翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AMS Tools アカウント (ワークロードの移行)
<a name="tools-account"></a>

マルチアカウントランディングゾーンツールアカウント (VPC を使用) は、移行作業の迅速化、セキュリティポジションの向上、コストと複雑さの軽減、使用パターンの標準化に役立ちます。

ツールアカウントには以下が用意されています。
+ 本番ワークロード外のシステムインテグレーターのレプリケーションインスタンスにアクセスするための明確に定義された境界。
+ 分離されたチェンバーを作成して、他のワークロードのアカウントに配置する前に、ワークロードにマルウェアや不明なネットワークルートがないか確認します。
+ 定義されたアカウント設定として、ワークロードの移行のためのオンボーディングとセットアップにかかる時間を短縮します。
+ 隔離されたネットワークルートは、オンプレミス -> CloudEndure -> Tools account -> AMS 取り込みイメージからのトラフィックを保護します。イメージが取り込まれたら、AMS Management \$1 Advanced stack components \$1 AMI \$1 Share (ct-1eiczxw8ihc18) RFC を介してイメージを送信先アカウントと共有できます。

高レベルのアーキテクチャ図:

![\[AWS アカウント structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/high-level-diagram_v1.png)


Deployment \$1 Managed Landing Zone \$1 Management Account \$1 Create tools account (with VPC) change type (ct-2j7q1hgf26x5c) を使用して、ツールアカウントをすばやくデプロイし、マルチアカウント Landing Zone 環境内でワークロード取り込みプロセスをインスタンス化します。[「管理アカウント」、「ツールアカウント: 作成 (VPC を使用)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)」を参照してください。

**注記**  
これは移行ハブであるため、2 つのアベイラビリティーゾーン (AZs) を使用することをお勧めします。  
デフォルトでは、AMS はすべてのアカウントに次の 2 つのセキュリティグループ (SGs) を作成します。これら 2 つの SGs が存在することを確認します。存在しない場合は、AMS チームで新しいサービスリクエストを開いてリクエストしてください。  
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
CloudEndure レプリケーションインスタンスが、オンプレミスに戻るルートがあるプライベートサブネットに作成されていることを確認します。プライベートサブネットのルートテーブルに TGW へのデフォルトルートがあることを確認することができます。ただし、CloudEndure マシンのカットオーバーを実行すると、オンプレミスに戻るルートがなく、インターネットアウトバウンドトラフィックのみが許可される「分離された」プライベートサブネットに移動する必要があります。オンプレミスリソースへの潜在的な問題を回避するために、分離されたサブネットでカットオーバーが発生するようにすることが重要です。

前提条件:

1. **Plus** または **Premium** のサポートレベル。

1. AMIs がデプロイされる KMS キーのアプリケーションアカウント IDs。

1. 前述のように作成されたツールアカウント。

# AWS アプリケーション移行サービス (AWS MGN)
<a name="tools-account-mgn"></a>

[AWS Application Migration Service](https://aws.amazon.com/application-migration-service/) (AWS MGN) は、ツールアカウントのプロビジョニング中に自動的に作成される IAM `AWSManagedServicesMigrationRole` ロールを介して MALZ Tools アカウントで使用できます。 AWS MGN を使用して、サポートされているバージョンの Windows および Linux [オペレーティングシステム](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)で実行されるアプリケーションとデータベースを移行できます。

 AWS リージョン サポートに関するup-to-dateについては、[AWS 「リージョンサービスリスト](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。

希望する AWS リージョン が現在 MGN AWS でサポートされていない場合、またはアプリケーションが実行されているオペレーティングシステムが現在 MGN AWS でサポートされていない場合は、代わりにツールアカウントで [CloudEndure Migration](https://console.cloudendure.com/#/register/register) を使用することを検討してください。

**MGN AWS 初期化のリクエスト**

AWS MGN は、最初に使用する前に AMS によって[初期化](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html)する必要があります。新しい Tools アカウントに対してこれをリクエストするには、管理 \$1 その他 \$1 その他の RFC を Tools アカウントから以下の詳細とともに送信します。

```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here: 
    [ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values 
    to 'Create template' and complete the initialization process.
```

AMS が RFC を正常に完了し、ツールアカウントで AWS MGN を初期化したら、 `AWSManagedServicesMigrationRole`を使用して要件のデフォルトテンプレートを編集できます。

![\[AWS MGN、Setup アプリケーション移行サービス。\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/aws_mgn_firstrun.png)


# 新しい AMS Tools アカウントへのアクセスを有効にする
<a name="tools-account-enable"></a>

ツールアカウントが作成されると、AMS はアカウント ID を提供します。次のステップは、新しいアカウントへのアクセスを設定することです。以下の手順に従ってください。

1. 適切な Active Directory グループを適切なアカウント IDs。

   新しい AMS 作成アカウントは、ReadOnly ロールポリシーと、ユーザーが RFCs。

   Tools アカウントには、追加の IAM ロールとユーザーも用意されています。
   + IAM ロール: `AWSManagedServicesMigrationRole`
   + IAM ユーザー: `customer_cloud_endure_user`

1. サービス統合チームのメンバーが次のレベルのツールを設定できるように、ポリシーとロールをリクエストします。

   AMS コンソールに移動し、次の RFCs。

   1. KMS キーを作成します。[KMS キーの作成 (自動)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) または [KMS キーの作成 (マネージドオートメーション)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html) を使用します。

      KMS を使用して取り込まれたリソースを暗号化する場合、他のマルチアカウントランディングゾーンアプリケーションアカウントと共有されている単一の KMS キーを使用すると、 は取り込まれたイメージを宛先アカウントで復号化できる場所にセキュリティを提供します。

   1. KMS キーを共有します。

      管理 \$1 高度なスタックコンポーネント \$1 KMS キー \$1 共有 (マネージドオートメーション) 変更タイプ (ct-05yb337abq3x5) を使用して、新しい KMS キーが取り込まれた AMIs が存在するアプリケーションアカウントと共有されるようにリクエストします。

最終的なアカウント設定の例:

![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/WIGS_Account_ExpandedV1.png)


# AMS の事前承認された IAM CloudEndure ポリシーの例
<a name="tools-account-ex-policy"></a>

AMS の事前承認された IAM CloudEndure ポリシーを表示するには: [WIGS Cloud Endure ランディングゾーンの例](samples/wigs-ce-lz-examples.zip)ファイルを解凍し、 を開きます`customer_cloud_endure_policy.json`。

# AMS Tools アカウント接続とend-to-endテスト
<a name="tools-account-test"></a>

1. まず、CloudEndure を設定し、AMS にレプリケートするサーバーに CloudEndure エージェントをインストールします。

1. CloudEndure でプロジェクトを作成します。

1. シークレットマネージャーを使用して、前提条件を実行したときに共有された AWS 認証情報を入力します。

1. **レプリケーション設定**:

   1. **レプリケーションサーバーに適用するセキュリティグループの選択オプションで、両方の AMS "Sentinel" セキュリティグループ** (プライベートのみと EgressAll) を選択します。

   1. マシン (インスタンス) のカットオーバーオプションを定義します。詳細については、[「ステップ 5」を参照してください。カットオーバー](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)

   1. **サブネット**: プライベートサブネット。

1. **セキュリティグループ**:

   1. AMS "Sentinel" セキュリティグループ (プライベートのみと EgressAll) の両方を選択します。

   1. カットオーバーインスタンスは、AMS 管理の Active Directory (MAD) と AWS パブリックエンドポイントと通信する必要があります。

      1. **Elastic IP**: なし

      1. **パブリック IP**: なし

      1. **IAM ロール**: customer-mc-ec2-instance-profile

   1. 内部タグ付け規則に従ってタグを設定します。

1. CloudEndure エージェントをマシンにインストールし、EC2 コンソールの AMS アカウントに表示されるレプリケーションインスタンスを探します。

AMS 取り込みプロセス:

![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/Ingestion_Process_v1.png)


# AMS Tools アカウントのハイジーン
<a name="tools-account-hygiene"></a>

アカウントで AMI を共有し、レプリケートされたインスタンスが不要になったら、クリーンアップする必要があります。
+ インスタンス後の WIGs取り込み：
  + カットオーバーインスタンス: 少なくとも、作業が完了したら、AWS コンソールを介してこのインスタンスを停止または終了します。
  + 取り込み前 AMI バックアップ: インスタンスが取り込まれ、オンプレミスインスタンスが終了したら削除する
  + AMS で取り込まれたインスタンス: スタックをオフにするか、AMI を共有したら終了します。
  + AMS で取り込まれた AMIs: 送信先アカウントとの共有が完了したら削除する
+ 移行のクリーンアップの終了: デベロッパーモードでデプロイされたリソースを文書化して、クリーンアップが定期的に行われるようにします。次に例を示します。
  + セキュリティグループ
  + クラウド形式を使用して作成されたリソース
  + ネットワーク ACK
  + サブネット
  + VPC
  + ルートテーブル
  + ロール
  + ユーザーとアカウント

# 大規模な移行 - Migration Factory
<a name="migration-factory"></a>

[「AWS CloudEndure Migration Factory ソリューションの紹介](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/)」を参照してください。