As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Apêndice: lista de consideração de integração da multi-account landing zone (MALZ)
Há várias considerações importantes que você precisará considerar ao planejar a implantação da landing zone multiconta do AMS. Suas escolhas fornecerão à AMS as informações necessárias para determinar os componentes de infraestrutura necessários. Seu Cloud Architect (CA) fornecerá um questionário para ajudar nesse trabalho.
**Topics**
+ [Configuração da conta de landing zone com várias contas do AMS](core-questions-account.md)
+ [Alertas de monitoramento de landing zone com várias contas do AMS](og-ma-monitoring-alerts.md)
+ [Network configuration](core-questions-network.md)
+ [Configuração do Active Directory](core-questions-ad.md)
+ [Proteção de terminais da Trend Micro (EPS)](core-questions-eps.md)
+ [Acesso: Bastions, SSH e RDP](core-questions-bastion.md)
+ [Federação](core-questions-federation.md)
**nota**
Para obter mais informações sobre os tipos de instância, consulte [Tipos de EC2 instância da Amazon](https://aws.amazon.com/ec2/instance-types/).
Para obter mais informações sobre os tipos de instância de banco de dados, consulte Tipos de [instância do Amazon RDS](https://aws.amazon.com/rds/instance-types/).
Se você precisar do Direct Connect, consulte o Guia de integração da landing zone de conta única do AMS para criar uma conexão Direct Connect.
Você receberá um questionário de integração do seu Cloud Service Delivery Manager (CSDM) contendo perguntas sobre as configurações desejadas para sua conta. Trabalhe com seu CSDM para preencher o questionário antes de continuar.
# Configuração da conta de landing zone com várias contas do AMS
+ Novo ID da conta
O Conta da AWS ID que você criou para a landing zone multiconta do AMS. Não deve fazer parte de uma AWS organização.
+ Região de serviço
A região principal na qual o ambiente de landing zone com várias contas do AMS será implantado.
+ Os e-mails da conta principal para notificações. (todos devem estar no mesmo domínio). Forneça um endereço de e-mail para cada um:
+ Conta de Serviços Compartilhados
+ Conta de rede
+ Conta de registro
+ Conta de segurança
+ Seu tipo de serviço, Premium ou Plus
Isso determina os contratos de nível de serviço (SLAs) para resolver problemas em seu ambiente
# Alertas de monitoramento de landing zone com várias contas do AMS
O AMS fornece uma maneira de você ser alertado diretamente (em vez de receber notificações do serviço AMS) para determinados alertas de monitoramento. Para se inscrever, certifique-se de que seu Cloud Architect (CA) ou Cloud Service Delivery Manager (CSDM) receba essas informações:
**E-mail de alertas diretos**: esses são os endereços de e-mail para os quais você deseja que o AMS envie determinados alertas baseados em recursos. Para obter detalhes sobre quais alertas são enviados diretamente para o e-mail, consulte [Alertas do monitoramento de linha de base no AMS no](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/monitoring-default-metrics.html) *Guia do Usuário Avançado do AMS*. Para obter mais informações sobre o monitoramento do AMS, consulte [Gerenciamento de monitoramento](https://docs.aws.amazon.com/managedservices/latest/userguide/monitoring.html) no Guia do usuário do AMS para a zona de destino de conta única.
# Network configuration
+ Número ASN do Transit Gateway
Esse é o Número do Sistema Autônomo (ASN) do lado AWS de uma sessão do Border Gateway Protocol (BGP). Ele deve ser exclusivo e não pode ser o mesmo usado para seu Direct Connect ou VPN. O intervalo é de 64512 a 65534 (inclusive) para 16 bits. ASNs
+ Sua infraestrutura de landing zone de várias contas do AMS VPC CIDR varia.
Esses intervalos de CIDR não podem se sobrepor à sua rede local
Você pode incluir um intervalo CIDR /22 ou fornecer cada CIDR de VPC individualmente. Observe que somente esses intervalos de CIDR são permitidos:
+ 10.0.0.0 - 10.255.255.255 (prefixo 10/8)
+ 172.16.0.0 - 172.31.255.255 (prefixo 172.16/12)
+ 192.168.0.0 - 192.168.255.255 (prefixo 192.168/16)
Observe que o intervalo de IP 198.18.0.0/15 não pode ser usado (ele é reservado pelo AWS Directory Service).
+ Faixa CIDR VPC da infraestrutura principal (faixa /22 recomendada)
+ Intervalo CIDR de rede VPC (faixa /24 recomendada)
+ Intervalo CIDR VPC do Shared Services (faixa /23 recomendada)
+ Faixa CIDR DMZ VPC (faixa /25 recomendada)
+ VPN ECMP (habilitar ou desabilitar)
Em VPN ECMP support, escolha enable (habilitar) se você precisar de suporte ao roteamento de múltiplos caminhos de mesmo custo (ECMP) entre as conexões VPN. Se as conexões anunciarem o mesmo CIDRs, o tráfego será distribuído igualmente entre elas.
## Lista de controle de acesso à rede (NACL)
Uma lista de controle de acesso à rede (NACL) é uma camada opcional de segurança para sua VPC que atua como um firewall para controlar o tráfego de entrada e saída de uma ou mais sub-redes. Você pode configurar uma rede ACLs com regras semelhantes aos seus grupos de segurança para adicionar uma camada adicional de segurança à sua VPC. Para obter mais informações sobre as diferenças entre grupos de segurança e rede ACLs, consulte [Comparação de grupos de segurança e rede ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison).
No entanto, na landing zone multiconta do AMS, para que o AMS gerencie e monitore a infraestrutura com eficácia, o uso de NACLs é limitado ao seguinte escopo:
+ NACLs não são suportadas nas contas principais de várias contas do landing zone: gerenciamento, rede, serviços compartilhados, registro e segurança.
+ NACLs são suportados em contas de aplicativos com várias contas do landing zone, desde que sejam usadas apenas como uma lista de “Negar”. Além disso, eles devem ter a opção “Permitir tudo” configurada para garantir as operações de monitoramento e gerenciamento do AMS.
Em ambientes multicontas de grande escala, você também pode aproveitar recursos como firewalls de saída centralizados para controlar o tráfego de saída e/ou tabelas de roteamento do AWS Transit Gateway na landing zone de várias contas do AMS para segregar o tráfego de rede entre elas. VPCs
# Configuração do Active Directory
FQDN de domínio para o Active Directory gerenciado por AMS
# Proteção de terminais da Trend Micro (EPS)
+ Tamanhos de instância para suas EC2 instâncias e grupos de Auto Scaling
O Trend Micro Endpoint Protection (EPS) é o principal componente do AMS para segurança do sistema operacional. O sistema é composto por instâncias do Deep Security Manager (DSM), EC2 instâncias de retransmissão e um agente presente em todo o plano de dados do AMS e em suas EC2 instâncias. EC2
+ Tipo de instância de retransmissão (o mínimo suportado pelo AMS é m5.large)
+ Tamanho da instância de banco de dados (200 GB recomendados)
+ Tipo de instância do RDS (somente db.m5.large ou db.m5.xlarge são permitidos)
+ Tipo de licença DSM (Marketplace ou BYOL)
Se você já tem uma licença, escolha BYOL (traga sua própria licença). A AMS entrará em contato com você para obter as informações necessárias sobre a licença.
+ AWS Nome de recurso da Amazon (ARN) do usuário ou função do IAM para a assinatura do Trend Micro Deep Security (ARN da função: arn:aws:iam: ::role/) *ACCOUNT\$1ID* *ROLE\$1NAME*
Forneça uma função do IAM; ARN, ou um ARN de usuário do IAM de um dos seus Contas da AWS ao qual você tenha acesso. O AMS cria uma função do IAM; em sua conta de serviços compartilhados da landing zone de várias contas do AMS e adiciona a função ou o usuário fornecido na confiança de uma função do IAM no Shared Services para que você possa assumir a função ao assinar o Trend Micro Deep Security em AWS Marketplace.
# Acesso: Bastions, SSH e RDP
+ Configurações do SSH Bastion
O AMS fornece bastiões SSH em sua conta do Shared Services para acessar hosts no ambiente AMS. Para acessar a rede AMS como usuário SSH, você deve usar o SSH Bastions como ponto de entrada. O caminho da rede se origina na rede local, passa pelo gateway de trânsito (TGW) e, em seguida, é roteado DX/VPN para a VPC do Shared Services. Depois de acessar o bastion, você pode ir para outros hosts em seu ambiente AMS, desde que a solicitação de acesso adequada tenha sido concedida.
+ Contagem de instâncias desejada (2 recomendadas)
+ Máximo de instâncias (4 recomendadas)
+ Instâncias mínimas (2 recomendadas)
+ Tipo de instância (m5.large recomendado)
+ Entrada CIDRs: intervalos de endereços IP a partir dos quais os usuários em sua rede acessarão o SSH Bastions (faixa de IP 1, faixa de IP 2, faixa de IP 3,... etc)
+ Configurações do RDP Bastion
Opcionalmente, o AMS fornece bastiões de RDP em sua conta do Shared Services para acessar hosts no ambiente AMS. Para acessar a rede AMS como usuário do RDP, você deve usar o RDP Bastions como ponto de entrada. O caminho da rede se origina na rede local, passa pelo TGW e, em seguida, é roteado DX/VPN para a VPC do Shared Services. Depois de acessar o bastion, você pode ir para outros hosts no ambiente AMS, desde que a solicitação de acesso adequada tenha sido concedida.
+ Tipo de instância (t3.medium recomendado)
+ Sessões mínimas desejadas (2 recomendadas)
+ Máximo de sessões desejadas (10 recomendadas)
+ Tipo de configuração RDP Bastion, padrão compartilhado ou HA compartilhado (o padrão é Padrão compartilhado)
SecureStandard = Um usuário recebe um bastião e somente um usuário pode se conectar ao bastião.
SecureHA = Um usuário recebe dois bastiões em duas AZs diferentes para se conectar e somente um usuário pode se conectar ao bastião.
SharedStandard = Um usuário recebe um bastião para se conectar e dois usuários podem se conectar ao mesmo bastião ao mesmo tempo.
SharedHA = Um usuário recebe dois bastiões em duas AZs diferentes para se conectar e dois usuários podem se conectar ao mesmo bastião ao mesmo tempo.
# Federação
Nome do provedor de identidade (IDP)
Padronizado como `customer-saml`