本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AMS 工具账户（迁移工作负载）
<a name="tools-account"></a>

您的多账户着陆区工具账户（使用 VPC）有助于加快迁移工作，提高您的安全地位，降低成本和复杂性，并标准化您的使用模式。

工具账户提供以下内容：
+ 为系统集成商在生产工作负载之外访问复制实例提供了明确的边界。
+ 允许您创建一个隔离的密室，以检查工作负载中是否存在恶意软件或未知的网络路由，然后再将其存入具有其他工作负载的帐户。
+ 作为定义的帐户设置，它可以更快地为工作负载迁移做好准备和准备。
+ 隔离的网络路由到来自本地-> 工具账户- CloudEndure > AMS 摄取的图像的安全流量。提取图像后，您可以通过 AMS 管理 \$1 高级堆栈组件 \$1 AMI \$1 共享 (ct-1eiczxw8ihc18) RFC 将图像共享到目标账户。

高级架构图：

![\[AWS 账户 structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/high-level-diagram_v1.png)


使用部署 \$1 托管着陆区 \$1 管理账户 \$1 创建工具账户（使用 VPC）更改类型 (ct-2j7q1hgf26x5c)，在多账户着陆区环境中快速部署工具账户并实例化工作负载摄取流程。参见[管理账户，工具账户：创建（使用 VPC）](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)。

**注意**  
我们建议有两个可用区 (AZs)，因为这是一个迁移中心。  
默认情况下，AMS 在每个账户中创建以下两个安全组 (SGs)。确认这两个 SGs 都存在。如果他们不在场，请向 AMS 团队提交新的服务申请，请求他们。  
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
确保在私有子网中创建 CloudEndure 复制实例，那里有返回本地的路由。您可以通过确保私有子网的路由表中包含返回 TGW 的默认路由来确认这一点。但是，执行 CloudEndure 计算机切换操作应进入 “隔离” 私有子网，那里没有返回本地的路由，只允许 Internet 出站流量。确保在隔离子网中进行切换，以避免本地资源出现潜在问题，这一点至关重要。

先决条件：

1. **高级**或**高级**支持级别。

1. 部署的 KMS 密钥 AMIs 的应用程序账户 IDs 。

1. 工具账户，如前所述。

# AWS 应用程序迁移服务 (AWS MGN)
<a name="tools-account-mgn"></a>

[AWS 应用程序迁移服务](https://aws.amazon.com/application-migration-service/) (AWS MGN) 可以通过在工具账户配置期间自动创建的 `AWSManagedServicesMigrationRole` IAM 角色在您的 MALZ Tools 账户中使用。您可以使用 AWS MGN 迁移在支持版本的 Windows 和 Linux [操作系统](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)上运行的应用程序和数据库。

有关 AWS 区域 支持的大部分 up-to-date信息，请参阅[AWS 区域服务列表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。

如果 AWS MGN AWS 区域 目前不支持您的首选项，或者 AWS MGN 目前不支持运行应用程序的操作系统，请考虑改用工具账户中的[CloudEndure 迁移](https://console.cloudendure.com/#/register/register)。

**正在请求 AWS MGN 初始化**

AWS MGN 在首次使用前必须由 AMS 进行[初始化](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html)。要申请新的 Tools 账户，请提交 Tools 账户中的管理 \$1 其他 \$1 其他 RFC，其中包含以下详细信息：

```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here: 
    [ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values 
    to 'Create template' and complete the initialization process.
```

AMS 成功完成 RFC 并在您的 Tools 账户中初始化 AWS MGN 后，您可以使用编辑默认模板`AWSManagedServicesMigrationRole`以满足您的要求。

![\[AWS MGN，安装应用程序迁移服务。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/aws_mgn_firstrun.png)


# 启用对新 AMS 工具账户的访问权限
<a name="tools-account-enable"></a>

创建工具账户后，AMS 会为您提供账户 ID。下一步是配置对新账户的访问权限。执行以下步骤。

1. 将相应的 Active Directory 组更新为相应的帐户 IDs。

   AMS 创建的新账户将配置 ReadOnly 角色策略以及允许用户申报的角色。 RFCs

   Tools 账户还有一个额外的 IAM 角色和用户可用：
   + IAM 角色：`AWSManagedServicesMigrationRole`
   + IAM 用户：`customer_cloud_endure_user`

1. 请求策略和角色以允许服务集成团队成员设置更高级别的工具。

   导航到 AMS 控制台并归档以下内容 RFCs：

   1. 创建 KMS 密钥。使用[创建 KMS 密钥 (auto)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) 或[创建 KMS 密钥（托管自动化）](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html)。

      当您使用 KMS 加密提取的资源时，使用与其余多账户着陆区应用程序账户共享的单个 KMS 密钥可以为摄取的图像提供安全保护，这些图像可以在目标账户中解密。

   1. 共享 KMS 密钥。

      使用管理 \$1 高级堆栈组件 \$1 KMS 密钥 \$1 共享（托管自动化）更改类型 (ct-05yb337abq3x5) 请求将新的 KMS 密钥共享给已提取的应用程序账户。 AMIs 

最终账户设置的示例图：

![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/WIGS_Account_ExpandedV1.png)


# AMS 预先批准的 IAM CloudEndure 政策示例
<a name="tools-account-ex-policy"></a>

要查看 AMS 预先批准的 IAM CloudEndure 政策：解压 [WIGS Cloud Endure 着陆区域示例](samples/wigs-ce-lz-examples.zip)文件并打开。`customer_cloud_endure_policy.json`

# 测试 AMS Tools 账户连接和 end-to-end设置
<a name="tools-account-test"></a>

1. 首先在要复制到 AMS 的服务器上配置 CloudEndure 和安装 CloudEndure 代理。

1. 在中创建项目 CloudEndure。

1. 通过 secrets Manager 输入执行先决条件时共享的 AWS 凭据。

1. 在 **“复制” 设置中**：

   1. 选择 AMS “Sentinel” 安全组（仅限私有和 EgressAll），选择 “**选择要应用于复制服务器的安全组**” 选项。

   1. 为计算机（实例）定义转换选项。有关信息，请参阅[步骤 5。切开](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)

   1. **子网**：私有子网。

1. **安全组**：

   1. 同时选择 AMS “Sentinel” 安全组（仅限私有和 EgressAll）。

   1. 切换实例必须与 AMS 管理的 Active Directory (MAD) 和公共终端节点通信： AWS 

      1. **弹性 IP**：无

      1. **公有 IP**：没有

      1. **IAM 角色**： customer-mc-ec双实例配置文件

   1. 按照您的内部标签惯例设置标签。

1. 在计算机上安装 CloudEndure 代理，然后在 EC2 控制台中查找要出现在您的 AMS 账户中的复制实例。

AMS 摄取过程：

![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/Ingestion_Process_v1.png)


# AMS Tools 账户卫生
<a name="tools-account-hygiene"></a>

在账户中共享了 AMI 并且不再需要复制的实例之后，您需要进行清理：
+ 实例 WIGs 摄取后：
  + 切换实例：至少在工作完成后，通过 AWS 控制台停止或终止此实例
  + 摄取前 AMI 备份：在接入实例且本地实例终止后将其删除
  + AMS 摄取的实例：在共享 AMI 后关闭堆栈或终止
  + AMS-inge AMIs sted：与目标账户共享完成后删除
+ 迁移结束清理：记录通过开发人员模式部署的资源，以确保定期进行清理，例如：
  + 安全组
  + 通过云形成创建的资源
  + 网络 ACK
  + 子网
  + VPC
  + 路由表
  + 角色
  + 用户和账户

# 大规模迁移-迁移工厂
<a name="migration-factory"></a>

请参阅 [AWS CloudEndure 迁移工厂解决方案简介](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/)。