翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 共有サービスアカウント
<a name="shared-services-account"></a>

共有サービスアカウントは、ほとんどの AMS データプレーンサービスの中央ハブとして機能します。アカウントには、アクセス管理 (AD)、エンドポイントセキュリティ管理 (Trend Micro)、カスタマー踏み台 (SSH/RDP) に必要なインフラストラクチャとリソースが含まれています。共有サービスアカウントに含まれるリソース の概要を次の図に示します。 

![\[Diagram of Shared Services Account architecture with VPC, subnets, and various AWS のサービス.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/malzSharedServicesAccount2.png)


共有サービス VPC は、3 つのアベイラビリティーゾーン (AZs) の AD サブネット、EPS サブネット、カスタマー踏み台サブネットで構成されます。共有サービス VPC で作成されたリソースを以下に示します。入力が必要です。
+ *共有サービス VPC CIDR 範囲:* VPC を作成するときは、10.0. 1.0/24 など、Classless Inter-Domain Routing (CIDR) ブロックの形式で VPC の IPv4 アドレスの範囲を指定する必要があります。これは VPC のプライマリ CIDR ブロックです。
**注記**  
AMS チームは /23 の範囲を推奨します。
+  *Active Directory の詳細*: Microsoft Active Directory (AD) は、すべての AMS マルチアカウントランディングゾーンアカウントで、ユーザー/リソース管理、認証/認可、DNS に使用されます。AMS AD には、信頼ベースの認証のために Active Directory への一方向の信頼も設定されています。AD を作成するには、次の入力が必要です。
  + ドメイン完全修飾ドメイン名 (FQDN): AWS Managed Microsoft AD ディレクトリの完全修飾ドメイン名。ドメインは、ネットワーク内の既存のドメインの既存のドメインまたは子ドメインにすることはできません。
  + ドメイン NetBIOS 名: NetBIOS 名を指定しない場合、AMS はデフォルトでディレクトリ DNS の最初の部分に名前を付けます。たとえば、ディレクトリ DNS corp.example.com の corp です。
+ *Trend Micro – エンドポイント保護セキュリティ (EPS)*: Trend Micro エンドポイント保護 (EPS) は、オペレーティングシステムのセキュリティのための AMS 内の主要なコンポーネントです。システムは、Deep Security Manager (DSM)、EC2 インスタンス、リレー EC2 インスタンス、およびすべてのデータプレーンとカスタマー EC2 インスタンス内に存在するエージェントで構成されます。

  共有サービスアカウント`EPSMarketplaceSubscriptionRole`で を引き受け、Trend Micro Deep Security (BYOL) AMI または Trend Micro Deep Security (Marketplace) のいずれかにサブスクライブする必要があります。

  EPS を作成するには、次のデフォルト入力が必要です (デフォルトから変更する場合）。
  + リレーインスタンスタイプ： デフォルト値 - m5.large
  + DSM インスタンスタイプ： デフォルト値 - m5.xlarge
  + DB インスタンスサイズ： デフォルト値 - 200 GB
  + RDS インスタンスタイプ： デフォルト値 - db.m5.large
+  *カスタマー踏み台*: AMS 環境内の他のホストにアクセスするために、共有サービスアカウントで SSH または RDP 踏み台 (またはその両方) が提供されます。ユーザー (SSH/RDP) として AMS ネットワークにアクセスするには、「customer」踏み台をエントリポイントとして使用する必要があります。ネットワークパスはオンプレミスネットワークから発信され、DX/VPN を介してトランジットゲートウェイ (TGW) にルーティングされ、共有サービス VPC にルーティングされます。踏み台にアクセスできるようになったら、アクセスリクエストが付与されていれば、AMS 環境内の他のホストにジャンプできます。
  + SSH 踏み台には次の入力が必要です。
    + SSH 踏み台に必要なインスタンス容量: デフォルト値 - 2。
    + SSH 踏み台最大インスタンス: デフォルト値 - 4。
    + SSH 踏み台最小インスタンス: デフォルト値 -2。
    + SSH 踏み台インスタンスタイプ: デフォルト値 - m5.large (t3.medium など、コストを節約するために変更できます）。
    + SSH 踏み台入力 CIDRs: ネットワーク内のユーザーが SSH 踏み台にアクセスする IP アドレス範囲。
  + Windows RDP 踏み台には、次の入力が必要です。
    + RDP 踏み台インスタンスタイプ: デフォルト値 - t3.medium。
    + RDP 踏み台で必要な最小セッション数: デフォルト値 - 2。
    + RDP 最大セッション数: デフォルト値 -10。
    + RDP 踏み台設定タイプ: 次のいずれかの設定を選択できます。
      + SecureStandard = ユーザーは 1 つの踏み台を受け取り、1 人のユーザーだけが踏み台に接続できます。
      + SecureHA = ユーザーは 2 つの異なる AZ で 2 つの踏み台を受け取り、1 人のユーザーだけが踏み台に接続できます。
      + SharedStandard = ユーザーは に接続するための踏み台を 1 つ受け取り、2 人のユーザーは一度に同じ踏み台に接続できます。
      + SharedHA = ユーザーは 2 つの異なる AZ で 2 つの踏み台を受け取り、2 人のユーザーは一度に同じ踏み台に接続できます。
    + お客様の RDP Ingress CIDRs: ネットワーク内のユーザーが RDP 踏み台にアクセスする IP アドレス範囲。

# 共有サービスの更新: マルチアカウントランディングゾーン
<a name="ams-dp-release-process"></a>

AMS は、データプレーンリリースを毎月、事前の通知なしにマネージドアカウントに適用します。

AMS はコア OU を使用して、アクセス、ネットワーク、EPS、ログストレージ、アラート集約などの共有サービスをマルチアカウントランディングゾーンで提供します。AMS は、これらの共有サービスの脆弱性、パッチ適用、デプロイに対応する責任があります。AMS は、これらの共有サービスの提供に使用されるリソースを定期的に更新し、ユーザーが最新の機能やセキュリティ更新プログラムにアクセスできるようにします。更新は通常、毎月行われます。これらの更新に含まれるリソースは次のとおりです。
+ コア OU の一部であるアカウント。

  管理アカウント、共有サービスアカウント、ネットワークアカウント、セキュリティアカウント、ログアーカイブアカウントには、通常毎月更新される RDP および SSH 踏み台、プロキシ、管理ホスト、エンドポイントセキュリティ (EPS) 用のリソースがあります。AMS は、共有サービスインフラストラクチャの一部としてイミュータブルな EC2 デプロイを使用します。
+ 最新の更新を組み込んだ新しい AMS AMIs。

**注記**  
AMS 演算子は、データプレーンの変更を実行するときに内部アラーム抑制変更タイプ (CT) を使用し、その CT の RFC が RFC リストに表示されます。これは、データプレーンのリリースがデプロイされると、さまざまなインフラストラクチャがシャットダウン、再起動、オフラインになるか、データプレーンのデプロイ中に無関係なアラームをトリガーする CPU スパイクやその他のデプロイの影響が発生する可能性があるためです。デプロイが完了すると、すべてのインフラストラクチャが正常に実行されていることが確認され、アラームが再び有効になります。