modalità AMS Developer
La gestione della continuità non è disponibile per le risorse fornite al di fuori del processo di gestione delle modifiche AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni della modalità Sviluppatore.
Il tempo di avvio del ripristino dell'ambiente può richiedere fino a 12 ore per le risorse fornite al di fuori del processo di gestione delle modifiche di AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e successivamente modificate da un account che utilizza le autorizzazioni in modalità Sviluppatore.
# Gestione della sicurezza e degli accessi in modalità AMS Developer
La protezione antimalware è tua responsabilità per le risorse fornite al di fuori del processo di gestione delle modifiche AMS Advanced o per le risorse fornite tramite la gestione delle modifiche e poi modificate da un account utilizzando le autorizzazioni della modalità Sviluppatore. L'accesso alle istanze Amazon Elastic Compute Cloud (Amazon EC2) non fornite tramite AMS Advanced Change Management potrebbe essere controllato da coppie di chiavi anziché fornire un accesso federato.
# Modalità Self-Service Provisioning in AMS
La modalità Self-Service Provisioning (SSP) di AWS Managed Services (AMS) fornisce l'accesso completo alle funzionalità native di AWS servizi e API negli account gestiti AMS. Puoi accedere ai servizi tramite ruoli standardizzati e limitati. AWS Identity and Access Management AMS fornisce richieste di assistenza e gestione degli incidenti. Gli avvisi, il monitoraggio, la registrazione, le patch, il backup e la gestione delle modifiche sono responsabilità dell'utente. In molti casi, i servizi Self-Service Provisioning (SSPS) sono autogestiti o senza server e non richiedono la gestione di determinate attività operative come l'applicazione di patch. Potete trarre vantaggio dall'utilizzo di questi servizi entro i limiti dell'ambiente definiti dai guardrails di AMS e qualsiasi modifica IAM (inclusi ruoli collegati ai servizi, ruoli di servizio, ruoli tra account o aggiornamenti delle policy) deve essere approvata da AMS Operations per mantenere la sicurezza di base della piattaforma. È possibile sfruttare i CloudFormation modelli per automatizzare l'implementazione di questi servizi, ma ciò non è supportato per tutti i servizi SSP.
**Importante**
Usa la modalità SSP nei tuoi account AWS Managed Services (AMS) per accedere e utilizzare AWS i servizi, con le restrizioni indicate.
Ce ne sono alcuni Servizi AWS che puoi usare senza la gestione di AMS, nel tuo account AMS. I servizi in modalità Self-Service Provisioning, o SSPS in breve, spiegano come aggiungerli all'account AMS e FAQs per ciascuno di essi sono descritti nella sezione.
I servizi di provisioning self-service vengono offerti così come sono e l'utente è responsabile della loro gestione. AMS non fornisce avvisi, monitoraggio, registrazione o applicazione di patch per le risorse associate a tali servizi. AMS fornisce ruoli IAM che consentono di utilizzare il servizio nel proprio account AMS in modo sicuro. AMS SLAs non si applicano.
Per le risorse fornite in modalità self-service, AMS fornisce la gestione degli incidenti, i controlli e le barriere investigative, la reportistica, le risorse designate (Cloud Service Delivery Manager e Cloud Architect), la sicurezza e l'accesso e il supporto tecnico tramite le richieste di assistenza. Inoltre, ove applicabile, l'utente si assume la responsabilità della gestione della continuità, della gestione delle patch, del monitoraggio dell'infrastruttura e della gestione delle modifiche per le risorse fornite o configurate al di fuori del sistema di gestione delle modifiche AMS.
# Guida introduttiva alla modalità SSP in AMS
Il self-service provisioning è una delle modalità AMS per multi-account landing zone (MALZ) che puoi utilizzare. Per ulteriori informazioni, consulta [Panoramica delle modalità](ams-modes-ug.md).
Per fornire funzionalità di provisioning self-service, AMS ha creato ruoli IAM elevati con limiti di autorizzazione per limitare le modifiche involontarie dovute all'accesso diretto. Servizio AWS I ruoli non impediscono tutte le modifiche e devi rispettare i controlli interni e le politiche di conformità e verificare che tutti Servizi AWS quelli utilizzati soddisfino le certificazioni richieste. Questa è la modalità di provisioning self-service. [Per i dettagli sui requisiti di AWS conformità, consulta AWS Conformità.](https://aws.amazon.com/compliance/)
Per aggiungere un servizio di provisioning self-service all'account dell'applicazione multi-account landing zone, utilizza il **Management \$1 AWS service \$1 Self-provisioned service \$1 Add** change type (CT), ovvero CT (CT) per la revisione o CT automatizzato, come indicato per il servizio.
**Nota**
Per richiedere ad AMS di fornire un servizio di fornitura self-service aggiuntivo, invia una richiesta di servizio.
# Usa AMS SSP per effettuare il provisioning di Amazon API Gateway nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon API Gateway direttamente nel tuo account gestito AMS. [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) è un servizio completamente gestito che semplifica per gli sviluppatori la creazione, la pubblicazione, la manutenzione, il monitoraggio e la protezione APIs su qualsiasi scala. Console di gestione AWS Puoi creare REST WebSocket APIs che fungano da porta d'ingresso per consentire alle applicazioni di accedere ai dati, alla logica di business o alle funzionalità dei tuoi servizi di back-end, come carichi di lavoro in esecuzione su Amazon Elastic Compute Cloud ([Amazon EC2](https://aws.amazon.com/ec2/)), codice in esecuzione su [AWS Lambda](https://aws.amazon.com/lambda/)qualsiasi applicazione Web o applicazioni di comunicazione in tempo reale.
API Gateway gestisce tutte le attività legate all'accettazione e all'elaborazione di centinaia di migliaia di chiamate API simultanee, tra cui la gestione del traffico, il controllo delle autorizzazioni e degli accessi, il monitoraggio e la gestione delle versioni delle API. API Gateway non prevede tariffe minime o costi di avvio. Paghi solo per le chiamate API che ricevi e per la quantità di dati trasferiti in uscita e, con il modello di prezzo a più livelli di API Gateway, puoi ridurre i costi man mano che l'utilizzo dell'API aumenta. Per ulteriori informazioni, consulta [Amazon API Gateway](https://aws.amazon.com/api-gateway/).
## Domande frequenti: API Gateway in AMS
**D: Come posso richiedere l'accesso ad Amazon API Gateway nel mio account AMS?**
Richiedi l'accesso ad API Gateway inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account: e. `customer_apigateway_author_role` `customer_apigateway_cloudwatch_role` Dopo aver effettuato il provisioning nel tuo account, devi integrare i ruoli nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon API Gateway nel mio account AMS?**
+ La configurazione dell'API Gateway è limitata alle risorse prive `AMS-` di `MC-` prefissi per impedire modifiche all'infrastruttura AMS.
+ `CREATE`i privilegi per VPCLink sono disabilitati per impedire la creazione non regolamentata di Elastic Load Balancers. VPCLinks Se necessario, vedere [Application Load Balancer \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-application-load-balancer-create.html) Create.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon API Gateway nel mio account AMS?**
Dipende dal tipo di API Gateway che desideri implementare. Può essere un servizio autonomo, ma può anche richiedere l'accesso a servizi esistenti (ad esempio, network load balancer).
# Usa AMS SSP per fornire Alexa for Business nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Alexa for Business direttamente dal tuo account gestito AMS. Alexa for Business è un servizio che consente alla tua organizzazione e ai tuoi dipendenti di utilizzare Alexa per svolgere più lavoro. Con Alexa for Business, puoi usare Alexa come assistente intelligente per essere più produttivo nelle sale riunioni, alla scrivania e persino con i dispositivi Alexa che già usi a casa o in viaggio. I responsabili IT e delle strutture possono utilizzare Alexa for Business per misurare e aumentare l'utilizzo delle sale riunioni esistenti sul posto di lavoro.
Per saperne di più, consulta [Alexa for Business](https://aws.amazon.com/alexaforbusiness/).
## Domande frequenti su Alexa for Business in AWS Managed Services
**D: Come posso richiedere l'accesso ad Alexa for Business nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_alexa_console_role` seguente ruolo IAM al tuo account:. A `customer_alexa_device_setup_user` è stato creato anche per lo strumento di configurazione dei dispositivi fornito da Alexa for Business; questo strumento di configurazione del dispositivo può quindi essere utilizzato per configurare i dispositivi. Una volta effettuato il provisioning nel tuo account, devi inserire i ruoli nella tua soluzione federativa.
Il gateway Alexa for Business ti consente di connettere Alexa for Business agli endpoint Cisco Webex e Poly Group Series per controllare le riunioni con la tua voce. Il software gateway viene eseguito sull'hardware locale e invia in modo sicuro le direttive di conferenza da Alexa for Business all'endpoint Cisco. Il gateway richiede due coppie di AWS credenziali per comunicare con Alexa for Business. Offriamo due utenti IAM ad accesso limitato: `customer_alexa_gateway_installer_user` e `customer_alexa_gateway_execution_user` per i tuoi gateway Alexa for Business, uno per l'installazione del gateway e uno per il funzionamento del gateway; questi possono essere richiesti inviando una RFC con il tipo di modifica Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) and Access Management (IAM) \$1 Create entità o policy (automazione gestita) (ct-3dpd8mdd9jn1r).
**Nota**
Per generare report sull'utilizzo e inviarli ad Amazon S3, specifica il nome del bucket Amazon S3 nella RFC del servizio self-provisioned.
**D: Quali sono le restrizioni all'uso di Alexa for Business nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Alexa for Business è disponibile con il ruolo di servizio self-provisioned Alexa for Business.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Alexa for Business nel mio account AMS?**
+ Se intendi utilizzare WPA2 Enterprise Wi-Fi per configurare i dispositivi condivisi, specifica questo tipo di sicurezza di rete nello Strumento di configurazione del dispositivo, per il quale è richiesto un AWS Autorità di certificazione privata .
+ AMS crea solo chiavi segrete che iniziano con lo spazio dei nomi «A4B». Questo è restrittivo solo per questo spazio dei nomi.
**D: Quali funzionalità di Alexa for Business richiedono RFCs separatamente?**
Per registrare un dispositivo Alexa Voice Service (AVS) con Alexa for Business, fornisci l'accesso al produttore di dispositivi integrato Alexa. A tale scopo, è necessario creare un ruolo IAM nella console Alexa for Business che può essere distribuito utilizzando il tipo di modifica Gestione \$1 Altro \$1 Altro. Ciò consente al produttore di dispositivi AVS di registrare e gestire i dispositivi con Alexa for Business per tuo conto.
# Usa AMS SSP per effettuare il provisioning WorkSpaces delle applicazioni Amazon nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon WorkSpaces Applications (WorkSpaces Applications) direttamente nel tuo account gestito AMS. WorkSpaces Applications ti consente di spostare le tue applicazioni desktop in AWS, senza riscriverle. È possibile installare le applicazioni in WorkSpaces Applicazioni, impostare configurazioni di avvio e rendere le applicazioni disponibili agli utenti. WorkSpaces Applications offre un'ampia selezione di opzioni di macchine virtuali in modo da poter selezionare il tipo di istanza più adatto ai requisiti dell'applicazione e impostare i parametri di scalabilità automatica in modo da soddisfare facilmente le esigenze degli utenti finali. WorkSpaces Applications consente di avviare applicazioni nella propria rete, il che significa che le applicazioni possono interagire con le AWS risorse esistenti.
Amazon WorkSpaces Applications ti consente di installare, testare e aggiornare le tue applicazioni in modo rapido e semplice utilizzando il generatore di immagini. Qualsiasi applicazione eseguita su Microsoft Windows Server 2012 R2, Windows Server 2016 o Windows Server 2019 è supportata e non è necessario apportare alcuna modifica. Una volta completato il test, puoi impostare le configurazioni di avvio dell'applicazione, le impostazioni utente predefinite e pubblicare l'immagine per consentire agli utenti di accedervi.
Per ulteriori informazioni, consulta [WorkSpaces Applicazioni.](https://aws.amazon.com/appstream2/)
## WorkSpaces Domande frequenti sulle applicazioni in AWS Managed Services
**D: Come posso richiedere l'accesso alle WorkSpaces applicazioni nel mio account AMS?**
Richiedi l'accesso alle WorkSpaces applicazioni inviando una RFC tramite Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-3qe6io8t6jtny). Questa RFC fornisce `customer_appstream_console_role` il seguente ruolo IAM al tuo account:.
A `customer_appstream_stream_role` viene inoltre distribuito per lo streaming di applicazioni che richiedono l'autenticazione degli utenti utilizzando le proprie credenziali di accesso ad Active Directory.
Una volta effettuato il provisioning nel tuo account, devi inserire i ruoli nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo delle WorkSpaces applicazioni nel mio account AMS?**
+ Le seguenti funzionalità devono essere configurate dal team di AMS Support e richiedono specifiche RFCs. Le istruzioni sulla richiesta di funzionalità aggiuntive sono disponibili nella sezione 4.
+ Creazione e streaming dagli endpoint VPC dell'interfaccia.
+ Support per gli endpoint Amazon S3 per le cartelle home e la persistenza delle impostazioni delle applicazioni su una rete privata.
+ Creazione e scelta del ruolo IAM che sarà disponibile su tutte le istanze di streaming del parco istanze.
+ Unire WorkSpaces le flotte di applicazioni e i domini Microsoft Active Directory dei generatori di immagini.
+ Creazione di report di WorkSpaces utilizzo personalizzati per le applicazioni.
+ Il branding personalizzato non è attualmente supportato.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare le WorkSpaces applicazioni nel mio account AMS?**
Durante l'invio della RFC alle WorkSpaces applicazioni di bordo, includi il nome del bucket Amazon S3 da utilizzare per il report sull'utilizzo delle applicazioni. WorkSpaces Il nome del bucket viene aggiunto a quello creato durante l'onboarding `customer-appstream-usagereports-policy` di Applications. WorkSpaces
**D: Quali funzionalità WorkSpaces delle applicazioni richiede una funzionalità separata? RFCs**
+ Per scegliere un endpoint VPC di interfaccia per WorkSpaces le applicazioni, invia un tipo di modifica Gestione \$1 Altro \$1 Altro \$1 Aggiornamento RFC per creare un endpoint VPC nel tuo account. Per i passaggi per creare endpoint personalizzati per WorkSpaces le applicazioni, consulta [Creazione e streaming dagli endpoint VPC dell'interfaccia](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html) nella guida utente WorkSpaces delle applicazioni.
+ Il supporto per gli endpoint Amazon S3 per le cartelle home e la persistenza delle impostazioni delle applicazioni su una rete privata possono essere configurati richiedendo gli endpoint VPC Amazon S3 con un RFC Management \$1 Other \$1 Other \$1 Create change type. La RFC deve includere rispettivamente il bucket Amazon S3 di destinazione che ospita il contenuto della cartella home o i bucket Amazon S3 delle impostazioni dell'applicazione. Questa RFC fornirà WorkSpaces alle applicazioni le autorizzazioni necessarie per accedere agli endpoint VPC di Amazon S3. Per i passaggi per creare endpoint personalizzati per gli stream, consulta [Using Amazon S3 VPC Endpoints for Home Folders and Application Settings Persistence nella guida per l'utente delle applicazioni](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html). WorkSpaces
+ Per creare e scegliere un ruolo IAM che sarà disponibile su tutte le istanze di streaming del parco istanze, invia una RFC Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Create entità o policy (automazione gestita) (ct-3dpd8mdd9jn1r) richiedendo il ruolo IAM con la policy richiesta. Il nome del ruolo IAM deve sempre iniziare con il prefisso: «customer\$1appstream».
+ WorkSpaces Le flotte e i generatori di immagini di Amazon Applications possono essere aggiunti ai domini in Microsoft Active Directory inviando un RFC di modifica di tipo Management \$1 Other \$1 Other \$1 Update per la creazione dell'account di servizio in Active Directory (AD). Le autorizzazioni minime richieste per accedere a Microsoft Active Directory sono definite nella documentazione delle WorkSpaces applicazioni in [Concessione delle autorizzazioni per la creazione e la gestione di oggetti informatici Active Directory](https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions).
+ Per creare report personalizzati sull'utilizzo WorkSpaces delle applicazioni, invia un tipo RFC di gestione \$1 Altro \$1 Altro \$1 Crea modifica richiedendo quanto segue:
+ "AppStreamUsageReports" Creazione dello stack CFN
+ «customer\$1appstream\$1usagereports\$1role» deve essere inserito nell'account
+ Fornisci inoltre i seguenti dettagli:
+ Fornisci l'espressione CRON per pianificare l'esecuzione del Crawler. Per impostazione predefinita, è alle 23:00 UTC di tutti i giorni.
+ ARN del bucket Amazon S3 da utilizzare per i risultati delle query Athena. Questo bucket deve avere il prefisso: `aws-athena-query-results`
+ Registri dei report sull'utilizzo dell'ARN WorkSpaces for Applications del bucket Amazon S3.
Una volta assegnato il ruolo, inserisci il ruolo nella tua soluzione di federazione ed effettua il login, quindi accedi e AWS GlueAWS Glue Athena per generare report personalizzati utilizzando il ruolo del rapporto di utilizzo. Per informazioni dettagliate sull'utilizzo dei report sull'utilizzo WorkSpaces delle applicazioni, consulta [Creare report personalizzati e analizzare i dati sull'utilizzo WorkSpaces delle applicazioni](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-custom-reports-analyze-usage-data.html), nella documentazione delle WorkSpaces applicazioni.
# Usa AMS SSP per effettuare il provisioning di Amazon Athena nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Athena (Athena) direttamente nel tuo account gestito AMS. Athena è un servizio di interrogazione interattivo che ti aiuta ad analizzare i dati in Amazon S3 utilizzando SQL standard. Athena è un servizio serverless, perciò non occorre installare o gestire alcuna infrastruttura e vengono addebitati solo i costi relativi all'esecuzione delle query. Indichi i tuoi dati in Amazon S3, definisci lo schema e inizi a eseguire query utilizzando SQL standard. La maggior parte dei risultati viene fornita in pochi secondi. Con Athena, non sono necessari lavori complessi extract-transform-load (ETL) per preparare i dati per l'analisi. In questo modo, chiunque abbia competenze SQL può analizzare rapidamente set di dati su larga scala in modo semplice. Per ulteriori informazioni, consulta [Amazon Athena](https://aws.amazon.com/athena/).
## Domande frequenti: Athena in AMS
**D: Come posso richiedere l'accesso ad Amazon Athena nel mio account AMS?**
Richiedi l'accesso ad Athena inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce il `customer_athena_console_role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Athena nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Amazon Athena è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Athena nel mio account AMS?**
Athena dipende in larga misura dal AWS Glue servizio, in quanto utilizza i dati catalog/metastore creati con. AWS Glue Pertanto, AWS Glue le autorizzazioni sono incluse nella RFC Athena di successo.
Il ruolo `customer_athena_console_role` ha un prerequisito per un bucket Amazon S3. Per creare un nuovo bucket, usa il CT automatizzato `ct-1a68ck03fn98r` (Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create). Quando si utilizza questo CT automatico per creare un bucket S3 per Athena, il nome del bucket deve iniziare con il prefisso. `athena-query-results-*`
# Usa AMS SSP per effettuare il provisioning di Amazon Bedrock nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Bedrock direttamente nel tuo account gestito AMS. Amazon Bedrock è un servizio completamente gestito che rende AWS disponibili per l'uso modelli di base ad alte prestazioni (FMs) delle principali startup di intelligenza artificiale tramite un'API unificata. Puoi scegliere tra un'ampia gamma di modelli di fondazione per trovare il modello più adatto al tuo caso d'uso. Amazon Bedrock offre anche un'ampia gamma di funzionalità per compilare applicazioni di IA generativa con sicurezza, privacy e IA responsabile. Con Amazon Bedrock, puoi sperimentare e valutare facilmente i migliori modelli di fondazione per i tuoi casi d'uso, personalizzarli privatamente con i tuoi dati utilizzando tecniche come l'ottimizzazione e la Retrieval Augmented Generation (RAG) e creare agenti che eseguono attività utilizzando i tuoi sistemi e le tue origini dati aziendali.
Con l'esperienza serverless di Amazon Bedrock, puoi iniziare rapidamente, personalizzare privatamente i modelli di base con i tuoi dati e integrarli e distribuirli in modo semplice e sicuro nelle tue applicazioni utilizzando gli strumenti AWS senza dover gestire alcuna infrastruttura. Per maggiori informazioni, consulta [Amazon Bedrock](https://aws.amazon.com/bedrock/).
## Domande frequenti: Amazon Bedrock in AMS
**D: Come posso richiedere l'accesso ad Amazon Bedrock nel mio account AMS?**
Per richiedere l'accesso ad Amazon Bedrock, invia una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce `customer_bedrock_console_role` il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Bedrock nel mio account AMS?**
+ Le knowledge base di Amazon Bedrock non sono supportate per impostazione predefinita come parte del ruolo SSPS a causa della sua dipendenza da OpenSearch Amazon Service Serverless, che attualmente non è supportato su AMS.
+ Bedrock Studio non è supportato a causa della sua dipendenza da servizi non supportati come Amazon. DataZone
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Bedrock nel mio account AMS?**
+ Gli abbonamenti con modelli di terze parti che richiedono Marketplace AWS autorizzazioni devono essere eseguiti secondo il ruolo predefinito (`AWSManagedServicesAdminRole`su MALZ e su SALZ). `Customer_ReadOnly_Role` Questo perché il ruolo predefinito include le autorizzazioni. Marketplace AWS
+ Se viene utilizzata la crittografia dei dati, è necessario fornire l'ARN della AWS KMS chiave quando si richiede la creazione del ruolo della console. Inoltre, il bucket Amazon S3 in uso deve avere «bedrock» nel nome.
# Usa AMS SSP per effettuare il provisioning di Amazon CloudSearch nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle CloudSearch funzionalità di Amazon direttamente dal tuo account gestito AMS. Amazon CloudSearch è un servizio gestito nel AWS cloud che utilizzi per configurare, gestire e scalare in modo conveniente una soluzione di ricerca per il tuo sito Web o la tua applicazione. Amazon CloudSearch supporta 34 lingue e le funzioni di ricerca più diffuse come l'evidenziazione, il completamento automatico e la ricerca geospaziale. Per ulteriori informazioni, consulta [Amazon CloudSearch](https://aws.amazon.com/cloudsearch/).
**Nota**
AWS ha chiuso l'accesso di nuovi clienti ad Amazon CloudSearch a partire dal 25 luglio 2024. I clienti CloudSearch esistenti di Amazon possono continuare a utilizzare il servizio normalmente. AWS continua a investire in sicurezza, disponibilità e miglioramenti delle prestazioni per Amazon CloudSearch, ma non abbiamo intenzione di introdurre nuove funzionalità.
Per comprendere le differenze tra Amazon CloudSearch e Amazon OpenSearch Service e come passare a OpenSearch Service, contatta il tuo cloud architect (CA) per ricevere assistenza. Per ulteriori informazioni sulla transizione al OpenSearch servizio Service, consulta [Transition from Amazon CloudSearch to Amazon OpenSearch Service service](https://aws.amazon.com/blogs/big-data/transition-from-amazon-cloudsearch-to-amazon-opensearch-service/).
## Domande frequenti su Amazon CloudSearch in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon CloudSearch nel mio account AMS?**
Richiedi l'accesso ad Amazon CloudSearch inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account: e. `customer_csearch_admin_role` `customer_csearch_dev_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo di Amazon CloudSearch nel mio account AMS?**
La funzionalità completa di Amazon CloudSearch è disponibile nel tuo account AMS. Tutte le soluzioni di database supportate da AMS sono attualmente supportate su Amazon. CloudSearch Tieni presente che, attualmente, DynamoDB è l'unica soluzione di database AWS gestita che non può essere indicizzata.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon CloudSearch nel mio account AMS?**
Amazon CloudSearch dipende dalla collaborazione di Amazon S3 con gli Identity Provider per analizzare automaticamente i dati di input e determinare i campi della tabella. L'accesso ad Amazon S3 non è fornito con questa RFC e deve essere richiesto separatamente in una richiesta di servizio.
# Usa AMS SSP per effettuare il provisioning di Amazon CloudWatch Synthetics nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Synthetics direttamente nel CloudWatch tuo account gestito AMS. Puoi usare Amazon CloudWatch Synthetics per creare «canaries» per monitorare i tuoi endpoint e. APIs
I Canaries sono script configurabili, scritti in Node.js o Python, che vengono eseguiti secondo una pianificazione. Creano funzioni Lambda nel tuo account che utilizzano Node.js o Python come framework. I canary funzionano su protocolli HTTP e HTTPS. Canaries verifica la disponibilità e la latenza degli endpoint e può archiviare dati sul tempo di caricamento e schermate dell'interfaccia utente. Monitorano il REST APIs e il contenuto del sito Web e possono verificare eventuali modifiche non autorizzate dovute al phishing, all'iniezione di codice e al cross-site scripting. URLs
Le Canarie seguono gli stessi percorsi ed eseguono le stesse azioni dei clienti, consentendovi di verificare continuamente l'esperienza del cliente anche quando non c'è traffico di clienti sulle vostre applicazioni. Con i canary puoi scoprire i problemi prima che vengano rilevati dai clienti. Per ulteriori informazioni, consulta [Amazon CloudWatch: utilizzo del monitoraggio sintetico](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html).
## Domande frequenti su Amazon CloudWatch Synthetics in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon CloudWatch Synthetics nel mio account AMS?**
Richiedi l'accesso ad Amazon CloudWatch Synthetics inviando una RFC con il tipo di modifica Management AWS \$1 service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce il seguente ruolo IAM al tuo account: 'customer\$1cw\$1synthetics\$1console\$1role' e 'customer\$1cw\$1synthetics\$1canary\$1lambda\$1role'. Una volta effettuato il provisioning nel tuo account, devi inserire il ruolo «customer\$1cw\$1synthetics\$1console\$1role» nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'uso di Amazon CloudWatch Synthetics nel mio account AMS?**
Non ci sono restrizioni all'uso di Amazon CloudWatch Synthetics nel tuo account AMS. È vietata la creazione di ruoli per i canari al di fuori del ruolo di servizio fornito da AMS «customer\$1cw\$1synthetics\$1canary\$1lambda\$1role».
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Synthetics CloudWatch nel mio account AMS?**
Canaries crea e utilizza un bucket Amazon CloudWatch Synthetics S3 predefinito: "- -» cw-syn-results *\$1\$1accountnumber\$1* *\$1\$1default-region\$1*
# Usa AMS SSP per effettuare il provisioning dei pool di utenti Amazon Cognito nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità dei pool di utenti di Amazon Cognito direttamente nel tuo account gestito AMS. I pool di utenti di Amazon Cognito forniscono una directory utente sicura scalabile fino a centinaia di milioni di utenti. Essendo un servizio completamente gestito, i pool di utenti di Amazon Cognito possono essere configurati senza doversi preoccupare di dover installare l'infrastruttura server. Questo servizio consente di gestire un pool di utenti finali che è possibile utilizzare per l'integrazione con le applicazioni interne. Questo servizio offre un'alternativa a un database personalizzato o a un elenco di utenti finali per applicazioni Web o mobili. Allo stesso tempo, i pool di utenti di Amazon Cognito forniscono il set completo di funzionalità di un servizio di directory, come le politiche sulle password, l'autenticazione a più fattori, il recupero delle password e l'iscrizione automatica ai servizi. Consente inoltre all'applicazione di federare l'accesso ad altri servizi pubblici popolari come OpenID, Facebook, Amazon o Google.
Amazon Cognito è diviso in due prodotti principali. Pool di utenti Amazon Cognito e Amazon Cognito Identity Provider. Questa sezione si concentra sui pool di utenti di Amazon Cognito, che forniscono l'accesso ad altri AWS servizi come Amazon S3 o DynamoDB. Il servizio consente di utilizzare i pool di utenti di Amazon Cognito o un provider di identità di terze parti per fornire l'accesso ai AWS servizi. Fornisce inoltre l'accesso ai AWS servizi utilizzando l'accesso anonimo degli ospiti. A causa della potente natura dei pool di utenti di Amazon Cognito, questi verrebbero gestiti manualmente sulla case-by-case base di un servizio manuale operativo, al fine di evitare potenziali violazioni della sicurezza dell'account. Per ulteriori informazioni, consulta [Amazon Cognito User Pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html).
## Domande frequenti sui pool di utenti di Amazon Cognito in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ai pool di utenti di Amazon Cognito nel mio account AMS?**
L'implementazione dei pool di utenti di Amazon Cognito in AMS è un processo in due fasi:
1. Invia una gestione \$1 Altro \$1 Altro \$1 Crea (ct-1e1xtak34nx76) modifica il tipo e richiedi la creazione dei pool di utenti Amazon Cognito nel tuo account AMS. Includi le seguenti informazioni:
+ AWS Regione.
+ Nome per il pool di utenti di Cognito.
+ Se desideri utilizzare Amazon Simple Email Service (Amazon SES) per inviare messaggi e notifiche anziché il servizio di posta interno predefinito di Cognito, il cliente deve fornire un indirizzo e-mail già convalidato per il servizio Amazon SES nell'account. Questo indirizzo verrà utilizzato per i campi «Da» e «REPLY-TO» del messaggio. Devono inoltre indicare la regione in cui è stato attivato Amazon SES (us-east-1, eu-west-1 o us-west-2).
+ Se desideri utilizzare i messaggi SMS per password monouso e per la verifica, il cliente deve indicarlo.
1. Richiedi l'accesso dell'utente inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account: e. `customer_cognito_admin_role` `customer_cognito_importjob_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione di federazione. Questi ruoli consentono di gestire i pool di utenti di Amazon Cognito, gestire utenti e gruppi nel pool, creare importjob per gli utenti, modificare i messaggi di notifica e sottoscrizione, associare applicazioni al pool di utenti, gestire automaticamente l'aggiunta di servizi federativi al pool ed eliminare i pool già creati.
**D: Quali sono le restrizioni all'utilizzo dei pool di utenti di Amazon Cognito nel mio account AMS?**
Non sarai in grado di creare i pool di utenti di Amazon Cognito. Tale azione richiede la creazione di ruoli IAM per sfruttare i servizi utilizzati da Amazon Cognito, come Amazon SES e Amazon Simple Notification Service (Amazon SNS).
**D: Quali sono i prerequisiti o le dipendenze per utilizzare i pool di utenti di Amazon Cognito nel mio account AMS?**
Se desideri utilizzare Amazon SES per inviare messaggi e notifiche via e-mail ai tuoi pool di utenti, questi devono già attivare il servizio Amazon SES nell'account e convalidare già l'indirizzo e-mail da utilizzare nei campi «FROM» e «REPLY-TO» delle e-mail inviate. Per ulteriori informazioni sulla convalida dell'indirizzo e-mail con Amazon SES, consulta [Verifica degli indirizzi e-mail in Amazon](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-email-addresses.html) SES.
# Usa AMS SSP per effettuare il provisioning di Amazon Comprehend nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Comprehend direttamente nel tuo account gestito AMS. Amazon Comprehend è un servizio di elaborazione del linguaggio naturale (NLP) che utilizza l'apprendimento automatico per trovare approfondimenti e relazioni nel testo, non è richiesta alcuna esperienza di apprendimento automatico. Amazon Comprehend utilizza l'apprendimento automatico per aiutarti a scoprire le informazioni e le relazioni nei tuoi dati non strutturati. Il servizio identifica la lingua del testo; estrae frasi chiave, luoghi, persone, marchi o eventi; comprende quanto sia positivo o negativo il testo; analizza il testo utilizzando la tokenizzazione e parti del discorso e organizza automaticamente una raccolta di file di testo per argomento. Puoi anche utilizzare le funzionalità di AutoML in Amazon Comprehend per creare un set personalizzato di entità o modelli di classificazione del testo personalizzati in base alle esigenze della tua organizzazione. Per ulteriori informazioni, consulta [Amazon Comprehend](https://aws.amazon.com/comprehend/).
## Domande frequenti su Amazon Comprehend in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon Comprehend nel mio account AMS?**
La console Amazon Comprehend e i ruoli di accesso ai dati possono essere richiesti inviando due servizi AMS: RFCs
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (managed automation) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_comprehend_console_role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Comprehend nel mio account AMS?**
La funzionalità Create New IAM Role tramite la console Amazon Comprehend è limitata. Altrimenti, la funzionalità completa di Amazon Comprehend è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Comprehend nel mio account AMS?**
Amazon S3 e AWS Key Management Service (AWS KMS) sono necessari per utilizzare Amazon Comprehend, se i bucket Amazon S3 sono crittografati con chiavi. AWS KMS
# Usa AMS SSP per effettuare il provisioning di Amazon Connect nel tuo account AMS
**Nota**
Dopo un’attenta valutazione, abbiamo deciso di interrompere il supporto per Amazon Connect Voice ID a partire dal 20 maggio 2026. Amazon Connect Voice ID non accetterà più nuovi clienti a partire dal 20 maggio 2025. In qualità di cliente esistente con un account registrato al servizio prima del 20 maggio 2025, puoi continuare a utilizzare le funzionalità di Amazon Connect Voice ID. Dopo il 20 maggio 2026, non potrai più utilizzare Amazon Connect Voice ID.
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Connect direttamente nel tuo account gestito AMS. Amazon Connect è un contact center cloud omnicanale che aiuta le aziende a fornire un servizio clienti di qualità superiore a un costo inferiore. Amazon Connect offre un'esperienza fluida tramite voce e chat per clienti e agenti. Ciò include un set di strumenti per il routing basato sulle competenze, potenti analisi cronologiche e in tempo reale e strumenti di gestione easy-to-use intuitivi, il tutto con prezzi. pay-as-you-go
Puoi creare una o più istanze delle istanze del contact center virtuale negli account AMS multi-account landing zone o negli account di landing zone con account singolo. Puoi utilizzare i provider di identità SAML 2.0 esistenti per l'accesso agli agenti o utilizzare il supporto nativo di Amazon Connect per la gestione del ciclo di vita degli utenti.
Inoltre, puoi richiedere i numeri di free/direct telefono a pagamento per ogni istanza Amazon Connect dalla console Amazon Connect. Puoi creare ricchi flussi di contatti per ottenere l'esperienza e il routing del cliente desiderati utilizzando un' easy-to-useinterfaccia utente grafica. I flussi di contatti possono sfruttare AWS Lambda le funzioni per l'integrazione con gli archivi di dati e le API locali. Puoi anche abilitare lo streaming di dati utilizzando Kinesis Streams e Firehose.
Le registrazioni delle chiamate, le trascrizioni delle chat e i report vengono archiviati in un bucket Amazon S3 crittografato utilizzando una chiave. AWS KMS I log del flusso di contatti possono essere salvati in gruppi di log. CloudWatch
Per ulteriori informazioni, consulta [Amazon Connect](https://aws.amazon.com/connect/).
## Domande frequenti su Amazon Connect in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon Connect nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce i seguenti `customer_connect_console_role` ruoli IAM al tuo account: e. `customer_connect_user_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'uso di Amazon Connect nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Amazon Connect è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Connect nel mio account AMS?**
+ È necessario creare una AWS KMS chiave e un bucket Amazon S3 utilizzando AMS standard RFCs; il bucket Amazon S3 è necessario per archiviare le registrazioni delle chiamate e le trascrizioni delle chat.
+ Se desideri effettuare l'integrazione con Active Directory (AD), è necessario un AD Connector per l'integrazione tra le istanze Amazon Connect ospitate da AMS e i servizi di directory locali. AD Connector può essere configurato nel tuo account richiedendo una RFC «Gestione \$1 Altro \$1 Altro».
+ È possibile abilitare i seguenti servizi opzionali forniti autonomamente in base ai requisiti del flusso di contatti.
+ **AWS Lambda**: È possibile utilizzare le funzioni Lambda per estendere i flussi di contatti per sfruttare gli archivi dati locali esistenti oppure. APIs Puoi utilizzare il servizio Lambda self-provisioned per creare le funzioni Lambda.
+ **Amazon Kinesis Data** Streams: puoi creare flussi di dati per abilitare lo streaming di dati verso applicazioni esterne. Puoi trasmettere in streaming i record di tracciamento dei contatti o gli eventi degli agenti.
+ **Amazon Kinesis Data** Firehose: puoi creare Data Firehose per trasmettere record di tracce di contatti ad alto volume verso applicazioni esterne.
+ **Amazon Lex**: puoi sfruttare i chatbot di Amazon Lex per creare flussi di contatti intelligenti sfruttando i servizi Amazon Alexa per un'esperienza cliente e un'automazione avanzate.
+ **D: Come posso richiedere di aggiungere un elenco di paesi per le chiamate in uscita o in entrata?**
Per aggiungere un elenco di paesi per le chiamate in uscita o in entrata, invia una richiesta di servizio ad AMS.
# Usa AMS SSP per effettuare il provisioning di Amazon Data Firehose nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Data Firehose direttamente dal tuo account gestito AMS. Firehose è il modo più semplice per caricare in modo affidabile lo streaming di dati in data lake, data store e strumenti di analisi. [Può acquisire, trasformare e caricare dati di streaming in Amazon S3, Amazon Redshift, OpenSearch Amazon Service e Splunk, abilitando analisi quasi in tempo reale con gli strumenti e le dashboard di business intelligence esistenti che già utilizzi oggi.](https://aws.amazon.com/kinesis/data-firehose/splunk/) È un servizio completamente gestito che si ridimensiona automaticamente in base alla velocità di trasmissione dei dati e non richiede alcuna amministrazione continua. Può anche raggruppare, comprimere, trasformare e crittografare i dati prima di caricarli, riducendo al minimo la quantità di storage utilizzata nella destinazione e aumentando la sicurezza. Per ulteriori informazioni, consulta [What Is Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)?
## Domande frequenti su Firehose in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon Data Firehose nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_kinesis_firehose_user_role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di Firehose nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Amazon Data Firehose è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Firehose nel mio account AMS?**
È necessario richiedere nuovi ruoli IAM collegati ai servizi per ogni flusso di distribuzione. Puoi anche riutilizzare un singolo ruolo collegato al servizio per tutti i flussi aggiornando la politica del ruolo con le autorizzazioni delle risorse richieste (inclusi bucket S3/KMS Keys/Lambda Functions /Kinesis stream).
Dopo aver inviato la RFC per aggiungere Firehose, un tecnico AMS Operations ti contatterà tramite una richiesta di assistenza per ARNs le risorse che desideri collegare a Data Firehose (ad esempio AWS KMS, S3, Lambda e Kinesis Streams).
# Usa AMS SSP per effettuare il provisioning di Amazon DevOps Guru nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon DevOps Guru direttamente dal tuo account gestito AMS. Amazon DevOps Guru è un servizio operativo completamente gestito che consente a sviluppatori e operatori di migliorare facilmente le prestazioni e la disponibilità delle loro applicazioni. DevOpsGuru ti consente di alleggerire le attività amministrative associate all'identificazione dei problemi operativi in modo da poter implementare rapidamente i consigli per migliorare la tua applicazione. DevOpsGuru crea informazioni reattive che puoi utilizzare subito per migliorare la tua applicazione. Crea inoltre informazioni proattive per aiutarti a evitare problemi operativi che potrebbero influire sulla tua applicazione in futuro. DevOpsGuru applica l'apprendimento automatico per analizzare i dati operativi e le metriche e gli eventi delle applicazioni per identificare comportamenti che si discostano dai normali schemi operativi. Riceverai una notifica quando DevOps Guru rileva un problema o un rischio operativo. Per ogni numero, DevOps Guru presenta raccomandazioni intelligenti per affrontare i problemi operativi attuali e previsti per il futuro.
Per ulteriori informazioni, consulta [Cos'è Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html).
## Domande frequenti su Amazon DevOps Guru in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon DevOps Guru nel mio account AMS?**
Per richiedere l'accesso, invia un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce `customer_devopsguru_role` il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon DevOps Guru nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Amazon DevOps Guru è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon DevOps Guru nel mio account AMS?**
Non ci sono prerequisiti. DevOpsGuru sfrutta i seguenti AWS servizi: Amazon CloudWatch Logs, RDS Insights,, AWS X-Ray e. AWS Lambda AWS CloudTrail
# Usa AMS SSP per effettuare il provisioning di Amazon DocumentDB (con compatibilità MongoDB) nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon DocumentDB (con compatibilità MongoDB) direttamente nel tuo account gestito AMS. Amazon DocumentDB (con compatibilità con MongoDB) è un servizio di database di documenti veloce, scalabile, altamente disponibile e completamente gestito che supporta i carichi di lavoro MongoDB. Amazon DocumentDB ti offre le prestazioni, la scalabilità e la disponibilità di cui hai bisogno per gestire carichi di lavoro MongoDB mission-critical su larga scala. Amazon DocumentDB implementa l'API open source MongoDB 3.6 di Apache 2.0 emulando le risposte che un client MongoDB si aspetta da un server MongoDB, consentendoti di utilizzare i driver e gli strumenti MongoDB esistenti con Amazon DocumentDB. In Amazon DocumentDB, lo storage e l'elaborazione sono disaccoppiati, consentendo a ciascuno di scalare in modo indipendente. Inoltre, puoi aumentare la capacità di lettura fino a milioni di richieste al secondo aggiungendo fino a 15 repliche di lettura a bassa latenza, indipendentemente dalla dimensione dei dati. Amazon DocumentDB è progettato per una disponibilità del 99,99% e replica sei copie dei dati in tre zone di AWS disponibilità (). AZs Puoi utilizzare AWS Database Migration Service (DMS) gratuitamente (per sei mesi) per migrare i tuoi database locali o Amazon Elastic Compute Cloud (Amazon EC2) MongoDB su Amazon DocumentDB praticamente senza tempi di inattività. Per ulteriori informazioni, consulta [Amazon DocumentDB (con compatibilità con MongoDB](https://aws.amazon.com/documentdb/)).
## Domande frequenti su Amazon DocumentDB in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon DocumentDB nel mio account AMS?**
La console di Amazon DocumentDB e i ruoli di accesso ai dati possono essere richiesti inviando due moduli AMS RFCs, accesso alla console e accesso ai dati:
Richiedi l'accesso ad Amazon DocumentDB inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce il `customer_documentdb_role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon DocumentDB nel mio account AMS?**
Amazon DocumentDB richiede autorizzazioni specifiche di Amazon RDS. Poiché AMS gestisce completamente Amazon RDS, il ruolo IAM per Amazon DocumentDB include alcune restrizioni alle azioni su Amazon RDS. Le restrizioni si applicano come segue:
+ L'accesso a `DeleteDBInstance` e `DeleteDBCluster` APIs sono stati limitati. Per utilizzare tali eliminazioni APIs, invia una RFC con il tipo di modifica Management \$1 Advanced stack components \$1 Identity and Access Management (IAM) and Access Management \$1 Update entity o policy (managed automation) (ct-27tuth19k52b4).
+ Non puoi aggiungere o rimuovere tag dalle istanze Amazon RDS.
+ Non puoi rendere pubblica la tua istanza Amazon DocumentDB.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon DocumentDB nel mio account AMS?**
Amazon S3 e AWS KMS sono necessari per utilizzare Amazon DocumentDB, se i bucket Amazon S3 sono crittografati con chiavi. AWS KMS
# Usa AMS SSP per effettuare il provisioning di Amazon DynamoDB nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon DynamoDB (DynamoDB) direttamente nel tuo account gestito AMS. Amazon DynamoDB è un database di valori e documenti chiave che offre prestazioni a una cifra in millisecondi su qualsiasi scala. È un database multiregionale e multiattivo completamente gestito con sicurezza, backup e ripristino integrati e caching in memoria per applicazioni su scala Internet. Per ulteriori informazioni, consulta [Amazon DynamoDB](https://aws.amazon.com/dynamodb/).
Amazon DynamoDB Accelerator (DAX) è un servizio di memorizzazione nella cache write-through progettato per semplificare il processo di aggiunta di una cache alle tabelle DynamoDB. DAX è destinato all'uso in applicazioni che richiedono letture ad alte prestazioni.
## Domande frequenti su DynamoDB in AWS Managed Services
**D: Come posso richiedere l'accesso a DynamoDB e DAX nel mio account AMS?**
Richiedi l'accesso a DynamoDB e DAX inviando una RFC con il tipo di modifica Management AWS \$1 service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli e policy IAM al tuo account:
+ Nome del ruolo DynamoDB: `customer_dynamodb_role`
Nome del ruolo del servizio DAX: `customer_dax_service_role`
+ Nome della policy DynamoDB: `customer_dynamodb_policy`
Politica del servizio DAX: `customer_dax_service_policy`
Una volta effettuato il provisioning nel proprio account, è necessario effettuare l'integrazione della soluzione `customer_dynamodb_role` nella federazione.
**D: Quali sono le restrizioni all'utilizzo di DynamoDB nel mio account AMS?**
Sono supportate tutte le funzionalità di DynamoDB, incluso DynamoDB Accelerator (DAX).
Quando si creano allarmi per una determinata tabella, il nome dell'avviso deve avere il prefisso «customer\$1»; ad esempio,. `customer-employee-table-high-put-latency`
Quando si crea un argomento Amazon SNS per DynamoDB, deve essere denominato:. `dynamodb`
Per eliminare l'argomento Amazon SNS creato da DynamoDB, invia un RFC di tipo Management \$1 Other \$1 Other \$1 Update change.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare DynamoDB nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per utilizzare DynamoDB nel tuo account AMS.
# Usa AMS SSP per effettuare il provisioning di Amazon Elastic Container Registry nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Elastic Container Registry (Amazon ECR) direttamente nel tuo account gestito AMS. Amazon Elastic Container Registry è un registro di container [Docker](https://aws.amazon.com/docker/) completamente gestito che semplifica per gli sviluppatori l'archiviazione, la gestione e la distribuzione di immagini di container Docker. Amazon ECR è integrato con [Amazon Elastic Container Service (Amazon ECS), semplificando il flusso](https://aws.amazon.com/ecs/) di lavoro dallo sviluppo alla produzione. Amazon ECR elimina la necessità di gestire i propri repository di container o di preoccuparsi della scalabilità dell'infrastruttura sottostante. Amazon ECS ospita le tue immagini in un'architettura altamente disponibile e scalabile, che ti consente di distribuire in modo affidabile contenitori per le tue applicazioni. L'integrazione con AWS Identity and Access Management (IAM) fornisce il controllo a livello di risorsa di ogni repository. Con Amazon ECR, non ci sono commissioni o impegni iniziali. Paghi solo per la quantità di dati archiviati nei tuoi repository e di dati trasferiti su Internet.
Per ulteriori informazioni, consulta [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/).
## Domande frequenti su Amazon Elastic Container Registry in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon ECR nel mio account AMS?**
Richiedi l'accesso ad Amazon ECR inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account:, e con le politiche IAM associate e, rispettivamente. ` customer_ecr_console_role` `customer_ecr_poweruser_instance_profile` `customer_ecr_console_policy` `customer_ecr_poweruser_instance_profile_policy` Una volta effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'uso di Amazon ECR nel mio account AMS?**
Esistono restrizioni sugli spazi dei nomi AMS per l'uso di Amazon ECR nel tuo account AMS. Le immagini dei contenitori non possono avere il prefisso «AMS-» o «Sentinel-».
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon ECR nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per utilizzare Amazon ECR nel tuo account AMS.
# Usa AMS SSP per effettuare il provisioning di EC2 Image Builder nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di EC2 Image Builder direttamente nel tuo account gestito AMS. EC2 Image Builder è un servizio AWS completamente gestito che semplifica l'automazione della creazione, gestione e distribuzione di immagini server personalizzate up-to-date, sicure e «dorate» preinstallate e preconfigurate con software e impostazioni per soddisfare specifici standard IT.
Puoi utilizzare Console di gestione AWS la AWS CLI o APIs creare immagini personalizzate nel tuo AWS account. Quando utilizzi Console di gestione AWS, la procedura guidata di Amazon EC2 Image Builder ti guida attraverso i passaggi per:
+ Fornisci artefatti iniziali
+ Aggiungere e rimuovere software
+ Personalizza impostazioni e script
+ Esegui test selezionati
+ Distribuisci le immagini AWS nelle regioni
Le immagini create vengono create nel tuo account e possono essere configurate per le patch del sistema operativo su base continuativa. Per saperne di più, consulta [EC2 Image Builder](https://aws.amazon.com/image-builder/).
## Domande frequenti su EC2 Image Builder in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso a EC2 Image Builder nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny). Tramite questa RFC, nel tuo account verrà assegnato il seguente ruolo IAM:. ` customer_ec2_imagebuilder_role` Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni per EC2 Image Builder?**
AMS non supporta l'uso di Service Defaults per la configurazione dell'infrastruttura. È possibile creare una nuova configurazione dell'infrastruttura o utilizzarne una esistente.
Attualmente AMS non supporta la creazione di ricette di contenitori.
**D: Quali sono i prerequisiti o le dipendenze per abilitare EC2 Image Builder?**
+ Ruolo collegato ai servizi di EC2 Image Builder: non è necessario creare manualmente un ruolo collegato al servizio. Quando crei la tua prima risorsa Image Builder nella AWS CLI o nell'API, AWS Image Builder crea automaticamente il ruolo collegato al servizio. Console di gestione AWS
+ Le istanze utilizzate per creare immagini ed eseguire test utilizzando Image Builder devono avere accesso al servizio Systems Manager. L'agente SSM verrà installato sull'immagine sorgente se non è già presente e verrà rimosso prima della creazione dell'immagine.
+ AWS IAM: il ruolo IAM che associ al tuo profilo di istanza deve disporre delle autorizzazioni per eseguire i componenti di compilazione e test inclusi nell'immagine. Le seguenti policy di ruolo IAM devono essere associate al ruolo IAM associato ai profili di istanza: `EC2InstanceProfileForImageBuilder` e`AmazonSSMManagedInstanceCore`. Il nome del ruolo IAM deve contenere la `*imagebuilder*` parola chiave.
+ Se configuri la registrazione, il profilo di istanza specificato nella configurazione dell'infrastruttura deve disporre delle `s3:PutObject` autorizzazioni per il bucket di destinazione (). `arn:aws:s3:::{bucket-name}/*` Esempio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::{bucket-name}/*"
}
]
}
```
------
+ Crea un argomento SNS con nome 'imagebuilder' per ricevere avvisi e notifiche da EC2 Image Builder.
# Usa AMS SSP per effettuare il provisioning di Amazon ECS AWS Fargate nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere ad Amazon ECS on AWS Fargate Capabilities direttamente nel tuo account gestito AMS. AWS Fargate è una tecnologia che puoi usare con Amazon ECS per eseguire container (vedi Containers [on AWS](https://aws.amazon.com/what-are-containers)) senza dover gestire server o cluster di istanze Amazon EC2. Con AWS Fargate, non è più necessario effettuare il provisioning, configurare o ridimensionare i cluster di macchine virtuali per eseguire i contenitori. Viene anche eliminata la necessità di scegliere i tipi di server, di decidere quando dimensionare i cluster o ottimizzarne il packing.
Per ulteriori informazioni, consulta [Amazon ECS on AWS Fargate.](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html)
## Domande frequenti su Amazon ECS su Fargate in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon ECS on Fargate nel mio account AMS?**
Richiedi l'accesso ad Amazon ECS su Fargate inviando una RFC con il tipo di modifica Management AWS \$1 service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account: `customer_ecs_fargate_console_role` (se non viene fornito alcun ruolo IAM esistente a cui associare la policy ECS),,, e. `customer_ecs_fargate_events_service_role` `customer_ecs_task_execution_service_role` `customer_ecs_codedeploy_service_role` `AWSServiceRoleForApplicationAutoScaling_ECSService` Una volta effettuato il provisioning nel tuo account, devi inserire i ruoli nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon ECS su Fargate nel mio account AMS?**
+ Il monitoraggio e la registrazione delle attività di Amazon ECS sono considerati una tua responsabilità poiché le attività a livello di container si verificano al di sopra dell'hypervisor e le funzionalità di registrazione sono limitate da Amazon ECS su Fargate. In qualità di utente di Amazon ECS su Fargate, ti consigliamo di adottare le misure necessarie per abilitare la registrazione delle tue attività Amazon ECS. Per ulteriori informazioni, consulta [Abilitazione del driver di registro awslogs per i](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs) tuoi contenitori.
+ Anche la sicurezza e la protezione da malware a livello di container sono considerate di tua responsabilità. Amazon ECS on Fargate non include Trend Micro o componenti di sicurezza di rete preconfigurati.
+ Questo servizio è disponibile sia per gli account di landing zone multi-account che per gli account AMS di landing zone con account singolo.
+ Amazon ECS [Service Discovery](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html) è limitato per impostazione predefinita nel ruolo di self-provisioning poiché sono necessarie autorizzazioni elevate per creare zone ospitate private Route 53. Per abilitare Service Discovery su un servizio, invia un tipo di modifica Management \$1 Other \$1 Other \$1 Update. Per fornire le informazioni necessarie per abilitare Service Discovery per il tuo servizio Amazon ECS, consulta il [manuale Service Discovery](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html).
+ Attualmente AMS non gestisce o limita le immagini utilizzate per la distribuzione in container su Amazon ECS Fargate. Potrai distribuire immagini da Amazon ECR, Docker Hub o qualsiasi altro archivio di immagini privato. Pertanto, abbiamo consigliato di non distribuire immagini pubbliche o non protette, poiché potrebbero provocare attività dannose sull'account.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon ECS on Fargate nel mio account AMS?**
+ Di seguito sono riportate le dipendenze di Amazon ECS su Fargate; tuttavia, non è richiesta alcuna azione aggiuntiva per abilitare questi servizi con il ruolo assegnato autonomamente:
+ CloudWatch registri
+ CloudWatch eventi
+ CloudWatch allarmi
+ CodeDeploy
+ App Mesh
+ Cloud Map
+ Route 53
+ A seconda del caso d'uso, le seguenti sono le risorse su cui si basa Amazon ECS e che potrebbero richiedere prima di utilizzare Amazon ECS on Fargate nel tuo account:
+ Gruppo di sicurezza da utilizzare con il servizio Amazon ECS. È possibile utilizzare Deployment \$1 Advanced stack components \$1 Security Group \$1 Create (auto) (ct-3pc215bnwb6p7) oppure, se il gruppo di sicurezza richiede regole speciali, utilizzare Deployment \$1 Advanced stack components \$1 Security Group \$1 Create (automazione gestita) (ct-1oxx2g2d7hc90). Nota: il gruppo di sicurezza selezionato con Amazon ECS deve essere creato specificamente per Amazon ECS in cui risiede il servizio o il cluster Amazon ECS. Puoi saperne di più nella sezione **Security Group** in [Configurazione con Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html) e [sicurezza in Amazon Elastic Container Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html).
+ Application load balancer (ALB), network load balancer (NLB), classic load balancer (ELB) per il bilanciamento del carico tra le attività.
+ Gruppi target per. ALBs
+ Risorse mesh per app (ad esempio, router virtuali, servizi virtuali, nodi virtuali) da integrare con il tuo cluster Amazon ECS.
+ Attualmente, AMS non è in grado di mitigare automaticamente i rischi associati al supporto delle autorizzazioni dei gruppi di sicurezza se create al di fuori dei tipi di modifica AMS standard. Ti consigliamo di richiedere un gruppo di sicurezza specifico da utilizzare con il tuo cluster Fargate per limitare la possibilità di utilizzare un gruppo di sicurezza non designato per l'uso con Amazon ECS.
# Usa AMS SSP per effettuare il provisioning di Amazon EKS AWS Fargate nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere ad Amazon EKS sulle AWS Fargate funzionalità direttamente nel tuo account gestito AMS. AWS Fargate [è una tecnologia che fornisce capacità di calcolo on-demand e della giusta dimensione per i container (per informazioni sui contenitori, consulta Cosa sono i contenitori?](https://aws.amazon.com/what-are-containers) ). Con AWS Fargate, non è più necessario effettuare il provisioning, configurare o ridimensionare gruppi di macchine virtuali per eseguire i contenitori. Viene anche eliminata la necessità di scegliere i tipi di server, di decidere quando dimensionare i gruppi di nodi o ottimizzare il packing dei cluster.
Amazon Elastic Kubernetes Service (Amazon EKS) integra AWS Fargate Kubernetes utilizzando controller AWS creati utilizzando il modello upstream ed estensibile fornito da Kubernetes. Questi controller funzionano come parte del piano di controllo Kubernetes gestito da Amazon EKS e sono responsabili della pianificazione dei pod Kubernetes nativi su Fargate. I controller Fargate includono un nuovo pianificazione che viene eseguito insieme al pianificatore di default di Kubernetes, oltre a diversi controller di ammissione mutanti e convalidanti. Quando si avvia un pod che soddisfa i criteri per l'esecuzione su Fargate, i controller Fargate in esecuzione nel cluster riconoscono, aggiornano e programmano il pod su Fargate.
Per ulteriori informazioni, consulta [Amazon EKS on AWS Fargate Now Generally Available](https://aws.amazon.com/blogs/aws/amazon-eks-on-aws-fargate-now-generally-available/) e [Amazon EKS Best Practices Guide for Security](https://aws.github.io/aws-eks-best-practices/security/docs/) (include «Consigli» come «Rivedi e revoca accessi anonimi non necessari» e altro).
**Suggerimento**
AMS ha un tipo di modifica, Deployment \$1 Advanced stack components \$1 Identity and Access Managment (IAM) \$1 Create un provider OpenID Connect (ct-30ecvfi3tq4k3), che puoi utilizzare con Amazon EKS. Per un esempio, consulta [Identity and Access Management (IAM) \$1 Create OpenID](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-openid-connect-provider.html) Connect Provider.
## Domande frequenti su Amazon EKS AWS Fargate attivo in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon EKS su Fargate nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il seguente ruolo IAM al tuo account.
+ `customer_eks_fargate_console_role`.
Dopo averlo inserito nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
+ Questi ruoli di servizio consentono ad Amazon EKS on Fargate di chiamare altri AWS servizi per tuo conto:
+ `customer_eks_pod_execution_role`
+ `customer_eks_cluster_service_role`
**D: Quali sono le restrizioni all'uso di Amazon EKS su Fargate nel mio account AMS?**
+ La creazione di gruppi di nodi EC2 [gestiti](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html) [o autogestiti](https://docs.aws.amazon.com/eks/latest/userguide/worker.html) non è supportata in AMS. Se hai l'esigenza di utilizzare i nodi di lavoro EC2, contatta il tuo AMS Cloud Service Delivery Manager (CSDM) o Cloud Architect (CA).
+ AMS non include Trend Micro o componenti di sicurezza di rete preconfigurati per le immagini dei container. È necessario gestire i propri servizi di scansione delle immagini per rilevare immagini dannose dei container prima della distribuzione.
+ EKSCTL non è supportato a causa di interdipendenze. CloudFormation
+ Durante la creazione del cluster, si dispone delle autorizzazioni per disabilitare la registrazione del piano di controllo del cluster. Per ulteriori informazioni, consulta [Amazon EKS control plane logging](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html) (Registrazione del piano di controllo di Amazon EKS). Ti consigliamo di abilitare tutte le principali funzionalità di registrazione delle API, dell'autenticazione e dell'audit durante la creazione del cluster.
+ Durante la creazione del cluster, l'accesso agli endpoint del cluster per i cluster Amazon EKS è di default pubblico; per ulteriori informazioni, consulta [Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html) Cluster Endpoint Access Control. Consigliamo di impostare gli endpoint Amazon EKS come privati. Se gli endpoint sono necessari per l'accesso pubblico, è consigliabile impostarli come pubblici solo per intervalli CIDR specifici.
+ AMS non dispone di un metodo per forzare e limitare le immagini utilizzate per la distribuzione nei container su Amazon EKS Fargate. Puoi distribuire immagini da Amazon ECR, Docker Hub o qualsiasi altro archivio di immagini privato. Pertanto, esiste il rischio di distribuire un'immagine pubblica che potrebbe eseguire attività dannose sull'account.
+ La distribuzione di cluster EKS tramite il cloud development kit (CDK) o CloudFormation Ingest non è supportata in AMS.
+ È necessario creare il gruppo di sicurezza richiesto utilizzando [ct-3pc215bnwb6p7 Deployment \$1 Advanced stack components \$1 Security group \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-security-group-create.html) Crea e fai riferimento nel file manifest per la creazione degli ingress. Questo perché il ruolo non è autorizzato a creare gruppi di sicurezza. `customer-eks-alb-ingress-controller-role`
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon EKS su Fargate nel mio account AMS?**
Per utilizzare il servizio, è necessario configurare le seguenti dipendenze:
+ [Per l'autenticazione con il servizio, è aws-iam-authenticator necessario installare sia KUBECTL che KUBECTL; per ulteriori informazioni, vedere Gestione dell'autenticazione del cluster.](https://docs.aws.amazon.com/eks/latest/userguide/managing-auth.html)
+ Kubernetes si basa su un concetto chiamato «account di servizio». Per utilizzare la funzionalità degli account di servizio all'interno di un cluster Kubernetes su EKS, è necessario un RFC Management \$1 Other \$1 Other \$1 Update con i seguenti input:
+ [Richiesto] Nome del cluster Amazon EKS
+ [Obbligatorio] Spazio dei nomi del cluster Amazon EKS in cui verrà distribuito l'account di servizio (SA).
+ [Obbligatorio] Nome Amazon EKS Cluster SA.
+ [Obbligatorio] Nome e nome della policy IAM permissions/document da associare.
+ [Obbligatorio] Nome del ruolo IAM richiesto.
+ [Opzionale] URL del provider OpenID Connect. Per ulteriori informazioni, consultare la pagina
+ [Abilitazione dei ruoli IAM per gli account di servizio sul cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)
+ [Presentazione dei ruoli IAM dettagliati per gli account di servizio](https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/)
+ Si consiglia di configurare e monitorare le regole di Config
+ Endpoint del cluster pubblico
+ Registrazione API disabilitata
È tua responsabilità monitorare e correggere queste regole di Config.
Se desideri implementare un [controller ALB Ingress](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html), invia un RFC Management \$1 Other \$1 Other Update per fornire il ruolo IAM necessario da utilizzare con il pod ALB Ingress Controller. I seguenti input sono necessari per creare risorse IAM da associare a ALB Ingress Controller (includili nella tua RFC):
+ [Richiesto] Nome del cluster Amazon EKS
+ [Opzionale] URL del provider OpenID Connect
+ [Opzionale] Spazio dei nomi Amazon EKS Cluster in cui verrà distribuito il servizio di controller di ingresso ALB (Application Load Balancer). [impostazione predefinita: kube-system]
+ [Facoltativo] Nome dell'account del servizio Amazon EKS Cluster (SA). [impostazione predefinita: aws-load-balancer-controller]
Se desideri abilitare la crittografia degli envelope secret nel tuo cluster (opzione consigliata), fornisci la chiave IDs KMS che intendi utilizzare nel campo della descrizione della RFC per aggiungere il servizio (Management \$1 service \$1 Self-provisioned AWS service \$1 Add (ct-1w8z66n899dct). Per ulteriori informazioni sulla crittografia delle buste, consulta [Amazon EKS aggiunge la crittografia delle buste per i segreti con AWS KMS](https://aws.amazon.com/about-aws/whats-new/2020/03/amazon-eks-adds-envelope-encryption-for-secrets-with-aws-kms/).
# Usa AMS SSP per effettuare il provisioning di Amazon EMR nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon EMR direttamente dal tuo account gestito AMS. Amazon EMR è la piattaforma cloud di big data leader del settore per l'elaborazione di grandi quantità di dati utilizzando strumenti open source come Apache Spark, Apache Hive, Apache, Apache Flink, Apache Hudi e HBase Presto. Con Amazon EMR puoi eseguire analisi su scala petabyte a meno della metà del costo delle soluzioni locali tradizionali e oltre 3 volte più velocemente rispetto allo standard Apache Spark. Per i lavori di breve durata, puoi attivare e disattivare i cluster e pagare al secondo per le istanze utilizzate. Per carichi di lavoro di lunga durata, puoi creare cluster ad alta disponibilità che si ridimensionano automaticamente per soddisfare la domanda.
Puoi creare una o più istanze dei cluster Amazon EMR in account AMS con più account di landing zone o con account singolo per supportare cluster Amazon EMR transitori e persistenti. Puoi anche abilitare l'autenticazione Kerberos per consentire l'autenticazione degli utenti dal dominio Active Directory locale.
Puoi sfruttare più archivi di dati con i cluster Amazon EMR per supportare strumenti e librerie Hadoop specifici per i casi d'uso. I cluster Amazon EMR possono essere creati utilizzando OnDemand le nostre istanze Spot e configurare la scalabilità automatica per gestire la capacità e ridurre i costi.
I file di log del cluster possono essere archiviati in un bucket Amazon S3 per la registrazione e il debug. Puoi anche accedere alle interfacce Web ospitate nel cluster Amazon EMR per supportare i requisiti di amministrazione Hadoop o le esperienze di appunti per i clienti.
Per ulteriori informazioni, consulta [Amazon EMR](https://aws.amazon.com/emr/).
## Domande frequenti su Amazon EMR in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon EMR nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce i seguenti ruoli IAM al tuo account:
+ `customer_emr_cluster_instance_profile`
+ `customer_emr_cluster_autoscaling_role`
+ `customer_emr_console_role`
+ `customer_emr_cluster_service_role`
Dopo averne effettuato il provisioning nel tuo account, devi integrare customer\$1emr\$1console\$1role nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon EMR nel mio account AMS?**
Durante la creazione di Amazon EMR su un cluster EC2 dalla console AWS, ti consigliamo di utilizzare l'opzione **Create Cluster —** Advanced. I cluster Amazon EMR devono essere creati aggiungendo il tag con la chiave **"for-use-with-amazon-emr-managed-policies"** con valore **«**true». **Seleziona le seguenti configurazioni nelle opzioni di sicurezza:**
+ Seleziona ruoli personalizzati per il tuo cluster:
+ Ruolo EMR: customer\$1emr\$1cluster\$1service\$1role
+ Profilo dell'istanza EC2: customer\$1emr\$1cluster\$1instance\$1profile
+ Ruolo Auto Scaling: customer\$1emr\$1cluster\$1autoscaling\$1role
+ Gruppi di sicurezza EC2:
+ Master: ams-emr-master-security -group
+ Core & Task: ams-emr-worker-security -group
+ Accesso al servizio: ams-emr-serviceaccess-security -group
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon EMR nel mio account AMS?**
AMS crea gruppi di sicurezza predefiniti per i nodi master, worker e services di Amazon EMR.
I modelli di avvio e i gruppi di sicurezza da utilizzare con i cluster Amazon EMR devono avere la chiave tag **"for-use-with-amazon-emr-managed-policies"** con valore **«**true».
Il profilo predefinito dell'istanza del cluster Amazon EMR consente l'accesso a risorse come bucket s3 e tabelle dynamodb i cui nomi contengono «emr». Puoi richiedere politiche IAM aggiuntive per utilizzare qualsiasi risorsa aggiuntiva da utilizzare con Amazon EMR. **I seguenti ARN di risorse possono essere utilizzati con i job di Amazon EMR utilizzando customer\$1emr\$1cluster\$1instance\$1profile:**
+ arn:aws:dynamodb: \$1:\$1:table/\$1emr\$1
+ arn:aws:kinesis: \$1:\$1:stream/\$1emr\$1
+ arn:aws:sns: \$1:\$1: \$1emr\$1arn:aws:sqs: \$1:\$1: \$1emr\$1
+ arn:aws:sqs: \$1:\$1: \$1emr\$1
+ arn:aws:sqs: \$1:\$1:AWS- -\$1 ElasticMapReduce
+ arn:aws:sdb: \$1:\$1:dominio: \$1emr\$1
+ arn:aws:s3: :\$1emr\$1
Se è richiesta l'autenticazione kerberos per il cluster Amazon EMR:
+ Fornisci il nome dell'area di autenticazione da utilizzare per ogni cluster Amazon EMR kerberizzato e gli indirizzi IP di Active Directory locali.
+ Requisiti dell'infrastruttura:
**Multi-Account Landing Zone (MALZ)**: invia una RFC per creare un nuovo account di applicazione gestito o un nuovo VPC in un account di applicazione esistente.
**Single-Account Landing Zone (SALZ)**: invia una RFC per creare una nuova sottorete nel tuo VPC.
+ Configura il trust in entrata per il realm del cluster sull'Active Directory locale.
+ Invia una RFC per configurare le zone DNS per il realm nel Managed AD.
+ Configurazione del realm:
**MALZ**: Invia una gestione \$1 Altro \$1 Altro \$1 Aggiorna (ct-0xdawir96cy7k) RFC per aggiornare l'opzione DHCP VPC impostata per utilizzare il nome di realm per il suffisso del nome di dominio.
**SALZ**: Invia una gestione \$1 Altro \$1 Altro \$1 Aggiorna (ct-0xdawir96cy7k) RFC per generare una nuova AMI Amazon EMR da utilizzare il realm specifico per il suffisso del nome di dominio.
Per implementare Amazon EMR Studio, il `customer_emr_cluster_service_role` ruolo ha un prerequisito per un bucket Amazon Simple Storage Service. Per creare il bucket, utilizza il CT automatizzato `ct-1a68ck03fn98r` (Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create). Quando utilizzi questo CT automatico per creare un bucket Amazon S3 per Amazon EMR, il nome del bucket deve iniziare con il prefisso. `customer-emr-*` Inoltre, devi creare il bucket nella stessa AWS regione del cluster Amazon EMR.
# Usa AMS SSP per effettuare il provisioning di Amazon EventBridge nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle EventBridge funzionalità di Amazon direttamente dal tuo account gestito AMS. Amazon EventBridge è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni, applicazioni Software-as-a-Service (SaaS) e AWS servizi e indirizza tali dati verso destinazioni come. AWS LambdaÈ possibile configurare regole di instradamento per determinare dove inviare i dati per creare architetture applicative che reagiscono in tempo reale a tutte le origini dati. EventBridge consente di creare architetture basate su eventi, che sono liberamente accoppiate e distribuite.
Per ulteriori informazioni, consulta [Amazon EventBridge](https://aws.amazon.com/eventbridge/).
## EventBridge nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso EventBridge al mio account AMS?**
Richiedi l'accesso EventBridge inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account: e. `customer_eventbridge_role` `customer_eventbridge_scheduler_execution_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione di federazione.
Il ruolo di esecuzione `customer_eventbridge_scheduler_execution_role` è un ruolo IAM che EventBridge Scheduler si assume per interagire con altri Servizi AWS per tuo conto. Le politiche di autorizzazione allegate a questo ruolo concedono a EventBridge Scheduler l'accesso per richiamare gli obiettivi.
**Nota**
Per impostazione predefinita, EventBridge Scheduler utilizza chiavi AWS proprietarie per EventBridge crittografare i dati. Per utilizzare una chiave gestita dal cliente per EventBridge crittografare i dati, invia la RFC utilizzando il servizio Management \$1 AWS \$1 Self-provisioned service \$1 [Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-aws-self-provisioned-service-add-review-required.html) per la fornitura del servizio.
**D: EventBridge Quali sono le restrizioni all'utilizzo nel mio account AMS?**
È necessario inviare AMS RFCs e creare le seguenti risorse: ruoli di servizio per attivare il processo batch CodeBuild CodePipeline, coda SQS e comandi SSM.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare EventBridge nel mio account AMS?**
È necessario richiedere un ruolo di EventBridge servizio con una RFC utilizzando il tipo di modifica Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) and Access Management \$1 Create entity o policy (managed automation) (ct-3dpd8mdd9jn1r) prima di utilizzarlo per attivare altre EventBridge risorse, come AWS Lambda, Amazon SNS, Amazon SQS o Amazon Logs. AWS Batch CloudWatch Specificate i servizi da richiamare quando richiedete il vostro ruolo di servizio. Per ulteriori informazioni sulle autorizzazioni necessarie per richiamare gli obiettivi, consulta Using Resource-Based Policies [for](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html). EventBridge
EventBridge è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, un ruolo o un membro. Servizio AWS EventBridge CloudTrail deve essere abilitato e autorizzato a memorizzare i file di registro nei bucket S3. Nota: tutti gli account AMS sono CloudTrail abilitati, quindi non è necessaria alcuna azione.
**D: Il ruolo customer\$1eventbridge\$1scheduler\$1execution\$1role ha un prerequisito per una chiave (opzionale, se utilizzato per la crittografia). AWS Key Management Service Come AWS KMS CMKs posso adottare la crittografia dei dati a riposo o in transito?**
Per impostazione predefinita, EventBridge Scheduler crittografa i metadati degli eventi e i dati dei messaggi archiviati in una chiave AWS proprietaria (crittografia a riposo). EventBridge Scheduler crittografa anche i dati che passano tra EventBridge Scheduler e altri servizi utilizzando Transport Layer Security (TLS) (crittografia in transito).
Se il tuo caso d'uso specifico richiede il controllo e la verifica delle chiavi di crittografia che proteggono i dati su EventBridge Scheduler, puoi utilizzare una chiave gestita dal cliente.
Devi richiedere una RFC utilizzando il tipo di modifica Management \$1 Servizio AWS \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) prima di utilizzare Amazon EventBridge per l'onboarding dell'autorizzazione. AWS KMS
# Usa AMS SSP per effettuare il provisioning di Amazon Forecast nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Forecast (Forecast) direttamente nel tuo account gestito AMS. Amazon Forecast è un servizio completamente gestito che utilizza l'apprendimento automatico per fornire previsioni estremamente accurate.
**Nota**
AWS ha chiuso l'accesso dei nuovi clienti ad Amazon Forecast a partire dal 29 luglio 2024. I clienti esistenti di Amazon Forecast possono continuare a utilizzare il servizio normalmente. AWS continua a investire in sicurezza, disponibilità e miglioramenti delle prestazioni per Amazon Forecast, ma AWS non prevede di introdurre nuove funzionalità.
Se desideri utilizzare Amazon Forecast, contatta il tuo CSDM per ricevere ulteriori informazioni su come [trasferire l'utilizzo di Amazon Forecast ad Amazon Canvas](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/). SageMaker
Basato sulla stessa tecnologia utilizzata su Amazon.com, Forecast utilizza l'apprendimento automatico per combinare dati di serie temporali con variabili aggiuntive per creare previsioni. Forecast non richiede alcuna esperienza di machine learning per iniziare. Devi solo fornire dati storici, più eventuali dati aggiuntivi che ritieni possano influire sulle tue previsioni. Ad esempio, la richiesta di un colore particolare di una camicia può cambiare in base alle stagioni e all'ubicazione del negozio. Questa relazione complessa è difficile da determinare da sola, ma l'apprendimento automatico è ideale per riconoscerla. Una volta forniti i dati, Forecast li esaminerà automaticamente, identificherà ciò che è significativo e produrrà un modello di previsione in grado di fare previsioni fino al 50% più accurate rispetto alla sola analisi dei dati delle serie temporali.
Per ulteriori informazioni, consulta [Amazon Forecast](https://aws.amazon.com/forecast/).
## Domande frequenti su Amazon Forecast in AWS Managed Services
**D: Come posso richiedere l'accesso a Forecast nel mio account AMS?**
Richiedi l'accesso AWS Firewall Manager inviando una RFC tramite Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC `customer_forecast_admin_role` fornisce il seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di Forecast nel mio account AMS?**
L'accesso predefinito ai bucket S3 ti consente di accedere solo ai bucket con lo schema di denominazione 'customer-forecast-\$1'. Se hai una convenzione di denominazione personalizzata per i bucket di dati, discuti della denominazione dei bucket e della relativa configurazione di accesso con il tuo Cloud Architect (CA). Ad esempio:
+ Puoi definire il tuo ruolo specifico del servizio Amazon Forecast con nomi come «AmazonForecast- ExecutionRole -\$1» e associare un accesso appropriato al bucket S3. Consulta il ruolo Service AmazonForecast-ExecutionRole-Admin e la policy IAM customer\$1forecast\$1default\$1s3\$1access\$1policy nella console IAM.
+ Potrebbe essere necessario associare l'accesso ai bucket S3 correlati al ruolo di federazione IAM. Consulta la policy IAM - customer\$1forecast\$1default\$1s3\$1access\$1policy, nella console IAM.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Forecast nel mio account AMS?**
+ Prima di utilizzare Forecast, è necessario creare bucket Amazon S3 appropriati. In particolare, l'accesso predefinito ai bucket S3 avviene con lo schema di denominazione «customer-forecast-\$1»
+ Se desideri utilizzare modelli di denominazione sui bucket S3 diversi da 'customer-forecast-\$1', devi creare un nuovo ruolo di servizio con autorizzazioni di accesso S3 sui bucket:
1. Un nuovo ruolo di servizio da creare con il nome '- - \$1suffix\$1'. AmazonForecast ExecutionRole
1. Sarà creata una nuova policy IAM simile a customer\$1forecast\$1default\$1s3\$1access\$1policy e da associare al nuovo ruolo di servizio e al relativo ruolo di amministratore della federazione (ad esempio 'customer\$1forecast\$1admin\$1role')
**D: Come posso migliorare la sicurezza dei dati utilizzando Amazon Forecast?**
+ Per la crittografia dei dati inattivi, puoi utilizzare AWS KMS per fornire una CMK gestita dal cliente per proteggere l'archiviazione dei dati sul servizio Amazon S3:
+ Abilita la crittografia predefinita sul bucket con la chiave di fornitura e imposta la policy del bucket per accettare AWS KMS la crittografia dei dati durante l'immissione dei dati.
+ Abilita il ruolo del servizio Amazon Forecast 'AmazonForecast- ExecutionRole -\$1' e il ruolo di amministratore della federazione (ad esempio' customer\$1forecast\$1admin\$1role ') come utente chiave. AWS KMS
+ Per la crittografia dei dati in transito, puoi configurare il protocollo HTTPS, necessario durante il trasferimento di oggetti sulla policy dei bucket di Amazon S3.
+ Ulteriori restrizioni sul controllo degli accessi, abilita una policy bucket per l'accesso approvato per il ruolo del servizio Amazon Forecast 'AmazonForecast- ExecutionRole -\$1' e il ruolo di amministratore (ad esempio' customer\$1forecast\$1admin\$1role ').
**D: Quali sono le best practice per l'utilizzo di Amazon Forecast?**
+ Dovresti avere una buona conoscenza delle tue pratiche di classificazione dei dati e mappare le relative esigenze di sicurezza dei dati durante l'utilizzo dei bucket S3 con Amazon Forecast.
+ Per la configurazione dei bucket Amazon S3, ti consigliamo vivamente di abilitare l'applicazione HTTPS nella tua policy sui bucket S3.
+ Devi conoscere il ruolo di amministratore «customer\$1forecast\$1admin\$1role» che supporta l'accesso permissivo (oggetti S3) sui bucket Amazon Get/Delete/Put S3 con il nome «customer-forecast-\$1». NOTA: se hai bisogno di un controllo granulare degli accessi per più team, segui queste pratiche:
+ Definisci l'identità IAM di accesso basata sul team (ruolo/utente) con accesso con privilegi minimi ai bucket Amazon S3 correlati.
+ Crea in base alla concessione dell'accesso adeguato alle identità IAM corrispondenti. team/project AWS KMS CMKs (accesso utente e 'AmazonForecast- ExecutionRole - \$1team/project\$1'.
+ Imposta la crittografia predefinita del bucket S3 con quella creata. AWS KMS CMKs
+ Applica i traffici API S3 con il protocollo HTTPS sulla policy dei bucket S3.
+ Applica la configurazione dei bucket S3 per l'accesso approvato per le identità IAM correlate (accesso utente) e «AmazonForecast- - ExecutionRole \$1team/project\$1» ai bucket.
+ Se desideri utilizzare il 'customer\$1forecast\$1admin\$1role' per scopi generici, prendi in considerazione i punti elencati in precedenza per proteggere i bucket S3.
**D: Dove sono le informazioni sulla conformità relative ad Amazon Forecast?**
Consulta il [programma di conformità dei AWS servizi](https://aws.amazon.com/compliance/services-in-scope/).
# Usa AMS SSP per effettuare il provisioning di Amazon FSx nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle FSx funzionalità di Amazon direttamente dal tuo account gestito AMS. Amazon FSx fornisce file system di terze parti completamente gestiti. Amazon FSx offre la compatibilità nativa dei file system di terze parti con set di funzionalità per carichi di lavoro come lo storage basato su Windows, l'elaborazione ad alte prestazioni (HPC), l'apprendimento automatico e l'automazione della progettazione elettronica (EDA). Amazon FSx automatizza le attività amministrative che richiedono molto tempo come il provisioning dell'hardware, la configurazione del software, l'applicazione di patch e i backup. Amazon FSx integra i file system con AWS servizi nativi del cloud, rendendoli ancora più utili per un set più ampio di carichi di lavoro.
Amazon ti FSx offre due file system tra cui scegliere: Amazon FSx per Windows File Server per applicazioni basate su Windows e Amazon for Lustre FSx per carichi di lavoro a elaborazione intensiva. Per ulteriori informazioni, consulta [Amazon FSx](https://aws.amazon.com/fsx/).
## Domande frequenti su Amazon FSx in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon FSx nel mio account AMS?**
Richiedi l'accesso ad Amazon FSx inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce `customer_fsx_admin_role` il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di Amazon FSx nel mio account AMS?**
Non ci sono restrizioni. È disponibile la piena funzionalità del servizio.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon FSx nel mio account AMS?**
Non ci sono prerequisiti. Tuttavia, per configurazioni avanzate come Multi-AZ, è necessario installare e gestire i servizi DFS Replication e DFS Namespaces. [Per ulteriori informazioni, vedere Implementazione di file system Multi-AZ.](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/multi-az-deployments.html)
**D: Come faccio a integrare il mio FSx file system Amazon con Managed AD per una landing zone multi-account?**
Quando crei un FSx file system Amazon, puoi specificare il tuo MALZ Managed AD come «AWS Managed Microsoft Active Directory» per l'autenticazione di Windows. Per ulteriori informazioni, consulta [Usare Amazon FSx with AWS Directory Service per Microsoft Active Directory](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html)
Inoltre, devi prima condividere Managed AD con l'account dell'applicazione. A tale scopo, inviare una RFC con il tipo di modifica della directory Management \$1 Directory \$1 Directory \$1 Share directory (ct-369odosk0pd9w).
**D: Quali utenti appartengono al gruppo **AWS Delegated FSx Administrators**?**
Solo amministratori di file server IT. Questo gruppo dispone di privilegi di **accesso completo** su tutte le condivisioni di file.
**D: Devo usare la condivisione di file predefinita, **share**, che viene creata al momento del provisioning del FSx sistema?**
No, non è consigliabile utilizzare la condivisione di file predefinita, **share**, così come fornita. Garantisce **l'accesso completo** a **tutti**, il che viola il principio del privilegio minimo. Crea invece condivisioni di file personalizzate più piccole che soddisfino le tue esigenze aziendali.
**D: Come posso creare condivisioni di file personalizzate per organizzazioni specifiche della mia azienda?**
Vedi [Condivisioni di file](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/managing-file-shares.html) per istruzioni sulla creazione di condivisioni di file personalizzate. Limita l'accesso a ogni condivisione di file utilizzando il principio del privilegio minimo.
# Usa AMS SSP per effettuare il provisioning di Amazon FSx for OpenZFS nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon FSx for OpenZFS direttamente dal tuo account gestito AMS. FSx for OpenZFS è un servizio di archiviazione di file completamente gestito che semplifica lo spostamento dei dati che risiedono in ZFS locali o in altri file server basati su Linux su AWS senza modificare il codice dell'applicazione o il modo in cui gestisci i dati. Offre uno storage di file altamente affidabile, scalabile, performante e ricco di funzionalità basato sul file system open source OpenZFS, fornendo le caratteristiche e le funzionalità familiari dei file system OpenZFS con l'agilità, la scalabilità e la semplicità di un AWS servizio completamente gestito. Per gli sviluppatori che creano applicazioni native per il cloud, offre uno storage semplice e ad alte prestazioni con ricche funzionalità per lavorare con i dati.
FSx i file system per OpenZFS sono ampiamente accessibili da istanze di calcolo e contenitori Linux, Windows e macOS utilizzando il protocollo NFS standard del settore (v3, v4.0, v4.1, v4.2). Basato sui processori AWS Graviton e sulle più recenti tecnologie di AWS disco e rete (tra cui la rete AWS Scalable Reliable Datagram e il sistema AWS Nitro), FSx per OpenZFS offre fino a 1 milione di IOPS con latenze di centinaia di microsecondi. Con il supporto completo per le funzionalità di OpenZFS come point-in-time istantanee istantanee e clonazione dei dati, FSx per OpenZFS è facile sostituire i file server locali con uno AWS storage che offre funzionalità di file system familiari ed elimina la necessità di eseguire lunghe qualifiche e modificare o riprogettare applicazioni o strumenti esistenti. Inoltre, combinando la potenza delle funzionalità di gestione dei dati di OpenZFS con le alte prestazioni e l'efficienza in termini di costi delle più recenti tecnologie AWS, OpenZFS ti consente di creare ed eseguire applicazioni FSx ad alte prestazioni e ad alta intensità di dati.
Essendo un servizio completamente gestito, FSx OpenZFS semplifica l'avvio, l'esecuzione e la scalabilità di file system completamente gestiti in sostituzione dei file server utilizzati in locale, AWS contribuendo al contempo a fornire una migliore agilità e a ridurre i costi. Con FSx for OpenZFS, non devi più preoccuparti di configurare e fornire file server e volumi di archiviazione, replicare dati, installare e applicare patch al software dei file server, rilevare e risolvere guasti hardware ed eseguire backup manuali. Fornisce inoltre una ricca integrazione con altri AWS servizi, come AWS Identity and Access Management (IAM), AWS Key Management Service (AWS KMS) CloudWatch, Amazon e AWS CloudTrail.
Amazon ti FSx offre due file system tra cui scegliere: Amazon FSx per Windows File Server per applicazioni basate su Windows e Amazon for Lustre FSx per carichi di lavoro a elaborazione intensiva. Per ulteriori informazioni, consulta [Amazon FSx](https://aws.amazon.com/fsx/).
## Domande frequenti su Amazon FSx per OpenZFS in AWS Managed Services
**D: Come posso richiedere l'accesso FSx per l'utilizzo di OpenZFS nel mio account AMS?**
Richiedi l'accesso ad Amazon FSx OpenZFS inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce il `customer_fsx_ontap_admin_role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo FSx di OpenZFS nel mio account AMS?**
La sostituzione del gruppo di sicurezza sulle interfacce di rete FSx elastiche di Amazon (ENIs) richiede l'invio di Management \$1 Other \$1 Other \$1 Update RFCs poiché i gruppi di sicurezza rappresentano un perimetro critico per l'ambiente AMS. Questa è l'unica restrizione.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare FSx per OpenZFS nel mio account AMS?**
Non ci sono prerequisiti. Tuttavia, è necessario averlo [Usa AMS SSP per effettuare il provisioning di Amazon FSx nel tuo account AMS](amz-fsx.md) installato.
# Usa AMS SSP per fornire Amazon FSx for NetApp ONTAP nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon FSx for NetApp ONTAP direttamente dal tuo account gestito AMS. Amazon FSx for NetApp ONTAP è un servizio completamente gestito che fornisce uno storage di file altamente affidabile, scalabile, performante e ricco di funzionalità basato sul NetApp popolare file system ONTAP. Fornisce le caratteristiche, le prestazioni, le capacità e i NetApp file system familiari con l'agilità, la scalabilità e la semplicità APIs di un sistema completamente gestito. Servizio AWS
Amazon FSx for NetApp ONTAP offre uno storage di file condiviso ricco di funzionalità, veloce e flessibile, ampiamente accessibile da istanze di calcolo Linux, Windows e macOS in esecuzione in locale o in locale. AWS FSx for ONTAP offre storage SSD ad alte prestazioni con latenze inferiori al millisecondo e semplifica e velocizza la gestione dei dati consentendoti di creare istantanee, clonare e replicare i file con un semplice clic. Inoltre, suddivide automaticamente i dati su uno storage elastico a basso costo, eliminando la necessità di fornire o gestire la capacità e consentendoti di raggiungere livelli di prestazioni SSD per il tuo carico di lavoro pagando lo storage SSD solo per una piccola parte dei tuoi dati. Fornisce uno storage ad alta disponibilità e duraturo con backup completamente gestiti e supporto per il disaster recovery interregionale e supporta le più diffuse applicazioni antivirus e di sicurezza dei dati che semplificano ulteriormente la protezione e la protezione dei dati. Per i clienti che utilizzano NetApp ONTAP in locale, FSx per ONTAP è la soluzione ideale per migrare, eseguire il backup o eseguire il backup delle applicazioni basate su file da locali a applicazioni basate su file AWS senza la necessità di modificare il codice dell'applicazione o il modo in cui gestisci i dati.
Essendo un servizio completamente gestito, Amazon FSx for NetApp ONTAP semplifica l'avvio e la scalabilità di uno storage di file condiviso affidabile, performante e sicuro nel cloud. Con Amazon FSx for NetApp ONTAP, non devi più preoccuparti di configurare e fornire file server e volumi di storage, replicare dati, installare e applicare patch al software dei file server, rilevare e risolvere i guasti hardware, gestire failover e failback ed eseguire backup manuali. Fornisce inoltre una ricca integrazione con altri Servizi AWS AWS Identity and Access Management, come Amazon WorkSpaces e AWS CloudTrail. AWS Key Management Service
Amazon ti FSx offre due file system tra cui scegliere: Amazon FSx per Windows File Server per applicazioni basate su Windows e Amazon for Lustre FSx per carichi di lavoro a elaborazione intensiva. Per ulteriori informazioni, consulta [Amazon FSx](https://aws.amazon.com/fsx/).
## Domande frequenti su Amazon FSx for NetApp ONTAP in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon FSx for NetApp ONTAP nel mio account AMS?**
Richiedi l'accesso ad Amazon FSx for NetApp ONTAP inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce `customer_fsx_ontap_admin_role` il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon FSx for NetApp ONTAP nel mio account AMS?**
La sostituzione del gruppo di sicurezza sulle interfacce di rete elastiche di Amazon FSx for NetApp ONTAP (ENIs) richiede l'invio di Management \$1 Other \$1 Other \$1 Update RFCs poiché i gruppi di sicurezza rappresentano un perimetro critico per l'ambiente AMS. Questa è l'unica restrizione.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon FSx for NetApp ONTAP nel mio account AMS?**
Non ci sono prerequisiti. Tuttavia, è necessario averlo [Usa AMS SSP per effettuare il provisioning di Amazon FSx nel tuo account AMS](amz-fsx.md) installato.
# Usa AMS SSP per effettuare il provisioning di Amazon Inspector Classic nel tuo account AMS
**Nota**
Avviso di fine del supporto: il 20 maggio 2026, AWS terminerà il supporto per Amazon Inspector Classic. Dopo il 20 maggio 2026, non potrai più accedere alla console Amazon Inspector Classic o alle risorse di Amazon Inspector Classic. Amazon Inspector Classic non sarà più disponibile per i nuovi account e per gli account che non hanno completato una valutazione negli ultimi sei mesi. Per tutti gli altri account, l'accesso rimarrà valido fino al 20 maggio 2026, dopodiché non potrai più accedere alla console Amazon Inspector Classic o alle risorse Amazon Inspector Classic. Per ulteriori informazioni, consulta la pagina relativa [alla fine del supporto di Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html).
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Inspector Classic direttamente nel tuo account gestito AMS. Amazon Inspector Classic è un servizio di valutazione della sicurezza automatizzato che aiuta a migliorare la sicurezza e la conformità delle applicazioni distribuite su. AWS Amazon Inspector Classic valuta automaticamente le applicazioni in base all'esposizione, alle vulnerabilità e alle deviazioni dalle best practice. Dopo aver eseguito una valutazione, Amazon Inspector Classic produce un elenco dettagliato di risultati di sicurezza con priorità in base al livello di gravità. Questi risultati possono essere esaminati direttamente o come parte di report di valutazione dettagliati, disponibili tramite la console o l'API di Amazon Inspector Classic. Per ulteriori informazioni, consulta [Amazon Inspector Classic](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html).
## Domande frequenti su Amazon Inspector in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon Inspector Classic nel mio account AMS?**
Richiedi l'accesso ad Amazon Inspector Classic inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce il ruolo IAM al tuo account. `customer_inspector_admin_role` Il ruolo include la policy AWS gestita AmazonInspectorFullAccess . Una volta effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Inspector Classic nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Amazon Inspector Classic è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Inspector Classic nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per utilizzare Amazon Inspector Classic nel tuo account AMS.
## Usa il nuovo Amazon Inspector in AMS
Ora puoi utilizzare il nuovo Amazon Inspector nel tuo account AMS.
Per Amazon Inspector Classic, `AmazonInspectorFullAccess` erano necessari i dati `customer-inspector-admin-role-ssm-inspector-agent-policy` e. Tuttavia, è stato apportato un aggiornamento al ruolo SSPS`customer-inspector-admin-role`, che ora ne include uno aggiuntivo. `policyAmazonInspector2FullAccess` Questa nuova politica consente le autorizzazioni API per la nuova versione di Amazon Inspector.
# Usa AMS SSP per effettuare il provisioning di Amazon Kendra nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Kendra direttamente dal tuo account gestito AMS. Amazon Kendra è un servizio di ricerca intelligente che utilizza l'elaborazione del linguaggio naturale e algoritmi avanzati di apprendimento automatico per restituire risposte specifiche alle domande di ricerca dai tuoi dati. A differenza della ricerca tradizionale basata su parole chiave, Amazon Kendra utilizza le sue capacità di comprensione semantica e contestuale per determinare se un documento è pertinente a una query di ricerca. Amazon Kendra restituisce risposte specifiche a domande, quindi la tua esperienza è simile all'interazione con un esperto umano. Amazon Kendra è altamente scalabile, in grado di soddisfare le esigenze di prestazioni, è strettamente integrato con altri servizi AWS come Amazon S3 e Amazon Lex e offre una sicurezza di livello aziendale. Per ulteriori informazioni, consulta [Amazon Kendra](https://docs.aws.amazon.com/kendra/latest/dg/what-is-kendra.html);.
## Domande frequenti su Amazon Kendra in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon Kendra nel mio account AMS?**
Per richiedere l'accesso ad Amazon Inspector Classic, invia una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-3qe6io8t6jtny). Questa RFC fornisce il ruolo IAM al tuo account. `customer_kendra_console_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Kendra nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Amazon Kendra è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Kendra nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per iniziare a usare Amazon Kendra. Tuttavia, a seconda del caso d'uso specifico, potrebbe essere necessario accedere ad altri servizi. AWS
# Usa AMS SSP per effettuare il provisioning di Amazon Kinesis Data Streams nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Kinesis Data Streams (KDS) direttamente nel tuo account gestito AMS. Amazon Kinesis Data Streams è un servizio di streaming di dati in tempo reale altamente scalabile e durevole. KDS può acquisire continuamente gigabyte di dati al secondo da centinaia di migliaia di fonti come clickstream di siti Web, flussi di eventi di database, transazioni finanziarie, feed di social media, registri IT ed eventi di tracciamento della posizione. I dati raccolti sono disponibili in millisecondi per consentire casi d'uso di analisi in tempo reale come dashboard in tempo reale, rilevamento di anomalie in tempo reale, prezzi dinamici e altro ancora. Per ulteriori informazioni, consulta [Amazon Kinesis Data Streams](https://aws.amazon.com/kinesis/data-streams/).
## Domande frequenti su Kinesis Data Streams in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon Kinesis Data Streams nel mio account AMS?**
Richiedi l'accesso ad Amazon Kinesis Data Streams inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC `customer_kinesis_data_streaming_user_role` fornisce il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Kinesis Data Streams nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Amazon Kinesis Data Streams è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Kinesis Data Streams nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per utilizzare Amazon Kinesis Data Streams nel tuo account AMS.
# Usa AMS SSP per effettuare il provisioning di Amazon Kinesis Video Streams nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Kinesis Video Streams (KVS) direttamente nel tuo account gestito AMS. Amazon Kinesis Video Streams ti aiuta a trasmettere video in modo sicuro dai AWS dispositivi collegati per analisi, apprendimento automatico (ML), riproduzione e altre elaborazioni. Kinesis Video Streams effettua automaticamente il provisioning e ridimensiona elasticamente tutta l'infrastruttura necessaria per importare i dati video in streaming da milioni di dispositivi. Inoltre, archivia, crittografa e indicizza in modo duraturo i dati video nei tuoi stream e ti consente di accedervi tramite. easy-to-use APIs Kinesis Video Streams consente di riprodurre video per la visualizzazione dal vivo e su richiesta e di creare rapidamente applicazioni che sfruttano la visione artificiale e l'analisi video attraverso l'integrazione con Amazon Rekognition Video e librerie per framework ML come Apache e OpenCV. MxNet TensorFlow Per ulteriori informazioni, consulta [Amazon Kinesis Video Streams](https://aws.amazon.com/kinesis/video-streams/).
## Domande frequenti su Amazon Kinesis Video Streams in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon Kinesis Video Streams nel mio account AMS?**
Richiedi l'accesso ad Amazon Kinesis Video Streams inviando una RFC con AWS Management \$1 service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC `customer_kinesis_video_streaming_user_role` fornisce il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Kinesis Video Streams nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Amazon Kinesis Video Streams è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Kinesis Video Streams nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per utilizzare Amazon Kinesis Video Streams nel tuo account AMS.
# Usa AMS SSP per fornire Amazon Lex nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Lex direttamente nel tuo account gestito AMS. Amazon Lex è un servizio per la creazione di interfacce conversazionali in qualsiasi applicazione utilizzando voce e testo. Amazon Lex offre le funzionalità avanzate di deep learning del riconoscimento vocale automatico (ASR) per convertire la voce in testo e la comprensione del linguaggio naturale (NLU) per riconoscere l'intento del testo, per consentirti di creare applicazioni con esperienze utente altamente coinvolgenti e interazioni conversazionali realistiche. Con Amazon Lex, le stesse tecnologie di deep learning alla base di Amazon Alexa sono ora disponibili per tutti gli sviluppatori, consentendoti di creare bot o chatbot conversazionali sofisticati in linguaggio naturale in modo rapido e semplice. Per ulteriori informazioni, consulta [Amazon Lex](https://aws.amazon.com/lex/).
## Domande frequenti su Amazon Lex in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon Lex nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce il seguente ruolo IAM al tuo account:. `customer_lex_author_role` Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Lex nel mio account AMS?**
L'integrazione di Amazon Lex con Lambda è limitata alle funzioni Lambda senza prefisso «AMS-», al fine di prevenire eventuali modifiche all'infrastruttura AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Lex nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per utilizzare Amazon Lex nel tuo account AMS.
# Usa AMS SSP per effettuare il provisioning di Amazon MQ nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon MQ direttamente nel tuo account gestito AMS. Amazon MQ è un servizio di broker di messaggi gestito per Apache ActiveMQ che ti aiuta a configurare e gestire broker di messaggi nel cloud. I broker di messaggi consentono a diversi sistemi software, spesso utilizzando linguaggi di programmazione diversi e su piattaforme diverse, di comunicare e scambiare informazioni. Amazon MQ riduce il carico operativo gestendo il provisioning, la configurazione e la manutenzione di ActiveMQ, un popolare broker di messaggi open source. La connessione delle applicazioni correnti ad Amazon MQ utilizza standard APIs e protocolli di messaggistica del settore, tra cui JMS, NMS, AMQP, STOMP, MQTT e. WebSocket L'utilizzo degli standard significa che, nella maggior parte dei casi, non è necessario riscrivere alcun codice di messaggistica durante la migrazione a. AWS Per ulteriori informazioni, consulta [What Is Amazon MQ?](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html)
## Domande frequenti su Amazon MQ in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon MQ nel mio account AMS?**
L'utilizzo di Amazon MQ nel tuo account AMS è un processo in due fasi:
1. Effettua il provisioning di Amazon MQ Broker. A tale scopo, invia un modello CFN, con Amazon MQ Broker incluso, tramite una RFC con Deployment \$1 Ingestion \$1 Stack from CloudFormation Template \$1 Create change type (ct-36cn2avfrrj9v) oppure invia una RFC con Management \$1 Altro \$1 Altro \$1 Create change type (ct-1e1xtak34nx76) richiedendo il provisioning di Amazon MQ Broker in il tuo account.
1. Accedi alla console Amazon MQ. Dopo aver effettuato il provisioning di Amazon MQ Broker, ottieni l'accesso alla console Amazon MQ inviando una RFC con Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce `customer_mq_console_role` il seguente ruolo IAM al tuo account:.
Dopo aver assegnato il ruolo nel tuo account, devi inserirlo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon MQ nel mio account AMS?**
La funzionalità completa di Amazon MQ è disponibile nel tuo account AMS; tuttavia, il provisioning di Amazon MQ Broker non è disponibile tramite la policy a causa dell'elevata autorizzazione richiesta. Vedi sopra per maggiori dettagli su come fornire il broker Amazon MQ nei tuoi account.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon MQ nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per utilizzare Amazon MQ nel tuo account AMS.
# Usa AMS SSP per fornire Amazon Managed Service for Apache Flink nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Managed Service for Apache Flink direttamente nel tuo account gestito AMS. Managed Service for Apache Flink è il modo più semplice per analizzare i dati in streaming, ottenere informazioni utili e rispondere alle esigenze aziendali e dei clienti in tempo reale. Amazon Managed Service for Apache Flink riduce la complessità di creazione, gestione e integrazione di applicazioni di streaming con altri servizi. AWS Gli utenti SQL possono facilmente interrogare i dati di streaming o creare intere applicazioni di streaming utilizzando modelli e un editor SQL interattivo. Gli sviluppatori Java possono creare rapidamente applicazioni di streaming sofisticate utilizzando librerie e AWS integrazioni Java open source per trasformare e analizzare i dati in tempo reale. Amazon Managed Service per Apache Flink si occupa di tutto il necessario per eseguire le applicazioni in tempo reale in modo continuo e si ridimensiona automaticamente in base al volume e alla velocità effettiva dei dati in ingresso. Con Amazon Managed Service for Apache Flink, paghi solo per le risorse utilizzate dalle tue applicazioni di streaming. Non è prevista alcuna tariffa o costo minimo di installazione. Per ulteriori informazioni, consulta [Amazon Managed Service for Apache Flink](https://aws.amazon.com/kinesis/data-analytics/).
## Domande frequenti su Managed Service per Apache Flink in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon Managed Service for Apache Flink nel mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (managed automation) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_kinesis_analytics_application_role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di Amazon Managed Service for Apache Flink nel mio account AMS?**
+ Le configurazioni sono limitate alle risorse senza prefissi «AMS-» o «MC-» per impedire qualsiasi modifica all'infrastruttura AMS.
+ L'autorizzazione a eliminare o creare nuovi Kinesis Data Streams o Firehose è stata rimossa dalla politica. Abbiamo un'altra politica che lo consente.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Kinesis Data Streams nel mio account AMS?**
Esistono alcune dipendenze:
+ Amazon Managed Service for Apache Flink richiede la creazione di Kinesis Data Streams o Firehose prima di configurare un'applicazione con Managed Service for Apache Flink.
+ Le autorizzazioni delle policy basate sulle risorse devono indicare una particolare fonte di dati di input.
# Usa AMS SSP per effettuare il provisioning di Amazon Managed Streaming for Apache Kafka nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Managed Streaming for Apache Kafka (Amazon MSK) direttamente nel tuo account gestito AMS. Amazon Managed Streaming for Apache Kafka è un servizio di streaming di dati AWS completamente gestito che semplifica la creazione e l'esecuzione di applicazioni che utilizzano Apache Kafka per elaborare dati in streaming senza dover diventare esperti nella gestione dei cluster Apache Kafka. Amazon MSK gestisce il provisioning, la configurazione e la manutenzione dei cluster Apache Kafka e dei nodi Apache per te. ZooKeeper Amazon MSK mostra anche i principali parametri prestazionali di Apache Kafka nella console. AWS
Amazon MSK offre diversi livelli di sicurezza per i cluster Apache Kafka, tra cui isolamento della rete VPC, autorizzazione API IAM per il piano di controllo AWS , crittografia a riposo, crittografia TLS in transito, autenticazione dei certificati basata su TLS, autenticazione protetta da. SASL/SCRAM Gestione dei segreti AWS Per ulteriori informazioni, consulta [Amazon MSK.](https://aws.amazon.com/msk/)
## Domande frequenti su Amazon MSK in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon MSK nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce le seguenti politiche e ruoli IAM al tuo account:
+ `customer-msk-admin-policy.json`
+ `AmazonMSKFullAccess`
+ `customer-msk-admin-role.json`
Una volta effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'uso di Amazon MSK?**
Affinché Amazon MSK fornisca i log dei broker alle destinazioni che configuri, assicurati che la `AmazonMSKFullAccess` policy sia associata al tuo ruolo IAM. Quindi le autorizzazioni di accesso complete sono già disponibili.
**D: Quali sono i prerequisiti o le dipendenze per l'utilizzo di Amazon MSK?**
Prima di creare un cluster MSK, è necessario disporre di un VPC e di sottoreti all'interno di tale VPC. Per impostazione predefinita, AMS copre questo aspetto come parte della creazione di [VPC AMS](https://docs.aws.amazon.com/msk/latest/developerguide/msk-create-cluster.html) predefiniti.
Per informazioni sulle limitazioni di Amazon MSK, consulta [Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/limits.html) Limits.
# Usa AMS SSP per fornire Amazon Managed Service for Prometheus nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Managed Service for Prometheus (AMP) direttamente nel tuo account gestito AMS. Il servizio gestito da Amazon per Prometheus è un servizio di monitoraggio serverless compatibile con Prometheus per i parametri dei container che semplifica il monitoraggio sicuro di ambienti container su larga scala. Con il servizio gestito da Amazon per Prometheus, puoi utilizzare lo stesso modello di dati open source Prometheus e lo stesso linguaggio di interrogazione che usi oggi per monitorare le prestazioni dei tuoi carichi di lavoro containerizzati e anche godere di una maggiore scalabilità, disponibilità e sicurezza senza dover gestire l'infrastruttura sottostante.
Amazon Managed Service for Prometheus ridimensiona automaticamente l'acquisizione, lo storage e l'interrogazione dei parametri operativi man mano che i carichi di lavoro aumentano e diminuiscono. Si integra con AWS i servizi di sicurezza per consentire un accesso rapido e sicuro ai dati. Per ulteriori informazioni, consulta [Cos'è Amazon Managed Service per Prometheus](https://docs.aws.amazon.com/prometheus/latest/userguide/what-is-Amazon-Managed-Service-Prometheus.html)?
## Domande frequenti su Amazon Managed Service per Prometheus in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon Managed Service for Prometheus nel mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer-prometheus-console-role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il `customer-prometheus-console-role` ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di Amazon Managed Service for Prometheus nel mio account AMS?**
Tutte le funzionalità sono supportate.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Managed Service for Prometheus nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per iniziare a usare Amazon Managed Service for Prometheus. Tuttavia, a seconda del caso d'uso specifico, potresti aver bisogno di accedere ad altri servizi. AWS
# Usa AMS SSP per effettuare il provisioning di Amazon Personalize nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Personalize direttamente nel tuo account gestito AMS. Amazon Personalize è un servizio di apprendimento automatico che consente agli sviluppatori di creare facilmente consigli personalizzati per i clienti che utilizzano le loro applicazioni.
L'apprendimento automatico viene sempre più utilizzato per migliorare il coinvolgimento dei clienti offrendo consigli personalizzati su prodotti e contenuti, risultati di ricerca personalizzati e promozioni di marketing mirate. Tuttavia, lo sviluppo delle capacità di apprendimento automatico necessarie per produrre questi sofisticati sistemi di raccomandazione è oggi fuori dalla portata della maggior parte delle organizzazioni a causa della complessità. Amazon Personalize consente agli sviluppatori senza precedenti esperienze di machine learning di integrare facilmente sofisticate funzionalità di personalizzazione nelle loro applicazioni, utilizzando una tecnologia di apprendimento automatico perfezionata in anni di utilizzo su Amazon.com.
Con Amazon Personalize, fornisci un flusso di attività dalla tua applicazione (clic, visualizzazioni di pagina, iscrizioni, acquisti e così via) oltre a un inventario degli articoli che desideri consigliare, come articoli, prodotti, video o musica. Puoi anche scegliere di fornire ad Amazon Personalize informazioni demografiche aggiuntive relative ai tuoi utenti, come età o posizione geografica. Amazon Personalize elaborerà ed esaminerà i dati, identificherà ciò che è significativo, selezionerà gli algoritmi giusti e addestrerà e ottimizzerà un modello di personalizzazione personalizzato per i tuoi dati. Tutti i dati analizzati da Amazon Personalize vengono mantenuti privati e protetti e utilizzati solo per i tuoi consigli personalizzati. Puoi iniziare a fornire consigli personalizzati tramite una semplice chiamata API. Paghi solo quello che usi e non ci sono tariffe minime né impegni anticipati.
Per ulteriori informazioni, consulta [Amazon Personalize](https://aws.amazon.com/personalize/).
## Domande frequenti su Amazon Personalize in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon Personalize nel mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (managed automation) (ct-3qe6io8t6jtny) e devi specificare quale bucket S3 contiene i dati che personalizza deve utilizzare per generare i consigli. AWS Questa RFC `customer_personalize_console_role` `customer_personalize_service_role` fornisce i seguenti ruoli IAM al tuo account: e.
+ Una volta effettuato `customer_personalize_console_role` il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione di federazione. Puoi anche associarlo `customer_personalize_console_policy` a un altro ruolo esistente diverso da. `Customer_ReadOnly_Role`
+ Dopo averlo fornito al tuo account, puoi fare riferimento al relativo ARN quando crei un nuovo gruppo di set di dati. `customer_personalize_service_role`
Al momento, AMS Operations implementerà anche questo ruolo di servizio nel tuo account:. `aws_code_pipeline_service_role_policy`
**D: Quali sono le restrizioni all'uso di Amazon Personalize nel mio account AMS?**
La configurazione di Amazon Personalize è limitata alle risorse senza prefissi 'ams-' o 'mc-', per evitare modifiche all'infrastruttura AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Personalize nel mio account AMS?**
+ Se il bucket S3 in cui sono archiviati i dati è crittografato, è necessario fornire l'ID della chiave KMS, in modo da consentire al ruolo utilizzato da Amazon Personalize di decrittografare il bucket.
Amazon Personalize non supporta la chiave KMS S3 predefinita. Se necessario per utilizzare KMS, crea una chiave personalizzata e aggiungi la seguente policy aprendo una RFC con il tipo di modifica KMS Key \$1 Create (Managed automation):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
+ È necessario creare un bucket S3 con la seguente policy relativa ai bucket. A tale scopo, invia una RFC con tipo di modifica S3 Storage \$1 Create Policy. Questa politica consente ad Amazon Personalize di accedere ai dati; quel bucket conterrà i dati che verranno utilizzati da Amazon Personalize.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
# Usa AMS SSP per effettuare il provisioning di Amazon Quick nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità Quick direttamente dal tuo account gestito AMS. Quick è un servizio di business intelligence veloce e basato sul cloud che fornisce informazioni dettagliate a tutti i membri dell'organizzazione. Essendo un servizio completamente gestito, Quick consente di creare e pubblicare facilmente dashboard interattivi che includono approfondimenti sull'apprendimento automatico (ML). Per ulteriori informazioni, consulta [Amazon Quick](https://aws.amazon.com/quicksight/).
## Domande frequenti su Quick in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso a Quick nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce il seguente ruolo IAM al tuo account:. `customer_quicksight_console_admin_role` Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di Quick nel mio account AMS?**
+ AWS le impostazioni delle risorse su Quick non saranno accessibili a causa della dipendenza dalla politica IAM. Tuttavia, il team AMS abilita ogni risorsa per te in risposta alla tua richiesta di abilitare il servizio.
+ L'accesso alle risorse per singoli utenti e gruppi non è supportato in questo modello perché questa funzionalità consente agli utenti di modificare le autorizzazioni IAM che potrebbero compromettere l'infrastruttura AMS.
+ La possibilità di invitare identità IAM dall'interno non QuickSight è supportata a causa del rischio legato all'alterazione degli oggetti IAM.
+ Quick service offre due edizioni: Enterprise e Standard. Entrambi forniscono un'opzione Single Sign-On (SSO) supportata da AMS. Tuttavia, l'Enterprise Edition offre un'opzione per integrare Quick con Active Directory (AD). Quick on AMS non supporta l'integrazione con AD a causa di incompatibilità tra la struttura degli account AMS e i requisiti Quick Trust.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Quick nel mio account AMS?**
+ Quando AMS riceve questa RFC per aggiungere Quick, ti viene inviata una richiesta di assistenza per ulteriori informazioni; fornisci loro quanto segue:
+ Nome dell'account Quick (ad esempio, `CustomerName-quicksight`
+ Quick Edition (Standard o Enterprise)
+ La AWS regione in cui abilitare il servizio Quick (l'impostazione predefinita è la regione AMS AWS ).
+ Un indirizzo e-mail di notifica per l'account Quick.
+ (Facoltativo) Il bucket S3 in cui si trovano i file di dati da analizzare.
+ Il VPC e la sottorete IDs che si connettono a Quick supportano una funzionalità per aggiungere una connessione VPC, che consente la connettività privata tra Quick e le risorse all'interno dell'account.
Un operatore AMS esegue la procedura di registrazione per tuo conto e configura due funzionalità: QuickSight
+ [Rilevamento automatico delle](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html) fonti di dati.
+ [Connessioni VPC.](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)
**Nota**
Queste azioni devono essere eseguite da un operatore AMS perché durante il processo di accesso sono richieste autorizzazioni IAM e VPC elevate.
# Usa AMS SSP per effettuare il provisioning di Amazon Rekognition nel tuo account AMS
Usa la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Rekognition direttamente nel tuo account gestito AMS. Amazon Rekognition semplifica l'aggiunta di analisi di immagini e video alle applicazioni utilizzando una tecnologia di deep learning collaudata e altamente scalabile che non richiede competenze di machine learning per essere utilizzata. Con Amazon Rekognition, puoi identificare oggetti, persone, testo, scene e attività in immagini e video, oltre a rilevare eventuali contenuti inappropriati. Amazon Rekognition offre anche funzionalità di analisi e ricerca facciale estremamente accurate che puoi utilizzare per rilevare, analizzare e confrontare i volti per un'ampia varietà di casi d'uso in materia di verifica degli utenti, conteggio delle persone e sicurezza pubblica.
Con Amazon Rekognition Custom Labels, puoi identificare oggetti e scene in immagini specifiche per le tue esigenze aziendali. Ad esempio, puoi creare un modello per classificare parti specifiche della macchina sulla linea di assemblaggio o per rilevare piante non sane. Amazon Rekognition Custom Labels si occupa dello sviluppo di modelli per te, quindi non è richiesta alcuna esperienza di machine learning. Devi semplicemente fornire immagini di oggetti o scene che desideri identificare e il servizio si occuperà del resto.
Per ulteriori informazioni, consulta [Amazon Rekognition.](https://aws.amazon.com/rekognition/)
## Domande frequenti su Amazon Rekognition in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon Rekognition nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_rekognition_console_role & customer_rekognition_service_role` seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Rekognition nel mio account AMS?**
La funzionalità completa di Amazon Rekognition è disponibile con il ruolo di servizio autofornito di Amazon Rekognition.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Rekognition nel mio account AMS?**
Se utilizzi Kinesis Video Streams che fornisce lo streaming video di origine per uno stream processor Amazon Rekognition Video o un flusso di dati come destinazione per scrivere dati su Kinesis Data Streams, fornisci ad AMS un messaggio quando crei la RFC. `kinesisStreamName`
# Usa AMS SSP per effettuare il provisioning di Amazon SageMaker AI nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon SageMaker AI direttamente nel tuo account gestito AMS. SageMaker L'intelligenza artificiale offre a ogni sviluppatore e data scientist la possibilità di creare, addestrare e implementare rapidamente modelli di apprendimento automatico. Amazon SageMaker AI è un servizio completamente gestito che copre l'intero flusso di lavoro di machine learning per etichettare e preparare i dati, scegliere un algoritmo, addestrare il modello, ottimizzarlo e ottimizzarlo per la distribuzione, fare previsioni e agire. I tuoi modelli entrano in produzione più velocemente con molto meno sforzo e costi inferiori. Per ulteriori informazioni, consulta [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/).
## SageMaker Domande frequenti sull'intelligenza artificiale in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso all' SageMaker IA nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account: e al ruolo di servizio. `customer_sagemaker_admin_role` `AmazonSageMaker-ExecutionRole-Admin` Dopo aver inserito l' SageMaker IA nel tuo account, devi integrare il `customer_sagemaker_admin_role` ruolo nella tua soluzione di federazione. L'utente non può accedere direttamente al ruolo di servizio; il servizio di SageMaker intelligenza artificiale lo utilizza per eseguire varie azioni, come descritto qui: [Passing](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role) Roles.
**D: Quali sono le restrizioni all'uso dell' SageMaker IA nel mio account AMS?**
+ I seguenti casi d'uso non sono supportati dal ruolo AMS Amazon SageMaker AI IAM:
+ SageMaker AI Studio non è supportato in questo momento.
+ SageMaker AI Ground Truth per la gestione della forza lavoro privata non è supportata poiché questa funzionalità richiede un accesso eccessivamente permissivo alle risorse di Amazon Cognito. Se è necessario gestire una forza lavoro privata, puoi richiedere un ruolo IAM personalizzato con autorizzazioni combinate SageMaker AI e Amazon Cognito. Altrimenti, consigliamo di utilizzare forza lavoro pubblica (supportata da Amazon Mechanical Turk) Marketplace AWS o fornitori di servizi per l'etichettatura dei dati.
+ Creazione di endpoint VPC per supportare le chiamate API SageMaker ai servizi di intelligenza artificiale (aws.sagemaker). \$1regione\$1 .notebook, com.amazonaws. \$1regione\$1 .sagemaker.api e com.amazonaws. \$1region\$1 .sagemaker.runtime) non è supportata in quanto le autorizzazioni non possono essere limitate ai soli servizi relativi all'intelligenza artificiale. SageMaker Per supportare questo caso d'uso, invia una RFC Management \$1 Other \$1 Other per creare endpoint VPC correlati.
+ SageMaker La scalabilità automatica degli endpoint AI non è supportata in quanto l' SageMaker IA richiede `DeleteAlarm` autorizzazioni su qualsiasi risorsa («\$1»). Per supportare la scalabilità automatica degli endpoint, invia una richiesta RFC Management \$1 Other \$1 Other per configurare la scalabilità automatica per un endpoint AI. SageMaker
**D: Quali sono i prerequisiti o le dipendenze per utilizzare l'IA nel mio account AMS? SageMaker **
+ I seguenti casi d'uso richiedono una configurazione speciale prima dell'uso:
+ Se verrà utilizzato un bucket S3 per archiviare artefatti e dati del modello, è necessario richiedere un bucket S3 denominato con le parole chiave richieste (» SageMaker «, «Sagemaker», «sagemaker» o «aws-glue») con Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create RFC.
+ Se verrà utilizzato Elastic File Store (EFS), lo storage EFS deve essere configurato nella stessa sottorete e consentito dai gruppi di sicurezza.
+ Se altre risorse richiedono l'accesso diretto SageMaker ai servizi di intelligenza artificiale (notebook, API, runtime e così via), la configurazione deve essere richiesta da:
+ Invio di una RFC per creare un gruppo di sicurezza per l'endpoint (Deployment \$1 Advanced stack components \$1 Security group \$1 Create (auto)).
+ Invio di una gestione \$1 Altro \$1 Altro \$1 Crea RFC per configurare gli endpoint VPC correlati.
**D: Quali sono le convenzioni di denominazione supportate per le risorse a cui possono accedere direttamente? `customer_sagemaker_admin_role`** (Quanto segue riguarda le autorizzazioni di aggiornamento ed eliminazione; se hai bisogno di convenzioni di denominazione supportate aggiuntive per le tue risorse, contatta un AMS Cloud Architect per una consulenza.)
+ Risorsa: ruolo di passaggio `AmazonSageMaker-ExecutionRole-*`
+ Autorizzazioni: il ruolo di servizio con assegnazione automatica dell' SageMaker IA supporta l'utilizzo del ruolo di servizio SageMaker AI (`AmazonSageMaker-ExecutionRole-*`) con AWS Glue, AWS RoboMaker e. AWS Step Functions
+ Risorsa: Secrets on AWS Secrets Manager
+ Autorizzazioni: descrivi, crea, ottieni, aggiorna i segreti con un `AmazonSageMaker-*` prefisso.
+ Autorizzazioni: descrivi, ottieni segreti quando il tag della `SageMaker` risorsa è impostato su. `true`
+ Risorsa: archivi attivi AWS CodeCommit
+ Autorizzazioni: creare/eliminare repository con un prefisso. `AmazonSageMaker-*`
+ Autorizzazioni: Git Pull/Push su repository con i seguenti prefissi,, `*sagemaker*` e. `*SageMaker*` `*Sagemaker*`
+ Risorsa: repository Amazon ECR (Amazon Elastic Container Registry)
+ Autorizzazioni: Autorizzazioni: imposta, elimina le politiche del repository e carica le immagini dei contenitori, quando viene utilizzata la seguente convenzione di denominazione delle risorse,. `*sagemaker*`
+ Risorsa: bucket Amazon S3
+ Autorizzazioni: Get, Put, Delete object, annulla il caricamento multipart di oggetti S3 quando le risorse hanno i seguenti prefissi:,, e. `*SageMaker*` `*Sagemaker*` `*sagemaker*` `aws-glue`
+ Autorizzazioni: ottieni oggetti S3 quando il tag è impostato su. `SageMaker` `true`
+ Risorsa: Amazon CloudWatch Log Group
+ Autorizzazioni: Create Log Group o Stream, Put Log Event, List, Update, Create, Delete log delivery con il seguente prefisso:. `/aws/sagemaker/*`
+ Risorsa: Amazon CloudWatch Metric
+ Autorizzazioni: inserisci i dati metrici quando vengono utilizzati i seguenti prefissi:`AWS/SageMaker`,,,, `AWS/SageMaker/``aws/SageMaker`, `aws/SageMaker/` e. `aws/sagemaker` `aws/sagemaker/` `/aws/sagemaker/.`
+ Risorsa: Amazon CloudWatch Dashboard
+ Autorizzazioni: Create/Delete dashboard quando vengono utilizzati i seguenti prefissi:. `customer_*`
+ Risorsa: argomento Amazon SNS (Simple Notification Service)
+ Autorizzazioni: Subscribe/Create argomento in cui vengono utilizzati i seguenti prefissi:`*sagemaker*`, e. `*SageMaker*` `*Sagemaker*`
**D: Qual è la differenza tra e? `AmazonSageMakerFullAccess` `customer_sagemaker_admin_role`**
The `customer_sagemaker_admin_role` with the `customer_sagemaker_admin_policy` fornisce quasi le stesse autorizzazioni AmazonSageMakerFullAccess ad eccezione di:
+ Autorizzazione a connettersi con AWS RoboMaker Amazon Cognito e AWS Glue risorse.
+ SageMaker Scalabilità automatica degli endpoint AI. È necessario inviare una RFC con il tipo di modifica Management \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Update entità o policy (automazione gestita) (ct-27tuth19k52b4) per elevare le autorizzazioni di scalabilità automatica temporaneamente o permanentemente, poiché la scalabilità automatica richiede l'accesso permissivo al servizio. CloudWatch
**D: Come posso adottare la chiave gestita dal cliente nella crittografia dei dati inattivi? AWS KMS **
È necessario assicurarsi che la policy delle chiavi sia stata impostata correttamente sulle chiavi gestite dal cliente in modo che gli utenti o i ruoli IAM correlati possano utilizzare le chiavi. Per ulteriori informazioni, consulta il [documento AWS KMS Key Policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users).
# Usa AMS SSP per fornire Amazon Simple Email Service nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Simple Email Service (Amazon SES) direttamente nel tuo account gestito AMS. Amazon Simple Email Service è un servizio di invio e-mail basato sul cloud progettato per aiutare gli esperti di marketing digitale e gli sviluppatori di applicazioni a inviare e-mail di marketing, notifiche e transazionali.
Puoi utilizzare l'interfaccia SMTP o una delle altre AWS SDKs per integrare Amazon SES direttamente nelle tue applicazioni esistenti. Puoi anche integrare le funzionalità di invio e-mail di Amazon SES nel software che già utilizzi, come i sistemi di ticketing e i client di posta elettronica.
Per ulteriori informazioni, consulta [Amazon Simple Email Service](https://aws.amazon.com/ses/).
## Domande frequenti su Amazon SES in AWS Managed Services
**D: Come posso richiedere l'accesso ad Amazon SES nel mio account AMS?**
Richiedi l'accesso ad Amazon SES inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce `customer_ses_admin_role` il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon SES nel mio account AMS?**
+ È necessario configurare una policy sui bucket S3 per consentire ad Amazon SES di pubblicare eventi nel bucket.
+ È necessario utilizzare una chiave CMK predefinita (AWS SES) o configurare una chiave CMK per consentire ad Amazon SES di crittografare le e-mail e inviare eventi ad altre risorse di servizio come Amazon S3, Amazon SNS, Lambda e Firehose, appartenenti all'account.
**D: Quali sono le restrizioni all'uso di Amazon SES nel mio account AMS?**
È necessario raccogliere RFCs per creare le seguenti risorse:
+ Un utente SMTP e un ruolo di servizio IAM con PutEvents autorizzazione per uno stream Kinesis Firehose.
+ È necessario creare nuove AWS risorse come il bucket S3, lo stream Firehose, l'argomento SNS utilizzando i tipi di modifica AMS affinché le destinazioni delle regole e dei set di configurazione di Amazon SES funzionino con tali risorse.
+ Credenziali SMTP. Per richiedere nuove credenziali SMTP, usa il tipo di modifica (Gestione \$1 Altro \$1 Altro \$1 Crea). AMS crea le credenziali e le aggiunge a Secrets Manager per te.
# Usa AMS SSP per fornire Amazon Simple Workflow Service nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Simple Workflow Service (Amazon SWF) direttamente nel tuo account gestito AMS. Amazon Simple Workflow Service aiuta gli sviluppatori a creare, eseguire e scalare processi in background con passaggi paralleli o sequenziali. Puoi pensare ad Amazon SWF come a un sistema di monitoraggio dello stato e coordinatore di attività completamente gestito nel cloud. Se i passaggi della tua applicazione richiedono più di 500 millisecondi per essere completati, devi monitorare lo stato dell'elaborazione oppure devi ripristinare o riprovare se un'attività fallisce, Amazon SWF può aiutarti. Per ulteriori informazioni, consulta [Amazon Simple Workflow Service](https://aws.amazon.com/swf/).
## Domande frequenti su Amazon SWF in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso ad Amazon SWF nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce il seguente ruolo IAM al tuo account:. `customer_swf_role` Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon SWF nel mio account AMS?**
Le `InvokeFunction` autorizzazioni Lambda sono state incluse in questo servizio, tuttavia, l'AMS aggiunto a tutti i ruoli dei clienti AMS `customer_deny_policy` nega esplicitamente l'accesso alle funzioni AMS Lambda e alle risorse di proprietà di AMS. Per etichettare o rimuovere i tag dalle risorse all'interno di Amazon SWF, invia un tipo di modifica Gestione \$1 Altro \$1 Altro.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon SWF nel mio account AMS?**
Amazon SWF dipende dal AWS Lambda servizio, pertanto, le autorizzazioni per richiamare Lambda sono state fornite come parte di questo ruolo e non sono necessarie autorizzazioni aggiuntive per richiamare Lambda da Amazon SWF. Altrimenti, non ci sono prerequisiti per l'utilizzo di Amazon SWF.
# Usa AMS SSP per effettuare il provisioning di Amazon Textract nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Textract direttamente nel tuo account gestito AMS. Amazon Textract è un servizio di apprendimento automatico completamente gestito che estrae automaticamente testo stampato, scrittura a mano e altri dati dai documenti scansionati che va oltre il semplice riconoscimento ottico dei caratteri (OCR) per identificare, comprendere ed estrarre dati da moduli e tabelle. Per ulteriori informazioni, consulta [Amazon Textract](https://aws.amazon.com/textract/).
## Domande frequenti su Amazon Textract in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere la configurazione di Amazon Textract nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce i seguenti ruoli IAM al tuo account:, e. `customer_textract_console_role` `customer_textract_human_review_execution_role` `customer_ec2_textract_instance_profile` Una volta effettuato il provisioning nel tuo account, devi inserire il ruolo `customer_textract_console_role` nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'uso di Amazon Textract nel mio account AMS?**
Non ci sono restrizioni all'uso di Amazon Textract nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Textract nel mio account AMS?**
È necessario richiedere la creazione di un bucket S3 inviando una RFC Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create (ct-1a68ck03fn98r).
# Usa AMS SSP per effettuare il provisioning di Amazon Transcribe nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Amazon Transcribe direttamente nel tuo account gestito AMS. Amazon Transcribe è un servizio di riconoscimento vocale automatico completamente gestito e continuamente addestrato che genera automaticamente trascrizioni di testo con data e ora da file audio. Amazon Transcribe consente agli sviluppatori di speech-to-text aggiungere facilmente funzionalità alle proprie applicazioni. La ricerca e l'analisi dei dati audio sono praticamente impossibili da cercare e analizzare per i computer. Pertanto, la voce registrata deve essere convertita in testo prima di poter essere utilizzata nelle applicazioni. Storicamente, i clienti dovevano lavorare con fornitori di servizi di trascrizione che richiedevano loro di firmare contratti costosi ed erano difficili da integrare negli stack tecnologici a loro disposizione per svolgere questo compito. Molti di questi provider utilizzano tecnologie obsolete che non si adattano bene a diversi scenari, come l'audio telefonico a bassa fedeltà, comune nei contact center, che si traduce in una scarsa precisione.
Amazon Transcribe utilizza un processo di deep learning chiamato riconoscimento vocale automatico (ASR) per convertire il parlato in testo, in modo rapido e preciso. Amazon Transcribe può essere utilizzato per trascrivere le chiamate all'assistenza clienti, automatizzare i sottotitoli e i sottotitoli e generare metadati per le risorse multimediali per creare un archivio completamente ricercabile. Puoi usare Amazon Transcribe Medical per aggiungere funzionalità speech-to-text mediche alle applicazioni di documentazione clinica. Per ulteriori informazioni, consulta [Amazon Transcribe](https://aws.amazon.com/transcribe/).
## Domande frequenti su Amazon Transcribe in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere la configurazione di Amazon Transcribe nel mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (managed automation) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_transcribe_role` seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'uso di Amazon Transcribe nel mio account AMS?**
Quando lavori con transcribe, devi usare 'customer-transcribe\$1' come prefisso per i tuoi bucket, a meno che RA non sia specificato diversamente.
Non puoi creare un ruolo IAM all'interno di Amazon transcribe.
Non puoi utilizzare un bucket S3 gestito dal servizio per i dati di output in SSPS predefinito (se necessario, contatta il tuo account CA).
È necessario inviare Risk Acceptance se si desidera utilizzare chiavi KMS gestite dal cliente che non rientrano nel namespace AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Amazon Transcribe nel mio account AMS?**
S3 deve avere accesso ai bucket con il nome 'customer-transcribe\$1'. KMS è necessario per utilizzare Amazon Transcribe se i bucket S3 sono crittografati con chiavi KMS. Se non è necessario crittografare un bucket, è possibile rimuovere «Consenti». KMStranscribe
# Usa AMS SSP per effettuare il provisioning di Amazon WorkSpaces nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle WorkSpaces funzionalità direttamente nel tuo account gestito da AMS. WorkSpaces ti consente di effettuare il provisioning di desktop Microsoft Windows o Amazon Linux virtuali basati su cloud per i tuoi utenti, noti come. WorkSpaces WorkSpaces elimina la necessità di procurarsi e installare hardware o installare software complessi. È possibile aggiungere o rimuovere rapidamente utenti man mano che le proprie esigenze cambiano. Gli utenti vi accedono WorkSpaces utilizzando un'applicazione client da un dispositivo supportato o, per Windows WorkSpaces, un browser Web, e accedono utilizzando le credenziali Active Directory (AD) esistenti in locale.
Per ulteriori informazioni, consulta [Amazon WorkSpaces](https://aws.amazon.com/workspaces/).
## WorkSpaces nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso WorkSpaces al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_workspaces_console_role` seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo WorkSpaces nel mio account AMS?**
La funzionalità completa di Workspaces è disponibile con il ruolo di servizio WorkSpaces self-provisioned di Amazon.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare WorkSpaces nel mio account AMS?**
+ WorkSpaces sono limitati per AWS regione; pertanto, l'AD Connector deve essere configurato nella stessa AWS regione in cui sono ospitate le WorkSpaces istanze.
I clienti possono connettersi WorkSpaces al cliente AD utilizzando uno dei due metodi seguenti:
1. Utilizzo del connettore AD per l'autenticazione tramite proxy al servizio Active Directory locale (preferito):
Configura Active Directory (AD) Connector nel tuo account AMS prima di integrare l' WorkSpaces istanza con il servizio di directory locale. AD Connector funge da proxy per gli utenti AD esistenti (dal tuo dominio) a cui connettersi WorkSpaces utilizzando le credenziali AD esistenti in locale. Questa opzione è preferibile perché WorkSpaces sono collegate direttamente al dominio locale del cliente, che funge sia da risorsa che da foresta di utenti, garantendo un maggiore controllo da parte del cliente.
Per ulteriori informazioni, consulta [Best Practices for Deploying Amazon WorkSpaces (Scenario 1).](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.html)
1. Utilizzo di AD Connector con AWS Microsoft AD, Shared Services VPC e un trust unidirezionale per gli ambienti locali:
Puoi anche autenticare gli utenti con la tua directory locale stabilendo innanzitutto un trust unidirezionale in uscita da AD gestito da AMS al tuo AD locale. WorkSpaces entrerà a far parte di AD gestito da AMS utilizzando un AD Connector. WorkSpaces le autorizzazioni di accesso verranno quindi delegate alle WorkSpaces istanze tramite AD gestito da AMS, senza la necessità di stabilire un trust bidirezionale con l'ambiente locale. In questo scenario, la foresta di utenti si troverà nell'AD del cliente e la foresta di risorse sarà nell'AD gestito da AMS (le modifiche all'AD gestito da AMS possono essere richieste tramite RFC). Tieni presente che la connettività tra WorkSpaces VPC e il VPC MALZ Shared Services che esegue AD gestito da AMS viene stabilita tramite Transit Gateway.
Per ulteriori informazioni, consulta [Best practice for Deploying Amazon WorkSpaces (Scenario 6).](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-6-aws-microsoft-ad-shared-services-vpc-and-a-one-way-trust-to-on-premises.html)
**Nota**
L'AD Connector può essere configurato inviando un RFC Management \$1 Other \$1 Other \$1 Create change type con i dettagli di configurazione AD prerequisiti; per ulteriori informazioni, consulta [Creare un connettore](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html) AD. Se si utilizza il metodo 2 per creare una foresta di risorse in AD gestito da AMS, invia un altro RFC di Management \$1 Other \$1 Other \$1 Create change type in AMS shared-services eseguendo l'AD gestito da AMS.
# Utilizza AMS SSP per fornire i servizi AMS Code nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità dei servizi AMS Code direttamente nel tuo account gestito AMS. I servizi AMS Code sono un pacchetto proprietario di servizi di gestione del codice AWS, come descritto di seguito. Puoi scegliere di distribuire tutti i servizi di AMS con i servizi AMS Code oppure puoi distribuirli in AMS singolarmente.
I servizi AMS Code includono i seguenti servizi:
+ AWS CodeCommit: un servizio di [controllo del codice sorgente](https://aws.amazon.com/devops/source-control) completamente gestito che ospita repository sicuri basati su Git. Consente ai team di collaborare sul codice in un ecosistema sicuro e altamente scalabile. CodeCommit elimina la necessità di utilizzare il proprio sistema di controllo del codice sorgente o di preoccuparsi di scalarne l'infrastruttura. CodeCommit può essere utilizzato per archiviare in modo sicuro qualunque elemento, dal codice sorgente ai binari, e funziona perfettamente con gli strumenti Git esistenti. Per ulteriori informazioni, consulta [AWS CodeCommit](https://aws.amazon.com/codecommit/)
Per implementarlo nel tuo account AMS indipendentemente dai servizi AMS Code, consulta. [Utilizza AMS SSP per il provisioning AWS CodeCommit nel tuo account AMS](codecommit.md)
+ AWS CodeBuild: Un servizio di integrazione continua completamente gestito che compila il codice sorgente, esegue test e produce pacchetti software pronti per l'implementazione. Con CodeBuild, non è necessario fornire, gestire e scalare i propri server di build. CodeBuild esegue la scalabilità continua ed elabora più build contemporaneamente, in modo che le build non restino in attesa in coda. Puoi iniziare a utilizzare CodeBuild velocemente con ambienti di compilazione predefiniti oppure puoi creare ambienti di compilazione personalizzati che utilizzano strumenti di compilazione specifici. Con CodeBuild, ti vengono addebitati al minuto per le risorse di calcolo che utilizzi. Per ulteriori informazioni, consulta [AWS CodeBuild](https://aws.amazon.com/codebuild/)
Per implementarlo nel tuo account AMS indipendentemente dai servizi AMS Code, consulta. [Utilizza AMS SSP per il provisioning AWS CodeBuild nel tuo account AMS](code-build.md)
+ AWS CodeDeploy: un servizio di distribuzione completamente gestito che automatizza le distribuzioni di software su una varietà di servizi di elaborazione come Amazon EC2 e i server locali. AWS CodeDeploy ti aiuta a rilasciare rapidamente nuove funzionalità, ti aiuta a evitare i tempi di inattività durante la distribuzione delle applicazioni e gestisce la complessità dell'aggiornamento delle applicazioni. È possibile utilizzarlo AWS CodeDeploy per automatizzare le distribuzioni del software, eliminando la necessità di operazioni manuali soggette a errori. Il servizio è scalabile in base alle esigenze di implementazione. Per ulteriori informazioni, consulta [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)
Per implementarlo nel tuo account AMS indipendentemente dai servizi AMS Code, consulta. [Utilizza AMS SSP per il provisioning AWS CodeDeploy nel tuo account AMS](code-deploy.md)
+ AWS CodePipeline: Un servizio di [distribuzione continua](https://aws.amazon.com/devops/continuous-delivery/) completamente gestito che consente di automatizzare le pipeline di rilascio per aggiornamenti rapidi e affidabili di applicazioni e infrastrutture. CodePipeline automatizza le fasi di compilazione, test e distribuzione del processo di rilascio ogni volta che viene apportata una modifica al codice, in base al modello di rilascio definito dall'utente. Ciò consente di fornire funzionalità e aggiornamenti in modo rapido e affidabile. Puoi integrarti facilmente AWS CodePipeline con servizi di terze parti come GitHub o con il tuo plug-in personalizzato. Con AWS CodePipeline, paghi solo quello che usi. Non sono previste tariffe iniziali né impegni a lungo termine. Per ulteriori informazioni, consulta [AWS CodePipeline](https://aws.amazon.com/codepipeline/)
Per implementarlo nel tuo account AMS indipendentemente dai servizi AMS Code, consulta[Utilizza AMS SSP per il provisioning AWS CodePipeline nel tuo account AMS](code-pipeline.md).
## Domande frequenti sui servizi AMS Code in AWS Managed Services
**D: Come posso richiedere l'accesso ai servizi AMS Code nel mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_code_suite_console_role` seguente ruolo IAM al tuo account:. Dopo aver effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa. A questo punto`customer_codebuild_service_role`, `customer_codedeploy_service_role` AMS Operations implementerà anche i ruoli di `aws_code_pipeline_service_role` servizio nell'account e nei servizi dell'utente CodeBuild. CodeDeploy CodePipeline Se sono necessarie autorizzazioni IAM aggiuntive per `customer_codebuild_service_role` i, invia una richiesta di servizio AMS.
**Nota**
Puoi anche aggiungere questi servizi separatamente; per informazioni, consulta rispettivamente [Utilizza AMS SSP per il provisioning AWS CodeBuild nel tuo account AMS](code-build.md) [Utilizza AMS SSP per il provisioning AWS CodeDeploy nel tuo account AMS](code-deploy.md)[Utilizza AMS SSP per il provisioning AWS CodePipeline nel tuo account AMS](code-pipeline.md), e.
**D: Quali sono le restrizioni all'utilizzo dei servizi AMS Code nel mio account AMS?**
+ AWS CodeCommit: La funzionalità di attivazione CodeCommit è disattivata in base ai diritti associati alla creazione di argomenti SNS. L'autenticazione diretta CodeCommit è limitata; gli utenti devono autenticarsi con Credential Helper. Anche alcuni comandi KMS sono soggetti a restrizioni: kms: Encrypt, Decrypt,,, e kms:. kms: ReEncrypt kms: GenereteDataKey kms: GenerateDataKeyWithoutPlaintext kms: DescribeKey
+ CodeBuild: Per l'accesso da amministratore AWS CodeBuild della console, le autorizzazioni sono limitate a livello di risorsa; ad esempio, CloudWatch le azioni sono limitate a risorse specifiche e l'autorizzazione è controllata. `iam:PassRole`
+ CodeDeploy: attualmente CodeDeploy supporta le distribuzioni solo su Amazon EC2/on-premise. Le distribuzioni su ECS e Lambda tramite non sono supportate. CodeDeploy
+ CodePipeline: CodePipeline le funzionalità, le fasi e i provider sono limitati a quanto segue:
+ Fase di implementazione: Amazon S3 e AWS CodeDeploy
+ Fase di origine: Amazon S3 AWS CodeCommit, Bit Bucket e GitHub
+ Build Stage: AWS CodeBuild e Jenkins
+ Fase di approvazione: Amazon SNS
+ Fase di test: AWS CodeBuild, Jenkins BlazeMeter, test dell'interfaccia utente di Ghost Inspector, Micro StormRunner Focus Load, monitoraggio dell'API Runscope
+ Invoke Stage: Step Functions e Lambda
**Nota**
AMS Operations lo distribuisce `customer_code_pipeline_lambda_policy` nel tuo account; deve essere associato al ruolo di esecuzione Lambda per la fase di invoca Lambda. Fornisci il nome del service/execution ruolo Lambda con cui desideri aggiungere questa policy. Se non esiste un service/execution ruolo Lambda personalizzato, AMS crea un nuovo ruolo denominato`customer_code_pipeline_lambda_execution_role`, ovvero una copia di` customer_lambda_basic_execution_role`. `customer_code_pipeline_lambda_policy`
**D: Quali sono i prerequisiti o le dipendenze per utilizzare i servizi AMS Code nel mio account AMS?**
+ CodeCommit: Se i bucket S3 sono crittografati con AWS KMS chiavi, è necessario utilizzare S3. AWS KMS AWS CodeCommit
+ CodeBuild: Se sono necessarie autorizzazioni IAM aggiuntive per il ruolo di AWS CodeBuild servizio definito, richiedile tramite una richiesta di servizio AMS.
+ CodeDeploy: Nessuna.
+ CodePipeline: Nessuno. AWS i servizi supportati—AWS CodeCommit AWS CodeBuild,, AWS CodeDeploy—devono essere lanciati prima o insieme al lancio di CodePipeline. Tuttavia, ciò viene eseguito da un tecnico AMS.
# Utilizza AMS SSP per il provisioning AWS Amplify nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Amplify funzionalità direttamente nel tuo account gestito da AMS. AWS Amplify È una soluzione completa che consente agli sviluppatori web e mobili di frontend di creare, connettere e ospitare facilmente applicazioni fullstack. Amplify offre la flessibilità necessaria per sfruttare l'ampia gamma di servizi man mano che i casi d'uso si evolvono AWS . Amplify fornisce prodotti per creare app complete per iOS, Android, Flutter, Web e React Native. Per ulteriori informazioni, consulta [AWS Amplify](https://docs.amplify.aws/console).
## AWS Amplify nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere AWS Amplify di essere configurato nel mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_amplify_console_role` seguente ruolo IAM al tuo account:. Dopo aver effettuato il provisioning del tuo account, devi integrare il ruolo nella tua soluzione federativa.
Inoltre, è necessario fornire l'opzione Risk Acceptance, in quanto AWS Amplify dispone di autorizzazioni che modificano l'infrastruttura. A tale scopo, utilizza il Cloud Service Delivery Manager (CSDM).
**D: Quali sono le restrizioni all'utilizzo AWS Amplify nel mio account AMS?**
È necessario utilizzare `'amplify*'` come prefisso per i bucket quando si lavora con Amplify, a meno che RA e diversamente specificato.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare nel mio account AMS? AWS Amplify **
Non ci sono prerequisiti per l'utilizzo di AWS Amplify nel tuo account AMS.
**Solo ambienti Malz**: il ruolo integrato predefinito per Amplify è «customer\$1amplify\$1console\$1role». Per utilizzare un ruolo personalizzato, distribuisci prima le entità IAM. Quindi, crea una RFC aggiuntiva per aggiungere il tuo ruolo personalizzato all'elenco consentito della Service Control Policy for Application Accounts.
# Usa AMS SSP per il provisioning AWS AppSync
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS AppSync funzionalità direttamente nel tuo account gestito da AMS. AWS AppSync semplifica lo sviluppo di applicazioni consentendoti di creare un'API flessibile per accedere, manipolare e combinare in modo sicuro i dati provenienti da una o più fonti di dati. AWS AppSync è un servizio gestito che utilizza GraphQL per consentire alle applicazioni di ottenere con facilità esattamente i dati di cui hanno bisogno.
Con AWS AppSync, puoi creare applicazioni scalabili, comprese quelle che richiedono aggiornamenti in tempo reale, su una vasta gamma di fonti di dati come archivi dati NoSQL, database relazionali, APIs HTTP e sorgenti dati personalizzate con. AWS Lambda Per le app mobili e web, offre AWS AppSync inoltre l'accesso locale ai dati quando i dispositivi vanno offline e la sincronizzazione dei dati con risoluzione dei conflitti personalizzabile, quando tornano online. Per ulteriori informazioni, consulta [AWS AppSync](https://aws.amazon.com/appsync/).
## AWS AppSync nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS AppSync al mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account: e. `customer_appsync_service_role` `customer_appsync_author_role` Una volta effettuato il provisioning nel tuo account, devi integrare la soluzione `customer_appsync_author_role` nella tua federazione.
**D: Quali sono le restrizioni all'utilizzo di? AWS AppSync**
+ Quando si crea una fonte di dati, AppSync il cliente deve specificare il ruolo di servizio creato in precedenza, la creazione di un nuovo ruolo non è consentita e pertanto restituirà un accesso negato
+ AppSync i ruoli sono configurati per limitare le autorizzazioni alle risorse contenenti i prefissi «AMS-» o «MC-» per impedire qualsiasi modifica all'infrastruttura AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare? AWS AppSync**
Il servizio consente di utilizzare più altri servizi come origine dati. Le autorizzazioni di base per utilizzarli come tali sono incluse nel ruolo del servizio (`customer_appsync_service_role`), ma è necessario selezionare manualmente il ruolo del servizio quando si utilizza il servizio.
# Utilizza AMS SSP per il provisioning AWS App Mesh nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS App Mesh funzionalità direttamente nel tuo account gestito da AMS. AWS App Mesh fornisce reti a livello di applicazione per facilitare la comunicazione tra i servizi attraverso diversi tipi di infrastruttura di elaborazione. App Mesh standardizza il modo in cui i tuoi servizi comunicano, offrendoti end-to-end visibilità e garantendo un'elevata disponibilità per le tue applicazioni.
AWS App Mesh semplifica l'esecuzione dei servizi fornendo visibilità e controlli coerenti del traffico di rete per i servizi creati su diversi tipi di infrastruttura di elaborazione. App Mesh elimina la necessità di aggiornare il codice dell'applicazione per modificare il modo in cui i dati di monitoraggio vengono raccolti o il traffico viene instradato tra i servizi. App Mesh configura ogni servizio per esportare i dati di monitoraggio e implementa una logica di controllo delle comunicazioni coerente in tutta l'applicazione. In questo modo è facile individuare rapidamente la posizione esatta degli errori e reindirizzare automaticamente il traffico di rete in caso di guasti o quando è necessario implementare modifiche al codice. Per ulteriori informazioni, consulta [AWS App Mesh](https://aws.amazon.com/app-mesh/).
## AWS App Mesh nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS App Mesh al mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce il seguente ruolo IAM al tuo account:. `customer_app_mesh_console_role` Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di? AWS App Mesh**
La funzionalità completa di AWS App Mesh è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per l'utilizzo? AWS App Mesh**
Non ci sono prerequisiti o dipendenze da utilizzare AWS App Mesh nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Audit Manager nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Audit Manager direttamente nel tuo account gestito AMS. Audit Manager ti aiuta a controllare continuamente l' AWS utilizzo per semplificare la valutazione del rischio e della conformità alle normative e agli standard di settore. Audit Manager automatizza la raccolta delle prove per semplificare la valutazione dell'efficacia delle policy, delle procedure e delle attività. Quando è il momento di un audit, Audit Manager ti aiuta a gestire le revisioni dei controlli da parte delle parti interessate e ti aiuta a creare report pronti per l'audit con uno sforzo manuale significativamente inferiore. Per ulteriori informazioni, consulta [Audit Manager](https://aws.amazon.com/audit-manager/).
## AWS Audit Manager nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS Audit Manager al mio account AMS?**
Puoi richiedere l'accesso inviando il servizio AWS Services RFC Management \$1 AWS \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny). Questa RFC fornisce `customer-audit-manager-admin-Role` il seguente ruolo IAM nel tuo account:. Dopo aver effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo? AWS Audit Manager**
Non ci sono restrizioni per l'uso AWS Audit Manager nel tuo account AMS. AWS Audit Manager Viene fornita la funzionalità completa per.
**D: Quali sono i prerequisiti o le dipendenze per l'utilizzo? AWS Audit Manager**
1. Devi fornire ad AMS il bucket s3 in cui desideri risiedere. reports/assessments
1. Se desideri utilizzare il servizio di crittografia, devi fornire ad AMS l'ARN CMK KMS da utilizzare.
1. Se desideri inviare una notifica SNS a un argomento, devi fornire il nome dell'argomento o dell'arn.
1. **(Facoltativo)** Esiste un ulteriore prerequisito se desideri abilitare Organizations come parte della tua landing zone multi-account in Audit Manager e desideri un account amministratore delegato: nel campo della descrizione di RFC (Management \$1 AWS service \$1 Compatible Service\$1 Aggiungi), indica che desideri utilizzare l'account amministratore delegato come parte dell'installazione di Audit Manager e fornisci i seguenti dettagli:
+ KMS CMK ARN (utilizzato inizialmente per configurare Audit Manager)
+ ID dell'account amministratore delegato per Audit Manager da utilizzare come parte di questa landing zone con più account (può essere un account dell'applicazione MALZ)
# Utilizza AMS SSP per il provisioning AWS Batch nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Batch funzionalità direttamente nel tuo account gestito da AMS. AWS Batch consente a sviluppatori, scienziati e ingegneri di eseguire in modo semplice ed efficiente centinaia di migliaia di lavori di elaborazione in batch. AWS AWS Batch fornisce dinamicamente la quantità e il tipo ottimali di risorse di elaborazione (ad esempio istanze ottimizzate per CPU o memoria) in base al volume e ai requisiti di risorse specifici dei processi batch inviati. In questo modo non è necessario installare e gestire il software di elaborazione in batch o i cluster di server utilizzati per eseguire i processi, il che consente di concentrarsi sull'analisi dei risultati e sulla risoluzione dei problemi. AWS Batch Per ulteriori informazioni, consulta [AWS Batch](https://aws.amazon.com/batch/).
## AWS Batch nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS Batch al mio account AMS?**
1. Per richiedere l'accesso a AWS Batch, invia il servizio RFC Management \$1 AWS \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli e politiche IAM nel tuo account:
Ruoli IAM:
+ `customer_batch_console_role`
+ `customer_batch_ecs_instance_role`
+ `customer_batch_events_service_role`
+ `customer_batch_service_role`
+ `customer_batch_ecs_task_role`
Policy:
+ `customer_batch_console_role_policy`
+ `customer_batch_service_role_policy`
+ `customer_batch_events_service_role_policy`
2. Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo `customer_batch_console_role` nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo? AWS Batch**
Quando crei l'ambiente di calcolo, devi etichettare EC2 le istanze come «customer\$1batch» o «customer-batch». Se le istanze non sono contrassegnate, le istanze non verranno terminate in batch al termine del processo.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare? AWS Batch**
Non ci sono prerequisiti o dipendenze da utilizzare AWS Batch nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Certificate Manager nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità AWS Certificate Manager (ACM) direttamente nel tuo account gestito AMS. AWS Certificate Manager è un servizio che consente di fornire, gestire e distribuire certificati Secure Layer/Transport Sockets Layer Security (SSL/TLS) pubblici e privati da utilizzare con i servizi e le risorse interne connesse. AWS SSL/TLS i certificati vengono utilizzati per proteggere le comunicazioni di rete e stabilire l'identità dei siti Web su Internet e delle risorse su reti private. AWS Certificate Manager rimuove il lungo processo manuale di acquisto, caricamento e rinnovo SSL/TLS dei certificati.
Con AWS Certificate Manager, puoi richiedere un certificato, distribuirlo su AWS risorse integrate con ACM, come Elastic Load Balancers, distribuzioni CloudFront Amazon e su APIs API Gateway, e lasciare che gestisca i rinnovi dei certificati. AWS Certificate Manager Consente inoltre di creare certificati privati per le risorse interne e gestire il ciclo di vita dei certificati in modo centralizzato. I certificati pubblici e privati forniti AWS Certificate Manager per l'utilizzo con i servizi integrati ACM sono gratuiti. Paghi solo per le AWS risorse che crei per eseguire l'applicazione. Con [AWS Autorità di certificazione privata](https://aws.amazon.com/certificate-manager/private-certificate-authority/), paghi mensilmente per il funzionamento dei CA privata AWS e per i certificati privati che emetti. Per ulteriori informazioni, consulta [AWS Certificate Manager - AWS Documentazione](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
## Domande frequenti su ACM in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS Certificate Manager al mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce il seguente ruolo IAM al tuo account:. `customer_acm_create_role` Puoi utilizzare questo ruolo per creare e gestire certificati ACM. Dopo averlo inserito nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
I certificati ACM possono essere creati utilizzando i seguenti tipi di modifica, anche se non hai aggiunto il `customer_acm_create_role` ruolo IAM:
+ [ACM \$1 Crea certificato pubblico](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-public-certificate.html)
+ [ACM \$1 Crea certificato privato](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-private-certificate.html)
+ [Certificato ACM con ulteriore \$1 Crea SANs ](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-certificate-with-additional-sans-create.html)
**D: Quali sono le restrizioni all'utilizzo di AWS Certificate Manager?**
È necessario inviare una Request for Change (RFC) ad AMS per eliminare o modificare i certificati esistenti, poiché tali azioni richiedono l'accesso amministrativo completo (utilizzate il tipo Management \$1 Advanced stack components \$1 ACM \$1 Delete certificate change (ct-1q8q56cmwqj9m)). Tieni presente che la policy IAM non può escludere i diritti in base ai nomi dei tag (mc\$1, ams\$1, ecc.). I certificati non comportano costi, quindi l'eliminazione dei certificati non utilizzati non è urgente.
**D: Quali sono i prerequisiti o le dipendenze per l'utilizzo di Certificate Manager?**
Nome DNS pubblico esistente e accesso per creare record DNS CNAME, ma non è necessario che siano ospitati nell'account gestito.
# Utilizza AMS SSP per il provisioning AWS Autorità di certificazione privata nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Autorità di certificazione privata funzionalità direttamente nel tuo account gestito da AMS. I certificati privati vengono utilizzati per identificare e proteggere le comunicazioni tra risorse connesse su reti private, come server, dispositivi mobili e applicazioni IoT. CA privata AWS è un servizio CA privato gestito che consente di gestire in modo semplice e sicuro il ciclo di vita dei certificati privati. CA privata AWS offre un servizio CA privato ad alta disponibilità senza gli investimenti iniziali e i costi di manutenzione continui legati alla gestione di una CA privata. CA privata AWS estende le funzionalità di gestione dei certificati di ACM ai certificati privati, consentendoti di creare e gestire certificati pubblici e privati in modo centralizzato. Puoi creare e distribuire facilmente certificati privati per AWS le tue risorse utilizzando la console di AWS gestione o l'API ACM. Per le istanze EC2, i contenitori, i dispositivi IoT e le risorse locali, puoi creare e tracciare facilmente certificati privati e utilizzare il tuo codice di automazione lato client per distribuirli. Hai anche la flessibilità di creare certificati privati e gestirli autonomamente per applicazioni che richiedono durate dei certificati, algoritmi chiave o nomi di risorse personalizzati. Per ulteriori informazioni, consulta. [CA privata AWS](https://aws.amazon.com/certificate-manager/private-certificate-authority/)
## CA privata AWS nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso CA privata AWS al mio account AMS?**
Richiedi l'accesso tramite l'invio dei AWS Servizi RFC (Gestione \$1 AWS servizio \$1 Servizio compatibile). Tramite questa RFC, nel tuo account verrà assegnato il seguente ruolo IAM:. `customer_acm_pca_role` Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di? CA privata AWS**
Attualmente, AWS Resource Access Manager (AWS RAM) non può essere utilizzato per condividere più CA privata AWS account.
**D: Quali sono i prerequisiti o le dipendenze per l'utilizzo? CA privata AWS**
1. Se intendi creare un CRL, hai bisogno di un bucket S3 in cui archiviarlo. CA privata AWS deposita automaticamente il CRL nel bucket Amazon S3 designato e lo aggiorna periodicamente. È necessario che il bucket S3 disponga della seguente policy relativa ai bucket prima di poter configurare un CRL. Per procedere con questa richiesta, crea un RFC con ct-0fpjlxa808sh2 (Gestione \$1 Advanced stack components \$1 S3 storage \$1 Update policy) come segue:
+ Fornisci il nome o l'ARN del bucket S3.
+ Copia la seguente policy su RFC e sostituiscila `bucket-name` con il nome del bucket S3 desiderato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource":[
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
2. Se il bucket S3 di cui sopra è crittografato, il Service Principal acm-pca.amazonaws.com richiede le autorizzazioni per la decrittografia. Per procedere con questa richiesta, crea un RFC con ct-3ovo7px2vsa6n (Gestione \$1 Advanced stack components \$1 KMS key \$1 Update) come segue:
+ Fornisci l'ARN della chiave KMS su cui deve essere aggiornata la policy.
+ Copia la politica seguente su RFC e sostituiscila `bucket-name` con il nome del bucket S3 desiderato.
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
"arn:aws:s3:::bucket_name/audit-report/*",
"arn:aws:s3:::bucket_name/crl/*"
]
}
}
}
```
3. CA privata AWS CRLs non supportano l'impostazione S3 «Blocca l'accesso pubblico a bucket e oggetti concesso tramite nuove liste di controllo degli accessi (ACLs)». È necessario disabilitare questa impostazione con l'account e il bucket S3 per consentire la CA privata AWS scrittura CRLs come indicato in [Come creare e archiviare in modo sicuro il CRL per ACM Private CA](https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/) Se desideri disabilitarlo, crea un nuovo RFC con ct-0xdawir96cy7k (Gestione \$1 Altro \$1 Altro \$1 Aggiornamento) e allega un'accettazione del rischio. Se hai domande sull'accettazione del rischio, contatta il tuo Cloud Architect.
# Utilizza AMS SSP per il provisioning AWS CloudEndure nel tuo account AMS
**Nota**
Dopo il successo del lancio di AWS Application Migration Service, il servizio di CloudEndure migrazione è ora giunto alla fine del ciclo di vita in tutte le AWS regioni. Consigliamo ai clienti di utilizzarlo AWS Application Migration Service per le migrazioni lift-and-shift verso le GovCloud Regioni e le Regioni commerciali. Per informazioni, consulta [What](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html) Is? AWS Application Migration Service.
Se desideri utilizzarli AWS Application Migration Service, contatta il tuo CA in modo che possano guidarti.
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS CloudEndure funzionalità direttamente nel tuo account gestito da AMS. AWS CloudEndure la migrazione semplifica, accelera e automatizza le migrazioni su larga scala da infrastrutture fisiche, virtuali e basate su cloud a. AWS CloudEndure Il Disaster Recovery (DR) protegge dai tempi di inattività e dalla perdita di dati da qualsiasi minaccia, inclusi ransomware e danneggiamento dei server.
## AWS CloudEndure nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso CloudEndure al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_cloud_endure_user` seguente utente IAM al tuo account:. Dopo aver effettuato il provisioning nel tuo account, la chiave di accesso e la chiave segreta dell'utente vengono condivise in AWS Secrets Manager.
Queste politiche vengono fornite anche all'account: `customer_cloud_endure_policy` e. `customer_cloud_endure_deny_policy`
Inoltre, è necessario fornire una Risk Acceptance poiché la soluzione CloudEndure DR per l'integrazione delle applicazioni dispone di autorizzazioni che modificano l'infrastruttura. A tale scopo, collabora con il tuo cloud service delivery manager (CSDM).
**D: Quali sono le restrizioni all'utilizzo CloudEndure nel mio account AMS?**
Le istanze di replica e conversione endure su cloud possono essere avviate solo nella sottorete indicata.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare nel mio account AMS? CloudEndure ** Condividi quanto segue tramite corrispondenza bidirezionale RFC:
+ Dettagli della sottorete VPC per le istanze di replica e conversione da avviare.
+ La chiave KMS Amazon Resource Name (ARN) se i volumi EBS sono crittografati.
# Utilizza AMS SSP per il provisioning AWS CloudHSM nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS CloudHSM funzionalità direttamente nel tuo account gestito da AMS. AWS CloudHSM ti aiuta a soddisfare i requisiti di conformità aziendali, contrattuali e normativi per la sicurezza dei dati utilizzando istanze Hardware Security Module (HSM) dedicate all'interno del cloud. AWS AWS, e i partner di AWS Marketplace offrono una varietà di soluzioni per proteggere i dati sensibili all'interno della AWS piattaforma, ma per alcune applicazioni e dati soggetti a mandati contrattuali o normativi per la gestione delle chiavi crittografiche, potrebbe essere necessaria una protezione aggiuntiva. AWS CloudHSM integra le soluzioni di protezione dei dati esistenti e consente di proteggere le chiavi di crittografia all'interno HSMs di esse progettate e convalidate secondo gli standard governativi per una gestione sicura delle chiavi. AWS CloudHSM consente di generare, archiviare e gestire in modo sicuro le chiavi crittografiche utilizzate per la crittografia dei dati in modo che le chiavi siano accessibili solo all'utente. Per ulteriori informazioni, consulta [AWS CloudHSM](https://aws.amazon.com/cloudhsm/).
## AWS CloudHSM nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS CloudHSM al mio account AMS?**
L'utilizzo di nel tuo account AMS è un processo in due fasi:
1. Richiedi un AWS CloudHSM cluster. A tale scopo, invia una RFC con il tipo di modifica Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76). Includi i seguenti dettagli:
+ AWS Regione.
+ ID/ARN. Provide a VPC ID/VPCARN VPC che si trova nello stesso account della RFC inviata.
+ Specificare almeno due zone di disponibilità per il cluster.
+ ID dell' EC2 istanza Amazon che si connetterà al cluster HSM.
1. Accedi alla AWS CloudHSM console. A tale scopo, invia una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Questa RFC fornisce il `customer_cloudhsm_console_role` seguente ruolo IAM al tuo account:.
Dopo aver assegnato il ruolo nel tuo account, devi inserirlo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS CloudHSM nel mio account AMS?**
L'accesso alla AWS CloudHSM console non ti offre la possibilità di creare, terminare o ripristinare il cluster. Per eseguire queste operazioni, invia un tipo di modifica Management \$1 Other \$1 Other \$1 Create change type (ct-1e1xtak34nx76).
**D: Quali sono i prerequisiti o le dipendenze da utilizzare nel mio account AMS? AWS CloudHSM **
È necessario consentire il traffico TCP utilizzando la porta 2225 tramite un' EC2 istanza Amazon client all'interno di un VPC oppure utilizzare Direct Connect VPN per server locali che desiderano accedere al cluster HSM. AWS CloudHSM dipende da Amazon EC2 per i gruppi di sicurezza e le interfacce di rete. Per il monitoraggio o il controllo dei log, HSM si affida a CloudTrail (operazioni AWS API) e CloudWatch Logs per tutte le attività dei dispositivi HSM locali.
**D: Chi applicherà gli aggiornamenti al AWS CloudHSM client e alle relative librerie software?**
L'utente è responsabile dell'applicazione degli aggiornamenti della libreria e del client. Ti consigliamo di monitorare la pagina della cronologia delle versioni di [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html) per le versioni e quindi applicare gli aggiornamenti utilizzando l'aggiornamento del client [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-upgrade.html).
**Nota**
Le patch software per l'appliance HSM vengono sempre applicate automaticamente dal servizio. AWS CloudHSM
# Utilizza AMS SSP per il provisioning AWS CodeBuild nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS CodeBuild funzionalità direttamente nel tuo account gestito da AMS. AWS CodeBuild è un servizio di integrazione continua completamente gestito che compila il codice sorgente, esegue test e produce pacchetti software pronti per l'implementazione. Con CodeBuild, non è necessario fornire, gestire e scalare i propri server di build. CodeBuild esegue la scalabilità continua ed elabora più build contemporaneamente, in modo che le build non restino in attesa in coda. Puoi iniziare a utilizzare CodeBuild velocemente con ambienti di compilazione predefiniti oppure puoi creare ambienti di compilazione personalizzati che utilizzano strumenti di compilazione specifici. Con CodeBuild, ti vengono addebitati al minuto per le risorse di calcolo che utilizzi. Per ulteriori informazioni, consulta [AWS CodeBuild](https://aws.amazon.com/codebuild/).
**Nota**
Per effettuare l'onboarding CodeCommit, CodeBuild CodeDeploy, e CodePipeline con un'unica RFC, invia il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) e richiedi i tre servizi:, e. CodeBuild CodeDeploy CodePipeline Quindi, tutti e tre i ruoli,, e vengono assegnati nel tuo account. `customer_codebuild_service_role` `customer_codedeploy_service_role` `aws_code_pipeline_service_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
## CodeBuild nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS CodeBuild al mio account AMS?**
L'utilizzo di AWS CodeBuild nel tuo account AMS è un processo in due fasi:
1. Predisponi il processo `CodeBuild Service Role` di compilazione in modo che si coordini con i bucket AWS S3, i gruppi Amazon CloudWatch e Log
1. Richiedi l'accesso alla console CodeBuild
Puoi richiedere che entrambi siano configurati nel tuo account AMS inviando una RFC al Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Dopo averlo inserito nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS CodeBuild nel mio account AMS?**
Per quanto riguarda l'accesso da amministratore della AWS CodeBuild console, le autorizzazioni sono limitate a livello di risorsa; ad esempio, CloudWatch le azioni sono limitate a risorse specifiche e l'`iam:PassRole`autorizzazione è controllata.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare CodeBuild nel mio account AMS?**
Se sono necessarie autorizzazioni IAM aggiuntive per il ruolo di AWS CodeBuild servizio definito, richiedile tramite una richiesta di servizio AMS.
# Utilizza AMS SSP per il provisioning AWS CodeCommit nel tuo account AMS
**Nota**
AWS ha chiuso l'accesso a nuovi clienti AWS CodeCommit, a partire dal 25 luglio 2024. AWS CodeCommit i clienti esistenti possono continuare a utilizzare il servizio normalmente. AWS continua a investire in sicurezza, disponibilità e miglioramenti delle prestazioni per AWS CodeCommit, ma non abbiamo intenzione di introdurre nuove funzionalità.
Per migrare i CodeCommit repository AWS Git verso altri provider Git, contatta il tuo architetto cloud (CA) per ricevere assistenza. Per ulteriori informazioni sulla migrazione dei tuoi repository Git, consulta [Come migrare il tuo CodeCommit repository AWS verso un altro](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/) provider Git.
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS CodeCommit funzionalità direttamente nel tuo account gestito da AMS. AWS CodeCommit è un servizio di [controllo del codice sorgente](https://aws.amazon.com/devops/source-control/) completamente gestito che ospita repository sicuri basati su Git. Aiuta i team a collaborare sul codice in un ecosistema sicuro e altamente scalabile. CodeCommit elimina la necessità di utilizzare il proprio sistema di controllo del codice sorgente o di preoccuparsi di scalarne l'infrastruttura. Puoi usarlo CodeCommit per archiviare in modo sicuro qualsiasi cosa, dal codice sorgente ai file binari, e funziona perfettamente con gli strumenti Git esistenti. Per ulteriori informazioni, consulta [AWS CodeCommit](https://aws.amazon.com/codecommit/).
**Nota**
Per effettuare l'onboard CodeCommit, CodeBuild CodeDeploy, e CodePipeline con una singola RFC, invia il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) e richiedi i tre servizi:, e. CodeBuild CodeDeploy CodePipeline Quindi, tutti e tre i ruoli,, e vengono assegnati nel tuo account. `customer_codebuild_service_role` `customer_codedeploy_service_role` `aws_code_pipeline_service_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
## CodeCommit nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso CodeCommit al mio account AMS?**
AWS CodeCommit i ruoli di console e accesso ai dati possono essere richiesti inviando due AWS Service RFCs, accesso alla console e accesso ai dati:
+ Richiedi l'accesso AWS CodeCommit inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC `customer_codecommit_console_role` fornisce il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
L'accesso ai dati (come gli elenchi di formazione e di entità) richiede una distinzione CTs per ogni fonte di dati, specificando l'origine dati S3 (obbligatoria), il bucket di output (obbligatorio) e il KMS (opzionale). Non ci sono limitazioni alla creazione di AWS CodeCommit posti di lavoro purché a tutte le fonti di dati siano stati concessi ruoli di accesso. Per richiedere l'accesso ai dati, invia una RFC a Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76).
**D: Quali sono le restrizioni all'utilizzo nel mio account AMS? AWS CodeCommit **
La funzionalità Trigger attiva è disattivata in base CodeCommit ai diritti associati alla creazione di argomenti SNS. L'autenticazione diretta CodeCommit è limitata, gli utenti devono autenticarsi con Credential Helper. Alcuni comandi KMS sono inoltre soggetti a restrizioni:`kms:Encrypt`,,,, e`kms:Decrypt`. `kms:ReEncrypt` `kms:GenereteDataKey` `kms:GenerateDataKeyWithoutPlaintext` `kms:DescribeKey`
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS CodeCommit nel mio account AMS?**
Se i bucket S3 sono crittografati con chiavi KMS, è necessario utilizzare S3 e KMS. AWS CodeCommit
# Utilizza AMS SSP per il provisioning AWS CodeDeploy nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS CodeDeploy funzionalità direttamente nel tuo account gestito da AMS. AWS CodeDeploy è un servizio di distribuzione completamente gestito che automatizza le distribuzioni di software su una varietà di servizi di elaborazione come Amazon EC2 e i server locali AWS Fargate. AWS Lambda AWS CodeDeploy ti aiuta a rilasciare rapidamente nuove funzionalità, ti aiuta a evitare i tempi di inattività durante la distribuzione delle applicazioni e gestisce la complessità dell'aggiornamento delle applicazioni. È possibile utilizzarlo AWS CodeDeploy per automatizzare le distribuzioni del software, eliminando la necessità di operazioni manuali soggette a errori. Il servizio è scalabile in base alle esigenze di implementazione. Per ulteriori informazioni, consulta [AWS CodeDeploy](https://aws.amazon.com/codedeploy/).
**Nota**
Per effettuare l'onboard e CodePipeline con una singola RFC CodeCommit CodeBuild CodeDeploy, invia il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) e richiedi i tre servizi:, e. CodeBuild CodeDeploy CodePipeline Quindi, tutti e tre i ruoli,, e vengono assegnati nel tuo account. `customer_codebuild_service_role` `customer_codedeploy_service_role` `aws_code_pipeline_service_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
## CodeDeploy nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso CodeDeploy al mio account AMS?**
Richiedi l'accesso CodeDeploy inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account: e. `customer_codedeploy_console_role` `customer_codedeploy_service_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il `customer_codedeploy_console_role` ruolo nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo CodeDeploy nel mio account AMS?**
Al momento supportiamo solo Compute Platform come: Amazon EC2/on-premise. Blue/Green Le distribuzioni non sono supportate.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare CodeDeploy nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare CodeDeploy nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS CodePipeline nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS CodePipeline funzionalità direttamente nel tuo account gestito da AMS. AWS CodePipeline è un servizio di [distribuzione continua](https://aws.amazon.com/devops/continuous-delivery/) completamente gestito che consente di automatizzare le pipeline di rilascio per aggiornamenti rapidi e affidabili di applicazioni e infrastrutture. CodePipeline automatizza le fasi di compilazione, test e distribuzione del processo di rilascio ogni volta che viene apportata una modifica al codice, in base al modello di rilascio definito dall'utente. Ciò consente di fornire funzionalità e aggiornamenti in modo rapido e affidabile. Puoi integrarti facilmente AWS CodePipeline con servizi di terze parti come GitHub o con il tuo plug-in personalizzato. Con AWS CodePipeline, paghi solo per quello che usi. Non sono previste tariffe iniziali né impegni a lungo termine. Per ulteriori informazioni, consulta [AWS CodePipeline](https://aws.amazon.com/codepipeline/).
**Nota**
Per effettuare l'onboard CodeCommit, CodeBuild CodeDeploy, e CodePipeline con un'unica RFC, invia il tipo di modifica del tipo Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) e richiedi i tre servizi:, e. CodeBuild CodeDeploy CodePipeline Quindi, tutti e tre i ruoli,, e vengono assegnati nel tuo account. `customer_codebuild_service_role` `customer_codedeploy_service_role` `aws_code_pipeline_service_role` Dopo aver effettuato il provisioning nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
CodePipeline in AMS non supporta «Amazon CloudWatch Events» per Source Stage perché necessita di autorizzazioni elevate per creare il ruolo e la policy del servizio, che aggira il modello dei privilegi minimi e il processo di gestione delle modifiche AMS.
## CodePipeline nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso CodePipeline al mio account AMS?**
Richiedi l'accesso CodePipeline inviando una richiesta di servizio `customer_code_pipeline_console_role` nell'account pertinente. Dopo averlo inserito nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
Al momento, AMS Operations implementerà anche questo ruolo di servizio nel tuo account:. `aws_code_pipeline_service_role_policy`
**D: Quali sono le restrizioni all'utilizzo CodePipeline nel mio account AMS?**
Sì. CodePipeline le funzionalità, gli stage e i provider sono limitati a quanto segue:
1. Fase di distribuzione: limitata ad Amazon S3 e AWS CodeDeploy
1. Source Stage: limitato ad Amazon S3, AWS CodeCommit, e BitBucket GitHub
1. Build Stage: Limitato a AWS CodeBuild, e Jenkins
1. Fase di approvazione: limitata ad Amazon SNS
1. Fase di test: limitata ai AWS CodeBuild test dell'interfaccia utente di Jenkins BlazeMeter, Ghost Inspector, Micro StormRunner Focus Load e Runscope API Monitoring
1. Invoke Stage: limitato a Step Functions e Lambda
**Nota**
AMS Operations verrà implementato `customer_code_pipeline_lambda_policy` nel tuo account; deve essere associato al ruolo di esecuzione Lambda per la fase di invoca Lambda. Fornisci il nome del service/execution ruolo Lambda con cui desideri aggiungere questa policy. Se non esiste un service/execution ruolo Lambda personalizzato, AMS creerà un nuovo ruolo denominato`customer_code_pipeline_lambda_execution_role`, che sarà una copia di`customer_lambda_basic_execution_role`. `customer_code_pipeline_lambda_policy`
**D: Quali sono i prerequisiti o le dipendenze da utilizzare CodePipeline nel mio account AMS?**
AWS i servizi AWS CodeCommit supportati AWS CodeDeploy devono essere lanciati prima o insieme al lancio di. AWS CodeBuild CodePipeline
# Utilizza AMS SSP per il provisioning AWS Compute Optimizer nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Compute Optimizer funzionalità direttamente nel tuo account gestito da AMS. AWS Compute Optimizer consiglia risorse di AWS calcolo ottimali per i carichi di lavoro per ridurre i costi e migliorare le prestazioni utilizzando l'apprendimento automatico per analizzare le metriche di utilizzo cronologiche. L'over-provisioning dell'elaborazione (Amazon EC2 e ASG) può comportare costi di infrastruttura non necessari, mentre un calcolo insufficiente può portare a prestazioni delle applicazioni scadenti. Compute Optimizer ti aiuta a scegliere i tipi di istanze Amazon EC2 ottimali, incluse quelle che fanno parte di un gruppo Amazon EC2 Auto Scaling, in base ai tuoi dati di utilizzo. Per ulteriori informazioni, consulta [AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/).
## Domande frequenti su Compute Optimizer in AWS Managed Services
**D: Come posso richiedere l'accesso a Compute Optimizer nel mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_compute_optimizer_readonly_role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di Compute Optimizer nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di AWS Compute Optimizer è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Compute Optimizer nel mio account AMS?**
+ È necessario inviare un RFC (Management \$1 Other \$1 Other \$1 Update) che autorizzi AMS Ops ad abilitare il servizio nell'account. Durante l'implementazione, viene creato un ruolo collegato al servizio (SLR) per consentire la raccolta delle metriche e la generazione di report. La reflex è etichettata "». AWSService RoleForComputeOptimizer Per ulteriori informazioni, vedere [Utilizzo dei ruoli collegati ai servizi per AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/using-service-linked-roles.html)
+ CloudWatch le metriche devono essere abilitate per le seguenti metriche:
+ **Utilizzo della CPU**: la percentuale di unità di calcolo Amazon EC2 allocate in uso sull'istanza. Questa metrica identifica la potenza di elaborazione richiesta per eseguire un'applicazione su un'istanza selezionata.
+ **Utilizzo della memoria: la** quantità di memoria che è stata utilizzata in qualche modo durante il periodo di campionamento. Questa metrica identifica la memoria richiesta per eseguire un'applicazione su un'istanza selezionata. L'utilizzo della memoria viene analizzato solo per le risorse su cui è installato l'agente CloudWatch unificato. Per ulteriori informazioni, vedere Enabling Memory Utilization with the CloudWatch Agent (p. 10).
+ **Rete in** ingresso: il numero di byte ricevuti su tutte le interfacce di rete dall'istanza. Questa metrica identifica il volume del traffico di rete in entrata su una singola istanza.
+ **Rete in uscita**: il numero di byte inviati su tutte le interfacce di rete dall'istanza. Questa metrica identifica il volume del traffico di rete in uscita da una singola istanza.
+ **Disco locale input/output (I/O)**: il numero di operazioni per il disco locale. input/output Questa metrica identifica le prestazioni del volume principale di un'istanza
# Utilizza AMS SSP per il provisioning AWS DataSync nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS DataSync funzionalità direttamente nel tuo account gestito da AMS. AWS DataSync sposta grandi quantità di dati online tra lo storage locale e Amazon S3, Amazon Elastic File System (Amazon Elastic File System) o Amazon. FSx Le attività manuali relative ai trasferimenti di dati possono rallentare le migrazioni e appesantire le operazioni IT. DataSync elimina o gestisce automaticamente molte di queste attività, tra cui la creazione di copie di script, la pianificazione e il monitoraggio dei trasferimenti, la convalida dei dati e l'ottimizzazione dell'utilizzo della rete. L'agente DataSync software si connette allo storage Network File System (NFS) e Server Message Block (SMB), in modo da non dover modificare le applicazioni. DataSync può trasferire centinaia di terabyte e milioni di file a velocità fino a 10 volte superiori rispetto agli strumenti open source, tramite Internet o collegamenti. AWS Direct Connect Puoi utilizzarli DataSync per migrare set o archivi di dati attivi AWS, trasferire dati sul cloud per analisi ed elaborazione tempestive o replicare i dati per la continuità aziendale. AWS
Per ulteriori informazioni, consulta [AWS DataSync](https://aws.amazon.com/datasync/).
## DataSync nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso DataSync al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_datasync_console_role` seguente ruolo IAM al tuo account:.
Dopo aver effettuato il provisioning nel tuo account, devi integrare i ruoli nella tua soluzione federativa.
Il gruppo di CloudWatch log da utilizzare per lo streaming dei log delle attività è «/aws/datasync».
**D: Quali sono le restrizioni all'utilizzo nel mio account AMS? DataSync **
La funzionalità completa di AWS DataSync è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare DataSync nel mio account AMS?**
+ Amazon S3 ( ARNs Amazon Resource Names) sono necessari per tutti i bucket S3 associati alle DataSync attività che verranno eseguite utilizzando il ruolo di servizio. DataSync `customer_datasync_service_role`
+ Gli endpoint VPC e i gruppi di sicurezza per DataSync gli agenti devono essere richiesti con una RFC con il tipo di modifica Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76) prima di utilizzare gli endpoint VPC.
+ AWS DataSync gli agenti vengono eseguiti in AMS come appliance. [L' AWS DataSync agente viene patchato e aggiornato dal servizio; per i dettagli, consulta AWS DataSync le domande frequenti.](https://aws.amazon.com/datasync/faqs/)
+ Per avviare un AWS DataSync agente, invia una RFC con il tipo di modifica Management \$1 Other \$1 Other \$1 Create (ct-1e1xtak34nx76), richiedendo l'implementazione dell'agente. Fornisci l'ID AMI AWS DataSync Amazon EC2, il tipo di istanza, la sottorete, il gruppo di sicurezza e fai riferimento a una coppia di chiavi Amazon EC2 esistente o richiedi la creazione di una nuova coppia di chiavi.
**Nota**
AMS fornisce l' AWS DataSync agente manualmente per conto del cliente e non richiede il processo di inserimento di WIGS sull'AMI Amazon EC2 AWS DataSync .
# Utilizza AMS SSP per il provisioning AWS Device Farm nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Device Farm funzionalità direttamente nel tuo account gestito AMS. AWS Device Farm è un servizio di test delle applicazioni che consente di migliorare la qualità delle app Web e mobili testandole su un'ampia gamma di browser desktop e dispositivi mobili reali, senza dover fornire e gestire alcuna infrastruttura di test. Il servizio consente di eseguire i test contemporaneamente su più browser desktop o dispositivi reali per accelerare l'esecuzione della suite di test e genera video e registri per aiutarti a identificare rapidamente i problemi con la tua app.
Per ulteriori informazioni, consulta [AWS Device Farm](https://aws.amazon.com/device-farm/).
## AWS Device Farm nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso AWS Device Farm al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_devicefarm_role` seguente ruolo IAM al tuo account:.
Una volta effettuato il provisioning nel tuo account, devi integrare i ruoli nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS Device Farm nel mio account AMS?**
L'accesso completo al AWS Device Farm servizio è fornito ad eccezione dell'utilizzo dello spazio dei nomi AMS nel tag 'Name'.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS Device Farm nel mio account AMS?**
Nessuna.
# Utilizza AMS SSP per il provisioning Ripristino di emergenza di elastico di AWS nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle Ripristino di emergenza di elastico di AWS funzionalità direttamente nel tuo account gestito AMS. Ripristino di emergenza di elastico di AWS riduce al minimo i tempi di inattività e la perdita di dati con un ripristino rapido e affidabile delle applicazioni locali e basate sul cloud utilizzando storage a prezzi accessibili, elaborazione e ripristino minimi. point-in-time È possibile aumentare la resilienza IT quando si utilizzano applicazioni locali o basate sul Ripristino di emergenza di elastico di AWS cloud in esecuzione su sistemi operativi supportati. Utilizzalo Console di gestione AWS per configurare le impostazioni di replica e avvio, monitorare la replica dei dati e avviare istanze per esercitazioni o ripristino.
Per ulteriori informazioni, consulta [Ripristino di emergenza di elastico di AWS](https://aws.amazon.com/disaster-recovery/).
## Ripristino di emergenza di elastico di AWS nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso Ripristino di emergenza di elastico di AWS al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_drs_console_role` seguente ruolo IAM al tuo account:.
Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo Ripristino di emergenza di elastico di AWS nel mio account AMS?**
Non ci sono restrizioni d'uso Ripristino di emergenza di elastico di AWS nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare Ripristino di emergenza di elastico di AWS nel mio account AMS?**
+ Dopo aver avuto accesso al ruolo della console, devi inizializzare il servizio Elastic Disaster Recovery per creare i ruoli IAM necessari all'interno dell'account.
+ È necessario inviare il tipo di modifica Management \$1 Applications \$1 IAM instance profile \$1 Create (managed automation) change type ct-0ixp4ch2tiu04 RFC per creare un clone del profilo dell'istanza e allegare la policy. `customer-mc-ec2-instance-profile` `AWSElasticDisasterRecoveryEc2InstancePolicy` È necessario specificare a quali macchine collegare la nuova policy.
+ Se l'istanza non utilizza il profilo di istanza predefinito, AMS può collegarsi `AWSElasticDisasterRecoveryEc2InstancePolicy` tramite automazione.
+ È necessario utilizzare una chiave KMS di proprietà del cliente per il ripristino tra più account. La chiave KMS dell'account di origine deve essere aggiornata seguendo la politica per consentire l'accesso all'account di destinazione. Per ulteriori informazioni, consulta [Condividere la chiave di crittografia EBS con l'account di destinazione](https://docs.aws.amazon.com/drs/latest/userguide/multi-account.html#multi-account-ebs).
+ La politica della chiave KMS deve essere aggiornata `customer_drs_console_role` per consentire la visualizzazione della politica se non desideri cambiare ruolo da visualizzare.
+ Per il disaster recovery tra più account e più regioni, AMS deve configurare l'account di origine e quello di destinazione come Trusted Account e utilizzare i ruoli di [failback e](https://docs.aws.amazon.com/drs/latest/userguide/trusted-accounts-failback-role.html) di adattamento.AWS CloudFormation
# Utilizza AMS SSP per il provisioning AWS Elemental MediaConvert nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Elemental MediaConvert funzionalità direttamente nel tuo account gestito da AMS. AWS Elemental MediaConvert è un servizio di transcodifica video basato su file con funzionalità di livello broadcast. Consente di creare contenuti video-on-demand (VOD) per la trasmissione e la distribuzione multischermo su larga scala. Il servizio combina funzionalità video e audio avanzate con una semplice interfaccia di servizi web e prezzi. pay-as-you-go Con AWS Elemental MediaConvert, puoi concentrarti sulla fornitura di esperienze multimediali coinvolgenti senza doverti preoccupare della complessità della creazione e della gestione della tua infrastruttura di elaborazione video.
Per ulteriori informazioni, consulta [AWS Elemental MediaConvert](https://aws.amazon.com/mediaconvert/).
## MediaConvert nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso MediaConvert al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_mediaconvert_author_role` seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
Verrà fornito un secondo ruolo`customer_MediaConvert_Default_Role`, utilizzato da per leggere dal bucket S3 di origine e scrivere l'output MediaConvert nel bucket S3 di destinazione, nonché per richiamare il gateway API nel caso in cui sia necessaria la gestione dei diritti digitali (DRM).
**D: Quali sono le restrizioni all'utilizzo nel mio account AMS? MediaConvert **
Non ci sono restrizioni per l'uso di MediaConvert in AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare MediaConvert nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare MediaConvert nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Elemental MediaLive nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Elemental MediaLive funzionalità direttamente nel tuo account gestito da AMS. AWS Elemental MediaLive è un servizio di elaborazione video in diretta di livello broadcast. Consente di creare flussi video di alta qualità da distribuire a televisori di trasmissione e dispositivi multischermo connessi a Internet, come tablet, smartphone e set-top box connessi a Internet. TVs Il servizio funziona codificando i flussi video in diretta in tempo reale, prendendo una sorgente video live di dimensioni maggiori e comprimendola in versioni più piccole per la distribuzione ai tuoi spettatori. Con AWS Elemental MediaLive, puoi configurare facilmente streaming sia per eventi dal vivo che per canali 24 ore su 24, 7 giorni su 7, con funzionalità di trasmissione avanzate, alta disponibilità e prezzi. pay-as-you-go AWS Elemental MediaLive ti consente di concentrarti sulla creazione di esperienze video dal vivo coinvolgenti per i tuoi spettatori senza la complessità della creazione e del funzionamento di un'infrastruttura di elaborazione video di livello broadcast.
Per ulteriori informazioni, consulta [AWS Elemental MediaLive](https://aws.amazon.com/medialive/).
## MediaLive nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso MediaLive al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_medialive_author_role` seguente ruolo IAM al tuo account:.
Come parte di questa RFC, viene distribuito un secondo ruolo nel tuo account; `customer_medialive_service_role` ruolo, questo ruolo può essere assegnato ai tuoi canali e input Media Live per interagire con altri servizi come Amazon S3 e Logs. MediaStore CloudWatch
Dopo aver assegnato i ruoli nel tuo account, devi incorporarli nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo MediaLive nel mio account AMS?**
Non ci sono restrizioni per l'uso di MediaLive in AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare MediaLive nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare MediaLive nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Elemental MediaPackage nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Elemental MediaPackage funzionalità direttamente nel tuo account gestito da AMS. AWS Elemental MediaPackage prepara e protegge in modo affidabile i tuoi video per la distribuzione su Internet. Da un singolo ingresso video, AWS Elemental MediaPackage crea flussi video formattati per la riproduzione su telefoni cellulari TVs, computer, tablet e console di gioco connessi. Semplifica l'implementazione di funzionalità video popolari per gli spettatori (riavvio, pausa, riavvolgimento e così via), come quelle comunemente disponibili su. DVRs AWS Elemental MediaPackage può anche proteggere i tuoi contenuti utilizzando Digital Rights Management (DRM). AWS Elemental MediaPackage si ridimensiona automaticamente in risposta al caricamento, in modo che i tuoi spettatori possano sempre vivere un'esperienza eccezionale senza che tu debba prevedere con precisione in anticipo la capacità di cui avrai bisogno.
Per ulteriori informazioni, consulta [AWS Elemental MediaPackage](https://aws.amazon.com/mediapackage/).
## MediaPackage nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso AWS Elemental MediaPackage al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_mediapackage_author_role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
Verrà fornito un secondo ruolo`customer_mediapackage_service_role`, che può essere assegnato ai canali e agli input di Media Live per interagire con altri servizi come S3 e Secrets Manager.
**D: Quali sono le restrizioni all'utilizzo MediaPackage nel mio account AMS?**
Non ci sono restrizioni per l'uso di MediaPackage in AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare MediaPackage nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare MediaPackage nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Elemental MediaStore nel tuo account AMS
**Nota**
Dopo un'attenta valutazione, AWS ha preso la decisione di sospendere la produzione MediaStore, a decorrere dal 13 novembre 2025. Se sei un cliente attivo di MediaStore, puoi MediaStore utilizzarlo normalmente fino al 13 novembre 2025, quando il supporto per il servizio terminerà. Dopo questa data, non sarai più in grado di utilizzare MediaStore nessuna delle funzionalità fornite da questo servizio.
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Elemental MediaStore funzionalità direttamente nel tuo account gestito da AMS. AWS Elemental MediaStore è un servizio di AWS archiviazione ottimizzato per i media. Offre le prestazioni, la coerenza e la bassa latenza necessarie per fornire contenuti video in streaming live. AWS Elemental MediaStore funge da archivio di origine nel flusso di lavoro video. Le sue funzionalità ad alte prestazioni soddisfano le esigenze dei carichi di lavoro di media delivery più impegnativi, combinate con uno storage a lungo termine a costi contenuti. Per ulteriori informazioni, consulta [AWS Elemental MediaStore](https://aws.amazon.com/mediastore/).
## MediaStore nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso MediaStore al mio account AMS?**
Richiedi l'accesso MediaStore inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce `customer_mediastore_author_role` il seguente ruolo IAM al tuo account:. Come parte di questa RFC, nel tuo account viene distribuito un secondo ruolo; `MediaStoreAccessLogs` ruolo, che viene utilizzato dal MediaStore servizio per registrare le attività CloudWatch, se scegli di abilitare quella funzionalità. Dopo averlo inserito nel tuo account, devi inserire i ruoli nella tua soluzione federativa.
Al momento, AMS Operations implementerà anche questo ruolo di servizio nel tuo account:. `aws_code_pipeline_service_role_policy`
**D: Quali sono le restrizioni all'utilizzo MediaStore nel mio account AMS?**
Non ci sono restrizioni per l'uso di MediaStore in AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare MediaStore nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare MediaStore nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Elemental MediaTailor nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Elemental MediaTailor funzionalità direttamente nel tuo account gestito da AMS. AWS Elemental MediaTailor consente ai provider di video di inserire pubblicità mirata individualmente nei propri stream video senza sacrificare il livello di trasmissione. quality-of-service Inoltre AWS Elemental MediaTailor, gli spettatori dei tuoi video in diretta o su richiesta ricevono ciascuno uno streaming che combina i tuoi contenuti con annunci personalizzati per loro. Ma a differenza di altre soluzioni pubblicitarie personalizzate, AWS Elemental MediaTailor l'intero stream (video e annunci) viene fornito con una qualità video di livello broadcast per migliorare l'esperienza degli spettatori. AWS Elemental MediaTailor offre report automatizzati basati su metriche di distribuzione degli annunci sul lato client e sul lato server, per misurare con precisione le impressioni pubblicitarie e il comportamento degli spettatori. Puoi monetizzare facilmente eventi di visualizzazione imprevisti ad alta richiesta senza costi iniziali utilizzando. AWS Elemental MediaTailor Inoltre, migliora i tassi di pubblicazione degli annunci, aiutandoti a guadagnare di più da ogni video, e funziona con una più ampia varietà di reti di distribuzione dei contenuti, server di decisione pubblicitaria e dispositivi client.
Per ulteriori informazioni, consulta [AWS Elemental MediaTailor](https://aws.amazon.com/mediatailor/).
## MediaTailor nelle domande frequenti su AWS Managed Services
**D: Come posso richiedere l'accesso MediaTailor al mio account AMS?**
Richiedi l'accesso MediaTailor inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce `customer-mediatailor-role` il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo MediaTailor nel mio account AMS?**
Non ci sono restrizioni per l'uso di MediaTailor in AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare MediaTailor nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare MediaTailor nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Global Accelerator nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Global Accelerator direttamente nel tuo account gestito da AMS. Global Accelerator è un servizio a livello di rete in cui si creano acceleratori per migliorare la disponibilità e le prestazioni delle applicazioni Internet utilizzate da un pubblico globale. Per ulteriori informazioni, consulta [Global](https://aws.amazon.com/global-accelerator/) Accelerator.
## Domande frequenti su Global Accelerator in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere la configurazione di Global Accelerator nel mio account AMS?**
Richiedi l'accesso inviando il Service RFC (Management \$1 AWS service \$1 Self-provisioned Service). AWS Tramite questa RFC, nel tuo account verranno assegnati i seguenti ruoli IAM:. `customer_global_accelerator_console_role` Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo di console nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di Global Accelerator nel mio account AMS?**
[Global Accelerator è un servizio globale che supporta gli endpoint in più AWS regioni, elencati nella tabella delle AWS regioni.](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Global Accelerator nel mio account AMS?**
Quando configuri l'acceleratore con Global Accelerator, associ gli indirizzi IP statici agli endpoint regionali in una o più regioni. AWS Per gli acceleratori standard, gli endpoint sono Network Load Balancer, Application Load Balancer, EC2 istanze Amazon o indirizzi IP elastici. Per gli acceleratori di routing personalizzati, gli endpoint sono sottoreti di cloud privato virtuale (VPC) con una o più istanze. EC2
# Utilizza AMS SSP per il provisioning AWS Glue nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Glue funzionalità direttamente nel tuo account gestito da AMS. AWS Glue è un servizio di estrazione, trasformazione e caricamento (ETL) completamente gestito che ti aiuta a preparare e caricare i dati per l'analisi. È possibile creare ed eseguire un processo ETL con pochi clic nel. Console di gestione AWS Indicate i dati memorizzati su AWS, li AWS Glue scoprite e memorizzate i metadati associati (ad esempio la definizione e lo schema della tabella) in. AWS Glue AWS Glue Data Catalog Una volta catalogati, i dati sono immediatamente ricercabili, interrogabili e disponibili per le azioni ETL. Per ulteriori informazioni, consulta [AWS Glue](https://aws.amazon.com/glue/).
## AWS Glue nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere AWS Glue di essere configurato nel mio account AMS?**
Richiedi l'accesso AWS Glue inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account:
+ `customer_glue_console_role`
+ `customer_glue_service_role`
I ruoli precedenti includono le seguenti politiche allegate:
+ `customer_glue_secrets_manager_policy`
+ `customer_glue_deny_policy`
Dopo aver assegnato i ruoli nel tuo account, devi inserirli nella tua soluzione federativa.
Per accedere a Crawler, Jobs ed endpoint di sviluppo (ruoli necessari per casi d'uso specifici), invia una RFC con Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Create entity or policy (ct-3dpd8mdd9jn1r).
**D: AWS Glue Quali sono le restrizioni all'utilizzo nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di AWS Glue è disponibile nel tuo account AMS. Per un ambiente interattivo in cui è possibile creare e testare script ETL, utilizza Notebooks on Studio. AWS Glue AWS Glue Le sessioni interattive e i Job Notebooks sono funzionalità serverless AWS Glue che è possibile utilizzare AWS Glue e che sfruttano il ruolo di servizio. AWS Glue
**AWS Glue precedenti alla 2.0:** AWS Glue i notebook sono una risorsa non gestita che avvia istanze Amazon EC2 in un account. È consigliabile avviare le proprie EC2 istanze Amazon e installare il software necessario per supportare l'ambiente e lo sviluppo di un notebook. [Per ulteriori informazioni, consulta [Tutorial: Configurazione di un notebook Apache Zeppelin locale per testare ed eseguire il debug degli script ETL e utilizzo degli endpoint di sviluppo per lo sviluppo di script](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint-tutorial-local-notebook.html).](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html)
**D: Quali sono i prerequisiti o le dipendenze da utilizzare nel mio account AMS? AWS Glue **
AWS Glue dipende da Amazon S3 CloudWatch e Logs. CloudWatch Le dipendenze transitive variano in base alle fonti di dati e possono interagire con altre funzionalità del AWS Glue servizio (ad esempio: Amazon Redshift, Amazon RDS, Athena).
# Utilizza AMS SSP per il provisioning AWS Lake Formation nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Lake Formation funzionalità direttamente nel tuo account gestito da AMS. AWS Lake Formation è un servizio che semplifica la configurazione di un data lake sicuro in pochi giorni. Un data lake è un repository centralizzato, curato e sicuro che archivia tutti i dati, sia nella loro forma originale che preparati per l'analisi. Un data lake consente di suddividere i silos di dati e combinare diversi tipi di analisi per ottenere informazioni dettagliate e prendere così migliori decisioni aziendali.
La creazione di un data lake con Lake Formation è semplice quanto la definizione delle origini dati e delle policy di sicurezza e accesso ai dati da applicare. Lake Formation consente di raccogliere e catalogare i dati dai database e dall'archiviazione di oggetti, spostare i dati nel nuovo data lake Amazon S3, pulire e classificare i dati utilizzando algoritmi di machine learning e proteggere l'accesso ai dati sensibili. I tuoi utenti possono accedere a un catalogo di dati centralizzato (per i dettagli, consulta le [AWS Glue domande frequenti](https://aws.amazon.com/glue/faqs/#AWS_Glue_Data_Catalog/)) che descrive i set di dati disponibili e il loro utilizzo appropriato. I tuoi utenti sfruttano quindi questi set di dati con la loro scelta di servizi di analisi e apprendimento automatico, come [Amazon Redshift, Amazon](https://aws.amazon.com/redshift/) [Athena e (in versione beta) Amazon](https://aws.amazon.com/athena/) [EMR](https://aws.amazon.com/emr/) per Apache Spark. Lake Formation si basa sulle funzionalità disponibili in [AWS Glue](https://aws.amazon.com/glue/).
Per ulteriori informazioni, consulta [AWS Lake Formation](https://aws.amazon.com/lake-formation/).
## Domande frequenti su Lake Formation in AWS Managed Services
**D: Come posso richiedere l'accesso AWS Lake Formation al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce il `customer_lakeformation_data_analyst_role` seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare i ruoli nella tua soluzione federativa.
Inoltre, i due ruoli seguenti sono opzionali:
+ `customer_lakeformation_admin_role`
+ `customer_lakeformation_workflow_role`
Per `customer_lakeformation_admin_role` quanto riguarda le autorizzazioni di amministratore, puoi scegliere di inserire il ruolo nell'ambito dello stesso tipo di modifica SSPS (ct-3qe6io8t6jtny).
Se desideri creare blueprint nella AWS Lake Formation console, devi inviare un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) e aggiungerlo esplicitamente per distribuire il. `customer_lakeformation_workflow_role` Nella RFC, devi fornire il nome del bucket S3 se il bucket è una fonte al momento della creazione dei Blueprint. Il bucket S3 è applicabile se il tipo di Blueprint è Classic Load Balancer AWS CloudTrail Logs o Application Load Balancer Logs.
**D: Quali sono le restrizioni all'utilizzo nel mio account AMS? AWS Lake Formation **
Tutte le funzionalità di Lake Formation sono disponibili in AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS Lake Formation nel mio account AMS?**
Lake Formation si integra con il AWS Glue servizio, pertanto AWS Glue gli utenti possono accedere solo ai database e alle tabelle su cui dispongono delle autorizzazioni Lake Formation. Inoltre, gli utenti di AWS Athena e Amazon Redshift possono eseguire query solo sui database e sulle tabelle su cui dispongono AWS Glue delle autorizzazioni Lake Formation.
# Utilizza AMS SSP per il provisioning AWS Lambda nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Lambda funzionalità direttamente nel tuo account gestito da AMS. AWS Lambda consente di eseguire il codice senza effettuare il provisioning o la gestione dei server. Paghi solo per il tempo di elaborazione che utilizzi, non ci sono costi quando il codice non è in esecuzione. Con Lambda, puoi eseguire codice praticamente per qualsiasi tipo di applicazione o servizio di back-end, il tutto senza alcuna amministrazione. Carica il codice e Lambda si occuperà di tutto il necessario per eseguire e scalare il codice con un'elevata disponibilità. Puoi configurare il codice in modo che venga attivato automaticamente da altri AWS servizi o chiamarlo direttamente da qualsiasi app Web o mobile. Per ulteriori informazioni, consulta [AWS Lambda](https://aws.amazon.com/lambda/).
## Domande frequenti su Lambda in AWS Managed Services
**D: Come posso richiedere l'accesso AWS Lambda al mio account AMS?**
Richiedi l'accesso inviando un tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (automazione gestita) (ct-3qe6io8t6jtny). Questa RFC fornisce i seguenti `customer_lambda_admin_role` ruoli IAM al tuo account: e. `customer_lambda_basic_execution_role` Dopo averlo inserito nel tuo account, devi inserire i ruoli nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo AWS Lambda nel mio account AMS?**
+ Una funzione Lambda è progettata per essere richiamata dalle sorgenti di eventi. Per un elenco di servizi che possono essere utilizzati come origine di eventi Lambda, consulta [Utilizzo AWS Lambda con altri](https://docs.aws.amazon.com/lambda/latest/dg/lambda-services.html) servizi. Al momento non tutti questi servizi sono disponibili negli account AMS. Se hai bisogno di un servizio che non è disponibile, collabora con il tuo CSDM AMS per presentare un'eccezione.
+ [Per impostazione predefinita, AMS fornisce un ruolo di iniziazione Lambda di base contenente i `AWSXrayWriteOnlyAccess` permessi `AWSLambdaBasicExecutionRole` e; per informazioni, vedere Ruolo di iniziazione.AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) Se hai bisogno di autorizzazioni aggiuntive, come la possibilità di fornire funzioni Lambda all'interno del tuo VPC AMS, invia una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny).
**D: Quali sono AWS Lambda i prerequisiti o le dipendenze da utilizzare nel mio account AMS?**
Non ci sono prerequisiti o dipendenze con cui iniziare AWS Lambda; tuttavia, a seconda del caso d'uso specifico, potresti aver bisogno dell'accesso ad altri AWS servizi per creare fonti di eventi o autorizzazioni aggiuntive per consentire alla funzione di eseguire varie azioni. Se sono necessarie autorizzazioni aggiuntive, invia una RFC al servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (automazione gestita) (ct-3qe6io8t6jtny).
**D: Cosa devo fare per eseguire una funzione Lambda in uno dei miei account?**
Per implementare una funzione Lambda in un account principale, utilizza le seguenti linee guida:
+ Assicurati che SSPS for sia integrato. AWS Lambda
+ Non esistono restrizioni specifiche che vietino questa implementazione nell'ambito delle responsabilità di AMS, purché le risorse AMS siano protette e conformi.
+ Se desideri che AMS crei la funzione Lambda, devi prima utilizzare il ruolo SSPS previsto. AWS Lambda Quindi, se desideri comunque l'assistenza di AMS per implementare o supportare la funzione, contatta la tua CA e avvia il processo out of scope (OOS).
# Utilizza AMS SSP per il provisioning AWS License Manager nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS License Manager funzionalità direttamente nel tuo account gestito da AMS. AWS License Manager si integra con AWS i servizi per semplificare la gestione delle licenze su più AWS account, cataloghi IT e locali, tramite un unico account. AWS AWS License Manager consente agli amministratori di creare regole di licenza personalizzate che emulano i termini dei loro contratti di licenza e quindi applica queste regole quando viene lanciata un'istanza di Amazon. EC2 Le regole AWS License Manager consentono di limitare una violazione della licenza bloccando fisicamente l'avvio dell'istanza o notificando agli amministratori la violazione. Per ulteriori informazioni, consulta [AWS License Manager](https://aws.amazon.com/license-manager/).
## Domande frequenti su License Manager in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere AWS License Manager di essere configurato nel mio account AMS?**
Richiedi l'accesso AWS License Manager inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC `customer_license_manager_role` fornisce il seguente ruolo IAM al tuo account:. Una volta assegnato il ruolo IAM di License Manager nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS License Manager nel mio account AMS?**
Puoi associare AWS License Manager le regole alle tue ( AMIs filtrate nella sezione «Di mia proprietà»). Se scegli di imporre un'associazione limite a un'AMI (esempio: può supportare solo 100 vCPU di questa AMI) e esaurisci il limite, i lanci futuri con quell'AMI vengono bloccati e restituisce un errore che indica «Nessuna licenza disponibile». Questo è il comportamento previsto da questo servizio (non consente l'esaurimento della licenza). Nel caso in cui si esaurisca il limite ma sia necessario avviare nuovamente l'AMI, è necessario modificare la regola configurata in. AWS License Manager
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS License Manager nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare AWS License Manager nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Migration Hub nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Migration Hub funzionalità direttamente nel tuo account gestito da AMS. AWS Migration Hub fornisce un'unica posizione in cui è possibile monitorare l'avanzamento delle migrazioni delle applicazioni tra più AWS soluzioni e partner. L'utilizzo di Migration Hub ti consente di scegliere gli strumenti di migrazione AWS e i partner più adatti alle tue esigenze, fornendo al contempo visibilità sullo stato delle migrazioni in tutto il tuo portafoglio di applicazioni. Migration Hub fornisce anche metriche chiave e progressi per le singole applicazioni, indipendentemente dagli strumenti utilizzati per la migrazione. Ciò consente di ottenere rapidamente aggiornamenti sullo stato di avanzamento di tutte le migrazioni, identificare e risolvere facilmente eventuali problemi e ridurre il tempo e l'impegno complessivi spesi per i progetti di migrazione. Per ulteriori informazioni, consulta [AWS Migration Hub](https://aws.amazon.com/migration-hub/).
## Domande frequenti su Migration Hub in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso a Migration Hub nel mio account AMS?**
Richiedi l'accesso a Migration Hub inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce `customer_migrationhub_author_role` il seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni per Migration Hub?**
Nessuna.
**D: Quali sono i prerequisiti per abilitare Migration Hub?**
Non ci sono prerequisiti per iniziare a utilizzare Migration Hub nel tuo account AMS. Tuttavia, durante la gestione del servizio potrebbero essere necessarie autorizzazioni esterne a Migration Hub, ad esempio autorizzazioni di scrittura su Amazon S3 per caricare informazioni sul server.
# Utilizza AMS SSP per il provisioning AWS Outposts nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Outposts funzionalità direttamente nel tuo account gestito da AMS. AWS Outposts è un servizio completamente gestito che estende l' AWS infrastruttura APIs, AWS i servizi e gli strumenti praticamente a qualsiasi data center, spazio di co-location o struttura locale per un'esperienza ibrida coerente. AWS Outposts è utile per carichi di lavoro che richiedono un accesso a bassa latenza ai sistemi locali, all'elaborazione locale dei dati o all'archiviazione locale dei dati. Per ulteriori informazioni, consulta [AWS Outposts](https://aws.amazon.com/outposts/).
## AWS Outposts nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere AWS Outposts di essere configurato nel mio account AMS?**
Richiedi l'accesso AWS Outposts inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC `customer_outposts_role` fornisce il seguente ruolo IAM al tuo account:. Una volta assegnato il ruolo nel tuo account, devi inserirlo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS Outposts nel mio account AMS?**
Non ci sono restrizioni per l'uso AWS Outposts nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS Outposts nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare AWS Outposts nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Resilience Hub nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Resilience Hub funzionalità direttamente nel tuo account gestito da AMS. AWS Resilience Hub ti aiuta a preparare e proteggere in modo proattivo le tue AWS applicazioni dalle interruzioni. Resilience Hub offre valutazioni e convalide della resilienza che si integrano nel ciclo di vita dello sviluppo del software per scoprire i punti deboli della resilienza. Resilience Hub consente di stimare se le applicazioni sono in grado di soddisfare o meno gli obiettivi RTO (Recovery Time Objective) e RPO (Recovery Point Objective) e aiuta a risolvere i problemi prima che vengano rilasciati in produzione. Dopo aver distribuito un' AWS applicazione in produzione, puoi utilizzare Resilience Hub per continuare a monitorare lo stato di resilienza dell'applicazione. In caso di interruzione, Resilience Hub invia una notifica all'operatore per avviare il processo di ripristino associato.
## AWS Resilience Hub nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS Resilience Hub al mio account AMS?**
Richiedi l'accesso a Resilience Hub inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli e politiche IAM al tuo account:
**Ruoli IAM**
+ `customer_resiliencehub_console_role`
+ `customer_resiliencehub_service_role`
**Policy**
+ `customer_resiliencehub_console_policy`
+ `customer_resiliencehub_service_policy`
Dopo aver assegnato il ruolo nel tuo account, devi integrarlo `customer_resiliencehub_console_role` nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo AWS Resilience Hub nel mio account AMS?**
Non ci sono restrizioni. La funzionalità completa di Resilience Hub è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS Resilience Hub nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per utilizzare Resilience Hub nel tuo account AMS.
# Utilizza AMS SSP per il provisioning Gestione dei segreti AWS nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle Gestione dei segreti AWS funzionalità direttamente nel tuo account gestito da AMS. Gestione dei segreti AWS ti aiuta a proteggere i segreti necessari per accedere alle tue applicazioni, servizi e risorse IT. Il servizio consente di ruotare, gestire e recuperare facilmente le credenziali del database, le chiavi API e altri segreti durante il loro ciclo di vita. Gli utenti e le applicazioni recuperano i segreti con una chiamata al Secrets Manager APIs, eliminando la necessità di codificare le informazioni sensibili in testo normale. Secrets Manager offre una rotazione segreta con integrazione integrata per Amazon RDS, Amazon Redshift e Amazon DocumentDB. Inoltre, il servizio è estensibile ad altri tipi di segreti, tra cui chiavi e token API. OAuth Per ulteriori informazioni, consulta [Gestione dei segreti AWS](https://aws.amazon.com/secrets-manager/).
**Nota**
Per impostazione predefinita, gli operatori AMS possono accedere ai Gestione dei segreti AWS segreti crittografati utilizzando la AWS KMS chiave predefinita dell'account (CMK). Se desideri che i tuoi segreti siano inaccessibili ad AMS Operations, utilizza una CMK personalizzata, con una policy chiave AWS Key Management Service (AWS KMS) che definisce le autorizzazioni appropriate ai dati archiviati nel segreto.
## Domande frequenti su Secrets Manager in AWS Managed Services
**D: Come posso richiedere l'accesso Gestione dei segreti AWS al mio account AMS?**
Richiedi l'accesso a Secrets Manager inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi (ct-3qe6io8t6jtny). Questa RFC fornisce i `customer-rotate-secrets-lambda-role` seguenti `customer_secrets_manager_console_role` ruoli IAM al tuo account: e. `customer_secrets_manager_console_role`Viene utilizzato come ruolo di amministratore per fornire e gestire i segreti e `customer-rotate-secrets-lambda-role` viene utilizzato come ruolo di esecuzione Lambda per le funzioni Lambda che ruotano i segreti. Dopo averlo inserito nel tuo account, devi inserire il `customer_secrets_manager_console_role` ruolo nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo Gestione dei segreti AWS nel mio account AMS?**
La funzionalità completa di Gestione dei segreti AWS è disponibile nel tuo account AMS, insieme alla funzionalità di rotazione automatica dei segreti. Tuttavia, tieni presente che l'impostazione della rotazione utilizzando «Crea una nuova funzione Lambda per eseguire la rotazione» non è supportata perché richiede autorizzazioni elevate per creare lo CloudFormation stack (creazione di ruoli IAM e funzioni Lambda), che ignora il processo di gestione delle modifiche. AMS Advanced supporta solo «Usa una funzione Lambda esistente per eseguire la rotazione», in cui gestisci le funzioni Lambda per ruotare i segreti utilizzando il ruolo di amministratore Lambda SSPS. AWS AMS Advanced non crea o gestisce Lambda per ruotare i segreti.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare Gestione dei segreti AWS nel mio account AMS?**
I seguenti namespace sono riservati all'uso da parte di AMS e non sono disponibili come parte dell'accesso diretto a: Gestione dei segreti AWS
+ arn:aws:secretsmanager: \$1:\$1:secret:ams-shared/\$1
+ arn:aws:secretsmanager: \$1:\$1:secret:customer-shared/\$1
+ arn:aws:gestore dei segreti: \$1:\$1:secret:ams/\$1
## Condivisione delle chiavi tramite Secrets Manager (AMS SSPS)
La condivisione di segreti con AMS nel testo semplice di una RFC, di una richiesta di assistenza o di un rapporto sull'incidente genera un incidente di divulgazione delle informazioni e AMS elimina tali informazioni dal caso e richiede la rigenerazione delle chiavi.
È possibile utilizzare [Gestione dei segreti AWS](https://aws.amazon.com/secrets-manager/)(Secrets Manager) in questo spazio dei nomi,. `customer-shared`
![\[Flusso di lavoro di Secrets Manager.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/onboardingguide/images/secretsManager.png)
### Domande frequenti sulla condivisione delle chiavi con Secrets Manager
**D: Quali tipi di segreti devono essere condivisi utilizzando Secrets Manager?**
Alcuni esempi sono le chiavi precondivise per la creazione di VPN, le chiavi riservate come le chiavi di autenticazione (IAM, SSH), le chiavi di licenza e le password.
**D: Come posso condividere le chiavi con AMS utilizzando Secrets Manager?**
1. Accedi alla console di AWS gestione utilizzando l'accesso federato e il ruolo appropriato:
per SALZ, il `Customer_ReadOnly_Role`
per MALZ,. `AWSManagedServicesChangeManagementRole`
1. Vai alla [Gestione dei segreti AWS console](https://console.aws.amazon.com/secretsmanager/home) e fai clic su **Memorizza un nuovo segreto**.
1. Seleziona **Altro tipo di segreti**.
1. Inserisci il valore segreto come testo semplice e utilizza la crittografia KMS predefinita. Fare clic su **Avanti**.
1. **Inserisci il nome e la descrizione segreti, il nome inizia sempre con customer-shared/.** **Ad esempio customer-shared/mykey2022.** Fare clic su **Avanti**.
1. **Lascia disattivata la rotazione automatica, fai clic su Avanti.**
1. Controlla e fai clic su **Store** per salvare il segreto.
1. Rispondi a noi con il nome segreto tramite la richiesta di servizio, la RFC o il rapporto sull'incidente, in modo che possiamo identificare e recuperare il segreto.
**D: Quali autorizzazioni sono necessarie per condividere le chiavi utilizzando Secrets Manager?**
**SALZ**: Cerca la policy IAM `customer_secrets_manager_shared_policy` gestita e verifica che il documento relativo alla policy sia lo stesso allegato nella procedura di creazione riportata di seguito. Conferma che la policy sia allegata ai seguenti ruoli IAM:`Customer_ReadOnly_Role`.
**MALZ**: verifica che`AMSSecretsManagerSharedPolicy`, sia associato al `AWSManagedServicesChangeManagementRole` ruolo che consente l'`GetSecretValue`azione nel namespace. `ams-shared`
Esempio:
```
{
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
],
"Effect": "Allow",
"Sid": "AllowAccessToSharedNameSpaces"
}
```
**Nota**
Le autorizzazioni necessarie vengono concesse quando si aggiunge Gestione dei segreti AWS un servizio fornito in modalità self-service.
# Utilizza AMS SSP per il provisioning AWS Security Hub CSPM nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Security Hub CSPM funzionalità direttamente nel tuo account gestito da AMS. AWS Security Hub CSPM vi offre una visione completa dello stato di sicurezza interno AWS e della vostra conformità agli standard e alle best practice del settore della sicurezza. Security Hub CSPM centralizza e dà priorità ai risultati di sicurezza e conformità provenienti da AWS account, servizi e partner terzi supportati per aiutarti ad analizzare le tendenze in materia di sicurezza e identificare i problemi di sicurezza con la massima priorità. Per ulteriori informazioni, consulta [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/).
## Domande frequenti su Security Hub CSPM in AWS Managed Services
**D: Come posso richiedere l'accesso al AWS Security Hub CSPM mio account AMS?**
Richiedi l'accesso a Security Hub CSPM inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce `customer_securityhub_role` il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di Security Hub CSPM nel mio account AMS?**
La funzionalità di archiviazione è stata considerata un potenziale rischio operativo e di sicurezza ed è stata limitata nell'ambito del ruolo Security del servizio fornito autonomamente.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS Security Hub CSPM nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare AWS Security Hub CSPM nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Service Catalog AppRegistry nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AppRegistry funzionalità direttamente nel tuo account gestito da AMS. AppRegistry consente la ricerca, il reporting e le azioni di gestione delle applicazioni da una posizione centrale. I costruttori raramente creano applicazioni in un unico AWS account. In genere separano le risorse delle applicazioni in base alle fasi del ciclo di vita, come sviluppo, test e produzione. AppRegistry consente di raggruppare e visualizzare tutte le raccolte di risorse tra gli AWS account definiti dall'utente.
Con AppRegistry, è possibile archiviare AWS le applicazioni, la raccolta di risorse associate alle applicazioni e i gruppi di attributi delle applicazioni. Per ulteriori informazioni, consulta [Cos'è AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html).
## Domande frequenti: AWS Service Catalog AppRegistry in AMS
**D: Come posso richiedere l'accesso AWS Service Catalog AppRegistry al mio account AMS?**
Richiedi l'accesso AppRegistry inviando una RFC con Management \$1 AWS service \$1 Self-provisioned service \$1 Add (managed automation) (ct-3qe6io8t6jtny) di modifica. Questa RFC `customer-appregistry-console-role` fornisce il seguente ruolo IAM al tuo account:. Dopo aver effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS Service Catalog AppRegistry nel mio account AMS?**
L'accesso completo al AppRegistry servizio è fornito ad eccezione dell'utilizzo dello spazio dei nomi AMS nel `'Name'` tag.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS Service Catalog AppRegistry nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare AppRegistry nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Shield Advanced nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Shield Advanced funzionalità direttamente nel tuo account gestito da AMS. AWS Shield Advanced è un servizio gestito di protezione Distributed Denial of Service (DDoS) che protegge le applicazioni in esecuzione su. AWS Shield Advanced offre un rilevamento sempre attivo e mitigazioni automatiche in linea che riducono al minimo i tempi di inattività e la latenza delle applicazioni, quindi non è necessario coinvolgere l'assistenza AWS per beneficiare della protezione S. DDo Esistono due livelli AWS Shield : Standard e Advanced; AMS offre Shield Advanced. Per ulteriori informazioni, consulta [Shield Advanced](https://aws.amazon.com/shield/).
Tutti AWS i clienti beneficiano delle protezioni automatiche di AWS Shield Standard, senza costi aggiuntivi. AWS Shield Standard difende dagli attacchi di livello DDo S di rete e di trasporto più comuni e frequenti che prendono di mira i siti Web o le applicazioni. Se utilizzi AWS Shield Standard Amazon CloudFront e Amazon Route 53, ricevi una protezione completa della disponibilità contro tutti gli attacchi noti all'infrastruttura (Layer 3 e 4).
Per livelli di protezione più elevati contro gli attacchi diretti alle tue applicazioni in esecuzione su risorse Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), CloudFront Amazon e AWS Global Accelerator Amazon Route 53, puoi abbonarti a. AWS Shield Advanced
Oltre alle protezioni a livello di rete e trasporto fornite in dotazione AWS Shield Standard, AWS Shield Advanced offre funzionalità aggiuntive di rilevamento e mitigazione contro attacchi DDo S di grandi dimensioni e sofisticati, visibilità quasi in tempo reale degli attacchi e integrazione con AWS WAF un firewall di applicazioni web. AWS Shield Advanced offre inoltre accesso 24 ore su 24, 7 giorni su 7 al AWS Shield Response Team (SRT) e protezione contro DDo i picchi correlati a S nei costi di Amazon Elastic Compute Cloud ( EC2Amazon), Elastic Load Balancing (Elastic Load Balancing) CloudFront AWS Global Accelerator, Amazon e Amazon Route 53.
## Domande frequenti su Shield Advanced in AWS Managed Services
**D: Come posso richiedere l'accesso a Shield Advanced nel mio account AMS?**
Richiedi l'accesso a Shield Advanced inviando una RFC con il tipo di modifica Management \$1 AWS service \$1 Self-provisioned service \$1 Add (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account: e. `customer_shield_role` `aws_drt_shield_role` Una volta effettuato il provisioning nel tuo account, devi integrare i ruoli nella tua soluzione di federazione.
Dopo aver distribuito i ruoli nel tuo account, puoi utilizzarli `customer_shield_role` per confermare l'iscrizione al AWS Shield Advanced tuo account.
**Nota**
Tieni presente che è previsto un canone mensile e un impegno di un anno associati all'uso di. AWS Shield Advanced Inoltre, l'utilizzo AWS Shield Advanced in AMS autorizza AMS a rivolgersi a AWS Shield (SRT), che può apportare modifiche alle regole del Web Application Firewall (AWS WAF) in caso di gravi incidenti di Distributed Denial of Service (S). DDo Queste modifiche verranno apportate in collaborazione con AMS.
**D: Quali sono le restrizioni all'utilizzo di Shield Advanced nel mio account AMS?**
Sebbene non sia una restrizione, è necessario tenere presente che l'utilizzo di Shield Advanced implementa il`aws_drt_shield_role`, che consente ai AWS Shield team (SRT) di apportare modifiche di emergenza alle AWS WAF regole all'interno degli account AMS durante gli incidenti S più gravi. DDo Questa operazione è consigliata da AMS per la risoluzione più rapida degli attacchi DDo S e si verificherebbe dopo un'escalation di AMS verso l'SRT.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare Shield Advanced nel mio account AMS?**
Non ci sono prerequisiti o dipendenze per utilizzare Shield Advanced nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Snowball Edge nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di Snowball Edge direttamente dal tuo account gestito AMS. Snowball Edge è una soluzione di trasporto dati su scala petabyte che utilizza dispositivi progettati per essere sicuri, per trasferire grandi quantità di dati da e verso il cloud. AWS Snowball Edge affronta le sfide più comuni relative ai trasferimenti di dati su larga scala, tra cui costi di rete elevati, lunghi tempi di trasferimento e problemi di sicurezza. Puoi utilizzare Snowball Edge per migrare dati di analisi, dati genomici, librerie video, archivi di immagini, backup e per archiviare parte delle chiusure dei data center, della sostituzione dei nastri o dei progetti di migrazione delle applicazioni. Il trasferimento di dati con Snowball Edge è semplice, veloce, più sicuro e può costare solo un quinto del costo del trasferimento di dati tramite Internet ad alta velocità.
Con Snowball Edge, non è necessario scrivere codice o acquistare hardware per trasferire i dati. Inizia utilizzando la console di AWS gestione per [creare un processo di importazione](https://docs.aws.amazon.com/snowball/latest/ug/create-import-job.html) per Snowball e un dispositivo Snowball ti verrà spedito automaticamente. Una volta arrivato, collega il dispositivo alla rete locale, scarica ed esegui lo Snowball Client («Client») per stabilire una connessione, quindi utilizza il Client per selezionare le directory di file che desideri trasferire sul dispositivo. Il client quindi crittografa e trasferisce i file sul dispositivo ad alta velocità. Una volta completato il trasferimento e il dispositivo è pronto per essere restituito, l'etichetta di spedizione E Ink si aggiorna automaticamente e puoi monitorare lo stato del lavoro con Amazon Simple Notification Service (Amazon SNS), messaggi di testo o direttamente nella console. Per ulteriori informazioni, consulta [AWS Snowball Edge](https://aws.amazon.com/snowball/).
## Domande frequenti su Snowball Edge in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS Snowball Edge al mio account AMS?**
L'implementazione di Snowball Edge in AMS è un processo in due fasi:
1. Invia un Management \$1 Altro \$1 Altro \$1 Crea (ct-1e1xtak34nx76) modifica tipo e richiedi un ruolo di servizio per Snowball Edge per il tuo account AMS.
1. Richiedi l'accesso utente inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce i seguenti ruoli IAM al tuo account:, e. `customer_snowball_console_role` `customer_snowball_export_role` `customer_snowball_import_role` Dopo averlo inserito nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS Snowball Edge nel mio account AMS?**
La funzionalità completa di AWS Snowball Edge è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS Snowball Edge nel mio account AMS?**
È necessario disporre dell'account del ruolo di servizio come indicato sopra.
# Utilizza AMS SSP per il provisioning AWS Step Functions nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Step Functions funzionalità direttamente nel tuo account gestito da AMS. AWS Step Functions è un servizio Web che consente di coordinare i componenti di applicazioni e microservizi distribuiti utilizzando flussi di lavoro visivi. La creazione di applicazioni a partire da componenti individuali che eseguono ciascuno una funzione discreta, detta anche task, consente di dimensionare e modificare rapidamente le applicazioni. Step Functions offre un modo affidabile per coordinare i componenti e gestire le funzioni dell'applicazione. Step Functions offre una console grafica per visualizzare i componenti dell'applicazione in una serie di passaggi. Attiva e tiene traccia automaticamente di ogni passaggio e riprova in caso di errori, in modo che l'applicazione venga eseguita sempre nell'ordine e come previsto. Step Functions registra lo stato di ogni passaggio, così quando qualcosa va storto, puoi diagnosticare ed eseguire rapidamente il debug dei problemi. Per ulteriori informazioni, consulta [AWS Step Functions](https://aws.amazon.com/step-functions/).
## Domande frequenti su Step Functions in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS Step Functions al mio account AMS?**
Richiedi l'accesso AWS Step Functions inviando una RFC al Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC `customer_step_functions_role` fornisce il seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS Step Functions nel mio account AMS?**
La funzionalità completa di AWS Step Functions è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS Step Functions nel mio account AMS?**
In fase di esecuzione, il ruolo utilizzato da Step Functions deve avere accesso ai servizi utilizzati dalla funzione step. Ad esempio, una funzione step potrebbe dipendere dalle funzioni Lambda. È probabile che qualcuno che crea una funzione step stia creando funzioni Lambda contemporaneamente e dovrebbe richiedere anche l'accesso a quel servizio.
# Usa AMS SSP per effettuare il provisioning di AWS Systems Manager Parameter Store nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di AWS Systems Manager Parameter Store direttamente nel tuo account gestito da AMS. AWS Systems Manager Parameter Store fornisce uno storage sicuro e gerarchico per la gestione dei dati di configurazione e la gestione dei segreti. È possibile archiviare dati, ad esempio le password, le stringhe di database e i codici di licenza, come valori dei parametri. È possibile memorizzare i valori in testo semplice o crittografati. Puoi fare riferimento ai valori utilizzando il nome univoco specificato quando crei il parametro. Altamente scalabile, disponibile e durevole, Parameter Store è supportato dal cloud. AWS Per ulteriori informazioni, consulta [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html).
**Nota**
Se desideri un archivio segreto dedicato con gestione del ciclo di vita, usa [Utilizza AMS SSP per il provisioning Gestione dei segreti AWS nel tuo account AMS](secrets-manager.md) invece di Parameter Store. Secrets Manager ti aiuta a soddisfare i tuoi requisiti di sicurezza e conformità consentendoti di ruotare i segreti automaticamente. Secrets Manager offre un'integrazione integrata per MySQL, PostgreSQL e Amazon Aurora su Amazon RDS, estensibile ad altri tipi di segreti personalizzando le funzioni Lambda.
## AWS Systems Manager Domande frequenti su Parameter Store in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso a Systems Manager Parameter Store nel mio account AMS?**
Richiedete l'accesso a AWS Systems Manager Parameter Store inviando una RFC al Management \$1 AWS service \$1 Self-provisioned service \$1 Add change type (ct-1w8z66n899dct). Questa RFC fornisce `customer_systemsmanager_parameterstore_console_role` il seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo di AWS Systems Manager Parameter Store nel mio account AMS?**
È necessario utilizzare le chiavi AWS gestite; l'accesso è limitato alla creazione di chiavi KMS personalizzate. Tuttavia, se è richiesta una chiave personalizzata, invia una RFC per creare una chiave gestita dal cliente (CMK) utilizzando Deployment \$1 Advanced Stack Components \$1 KMS Key \$1 Create change type (ct-1d84keiri1jhg) con questo ruolo IAM, come valore per i parametri and. `customer_systemsmanager_parameterstore_console_role` `IAMPrincipalsRequiringDecryptPermissions` `IAMPrincipalsRequiringEncryptPermissionsPrincipal` Dopo aver creato la chiave KMS, puoi creare una stringa sicura utilizzandola.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare AWS Systems Manager Parameter Store nel mio account AMS?**
Non ci sono prerequisiti; tuttavia, SSM Parameter Store dipende da KMS per creare una stringa sicura in modo da poter crittografare e decrittografare i valori memorizzati in Parameter Store.
# Usa AMS SSP per fornire AWS Systems Manager l'automazione nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità di AWS Systems Manager automazione direttamente nel tuo account gestito AMS. AWS Systems Manager L'automazione semplifica le attività comuni di manutenzione e distribuzione delle istanze di Amazon Elastic Compute Cloud e di altre AWS risorse utilizzando runbook, azioni e quote di servizio. Ti consente di creare, eseguire e monitorare automazioni su larga scala. Un Systems Manager Automation è un tipo di documento di Systems Manager che definisce le azioni che Systems Manager esegue sulle istanze gestite. Un runbook utilizzato per eseguire attività comuni di manutenzione e distribuzione, come l'esecuzione di comandi o script di automazione all'interno delle istanze gestite. Systems Manager include funzionalità che ti aiutano a indirizzare grandi gruppi di istanze utilizzando i tag Amazon Elastic Compute Cloud e controlli di velocità che ti aiutano a implementare le modifiche in base ai limiti che definisci. I runbook sono scritti utilizzando JavaScript Object Notation (JSON) o YAML. Tuttavia, utilizzando lo strumento Document Builder (Generatore documenti) nella console del servizio di automazione di Systems Manager, è possibile creare un runbook senza doverlo creare in formato JSON o YAML nativo. In alternativa, puoi utilizzare i runbook forniti da Systems Manager con passaggi predefiniti adatti alle tue esigenze. Per ulteriori informazioni, consulta [Lavorare con](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) i runbook nella documentazione. AWS Systems Manager
**Nota**
Sebbene Systems Manager Automation supporti 20 tipi di azioni che possono essere utilizzati nel runbook, è possibile utilizzare un numero limitato di azioni durante la creazione del runbook da utilizzare nel proprio account AMS Advanced. Allo stesso modo, è possibile utilizzare un numero limitato di runbook forniti da Systems Manager direttamente o dall'interno del proprio runbook. Per i dettagli, consulta le restrizioni nelle seguenti domande frequenti.
## AWS Systems Manager Domande frequenti sull'automazione in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso a Systems Manager Automation nel mio account AMS?**
Richiedi l'accesso all' AWS Systems Manager automazione inviando una RFC con Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce `customer_systemsmanager_automation_console_role` il seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le limitazioni all'utilizzo dell' AWS Systems Manager automazione nel mio account AMS?**
È necessario creare il runbook, con un set limitato di azioni supportate da Systems Manager per l'automazione, solo per eseguire and/or script di comandi all'interno delle istanze gestite. Le azioni disponibili e le eventuali restrizioni sono descritte di seguito.
**AWS Systems Manager Limitazioni dell'automazione**
| Azione | Descrizione | Limitazione |
| --- | --- | --- |
| aws: assertAwsResource Proprietà — | Afferma lo stato di una AWS risorsa o di un evento | Solo istanze EC2 |
| aws:aws:branch — | Esegui passaggi di automazione condizionale | Nessuna limitazione |
| AWS: crea tag — | Crea tag per le risorse AWS | Solo per i runbook di automazione SSM che hai creato |
| AWS: esegui l'automazione — | Esegui un'altra automazione | Solo il runbook di automazione che hai creato |
| AWS: ExecuteScript — | Esegui uno script | Unico script che non effettua alcuna chiamata API a nessun servizio |
| aws:pause — | Metti in pausa un'automazione | Nessuna limitazione |
| AWS: runCommand — | Esegui un comando su un'istanza gestita | Utilizzando solo il documento fornito da System Manager - AWS- RunShellScript e AWS- RunPowerShellScript |
| aws:sleep — | Ritardare un'automazione | Nessuna limitazione |
| Leggi: waitForAws ResourceProperty — | Attendi la proprietà di una AWS risorsa | Solo EC2 istanze |
Puoi anche scegliere di eseguire comandi o script direttamente con i runbook AWS RunShellScript e AWS forniti da Systems Manager RunPowerShellScript utilizzando la funzionalità «Run Command» dalla console Systems Manager. Puoi anche inserire questi runbook all'interno del tuo runbook che prevede ulteriori operazioni di validazione pre and/or post convalida o qualsiasi logica di automazione complessa.
Il ruolo aderisce al principio del privilegio minimo e fornisce solo le autorizzazioni necessarie per creare, eseguire e recuperare i dettagli di esecuzione dei runbook finalizzati all'esecuzione di script di comandi all'interno delle istanze gestite. and/or Non fornisce l'autorizzazione per altre funzionalità fornite dal servizio. AWS Systems Manager Sebbene la funzionalità consenta di creare runbook di automazione, l'esecuzione dei runbook non può essere indirizzata alle risorse di proprietà di AMS.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare AWS Systems Manager Automation nel mio account AMS?**
Non ci sono prerequisiti; tuttavia, è necessario assicurarsi che i controlli di and/or conformità dei processi interni vengano rispettati durante la creazione dei runbook. Consigliamo inoltre di testare a fondo i runbook prima di eseguirli con risorse di produzione.
**D: La policy Systems Manager può `customer_systemsmanager_automation_policy` essere associata ad altri ruoli IAM?**
No, a differenza di altri servizi abilitati all'autofornitura, questa policy può essere assegnata solo al ruolo predefinito assegnato. `customer_systemsmanager_automation_console_role`
A differenza delle policy di altri ruoli SSPS, questa policy SSM SSPS non può essere condivisa con altri ruoli IAM personalizzati, poiché questo servizio AMS serve solo per l'esecuzione di comandi o script di automazione all'interno delle istanze gestite. Se si consentisse di associare queste autorizzazioni ad altri ruoli IAM personalizzati, potenzialmente alle autorizzazioni su altri servizi, l'ambito delle azioni consentite potrebbe estendersi ai servizi gestiti e potenzialmente ridurre il livello di sicurezza dell'account.
Per valutare eventuali richieste di modifica (RFCs) rispetto ai nostri standard tecnici AMS, collabora con i rispettivi Cloud Architect o Service Delivery Manager, consulta le recensioni di sicurezza [RFC](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html).
**Nota**
AWS Systems Manager ti consente di utilizzare i runbook condivisi con il tuo account. Ti consigliamo di fare attenzione ed eseguire un controllo di due diligence quando usi runbook condivisi e assicurati di esaminare il contenuto per capire come command/scripts vengono eseguiti prima di eseguire i runbook. Per i dettagli, consulta le [migliori pratiche per i documenti SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-before-you-share.html) condivisi.
# Utilizza AMS SSP per il provisioning AWS Transfer Family nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità (Transfer AWS Transfer Family Family) direttamente nel tuo account gestito AMS. AWS Transfer Family è un AWS servizio completamente gestito che consente di trasferire file tramite Secure File Transfer Protocol (SFTP), da e verso lo storage Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3). SFTP è noto anche come Secure Shell (SSH) File Transfer Protocol. SFTP viene utilizzato in flussi di lavoro per lo scambio di dati tra settori diversi quali servizi finanziari, settore sanitario, pubblicità e vendita al dettaglio.
Con AWS SFTP, puoi accedere a un server SFTP AWS senza la necessità di eseguire alcuna infrastruttura server. È possibile utilizzare questo servizio per migrare i flussi di lavoro basati su SFTP AWS mantenendo inalterati i client e le configurazioni degli utenti finali. Per prima cosa associ il tuo hostname all'endpoint del server SFTP, quindi aggiungi gli utenti e fornisci loro il giusto livello di accesso. Dopo averlo fatto, le richieste di trasferimento degli utenti vengono gestite direttamente dall'endpoint del server SFTP. AWS Per ulteriori informazioni, consulta anche [Creare](https://docs.aws.amazon.com/transfer/latest/userguide/create-server-sftp.html) un server compatibile con [AWS Transfer for SFTP](https://aws.amazon.com/aws-transfer-family)SFTP.
## AWS Transfer for SFTP nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS Transfer for SFTP al mio account AMS?**
Richiedi l'accesso AWS Transfer for SFTP inviando una RFC al Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Tramite questa RFC, nel tuo account vengono assegnati i seguenti ruoli IAM e una policy:
+ `customer_transfer_author_role`. Questo ruolo è progettato per consentirti di gestire il servizio SFTP tramite la console.
+ `customer_transfer_sftp_server_logging_role`. Questo ruolo è progettato per essere collegato al server SFTP. Consente al server SFTP di inserire i log. CloudWatch
+ `customer_transfer_sftp_user_role`. Questo ruolo è progettato per essere associato agli utenti SFTP. Consente agli utenti SFTP di interagire con il bucket S3.
+ `policy customer_transfer_scope_down_policy`. Si tratta di una politica mirata che può essere applicata all'utente SFTP per limitare l'accesso del bucket S3 alle proprie cartelle home.
+ `customer_transfer_sftp_efs_user_role`. Questo ruolo è progettato per essere associato agli utenti SFTP. Consente agli utenti SFTP di interagire con il file system EFS.
Dopo aver effettuato il provisioning nel tuo account, devi inserire i ruoli nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo AWS Transfer for SFTP nel mio account AMS?**
AWS La configurazione Transfer for SFTP è limitata alle risorse senza prefissi «AMS-» o «MC-» per impedire qualsiasi modifica all'infrastruttura AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare nel mio account AMS? AWS Transfer for SFTP **
+ È necessario disporre di un bucket Amazon S3 con un nome che contenga la parola chiave «transfer» prima di creare il AWS Transfer for SFTP server e gli utenti.
+ Per utilizzare un «Customer Identify Provider», devi implementare l'API Gateway, la funzione Lambda e il tuo repository utente (AD, Secrets Manager e così via). Per ulteriori informazioni, consulta [Abilitare l'autenticazione tramite password per l' AWS Transfer for SFTP utilizzo Gestione dei segreti AWS e l'utilizzo](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-for-sftp-using-aws-secrets-manager/) dei provider [di](https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html) identità.
# Utilizza AMS SSP per il provisioning AWS Transit Gateway nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Transit Gateway funzionalità direttamente nel tuo account gestito da AMS. AWS Transit Gateway è un servizio che ti consente di connettere Amazon Virtual Private Cloud (VPCs) e le tue reti locali a un unico gateway. Man mano che aumenti il numero di carichi di lavoro su cui esegui AWS, devi essere in grado di scalare le tue reti su più account e Amazon VPCs per stare al passo con la crescita. Oggi puoi connettere coppie di Amazon VPCs utilizzando il peering. Tuttavia, la gestione della point-to-point connettività su molti Amazon VPCs, senza la possibilità di gestire centralmente le politiche di connettività, può essere costosa e complicata dal punto di vista operativo. Per la connettività locale, devi collegare la tua AWS VPN a ogni singolo Amazon VPC. La creazione di questa soluzione può richiedere molto tempo e può essere difficile da gestire quando il numero sale VPCs a centinaia. Per ulteriori informazioni, consulta [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
## AWS Transit Gateway nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS Transit Gateway al mio account AMS?**
Richiedi l'accesso AWS Transit Gateway inviando una RFC al Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC `customer_tgw_console_role` fornisce il seguente ruolo IAM al tuo account:. Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS Transit Gateway nel mio account AMS?**
La funzionalità completa di AWS Transit Gateway è disponibile nel tuo account di landing zone con account singolo AMS, ad eccezione delle modifiche alla tabella delle rotte per il routing Transit Gateway. Richiedi modifiche alla tabella delle rotte inviando un tipo di modifica Gestione \$1 Altro \$1 Altro \$1 Crea modifica (ct-1e1xtak34nx76).
**Nota**
Questo servizio è supportato solo per la landing zone a account singolo (SALZ), non per la zona di atterraggio multi-account (MALZ).
**D: Quali sono i prerequisiti o le dipendenze da utilizzare nel mio account AMS? AWS Transit Gateway **
Non ci sono prerequisiti o dipendenze da utilizzare AWS Transit Gateway nel tuo account AMS.
# Usa AMS SSP per il provisioning AWS WAF - Web Application Firewall nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS WAF funzionalità direttamente nel tuo account gestito da AMS. AWS WAF è un firewall per applicazioni Web (AWS WAF) che aiuta a proteggere le applicazioni Web da exploit Web comuni che potrebbero influire sulla disponibilità delle applicazioni, compromettere la sicurezza o consumare risorse eccessive. AWS WAF consente di controllare il traffico da consentire o bloccare verso le applicazioni Web definendo regole di sicurezza Web personalizzabili. È possibile AWS WAF utilizzarlo per creare regole personalizzate che bloccano i modelli di attacco più comuni, come SQL injection o cross-site scripting, e regole progettate per l'applicazione specifica.
Per ulteriori informazioni, consulta [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
AMS non supporta il monitoraggio (CloudWatch allarmi, eventi, avvisi MMS) per. AWS WAF A causa della natura di AWS WAF, è necessario creare regole personalizzate per le applicazioni; AMS non può quantificare e creare allarmi per voi, indipendentemente dal contesto dell'applicazione. Per ulteriori informazioni, consulta [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
## AWS WAF nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere AWS WAF di essere configurato nel mio account AMS?**
Richiedi l'accesso AWS WAF inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce `customer_waf_role` il seguente ruolo IAM al tuo account:. Dopo aver assegnato il ruolo AWS WAF IAM nel tuo account, devi integrare il ruolo nella tua soluzione di federazione.
**D: Quali sono le restrizioni all'utilizzo? AWS WAF**
Dopo aver fornito le autorizzazioni, avrai la piena funzionalità di. AWS WAF
**D: Quali sono i prerequisiti o le dipendenze per l'utilizzo? AWS WAF**
Non ci sono prerequisiti o dipendenze da utilizzare AWS WAF nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS Well-Architected Tool nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Well-Architected Tool funzionalità direttamente nel tuo account gestito da AMS. Ti AWS Well-Architected Tool aiuta a rivedere lo stato dei tuoi carichi di lavoro e a confrontarli con le migliori pratiche architettoniche più recenti. AWS Lo strumento si basa sul [AWS Well-Architected](https://aws.amazon.com/architecture/well-architected/) Framework, sviluppato per aiutare gli architetti del cloud a creare un'infrastruttura applicativa sicura, ad alte prestazioni, resiliente ed efficiente. Questo framework offre un approccio coerente per la valutazione delle architetture, è stato utilizzato in decine di migliaia di revisioni dei carichi di lavoro condotte dal team di architettura delle AWS soluzioni e fornisce linee guida per aiutare a implementare progetti scalabili in base alle esigenze delle applicazioni nel tempo. Per ulteriori informazioni, consulta [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/).
## AWS WA Tool nelle domande frequenti su AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS Well-Architected Tool al mio account AMS?**
Richiedi l'accesso AWS Well-Architected Tool inviando una RFC con il servizio Management \$1 AWS \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce `customer_well_architected_tool_console_admin_role` il seguente ruolo IAM al tuo account:. Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa.
**D: Quali sono le restrizioni all'utilizzo AWS Well-Architected Tool nel mio account AMS?**
La funzionalità completa di AWS Well-Architected Tool è disponibile nel tuo account AMS.
**D: Quali sono i prerequisiti o le dipendenze da utilizzare AWS Well-Architected Tool nel mio account AMS?**
Non ci sono prerequisiti o dipendenze da utilizzare AWS Well-Architected Tool nel tuo account AMS.
# Utilizza AMS SSP per il provisioning AWS X-Ray nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle funzionalità ( AWS X-Ray X-Ray) direttamente nel tuo account gestito AMS. AWS X-Ray aiuta gli sviluppatori ad analizzare ed eseguire il debug di applicazioni distribuite di produzione, come quelle create utilizzando un'architettura di microservizi. Con X-Ray, è possibile comprendere le prestazioni dell'applicazione e dei relativi servizi sottostanti, identificare e risolvere la causa principale dei problemi e degli errori di prestazioni. X-Ray fornisce una end-to-end visualizzazione delle richieste mentre viaggiano attraverso l'applicazione e mostra una mappa dei componenti sottostanti dell'applicazione. È possibile utilizzare X-Ray per analizzare sia le applicazioni in fase di sviluppo che quelle in produzione, da semplici applicazioni a tre livelli a complesse applicazioni di microservizi composte da migliaia di servizi. Per ulteriori informazioni, consulta [AWS X-Ray](https://aws.amazon.com/xray/).
## Domande frequenti su X-Ray in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso AWS X-Ray al mio account AMS?**
Richiedi l'accesso inviando un Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce il seguente ruolo IAM al tuo account:. `customer_xray_console_role` Dopo averlo inserito nel tuo account, devi integrare il ruolo nella tua soluzione federativa. Inoltre, è necessario disporre dei dati necessari `customer_xray_daemon_write_instance_profile` per trasferire i dati dalle EC2 istanze Amazon a X-Ray. Questo profilo di istanza viene creato quando ricevi il. `customer_xray_console_role`
Puoi inviare una richiesta di servizio ad AMS Operations per assegnarla `customer_xray_daemon_write_policy` al profilo dell'istanza esistente oppure puoi utilizzare il profilo di istanza creato quando AMS Operations abilita X-Ray per te.
**D: Quali sono le restrizioni all'utilizzo AWS X-Ray nel mio account AMS?**
La funzionalità completa di AWS X-Ray è disponibile nel tuo account AMS ad eccezione della crittografia con chiave AWS KMS (chiave KMS). AWS X-Ray crittografa tutti i dati di traccia per impostazione predefinita. Per impostazione predefinita, X-Ray crittografa le tracce e i dati correlati a riposo. Se devi crittografare i dati inattivi con una chiave, puoi scegliere tra AWS-managed KMS key (aws/xray) o KMS Customer-Managed key. Per la chiave KMS gestita dal cliente per la crittografia a raggi X, invia un tipo di modifica Gestione \$1 Altro \$1 Altro \$1 Crea modifica (ct-1e1xtak34nx76).
**D: Quali sono i prerequisiti o le dipendenze da utilizzare nel mio account AMS? AWS X-Ray **
AWS X-Ray dipende da Amazon S3 CloudWatch e Logs CloudWatch, che sono già implementati negli account AMS. Le dipendenze transitive variano in base alle fonti di dati e ad altri AWS servizi con AWS X-Ray cui le funzionalità possono interagire (ad esempio, Amazon Redshift, Amazon RDS, Athena).
# Usa AMS SSP per effettuare il provisioning della macchina virtuale Import/Export nel tuo account AMS
Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alla macchina virtuale Import/Exportcapabilities direttamente dal tuo account gestito AMS. VM ti Import/Export consente di importare facilmente immagini di macchine virtuali dal tuo ambiente esistente su EC2 istanze Amazon ed esportarle nuovamente nel tuo ambiente locale. Questa offerta ti consente di sfruttare gli investimenti esistenti nelle macchine virtuali che hai creato per soddisfare i requisiti di sicurezza IT, gestione della configurazione e conformità trasferendo tali macchine virtuali in Amazon EC2 come ready-to-use istanze. Puoi anche esportare le istanze importate nella tua infrastruttura di virtualizzazione locale, consentendoti di distribuire carichi di lavoro nell'infrastruttura IT. Per saperne di più, consulta [VM Import/Export](https://aws.amazon.com/ec2/vm-import/).
## Domande frequenti sulle macchine virtuali Import/Export in AWS Managed Services
Domande e risposte comuni:
**D: Come posso richiedere l'accesso alla macchina virtuale Import/Export nel mio account AMS?**
Richiedi l'accesso alla macchina virtuale Import/Export inviando una RFC al Management \$1 AWS service \$1 Self-provisioned service \$1 Aggiungi tipo di modifica (ct-1w8z66n899dct). Questa RFC fornisce la `customer_vmimport_policy` seguente politica IAM al tuo account:. Dopo averlo inserito nel tuo account, devi inserire il ruolo nella tua soluzione federativa.
Un ruolo aggiuntivo, il ruolo **VM Import/Export Service**, è necessario affinché il servizio possa eseguire azioni sull'account.
**D: Quali sono le restrizioni all'uso di VM Import/Export nel mio account AMS?**
+ La funzionalità per importare immagini di macchine e volumi di dati personalizzati è entrambe disponibili in AMS VM Import/Export. Tuttavia, le autorizzazioni per S3 sono state ridotte per limitare le azioni ai bucket corrispondenti al nome, al fine di limitare l'accesso alle `customer-vmimport-*` informazioni all'interno dell'account.
+ L'importazione di immagini e istantanee è supportata in AMS VM Import/Export. Tuttavia, la funzionalità di importazione ed esportazione delle istanze non è disponibile a causa delle misure di sicurezza.
+ Inoltre, la funzionalità di esportazione è stata disattivata per ridurre il rischio di esportazione di dati riservati e sensibili.
**D: Quali sono i prerequisiti o le dipendenze per utilizzare VM Import/Export nel mio account AMS?**
+ È necessario fornire un'immagine del disco supportata da importare nell'ambiente. AWS Per informazioni, consulta [ Import/Export Requisiti VM](https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html).
+ La VM Import/Export non è accessibile tramite la AWS console. È necessario accedere a questo servizio tramite AWS CLI AWS Strumenti per PowerShell, o il AWS SDKs. In alternativa, puoi richiedere un profilo di istanza inviando il tipo di modifica ct-117rmp64d5mvb: Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Create instance profile. EC2 Questo profilo di istanza consente agli strumenti di eseguire comandi da un'istanza.
# Modalità gestita dal cliente
La modalità Customer Managed di AWS Managed Services (AMS) fornisce un modello di governance flessibile e adattabile alle tue esigenze. Questa può essere considerata un'opzione alternativa per servizi e applicazioni che AMS non è in grado di gestire per te. AMS non gestisce un'infrastruttura ospitata in account creati in questa modalità. Tuttavia, è possibile sfruttare la gestione centralizzata di più account in questa modalità. In questa modalità è possibile sfruttare le seguenti funzionalità Multi-Account Landing Zone:
+ Distribuzione automatizzata degli account
+ Connettività tramite Transit Gateway nell'account di rete
+ Libreria AMS Config Rules
+ Archivia copie dei log nell'account di registrazione
+ Aggregazione degli avvisi Guard Duty gestiti dal cliente all'account Security
+ Fatturazione consolidata
+ Abilitazione di politiche di controllo del servizio personalizzate.
Ad esempio: se desideri eseguire carichi di lavoro su Ubuntu Pro, che non è un sistema operativo gestito da AMS, puoi utilizzare un account gestito dal cliente per ospitarlo. Puoi anche consolidare i carichi di lavoro tramite account gestiti dai clienti, per sfruttare lo sconto all'ingrosso sui piani Instances/Sharing riservati disponibili tramite la condivisione tra un'organizzazione AWS.
# Guida introduttiva alla modalità Customer Managed
La modalità AMS Customer Managed è disponibile tramite uno speciale account applicativo multi-account landing zone.
Per i dettagli, incluso come creare un account di applicazione gestito dal cliente, consulta [Account applicativi gestiti dal cliente](https://docs.aws.amazon.com/managedservices/latest/userguide/application-account-cust-man.html).
# AMS e AWS Service Catalog
Service Catalog in AWS Managed Services (AMS) consente alle organizzazioni di creare e gestire cataloghi di servizi IT (IT) di AWS e consente agli amministratori IT di creare, gestire e distribuire cataloghi di prodotti approvati agli utenti finali nei propri account, che possono quindi accedere ai prodotti di cui hanno bisogno in un portale di servizi personalizzato. Gli amministratori possono controllare quali utenti hanno accesso a ciascun prodotto per far rispettare la conformità alle politiche aziendali dell'organizzazione. Gli amministratori possono anche impostare ruoli in modo che gli utenti finali richiedano solo l'accesso IAM a Service Catalog per distribuire risorse approvate. Service Catalog consente alla tua organizzazione di trarre vantaggio da una maggiore agilità e da costi ridotti perché gli utenti finali possono trovare e lanciare solo i prodotti di cui hanno bisogno da un catalogo sotto il tuo controllo.
Service Catalog offre un'alternativa al processo di richiesta di modifica (RFC) di AMS per il provisioning e l'aggiornamento delle risorse nei tuoi account gestiti da AMS. AMS gestisce tutte le attività operative dell'infrastruttura necessarie per eseguire AWS su larga scala per tutte le risorse di infrastruttura fornite tramite Service Catalog, tra cui sicurezza, conformità, provisioning, disponibilità, patch, monitoraggio, avvisi, reportistica, risposta agli incidenti e ottimizzazione dei costi. L'utilizzo di Service Catalog nel tuo account gestito AMS ti offre un meccanismo per gestire centralmente i servizi IT comunemente distribuiti e ti aiuta a raggiungere una governance coerente, consentendo al contempo agli utenti di implementare rapidamente solo i servizi IT approvati di cui hanno bisogno nei loro ambienti gestiti.
# Guida introduttiva a Service Catalog
Per iniziare a usare Service Catalog in AMS, invia una richiesta di servizio tramite la console AMS per richiedere l'accesso a Service Catalog. Dopo l'invio della richiesta, verranno distribuiti tre ruoli IAM nei tuoi account insieme a uno stack gestito AMS contenente la CloudFormation macro che richiama l'AMS `Transform` (descritta in precedenza) in modo da poter registrare i prodotti nei nostri sistemi ed eseguire operazioni sull'infrastruttura fornita tramite Service Catalog. I tre ruoli IAM implementati includono un ruolo per gli amministratori IT di gestire i prodotti come amministratori di Service Catalog; un ruolo per i proprietari delle applicazioni e gli utenti finali per configurare, avviare e gestire i prodotti; e un ruolo che verrà utilizzato come vincolo di lancio, che definisce le autorizzazioni che Service Catalog utilizzerà durante il lancio o l'aggiornamento del prodotto.
# Service Catalog in AMS prima di iniziare
**Service Catalog sostituisce il processo RFC (Request for Change) esistente di AMS?**
Negli account in cui Service Catalog è abilitato, fungerà da sistema di gestione delle modifiche in cui fornisci e aggiorni i servizi IT nel tuo account AMS tramite il tuo catalogo di prodotti predefinito; AMS fornirà un portfolio/product catalogo predefinito e gli amministratori IT potranno crearne e configurarne uno personalizzato. Service Catalog riconoscerà solo gli stack forniti tramite Service Catalog. Allo stesso modo, i servizi forniti tramite Service Catalog non saranno modificabili tramite il processo RFC di AMS, poiché le modifiche esterne al Service Catalog allontaneranno lo stack dalla configurazione di prodotto approvata.
**Posso vedere gli stack forniti tramite il catalogo dei servizi nella console AMS?**
Sì. È possibile visualizzare tutti gli stack forniti tramite il catalogo dei servizi nella console AMS. Gli stack forniti tramite il catalogo dei servizi sono facilmente identificabili dall'ID dello stack «SC-». Sebbene gli stack siano visualizzabili nella console AMS, non sarà possibile eseguire l'aggiornamento tramite il processo AMS RFC. L'accesso al sistema di gestione delle modifiche AMS (RFCs) è limitato alla richiesta di accesso, all'orchestrazione delle patch e al backup. RFCs
**Se eseguo il and/or provisioning di uno stack tramite Service Catalog, nella console AMS sarà presente una RFC corrispondente?**
L'unica RFC che verrà mostrata nella console AMS è una RFC per registrare lo stack con AMS quando uno stack viene inizialmente fornito. Questa RFC viene archiviata automaticamente dal processo di convalida AMS che viene attivato all'avvio di uno stack tramite Service Catalog. Tutti gli altri provisioning e le modifiche vengono tracciati direttamente in Service Catalog e sono visualizzabili nella console Service Catalog. Inoltre, è possibile utilizzare la funzionalità **Provisioned Product Plan** in Service Catalog per visualizzare l'elenco delle modifiche che verranno apportate alle risorse prima del provisioning o dell'aggiornamento del prodotto.
**Devo fare qualcosa di specifico per il provisioning dei prodotti nel mio account gestito da AMS?**
Sì. Tutti i prodotti Service Catalog forniti negli account AMS devono contenere questa riga di codice JSON nel modello CFN che definisce quel prodotto:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
Questo frammento di CloudFormation codice attiva le convalide AMS necessarie prima che la risorsa possa essere fornita nell'account gestito da AMS. È responsabilità dell'utente includere questa riga di codice come parte della definizione del prodotto. Se non è inclusa, il provisioning avrà esito negativo e verrà visualizzato il seguente messaggio di errore: «Impossibile creare il prodotto. Questo account è gestito da AMS. Tutti i prodotti negli account AMS devono avere il `Transform` codice AMS nel modello.»
**Esistono funzionalità del Service Catalog non disponibili and/or solo per i clienti AMS al momento del lancio?**
Sì, le seguenti funzionalità SC non sono disponibili per i clienti AMS al momento del lancio iniziale:
+ Creazione di account tramite Service Catalog
+ Possibilità di avviare tutti i servizi AWS tramite Service Catalog in un account gestito da AMS. La disponibilità del servizio AWS è limitata ai servizi supportati da AMS (gestiti e forniti autonomamente). Per ulteriori informazioni sui servizi supportati da AMS, consulta la descrizione del servizio AMS.
+ I connettori di Service Catalog IT service manager (ITSM) non comunicheranno con i report sugli incidenti e le richieste di assistenza di AMS.
+ Possibilità di sfruttare gli avvii rapidi e le architetture di riferimento di Service Catalog senza modifiche. Ricorda che i prodotti Service Catalog per gli account AMS devono contenere questa riga di codice JSON:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
nel modello CNF. Tieni presente che questa riga *non* fa parte di un tipico CloudFormation modello AWS e deve essere aggiunta in modo esplicito.
+ Terraform non è attualmente supportato da AMS per il provisioning dei prodotti Service Catalog.
+ Gli stackset AWS CFN non sono supportati in AMS.
+ Non è possibile creare ruoli IAM personalizzati.
+ Le azioni di servizio sono limitate a:
+ [AWS- RebootRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-RebootRdsInstance/description?region=us-east-1)
+ [Istanza AWS-Restart EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-RestartEC2Instance/description?region=us-east-1)
+ [Istanza AWS-Start EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StartEC2Instance/description?region=us-east-1)
+ [AWS- StartRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartRdsInstance/description?region=us-east-1)
+ [Istanza AWS-Stop EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StopEC2Instance/description?region=us-east-1)
+ [AWS- StopRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopRdsInstance/description?region=us-east-1)
+ [AWS- CreateImage](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateImage/description?region=us-east-1)
+ [AWS- CreateRdsSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateRdsSnapshot/description?region=us-east-1)
+ [AWS- CreateSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateSnapshot/description?region=us-east-1)
**Nota**
Quando crei azioni di servizio, puoi configurare il ruolo di esecuzione in modo che corrisponda alle autorizzazioni dell'utente finale, al ruolo di lancio o a un ruolo IAM personalizzato a tua scelta. Il ruolo di esecuzione selezionato deve disporre di autorizzazioni sufficienti per eseguire l'azione di servizio e disporre di un codice TrustPolicy che ne consenta l'assunzione da parte di Service Catalog, altrimenti l'azione di servizio avrà esito negativo al momento dell'esecuzione. Si consiglia di utilizzare AWSManagedServicesServiceCatalogLaunchRole, che dispone delle autorizzazioni e della politica di fiducia corrette da utilizzare come azione di servizio.
**Per cosa dovrò ancora utilizzare il sistema RFC AMS?**
In caso di disponibilità generale (GA) sarà comunque necessario utilizzare RFCS per eseguire le seguenti azioni:
+ Configurazione di Patch Orchestrator
+ Configurazione delle politiche di backup
+ Richiesta di accesso all'istanza
+ Creazione e assegnazione di gruppi di sicurezza che non rientrano nelle linee guida AMS.
+ Esecuzione dell'acquisizione del carico di lavoro (WIGS)
+ Creazione di ruoli IAM
**Posso usare l'interfaccia a riga di comando di Service Catalog per accedere a Service Catalog nel mio account gestito da AMS?**
Sì, Service Catalog APIs è disponibile e abilitato tramite la CLI. Sono disponibili azioni dalla gestione degli elementi del Service Catalog fino alla fornitura e alla chiusura di tali artefatti. Per ulteriori informazioni, consulta le [risorse di AWS Service Catalog](https://aws.amazon.com/servicecatalog/resources/) o scarica l'SDK o la CLI AWS più recenti.
**Chi crea, gestisce e distribuisce i cataloghi dei prodotti approvati dei clienti?**
L'amministratore del catalogo del cliente, l'amministratore and/or IT o la risorsa assegnata, è responsabile della gestione dei cataloghi del Service Catalog e dei prodotti approvati.
**Posso usare AMS AMIs?**
Gli AMIs AMS venduti dopo marzo 2020 possono essere distribuiti tramite AWS Service Catalog.
**Come posso migrare ad AMS utilizzando Service Catalog?**
Per migrare il carico di lavoro su AMS utilizzando Service Catalog, iniziate seguendo il processo [Workload Ingest](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-workload-ingest.html) (WIGs) per creare un'AMI in AMS. Utilizzi l'AMI prodotta da WIGS per creare un prodotto in Service Catalog. La procedura per eseguire questa operazione è descritta in dettaglio in [AWS Service Catalog - Getting Started](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted.html).