翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 付録: マルチアカウントランディングゾーン (MALZ) オンボーディングに関する考慮事項リスト
AMS マルチアカウントランディングゾーンのデプロイを計画する際に考慮すべき重要な考慮事項がいくつかあります。選択すると、必要なインフラストラクチャコンポーネントを決定するために必要な情報が AMS に提供されます。Cloud Architect (CA) は、この作業を支援するアンケートを提供します。
**Topics**
+ [AMS マルチアカウントランディングゾーンアカウント設定](core-questions-account.md)
+ [AMS マルチアカウントランディングゾーンモニタリングアラート](og-ma-monitoring-alerts.md)
+ [ネットワーク構成](core-questions-network.md)
+ [Active Directory の設定](core-questions-ad.md)
+ [Trend Micro Endpoint Protection (EPS)](core-questions-eps.md)
+ [アクセス: 踏み台、SSH、RDP](core-questions-bastion.md)
+ [フェデレーション](core-questions-federation.md)
**注記**
インスタンスタイプの詳細については、[Amazon EC2 インスタンスタイプ](https://aws.amazon.com/ec2/instance-types/)」を参照してください。
データベースインスタンスタイプの詳細については、[「Amazon RDS インスタンスタイプ](https://aws.amazon.com/rds/instance-types/)」を参照してください。
Direct Connect が必要な場合は、「AMS シングルアカウントランディングゾーンオンボーディングガイド」を参照して Direct Connect 接続を作成します。
Cloud Service Delivery Manager (CSDM) からオンボーディングアンケートが届きます。このアンケートには、アカウントに必要な設定に関する質問が含まれています。先に進む前に、CSDM と協力してアンケートを完了してください。
# AMS マルチアカウントランディングゾーンアカウント設定
+ 新しいアカウント ID
AMS マルチアカウントランディングゾーン用に作成した AWS アカウント ID。 AWS 組織の一部であってはなりません。
+ サービスリージョン
AMS マルチアカウントランディングゾーン環境がデプロイされるプライマリリージョン。
+ 通知のコアアカウント E メール。 (これらはすべて同じドメインに存在する必要があります)。それぞれに E メールアドレスを指定します。
+ 共有サービスアカウント
+ ネットワークアカウント
+ アカウントのログ記録
+ セキュリティアカウント
+ サービスタイプ、Premium または Plus
これにより、環境内の問題を解決するためのサービスレベルアグリーメント (SLAsが決まります。
# AMS マルチアカウントランディングゾーンモニタリングアラート
AMS は、特定のモニタリングアラートに対して (AMS サービス通知を取得するのではなく) 直接アラートを受け取る方法を提供します。これにサインアップするには、Cloud Architect (CA) または Cloud Service Delivery Manager (CSDM) がこの情報を受信していることを確認します。
**ダイレクトアラート E** メール: AMS が特定のリソースベースのアラートを送信する E メールアドレスです。E メールに直接送信されるアラートの詳細については、[AMS Advanced ユーザーガイドの「AMS でのベースラインモニタリングからのアラート](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/monitoring-default-metrics.html)」を参照してください。 **AMS モニタリングの詳細については、「シングルアカウントランディングゾーン用 AMS ユーザーガイド」の[「モニタリング管理](https://docs.aws.amazon.com/managedservices/latest/userguide/monitoring.html)」を参照してください。
# ネットワーク構成
+ トランジットゲートウェイ ASN 番号
これはボーダーゲートウェイプロトコル (BGP) セッションの AWS 側の自律システム番号 (ASN) です。一意である必要があり、Direct Connect または VPN で使用されているものと同じにすることはできません。 16 ビット ASNs。
+ AMS マルチアカウントランディングゾーンインフラストラクチャ VPC CIDR 範囲。
これらの CIDR 範囲はオンプレミスネットワークと重複できません
/22 CIDR 範囲を含めることも、各 VPC CIDR を個別に指定することもできます。これらの CIDR 範囲のみが許可されることに注意してください。
+ 10.0.0.0 – 10.255.255.255(10/8 プレフィックス)
+ 172.16.0.0 – 172.31.255.255(172.16/12 プレフィックス)
+ 192.168.0.0 – 192.168.255.255(192.168/16 プレフィックス)
IP 範囲 198.18.0.0/15 は使用できません (AWS Directory Service によって予約されています)。
+ コアインフラストラクチャ VPC CIDR 範囲 (/22 範囲を推奨)
+ ネットワーク VPC CIDR 範囲 (/24 範囲を推奨)
+ 共有サービス VPC CIDR 範囲 (/23 範囲を推奨)
+ DMZ VPC CIDR 範囲 (/25 範囲を推奨)
+ VPN ECMP (有効または無効)
[VPN ECMP サポート] で、VPN 接続間で Equal Cost Multipath (ECMP) ルーティングサポートが必要な場合は [enable (有効)] を選択します。接続が同じ CIDR をアドバタイズする場合、トラフィックは複数の接続間で均等に分散されます。
## ネットワークアクセスコントロールリスト (NACL)
ネットワークアクセスコントロールリスト (NACL) は、1 つ以上のサブネットに出入りするトラフィックを制御するファイアウォールとして機能する VPC 用のオプションのセキュリティレイヤーです。セキュリティの追加レイヤーを VPC に追加するには、セキュリティグループと同様のルールを指定したネットワーク ACL をセットアップできます。セキュリティグループとネットワーク ACLs[「セキュリティグループとネットワーク ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison)」を参照してください。
ただし、AMS マルチアカウントランディングゾーンでは、AMS がインフラストラクチャを効果的に管理およびモニタリングするために、NACLsされます。
+ NACLsは、管理、ネットワーク、共有サービス、ログ記録、セキュリティのマルチアカウントランディングゾーンコアアカウントではサポートされていません。
+ NACLs「拒否」リストとしてのみ使用される限り、マルチアカウントランディングゾーンのアプリケーションアカウントでサポートされます。さらに、AMS のモニタリングと管理オペレーションを確実にするように「すべて許可」を設定する必要があります。
大規模なマルチアカウント環境では、一元化されたエグレスファイアウォールなどの機能を活用して、AMS マルチアカウントランディングゾーンのアウトバウンドトラフィックや AWS Transit Gateway ルーティングテーブルを制御し、VPCs 間でネットワークトラフィックを分離することもできます。
# Active Directory の設定
AMS マネージド Active Directory のドメイン FQDN
# Trend Micro Endpoint Protection (EPS)
+ EC2 インスタンスと Auto Scaling グループのインスタンスサイズ
Trend Micro Endpoint Protection (EPS) は、オペレーティングシステムのセキュリティのための AMS 内のプライマリコンポーネントです。システムは、Deep Security Manager (DSM) EC2 インスタンス、リレー EC2 インスタンス、およびすべての AMS データプレーンと EC2 インスタンス内に存在するエージェントで構成されます。
+ リレーインスタンスタイプ (AMS でサポートされる最小サイズは m5.large)
+ DB インスタンスサイズ (200 GB を推奨)
+ RDS インスタンスタイプ (db.m5.large または db.m5.xlarge のみ許可)
+ DSM ライセンスタイプ (Marketplace または BYOL)
ライセンスがすでにある場合は、BYOL (独自のライセンスを持つ) を選択します。AMS は、ライセンスに関する必要な情報を取得するためにお客様に連絡します。
+ AWS Trend Micro Deep Security サブスクリプションの IAM ユーザーまたはロール Amazon リソースネーム (ARN) (ロール ARN: arn:aws:iam::*ACCOUNT\$1ID*:role/*ROLE\$1NAME*)
アクセス AWS アカウント 可能な既存の のいずれかから、IAM ロール、ARN、または IAM ユーザー ARN を提供します。AMS は、AMS マルチアカウントランディングゾーン共有サービスアカウントに IAM ロールを作成し、共有サービスの IAM ロールの信頼で提供されるロールまたはユーザーを追加して、ユーザーが Trend Micro Deep Security をサブスクライブできるようにします AWS Marketplace。
# アクセス: 踏み台、SSH、RDP
+ SSH 踏み台の設定
AMS は、AMS 環境のホストにアクセスするために、共有サービスアカウントに SSH 踏み台を提供します。SSH ユーザーとして AMS ネットワークにアクセスするには、SSH 踏み台をエントリポイントとして使用する必要があります。ネットワークパスはオンプレミスネットワークから発信され、DX/VPN を介してトランジットゲートウェイ (TGW) にルーティングされ、共有サービス VPC にルーティングされます。踏み台にアクセスできるようになったら、適切なアクセスリクエストが付与されていれば、AMS 環境内の他のホストにジャンプできます。
+ 必要なインスタンス数 (2 つ推奨)
+ 最大インスタンス (4 つの推奨)
+ 最小インスタンス (2 つの推奨)
+ インスタンスタイプ (m5.large を推奨)
+ イングレス CIDRs: ネットワーク内のユーザーが SSH 踏み台にアクセスする IP アドレス範囲 (ip 範囲 1、ip 範囲 2、ip 範囲 3 など)
+ RDP 踏み台の設定
AMS は、オプションで AMS 環境のホストにアクセスするために、共有サービスアカウントに RDP 踏み台を提供します。RDP ユーザーとして AMS ネットワークにアクセスするには、エントリポイントとして RDP 踏み台を使用する必要があります。ネットワークパスはオンプレミスネットワークから発信され、DX/VPN を介して TGW に進み、共有サービス VPC にルーティングされます。踏み台にアクセスできるようになったら、適切なアクセスリクエストが付与されていれば、AMS 環境内の他のホストにジャンプできます。
+ インスタンスタイプ (t3.medium を推奨)
+ 希望する最小セッション数 (2 つ推奨)
+ 希望する最大セッション数 (10 を推奨)
+ RDP 踏み台設定タイプ、共有標準または共有 HA (デフォルトは共有標準)
SecureStandard = ユーザーは 1 つの踏み台を受け取り、1 人のユーザーだけが踏み台に接続できます。
SecureHA = ユーザーは 2 つの異なる AZ で 2 つの踏み台を受け取り、1 人のユーザーだけが踏み台に接続できます。
SharedStandard = ユーザーは に接続するための踏み台を 1 つ受け取り、2 人のユーザーは一度に同じ踏み台に接続できます。
SharedHA = ユーザーは 2 つの異なる AZ で 2 つの踏み台を受け取り、2 人のユーザーは一度に同じ踏み台に接続できます。
# フェデレーション
ID プロバイダー (IDP) 名
デフォルトは `customer-saml` です。