本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 共享服务账户
<a name="shared-services-account"></a>

共享服务账户是大多数 AMS 数据平面服务的中心枢纽。该账户包含访问管理 (AD)、端点安全管理 (趋势科技) 所需的基础架构和资源，还包含客户堡垒 (SSH/RDP)。 下图显示了共享服务帐户中包含的资源的高级概述。 

![\[Diagram of Shared Services Account architecture with VPC, subnets, and various AWS 服务.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/malzSharedServicesAccount2.png)


共享服务 VPC 由 AD 子网、EPS 子网和三个可用区中的客户堡垒子网组成（AZs）。下面列出了在共享服务 VPC 中创建的资源，需要您输入。
+ *共享服务 VPC CIDR 范围：*创建 VPC 时，必须以无类域间路由 (CIDR) 块的形式为 VPC 指定 IPv4 地址范围；例如 10.0.1.0/24。这是您的 VPC 的主网段。
**注意**  
AMS 团队建议的射程为 /23。
+  A@@ *ctive Directory 详情*：Microsoft Active Directory (AD) 用于 user/resource 管理、身份验证/授权和所有 AMS 多账户登录区域账户的 DNS。AMS AD 还配置了对您的 Active Directory 的单向信任，以进行基于信任的身份验证。 创建 AD 需要以下输入：
  + 域名完全限定域名 (FQDN)：AWS 托管的 Microsoft AD 目录的完全限定域名。该域不应是现有域或网络中现有域的子域。
  + 域 NetBIOS 名称：如果您未指定 NetBIOS 名称，AMS 会将该名称默认为您的目录 DNS 的第一部分。例如，corp 代表目录 DNS corp.example.com。
+ *趋势科技-端点保护安全 (EPS)*：趋势科技端点保护 (EPS) 是 AMS 中用于操作系统安全的主要组件。该系统由趋势科技服务器深度安全防护系统管理中心 (DSM)、EC2 实例、中继 EC2 实例以及存在于所有数据平面和客户 EC2 实例中的代理组成。

  您必须使用共享服务帐户，并订阅趋势科技趋势科技服务器深度安全防护系统 (BYOL) AMI 或趋势科技趋势科技服务器深度安全防护系统 (Marketplace)。`EPSMarketplaceSubscriptionRole`

  创建 EPS 需要以下默认输入（如果您想更改默认值）：
  + 中继实例类型：默认值-m5.large
  + DSM 实例类型：默认值-m5.xlarge
  + 数据库实例大小：默认值-200 GB
  + RDS 实例类型：默认值——db.m5.large
+  *客户堡垒*：共享服务账户中为您提供 SSH 或 RDP 堡垒（或两者兼而有之），用于访问您的 AMS 环境中的其他主机。为了以用户身份访问 AMS 网络（SSH/RDP), you must use "customer" Bastions as the entry point. The network path originates from the on-premise network, goes through DX/VPN到传输网关 (TGW)，然后路由到共享服务 VPC。一旦您能够访问堡垒，就可以跳转到 AMS 环境中的其他主机，前提是访问请求已获得批准。
  + SSH 堡垒需要以下输入。
    + SSH 堡垒所需实例容量：默认值-2。
    + SSH 堡垒最大实例数：默认值-4。
    + SSH 堡垒最低实例数：默认值 -2。
    + SSH 堡垒实例类型：默认值-m5.large（可以更改以节省成本；例如 t3.medium）。
    + SSH 堡垒入口 CIDRs：您网络中的用户从中访问 SSH 堡垒的 IP 地址范围。
  + Windows RDP 堡垒需要以下输入。
    + RDP 堡垒实例类型：默认值-t3.medium。
    + RDP Bastion 所需的最小会话数：默认值-2。
    + RDP 最大会话数：默认值 -10。
    + RDP 堡垒配置类型：您可以选择以下配置之一
      + SecureStandard = 一个用户收到一个堡垒，但只有一个用户可以连接到堡垒。
      + SecureHA = 用户在两个不同的可用区收到两个堡垒可供连接，并且只有一个用户可以连接到堡垒。
      + SharedStandard = 一个用户收到一个要连接的堡垒，两个用户可以同时连接到同一个堡垒。
      + SharedHA = 用户在两个不同的 AZ 中收到两个堡垒可供连接，两个用户可以同时连接到同一个堡垒。
    + 客户 RDP 入口 CIDRs：您网络中的用户将从中访问 RDP 堡垒的 IP 地址范围。

# 共享服务更新：多账户登录区
<a name="ams-dp-release-process"></a>

AMS 每月向托管账户发布数据平面版本，恕不另行通知。

AMS 使用核心 OU 在您的多账户着陆区提供共享服务，例如访问、联网、EPS、日志存储、警报聚合。AMS 负责解决这些共享服务的漏洞、修补和部署。AMS 会定期更新用于提供这些共享服务的资源，以便用户可以访问最新功能和安全更新。更新通常每月进行一次。这些更新中包含的资源有：
+ 属于核心 OU 的账户。

  管理账户、共享服务账户、网络账户、安全账户和日志存档账户拥有用于 RDP 和 SSH 堡垒、代理、管理主机和端点安全 (EPS) 的资源，这些资源通常每月更新一次。AMS 使用不可变 EC2 部署作为共享服务基础设施的一部分。
+  AMIs 包含最新更新的新 AMS。

**注意**  
AMS 操作员在执行数据平面更改时使用内部警报抑制更改类型 (CT)，并且该 CT 的 RFC 会显示在您的 RFC 列表中。这是因为，在部署数据平面版本时，各种基础架构可能会关闭、重新启动、离线，或者部署可能会出现 CPU 峰值或其他影响，从而触发在数据平面部署期间无关的警报。部署完成后，将验证所有基础设施是否正常运行，并重新启用警报。