本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 更改管理模式
AWS Managed Services (AMS) 使用变更管理模式对 AMS Advanced 中的更改进行防护。变更管理模式可帮助您保持环境的高运营标准,并控制风险和防止不利影响。AMS Advanced 有不同的模式,可提供不同级别的控制和风险。除客户管理模式外,所有模式均由 AMS 管理。以下是可用的变更管理模式:
+ RFC 模式(前身为标准 CM 模式):提供 “更改请求” (RFC) 系统和 AMS 自定义更改类型 () CTs
+ 直接更改模式:与 RFC 模式相同,还可使用 AWS APIs 和控制台创建 AMS 管理的资源
+ AMS 上的 AWS Service Catalog:与 “直接更改” 模式类似,但不是使用 AMS 变更管理系统 (RFCs),而是使用 S AWS ervice Catalog 来创建由 AMS 管理的资源。
+ 开发者模式:与 Direct Change 模式相同,只有您使用 AWS APIs 和控制台创建的资源不受 AMS 管理——您负责管理这些资源
+ 自助服务配置 (SSP) 模式:与开发者模式相同,唯一的不同是无法访问 AMS 变更管理系统(否 RFCs)
+ 客户管理模式:AMS 为您提供多账户 landing zone landing zone,但所有资源管理均由您负责
AWS Managed Services (AMS) 变更管理系统使用变更管理 (CM) API,为多账户着陆区 (MALZRFCs) 和单账户着陆区 (SALZ) 账户提供创建和管理变更请求 () 的操作。
变更请求 (RFC) 是您或 AMS 通过 AMS 接口创建的对托管环境进行更改的请求,包括特定操作的更改类型 (CT) ID。
AMS 变更管理 (CM) API 提供用于创建和管理变更请求 (RFCs) 的操作。您可以创建、更新、提交、批准、拒绝和取消 RFCs。AMS 运营商可以创建、更新、提交、批准、拒绝、取消和标记 RFCs 为已关闭。
有关不得在标签或其他名称中使用的 AMS 保留前缀的列表,请参阅[保留前缀](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html)。
有关每种变更类型的信息,包括架构和示例,请参阅 [AMS 变更类型参考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)。
**注意**
所有变更管理 API 调用都记录在 AWS 中 CloudTrail。有关更多信息,请参阅[访问您的日志](https://docs.aws.amazon.com/managedservices/latest/userguide/access-to-logs.html)。
# 模式概述
根据您想要的灵活性和规范性监管组合,使用这些信息来帮助您选择合适的 AWS Managed Services (AMS) 模式来托管应用程序,以实现业务成果。
此信息的目标受众是:
+ 客户团队负责其 landing zone 的策略和治理。这些信息将帮助该团队为AMS管理的着陆区奠定基础,以及他们希望向内部和外部客户提供的AMS模式。
+ 负责将其应用程序迁移到 AMS 的企业和应用程序所有者。这些信息将有助于规划应用程序迁移,并为 migrate/host 其应用程序提供相应的 AMS 模式。请注意,在软件开发生命周期 (SDLC) 生命周期的不同阶段,同一应用程序可以在多个 AMS 模式下托管。
+ AMS 合作伙伴的任务是指导客户选择构建和迁移到 AMS 的不同选项。
这些信息在设置 AMS 托管平台的基础阶段最有用,当你从云采用之旅的基础阶段过渡到迁移阶段时,刚刚完成向 AMS 的入职并专注于应用程序治理和运营。
# AMS 中的模式和账户类型
AWS Managed Services (AMS) 模式可以定义为在每种模式的特定管理框架下与 AMS 服务进行交互的方式。记录了着陆区的区别、多账户着陆区(MALZ)和单账户着陆区(SALZ)。
**注意**
有关应用程序部署和选择正确的 AMS 模式的详细信息,请参阅 [AMS 模式和应用程序或工作负载](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-apps-ug.html)。
有关不同模式的真实用例,请参阅 [AMS 模式的真实世界用例](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-use-cases.html)
下表描述了每个 AMS 服务的模式。
| AMS 功能 | **RFC 模式(以前是标准 CM 模式)/OOD \$1** | 直接更改模式 | AWS Service Catalog | 自助服务配置/开发者模式 | 客户管理 |
| --- | --- | --- | --- | --- | --- |
| 着陆区配置 | MALZ 和 SALZ | MALZ 和 SALZ | MALZ 和 SALZ |
| 变更管理 | 变更计划、查看手动变更和变更记录 | 与 RFC 模式相同,适用于高风险更改,例如 IAM 或安全组 | 无 |
| 记录、监控、防护和事件管理 | 是(支持的资源) | 否 |
| 连续性管理 | 是(支持的资源) | 不适用/否 | 否 |
| 安全管理 | 实例级安全控制和账户级别控制 | 账户级别控制 | AWS 组织级别控制 |
| 补丁管理 | 是 | 不适用/否 | 否 |
| 事件和问题管理 | AMS 支持的资源的响应和解决方案 SLA | 对由此产生的资源做出响应 SLA | 否 |
| 报告 | 是 | 否 |
| 服务请求管理 | 是 | 仅限 Support 请求 | 否 |
**\$1** Operations On Demand (OOD) 为使用 RFC 模式的客户提供了通过专用资源管理变更的服务。有关更多详细信息,请参阅按[需运营产品目录](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html),并咨询您的云服务交付经理 (CSDM)。
**注意**
[AMS 中的自助服务配置模式](self-service-provisioning-section.md)而且两者[AMS 高级开发者模式](developer-mode-section.md)似乎都适合具有植根于原生 AWS 服务的复杂架构的应用程序。在设计工作负载时,您需要根据业务环境在卓越运营和敏捷性之间进行权衡。这是考虑为应用程序选择 SSP 模式或开发者模式的好方法。选择也可能根据应用程序的 SDLC 阶段而变化。例如:当应用程序已做好生产准备时,SSP 模式可能更合适,因为该模式下的 AMS 护栏更加严格。防护措施以预防性控制的形式强制执行,例如基于 RFC 的 IAM 更新和 SCPs 应用程序 OU 级别的变更控制。这些业务决策可以推动您的工程优先事务。您可以进行优化,以提高处于 “预生产” 阶段的应用程序所有者的灵活性,但会牺牲治理和运营支持。
## MALZ 架构和相关的 AMS 模式
AMS 多账户 landing zone (MALZ) 允许您选择在默认组织单位 (OU) 下自动配置应用程序帐户(或资源帐户):客户管理的 OU、托管 OU 或开发 OU。在每个 OU 下创建的应用程序账户中配置的基础架构受这些基础 OU 提供的特定 AMS 模式的约束。通常在同一个应用程序帐户中混合使用两种或多种模式。例如:RFC 模式和 SSP 模式可以共存于 AMS 托管账户中,该账户托管管管道架构,包括用于触发函数的 API Gateway 和 Lambda,以及用于摄取和编排的 EC2、S3 和 SQS。在这种情况下,SSP 模式将适用于 Lambda 和 API Gateway。
图 1 显示了 AMS OUs 中如何通过 “基础” 提供不同的模式。在 AMS 中申请新的应用程序账户时,必须为该账户选择 OU。
MALZ 架构和相关的 AMS 模式
![\[Diagram showing AWS 账户 structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/MALZ-high-level-(Mar2021).png)
AMS 利用 OUs 基于 AWS 最佳实践的基础知识,使用服务控制策略 () SCPs 对账户进行逻辑管理。这是在每个 AMS 模式下强制执行治理框架的一种方式。应用于基础的任何治理和安全护栏(以形式 SCPs) OUs 也会自动应用于基础。 custom/child OUs SCPs 可以要求为孩子提供额外服务 OUs。重要的是要明白,应用程序帐户与模式不同。模式适用于在账户中配置的基础设施,并定义了 AMS 和客户之间的运营责任。
图 1:MALZ 架构和相关的 AMS 模式
![\[Table comparing AMS modes, default governance controls, and support for customer-added controls.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/ams-modes-guardrails-dcm.png)
**注意**
“限制性” 意味着您可以为这些策略申请自定义策略 OUs,这些策略由AMS批准,以确保它们不会干扰AMS提供卓越运营的能力。 case-by-case有关 AMS 护栏的详细列表,请参阅用户指南中的 [AMS Guardrail](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#detective-rules) s。
# AMS 模式和应用程序或工作负载
在选择正确的模式时,请考虑应用程序的运营和管理要求,方法是申请新的应用程序帐户或将应用程序托管在现有应用程序帐户中。为每个应用程序或工作负载选择适当的 AMS 模式取决于以下因素:
+ 环境将提供的 SDLC 生命周期功能类型(例如,包含未经审核更改的沙箱、具有一些频繁更改的 UAT、更改最少且受到严格监管的生产)
+ 所需的治理政策(通过 SCPs OU 级别强制执行)
+ 运营模式(如果您想承担运营责任或想将其外包给AMS)
+ 预期的业务成果,例如在云端运营的时间和运营成本。
**注意**
有关每个 AMS 服务的模式类型的描述,请参阅 AMS [中的模式和账户类型](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-types.html)。
有关不同模式的真实用例,请参阅 [AMS 模式的真实世界用例](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-and-use-cases.html)
下表概述了应用程序所有者在决定最合适的 AMS 模式时需要考虑的关键因素。应用程序所有者应在应用程序迁移之前加入评估阶段,以充分了解哪种模式适用于他们的特定应用程序。示例:对于基于云原生服务或无服务器架构的应用程序,最好的选择可能是在开发人员模式下开始构建和迭代,然后使用 AMS Managed — SSP 模式部署最终的基础设施即代码。在这种情况下,可能需要进行轻度重构,以确保为自动部署创建的任何 CloudFormation 模板都符合 AMS 制定的采集指南。此外,任何 IAM 权限都需要获得 AMS Security 的批准,以确保它们遵循最低权限模式。
为托管应用程序而选择的 AMS 模式可以帮助您朝着所需的云运营模式进行构建。
**注意**
根据为托管应用程序而选择的不同 AMS 模式,单个 AMS 托管着陆区中可以存在多个云运营模式。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/ams-modes-and-apps-ug.html)
**\$1** Operations On Demand (OOD) 为使用标准 CM 模式的客户提供了通过专用资源管理管理其变更的服务。有关更多详细信息,请参阅按[需运营产品目录](https://docs.aws.amazon.com/managedservices/latest/userguide/ood-catalog.html),并咨询您的云服务交付经理 (CSDM)。
**注意**
SSP 模式和开发者模式之间的价格比较假设预配置了相同的 AWS 服务。
将 AMS 模式与业务和 IT 目标进行比较
![\[Comparison of AMS modes showing governance and flexibility against time to operationalize.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/ams-modes-choosing-dcm.png)
如图所示,如果您正在为应用程序寻找高度可控和标准化的监管模式,那么 AMS 管理的标准变更、AWS Service Catalog 或直接变更模式最为合适。如果您需要以应用程序创新为重点的定制治理模型,而无需做好运营准备,请选择客户管理模式。在 Customer Managed 模式下,您可能需要更长的时间才能运行应用程序,因为您有责任建立人员、流程和工具来支持操作功能,例如事件管理、配置管理、配置管理、安全管理、补丁管理等。
# AMS 模式的真实用例
检查这些内容以帮助确定如何使用 AMS 模式。
+ **用例 1,企业必须通过时间敏感的数据中心退出来降低成本**:具有引人注目的业务事件(例如数据中心退出)的企业有兴趣在云上重新托管其本地应用程序。大多数本地库存都包含混合操作系统版本的 Windows 和 Linux 服务器。在这样做的过程中,客户还希望利用迁移到云端所带来的成本节约,并改善其应用程序的技术和安全状况。客户想要快速行动,但尚未具备内部云运营专业知识。客户必须在重构之间找到平衡,在时间紧迫的情况下,过多的重构可能会带来风险。但是,通过一些重构,例如更新操作系统版本和优化数据库,应用程序可以实现更高的性能水平。在此示例中,客户可以选择 AMS 管理的 RFC 模式来重新托管其大部分应用程序。AMS 提供基础设施运营,同时还指导客户运营团队了解在云端安全运营的最佳实践。
AMS 管理的 AWS Service Catalog 和 AMS 管理的 Direct Change 模式为客户提供了额外的灵活性,同时实现了相同的业务成果和目标。此外,客户可以使用 AMS 按需运营 (OOD) 产品让专门的 AMS 运营工程师来优先执行变更请求 (RFCs)。
在将无差别的基础设施运营任务(修补、备份、账户管理等)转移给 AMS 的同时,客户可以继续专注于优化其应用程序,增强内部团队的云运营能力。AMS 每月向客户提供成本节约报告,并就资源优化提出建议。在此用例中,如果客户决定不进行重构的旧操作系统版本(如Windows 2003和2008)上托管了 end-of-life应用程序,则这些应用程序也可以迁移到 AMS 并托管在利用客户管理模式的帐户中。
+ **用例 2,在安全 AMS 边界内使用 Lambda、Glue、Athena 构建数据湖:一家企业希望建立数据湖以满足 AMS** 中多个应用程序的报告需求。客户希望使用 S3 存储桶来存储数据集,并使用 AWS Athena 来查询每个报告的数据集。S3 和 AWS Athena 将部署在单独的 AMS 托管账户中。使用 S3 的账户还有其他服务,例如 Glue、Lambda 和 Step Functions,可用于构建数据摄取管道。在这种情况下,Glue、Lambda、Athena 和 Step Functions 被视为自助配置 (SSP) 服务。客户还在账户中部署了一个充当临时 tooling/scripting 服务器的 EC2 实例。客户首先请求 AMS 在其 AMS 托管账户中启用 SSP 服务。一旦该角色加入客户的联合解决方案,AMS 就会为客户可以担任的每项服务配置一个 IAM 角色。为便于管理,客户还可以将各个 IAM 角色的策略合并到一个自定义角色中,从而无需在 AWS 服务之间切换角色。在账户中启用该角色后,客户就可以根据自己的要求配置服务。但是,客户必须使用 AMS 变更管理系统来申请额外权限,具体取决于他们的用例。
例如,要访问 Glue Crawlers,Glue 需要额外的权限。还需要其他权限才能为 Lambda 创建事件源。客户将与 AMS 合作更新 IAM 角色,以允许 Athena 跨账户访问查询 S3 存储桶。还需要通过 AMS 变更管理更新服务角色或服务相关角色,让 Lambda 调用 Step Functions 服务,Glue 才能读取和写入所有 S3 存储桶。AMS 与客户合作,确保遵循最低权限访问模式,并且请求的 IAM 更改不会过于宽松,从而使环境面临不必要的风险。客户的数据湖团队花时间规划特定于客户架构的服务所需的所有 IAM 权限,并请求 AMS 启用这些权限。这是因为所有 IAM 更改都是手动处理的,并经过 AMS 安全团队的审查。应用程序部署计划中应考虑处理这些请求所需的时间。
由于 SSP 服务已在账户中运行,因此客户可以通过 AMS 事件管理和服务请求请求支持和报告问题。但是,AMS 不会主动监控 Lambda 的性能和并发指标,也不会主动监控 Glue 的作业指标。客户有责任确保为 SSP 服务启用适当的日志记录和监控。账户中的 EC2 实例和 S3 存储桶完全由 AMS 管理。
+ **用例 3,在 AMS 中快速灵活地设置 CICD 部署管道**:一位客户希望建立一个基于 Jenkins 的 CICD 管道,以便将代码管道部署到 AMS 中的所有应用程序帐户。客户可能会发现最适合在 AMS 管理的 Direct Change 模式 (DCM) 或 AMS 管理的开发者模式下托管此 CICD 管道,因为它使他们能够灵活地设置 Jenkins 服务器,开启所需的自定义配置 EC2,拥有所需的 IAM 访问权限 CloudFormation 和托管工件存储库的 S3 存储桶。虽然这也可以在 AMS 管理的 RFC 模式下完成,但客户团队需要为 IAM 角色创建多个手册 RFCs ,以迭代许可程度最低的已批准权限集,这些权限由 AMS 手动审核。DCM 允许客户在 AWS 上实现运营目标,同时在使用 AMS 管理的 RFC 模式时,无需为 IAM 角色创建多个手册 RFCs 来迭代许可性最低的已批准权限集,这些权限由 AMS 手动审核。要提高 AMS 流程和工具,客户需要时间和教育。使用开发人员模式,客户可以从 “开发人员角色” 开始,使用原生 AWS 配置基础设施 APIs。设置此管道的最快、最灵活的方法是使用 AMS 托管开发者模式。开发人员模式提供了最快、最简单的方法,同时影响了操作集成,而 DCM 不那么灵活,但提供的操作支持级别与 RFC 模式相同。
+ **用例 4,AMS 基金会内部的定制运营模式**:客户正在考虑最后期限驱动的数据中心退出,他们的一个企业应用程序完全由第三方 MSP 管理,包括应用程序运营和基础设施运营。假设客户没有时间在计划中重构此应用程序以使其可以由 AMS 运行,那么客户管理模式是一个合适的选择。客户可以利用 AMS 管理的着陆区的自动快速设置。他们可以利用集中式账户管理,通过集中式网络账户控制账户销售和连接。它还通过AMS Payer账户合并所有客户管理账户的费用,从而简化了他们的账单。客户可以灵活地设置定制的访问管理模式,将 MSP 与 AMS 托管账户使用的标准访问管理分开。这样,使用客户管理模式,他们可以设置 AMS 托管环境,同时满足腾出本地环境的业务需求。在这种情况下,如果客户还有要迁移到云端的基于Windows的应用程序,并选择将其迁移到客户管理的帐户,则客户负责创建云运营模式。这可能很复杂、昂贵且耗时,具体取决于客户转变传统 IT 流程和培训人员的能力。通过将此类工作负载 “转移并转移” 到 AMS 托管账户,并将基础设施运营转移给 AMS,客户可以节省时间和成本。
**注意**
客户有时可能会觉得有必要在 RFC 或 SSP 模式的治理框架和开发者模式之间转移应用程序帐户。例如,作为初始迁移和轮班迁移的一部分,客户可能以 AMS 管理模式托管应用程序,但随着时间的推移,客户希望重写该应用程序以针对云原生 AWS 服务对其进行优化。他们可以将预生产账户的模式从 AMS 管理的 RFC 更改为 AMS 管理的开发者模式,从而为他们提供配置基础设施的灵活性和敏捷性。但是,一旦使用 “开发人员角色” 对基础设施配置进行了更改,就无法将相同的基础设施移回 AMS 管理的 RFC 模式。这是因为 AMS 无法保证在 AMS 变更管理系统之外配置的基础设施的运行。客户可能需要创建一个提供 AMS 管理的 RFC 模式的新应用程序账户,然后通过 CloudFormation 模板或自定义 AMIs 采集到 AMS 管理的账户中重新部署 “优化” 的基础架构配置。这是部署生产就绪配置的简洁方法。部署后,该应用程序将处于规范性的 AMS 管理和运营之下。这同样适用于在客户管理模式和 AMS 管理模式之间切换模式。
# RFC 模式
RFC 模式是 AMS 高级运营计划客户的默认模式。它包括一个变更管理系统,其中包含变更请求或, RFCs 以及用于请求对账户进行所需添加或更改的变更类型目录。此变更管理系统在限制谁可以更改您的帐户方面提供一定程度的安全性。
有关 AMS 高级更改类型的详细信息,请参阅[什么是 AMS 更改类型?](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html) 。
有关加入 AMS Advanced 的详细信息,请参阅 [AWS Managed Services 入门](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html)简介。
有关更改类型示例演练,请参阅 “[按分类划分的 *AMS 高级更改类型参考变更类型” 部分中相关变更类型*的](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html) “其他信息” 部分。
**注意**
RFC 模式以前被称为 “变更管理模式” 或 “标准 CM 模式”。
**Topics**
+ [了解有关 RFCs](ex-rfc-works.md)
+ [什么是变更类型?](understanding-cts.md)
+ [对 AMS 中的 RFC 错误进行故障排除](rfc-troubleshoot.md)
# 了解有关 RFCs
变更请求或 RFCs以双重方式起作用。首先,RFC 本身需要一些参数。这些是 `CreateRfc` API 中的选项。其次,RFC 的操作需要参数(执行参数)。要了解这些`CreateRfc`选项,请参阅《*AMS API 参考*》的[CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)部分。这些选项通常显示在 “创建 RFC” 页面的 “**其他配置**” 区域中。
您可以使用 `CreateRfc` API、`aws amscm create-rfc` CLI 或使用 AMS 控制台创建 RFC 页面创建和提交 RFC。有关创建 RFC 的教程,请参阅[创建 RFC](ex-rfc-create-col.md)。
**Topics**
+ [什么是 RFCs?](what-r-rfcs.md)
+ [使用 AMS API/CLI 时进行身份验证](ex-rfc-authentication.md)
+ [了解 RFC 安全评论](rfc-security.md)
+ [了解 RFC 变更类型分类](ex-rfc-csio.md)
+ [了解 RFC 操作和活动状态](ex-rfc-action-state.md)
+ [了解 RFC 状态码](ex-rfc-status-codes.md)
+ [了解 RFC 更新 CTs 和 CloudFormation 模板偏差检测](ex-rfc-updates-and-dd.md)
+ [日程安排 RFCs](ex-rfc-scheduling.md)
+ [批准或拒绝 RFCs](ex-rfc-approvals.md)
+ [申请 RFC 限制运行期](ex-rfc-restrict-execute.md)
+ [创建、克隆、更新、查找和取消 RFCs](ex-rfc-use-examples.md)
+ [将 AMS 控制台与 RFCs](ex-rfc-gui.md)
+ [了解常用 RFC 参数](rfc-common-params.md)
+ [注册 RFC 每日电子邮件](rfc-digest.md)
# 什么是 RFCs?
变更请求(RFC)是指您如何在 AMS 管理的环境中进行更改,或者让 AMS 代表您进行更改。要创建 RFC,您可以从 AMS 更改类型中进行选择,选择 RFC 参数(例如计划),然后使用 AMS 控制台或 API 命令[CreateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)提交请求。[SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html)
RFC 包含两个规范,一个用于 RFC 本身,另一个用于变更类型 (CT) 参数。在命令行中,您可以使用内联 RFC 命令或 JSON 格式的标准 CreateRfc 模板,该模板与您创建的 CT JSON 架构文件(基于 CT 参数)一起填写并提交。CT 名称是 CT 的非正式描述。CSIO(类别、子类别、项目、操作)是对 CT 的更正式的描述。创建 RFC 时只需要指定 CT ID。
RFCs 经历两个关键阶段:验证和执行。
1. 在验证阶段,AMS 会审查 RFC 请求的完整性和正确性。AMS 还会根据我们的安全[技术标准对安全](rfc-security.md#rfc-security.title)请求进行评估。AMS 会验证所请求的更改是否有效且可执行。
1. 在执行阶段,AMS 会尝试对您的账户进行所请求的更改。
AMS 通过自动化流程、手动流程或两者的组合来处理这两个阶段。手动流程由 AMS 运营团队处理。有关更多信息,请参阅 [自动和手动 CTs](ug-automated-or-manual.md)。
AMS 提供三种处理请求的执行模式:
+ **(推荐 AMS)执行模式:自动**。它们 CTs 使用自动化进行 RFC 验证和执行,这是实现业务成果的最快方法。
+ **(AMS 建议)执行模式:手动和指定:托管自动化**。它们结合 CTs 使用自动和手动流程进行 RFC 验证和执行。如果自动化无法执行您请求的更改,则将 RFC(通过自动路由或创建替换 RFC)移交给 AMS 运营团队进行手动处理。提交这些文件 CTs 可以更有条理地接收您的请求,并辅之以AMS自动化,以改善处理和执行结果的时间框架。
+ **执行模式:手动和指定:需要审核**。通过 [ct-1e1xtak34nx76 Management \$1 其他 \$1 其他 \$1 更新(需要审查)或 c [t-0xdawir96c](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-create-review-required.html) y7k 管理 \$1 其他 \$1 其他 \$1 创建(需要审阅)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-other-other-update-review-required.html)请求的更改。它们 CTs 依赖手动处理来进行验证和执行。这取决于 CTs 对变更请求的人工解释。
当更改成功完成(成功)或未成功(失败)时,AMS 会通知您。
**注意**
有关排除 RFC 故障的信息,请参阅[对 AMS 中的 RFC 错误进行故障排除](rfc-troubleshoot.md)。
下图描述了您提交的 RFC 的工作流程。
![\[客户提交的 RFC 的工作流程。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/requestForChange-v5g.png)
# 使用 AMS API/CLI 时进行身份验证
使用 AMS API/CLI 时,必须使用临时证书进行身份验证。要为联合用户申请临时安全证书,请使用 cal、[ GetFederationToken[AssumeRole](https://docs.aws.amazon.com/STS/latest/UsingSTS/sts_delegate.html)](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html)、[AssumeRoleWithSAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithsaml) 或 [ AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerolewithwebidentity)AWS 安全令牌服务 (STS) APIs。
常见的选择是 SAML。设置完成后,您可以为所调用的每个操作添加一个参数。例如:`aws --profile saml amscm list-change-type-categories`。
SAML 2.0 配置文件的一个快捷方式是在每个 API/CLI 配置文件的开头设置配置文件变量`set AWS_DEFAULT_PROFILE=saml`(对于 Windows;对于 Linux 则是这样`export AWS_DEFAULT_PROFILE=saml`)。有关设置 CLI 环境变量的信息,请参阅[配置 AWS 命令行界面,环境变量](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-environment)。
# 了解 RFC 安全评论
AWS Managed Services (AMS) 变更管理批准流程可确保我们对您的账户中所做的更改进行安全审查。
AMS 根据 AMS 技术标准评估所有变更请求 (RFCs)。任何可能因偏离技术标准而降低账户安全状况的变更都要经过安全审查。在安全审查期间,AMS 会重点介绍相关风险,如果存在高或非常高的安全风险,则您的授权安全人员会接受或拒绝 RFC。还对所有变化进行评估,以评估对AMS运营能力的不利影响。如果发现潜在的不利影响,则需要在AMS内部进行额外的审查和批准。
## AMS 技术标准
AMS 技术标准定义了最低安全标准、配置和流程,以建立账户的基本安全性。AMS 和您都必须遵守这些标准。
任何可能因偏离技术标准而可能降低您账户安全状况的变更都要经过风险接受流程,AMS会强调相关风险,并由您的授权安全人员接受或拒绝。还要对所有这些变化进行评估,以评估是否会对AMS的账户运营能力产生任何不利影响,如果是,则需要在AMS内部进行额外的审查和批准。
## RFC 客户安全风险管理 (CSRM) 流程
当您的组织中的某人请求更改您的托管环境时,AMS 会审查更改,以确定该请求是否会超出技术标准,从而恶化您账户的安全状况。如果请求确实降低了账户的安全状况,AMS 会将相关风险通知您的安全团队联系人并执行变更;或者,如果变更给环境带来了高或非常高的安全风险,AMS 将以风险接受的形式寻求您的安全团队联系人的明确批准(详见下文)。AMS 客户风险接受流程旨在:
+ 确保清楚地识别风险并将其传达给正确的所有者
+ 将已识别的环境风险降至最低
+ 获得并记录了解贵组织风险状况的指定安全联系人的批准
+ 减少已识别风险的持续运营开销
## 如何获得技术标准以及高风险或非常高的风险
我们已将 AMS 技术标准文档[https://console.aws.amazon.com/artifact/](https://console.aws.amazon.com/artifact/)作为报告提供给您参考。在提交变更申请 (RFC) 之前,请使用 AMS 技术标准文档,了解变更是否需要您的授权安全联系人接受风险。
使用默认值登录后,在 “报告” 选项卡搜索栏中搜索 “AWS Managed Services (AMS) 技术标准”,即可找到技术标准 AWS Artifact **报告**AWSManagedServicesChangeManagementRole****。
**注意**
单账户 landing zone 中的 Customer\$1 ReadOnly \$1Role 可以访问 AMS 技术标准文档。在多账户 landing zone 中,安全管理员 AWSManagedServicesChangeManagementRole 使用和应用团队 AWSManagedServicesAdminRole 使用的登录区域可用于访问文档。如果您的团队使用自定义角色,请创建一个 Other \$1 Other RFC 来请求访问权限,我们将更新指定的自定义角色。
# 了解 RFC 变更类型分类
您在提交 RFC 时使用的变更类型分为两大类:
+ **部署**:此分类用于创建资源。
+ **管理**:此分类用于更新或删除资源。**管理**类别还包含访问实例、加密或共享以及启动、停止 AMIs、重启或删除堆栈的更改类型。
# 了解 RFC 操作和活动状态
`RfcActionState`(API)/**活动状态**(控制台)可帮助您了解 RFC 上人为干预或操作的状态。主要用于手动 RFCs,`RfcActionState`可帮助您了解您或 AMS 运营部门何时需要采取行动,并帮助您了解 AMS 运营部门何时正在积极处理您的 RFC。这提高了 RFC 在其生命周期中所采取行动的透明度。
`RfcActionState`(API)/**活动状态**(控制台)定义:
+ **AwsOperatorAssigned**: AWS 运营商正在积极处理您的 RFC。
+ **AwsActionPending**:预计 AWS 会做出回应或采取行动。
+ **CustomerActionPending**: 预计客户会做出回应或采取行动。
+ **NoActionPending**:AWS 或客户均无需采取任何行动。
+ **NotApplicable**:此状态不能由 AWS 运营商或客户设置,只能用于 RFCs 在此功能发布之前创建的状态。
RFC 操作状态会有所不同,具体取决于提交的变更类型是否需要人工审核以及是否将计划设置为 “**尽快**”。
+ 在审核、批准和启动具有延迟计划的手动变更类型期间 RFC **ActionState**更改:
+ 在您提交手册、预定的 RFC 后,**ActionState**系统会自动更改**AwsActionPending**为,表示操作员需要审核和批准 RFC。
+ 当操作员开始积极审查您的 RFC 时,**ActionState**更改为。**AwsOperatorAssigned**
+ 当运营商批准您的 RFC 后,RFC 状态将更改为 “已计划”,并**ActionState**自动更改为。**NoActionPending**
+ 到达 RFC 的预定开始时间后,RFC 状态将更改为 **InProgress**,并**ActionState**自动更改为,表示**AwsActionPending**需要指派一名操作员来审查 RFC。
+ 当操作员开始主动运行 RFC 时,他们会将其更改**ActionState**为。**AwsOperatorAssigned**
+ 完成后,操作员将关闭 RFC。这会自动将更改**ActionState**为**NoActionPending**。
![\[在审阅、批准和启动具有延迟排程的手动变更类型期间 RFC ActionState的更改\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/actionStateRfc.png)
**重要**
您无法设置操作状态。它们要么根据 RFC 中的更改自动设置,要么由 AMS 操作员手动设置。
如果您向 RFC 添加信件,则会自动设置为。**ActionState**AwsActionPending****
创建 RFC 时,会**ActionState**自动设置为。**NoActionPending**
提交 RFC 后,会**ActionState**自动设置为。**AwsActionPending**
当 RFC 被拒绝、已取消或已完成且状态为 “成功” 或 “失败” 时,会自动重置**ActionState**为**NoActionPending**。
自动和手动操作状态均启用 RFCs,但手动操作状态最重要, RFCs 因为这些类型的操作 RFCs 通常需要通信。
# 查看 RFC 操作状态用例示例
**用例:手动 RFC 流程的可见性**
+ 提交手动 RFC 后,RFC 操作状态会自动更改为`AwsActionPending`,表示操作员需要审核和批准 RFC。当操作员开始积极查看您的 RFC 时,RFC 操作状态将更改为。`AwsOperatorAssigned`
+ 以手动 RFC 为例,该手动 RFC 已获得批准并已安排好开始运行。一旦 RFC 状态更改为`InProgress`,RFC 操作状态就会自动更改为。`AwsActionPending``AwsOperatorAssigned`当操作员开始积极运行 RFC 时,它将再次更改为。
+ 手动 RFC 完成后(以 “成功” 或 “失败” 的形式关闭),RFC 操作状态将`NoActionPending`更改为,表示客户或操作员无需采取进一步的行动。
**用例:RFC 通信**
+ 如果是手动 RFC`Pending Approval`,AMS 操作员可能需要您提供更多信息。运营商将向 RFC 发布信件,并将 RFC 操作状态更改为。`CustomerActionPending`当您通过添加新的 RFC 通信来回应时,RFC 操作状态会自动更改为。`AwsActionPending`
+ 当自动或手动 RFC 失败时,您可以在 RFC 详细信息中添加对应信息,询问 AMS 操作员 RFC 失败的原因。添加信件后,RFC 操作状态将自动设置为。`AwsActionPending`当 AMS 操作员拿起 RFC 查看您的信件时,RFC 操作状态将更改为。`AwsOperatorAssigned`当操作员通过添加新的 RFC 通信来做出回应时,RFC 操作状态可以设置为`CustomerActionPending`,表示预期的客户还有另一个回应,或者设置为`NoActionPending`,表示不需要或预计客户不需要或预计不需要任何回应。
# 了解 RFC 状态码
RFC 状态代码可帮助您跟踪您的请求。在 RFC 运行期间,您可以在 CLI 输出中观察这些状态代码,也可以通过刷新控制台中的 RFC 列表页面来观察这些状态代码。
您还可以在该 RFC 的详细信息页面上查看 RFC 的代码,可能如下所示:
![\[RFC 状态码。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/guiRfcStatusCodes.png)
你可能会在列表中看到一个你没有提交的 RFC。当 AMS 操作员使用仅限内部的 CT 时,他们会在 RFC 中提交并显示在您的 RFC 列表中。有关更多信息,请参阅 [仅限内部的变更类型](ct-internals.md)。
**重要**
您可以请求 RFC 状态变更通知。有关详细信息,请参阅 [RFC 状态更改通知](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)。
**RFC 状态码**
| 成功 | Failure |
| --- | --- |
| 编辑:RFC 已创建但尚未提交 PendingApproval /已提交:RFC 已提交,系统正在确定是否需要批准,并在需要时获得批准 AWS 批准/客户批准:RFC 已获得批准。自动 RFCs 由 AWS 批准,手动 RFCs 由操作员批准,有时还需要客户批准 已计划:RFC 已通过语法和要求检查并计划运行 InProgress: RFC 正在运行, RFCs 请注意,配置多个资源或长期运行 UserData,需要更长的时间才能运行 已执行:RFC 已运行 成功/成功:RFC 已成功完成 | 已拒绝: RFCs 通常因为验证失败而被拒绝;例如,指定了不可用的资源,即子网 已取消: RFCs 之所以取消,通常是因为它们在配置的开始时间过去之前未通过验证 失败:RFC 已失败;有关失败原因,请参阅输出 StatusReason 中的,AMS 操作会自动创建故障单并根据需要与您沟通 |
**注意**
取消或拒绝 RFCs 可使用重新提交 [UpdateRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRfc.html);另[更新 RFCs](ex-update-rfcs.md)请参阅。
如果 RFC 通过了所有必要条件(例如,指定了所有必需的参数),则状态将更改为`PendingApproval`(即使是自动也 CTs 需要批准,如果语法和参数检查通过,则会自动进行审批)。如果未通过,则状态将更改为`Rejected`。`StatusReason`提供有关拒绝的信息;`ExecutionOutput`字段提供有关批准和完成的信息。错误代码包括:
+ InvalidRfcStateException: RFC 的状态不允许执行被调用的操作。例如,如果 RFC 已变为 “已提交” 状态,则无法再对其进行修改。
+ InvalidRfcScheduleException: StartTime EndTime、或 TimeoutInMinutes 参数被破坏。
+ InternalServerError: 系统遇到了问题。
+ InvalidArgumentException:参数指定不正确;例如,使用了不可接受的值。
+ ResourceNotFoundException: 找不到堆栈 ID 等值。
如果计划请求的开始和结束时间(也称为变更运行窗口)发生在更改获得批准之前,RFC 状态将`Canceled`更改为。如果更改获得批准,则 RFC 状态将`Scheduled`更改为。ASAP 的变更运行窗口 RFCs 是提交时间加上 CT 的`ExpectedExecutionDuration`值。
在变更运行窗口到来之前的任何时候,都可以修改或取消计划变更(`RequestedStartTime`在 CLI 中使用提交)。如果计划更改被修改,则必须重新提交。
当更改开始时间(计划或尽快)到来且批准完成后,状态将更改为,无法进行任何修改。`InProgress`如果更改在指定的变更运行窗口内完成,则状态将更改为`Success`。如果更改的任何部分失败,或者变更运行窗口结束时更改仍在进行中,则状态将更改为`Failure`。
**注意**
在`InProgress``Success`、或`Failure`更改状态期间,无法修改或取消 RFC。
下图说明了从 CreaterFC 调用到解析的 RFC 状态。
![\[从 CreaterFC 调用到解析的 RFC 状态。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/RfcStateFlow2.png)
# 了解 RFC 更新 CTs 和 CloudFormation 模板偏差检测
在 AMS 中配置的资源使用修改后的 CloudFormation 模板。如果资源的参数通过服务的 AWS 管理控制台直接更改,则该资源的 CloudFormation 创建记录将不同步。如果发生这种情况,并且您尝试使用 AMS 更新更改类型来更新 AMS 中的资源,则 AMS 将引用原始资源配置并可能重置更改的参数。此重置可能会造成损害,因此,如果检测到任何额外的 AMS 配置更改,AMS 将不允许 RFCs 更新更改类型。
要查看更新更改类型的列表,请使用控制台筛选器。
## 漂移补救 FAQs
有关 AMS 漂移补救的问题和答案。您可以使用两种更改类型来启动偏差补救,一种是执行模式=手动或 “托管自动化”,另一种是执行模式=自动。
### 支持漂移修复的资源 (ct-3kinq0u4l33zf)
这些是漂移修复更改类型 (ct-3kinq0u4l33zf) 支持的资源。 要修复任何资源,请改用 “托管自动化” (ct-34sxfo53yuzah) 更改类型。
```
AWS::EC2::Instance
AWS::EC2::SecurityGroup
AWS::EC2::VPC
AWS::EC2::Subnet
AWS::EC2::NetworkInterface
AWS::EC2::EIP
AWS::EC2::InternetGateway
AWS::EC2::NatGateway
AWS::EC2::NetworkAcl
AWS::EC2::RouteTable
AWS::EC2::Volume
AWS::AutoScaling::AutoScalingGroup
AWS::AutoScaling::LaunchConfiguration
AWS::AutoScaling::LifecycleHook
AWS::AutoScaling::ScalingPolicy
AWS::AutoScaling::ScheduledAction
AWS::ElasticLoadBalancing::LoadBalancer
AWS::ElasticLoadBalancingV2::Listener
AWS::ElasticLoadBalancingV2::ListenerRule
AWS::ElasticLoadBalancingV2::LoadBalancer
AWS::CloudWatch::Alarm
```
### 漂移补救更改类型
有关使用 AMS 漂移补救变更类型的问题与解答。
有关漂移修复功能支持的资源列表,请参阅[支持漂移修复的资源 (ct-3kinq0u4l33zf)](#drift-remeditate-faqs-sr)。
**重要**
漂移修复会修改堆栈模板 and/or 参数,并且必须更新您的本地模板存储库或任何正在更新这些堆栈的自动化以使用最新的堆栈模板和参数。使用旧模板 and/or 参数而不进行同步可能会导致底层资源发生破坏性更改。
无托管自动化、自动化、CT(ct-3kinq0u4l33zf)每个 RFC 仅支持修复 10 个资源。要在 10 个批次中修复剩余的资源,请创建新的资源, RFCs 直到所有资源都已修复。
我应该使用哪种漂移补救更改类型?
我们建议在以下情况下使用**无托管自动化**、自动 CT (ct-3kinq0u4l33zf):
+ 您尝试使用自动 CT 对现有堆栈资源执行更新,但 RFC 按堆栈原样被拒绝。`DRIFTED`
+ 你过去使用过 Update CT,但由于堆栈已漂移,它失败了。您无需再次尝试更新,可以改用托管自动化、手动、CT。
我们建议仅当漂移补救不支持漂移资源类型没有**托管自动化、自动化**、CT(ct-3kinq0u4l33zf),或者漂移补救没有托管自动化、自动化、CT(ct-3kinq0u4l33zf),或者漂移补救没有托管自动化、自动化、CT 失败时,才使用托管自动化、手动 CT(ct-34sxfo53yuzah)。
修复期间对堆栈进行了哪些更改?
修复需要更新堆栈模板 and/or 参数,具体取决于偏移的属性。修复还会在修复期间更新堆栈的堆栈策略,并在修复完成后将堆栈策略恢复到之前的值。
我们怎样才能看到对堆栈模板 and/or 参数所做的更改?
在对 RFC 的回复中,提供了包含以下信息的变更摘要:
+ `ChangeSummaryJson`:包含作为偏差补救一部分的堆栈模板 and/or 参数的更改摘要。补救分多个阶段执行。此变更摘要包含各个阶段的更改。如果修复成功,请检查最后一个阶段的更改。有关按顺序执行的阶段,请参阅 ExecutionPlan JSON 中的。例如,存在时 RestoreReferences 段总是在最后执行,并且包含用于修复后更改的 JSON。如果在 DryRun 模式下运行修复,则这些更改都不会应用于堆栈。
+ `PreRemediationStackTemplateAndConfigurationJson`:包含在 CloudFormation 堆栈上触发修复 StackPolicyBody 之前的堆栈配置快照,包括模板、参数、输出。
执行修复后我需要做什么?
您需要使用 RFC 摘要中提供的最新模板和参数来更新本地模板存储库或任何将更新已修复堆栈的自动化。这样做非常重要,因为使用旧的模板 and/or 参数可能会对堆栈资源造成进一步的破坏性更改。
在此补救期间,我的应用程序会受到影响吗?
补救是一个离线过程,只能在 CloudFormation 堆栈配置上执行。不对底层资源执行任何更新。
修复后,我能否继续使用管理 \$1 其他 \$1 其他 RFCs 来更新资源?
我们建议您始终使用可用的自动更新来更新堆栈资源 CTs。如果可用的更新 CTs 不支持您的用例,请使用管理 \$1 其他 \$1 其他请求。
修复是否会在堆栈中创建任何新资源?
修复不会在堆栈中创建任何新资源。但是,修复会创建新的输出并更新堆栈模板[元数据](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/metadata-section-structure.html)部分以存储修复摘要供您参考。
补救总是成功吗?
修复需要仔细分析和验证模板配置,以确定是否可以执行。在这些验证失败的情况下,修复过程将停止,并且不会对堆栈模板或参数进行任何更改。此外,只能对支持的资源类型执行修复。
如果修复不成功,如何更新堆栈资源?
你可以使用 “管理 \$1 其他 \$1 其他 \$1 更新 CT” (ct-0xdawir96cy7k) 来请求更改。AMS 对此类情况进行监控,并努力改进补救解决方案。
我能否修复同时具有受支持和不支持的资源类型的堆栈?
可以。但是,只有在堆栈中发现支持的资源类型存在漂移时,才会执行修复。如果有任何不受支持的资源类型为 DRIFTED,则修复不会继续。
我能否请求对通过非 CFN Ingest 创建的堆栈进行补救? CTs
可以。无论用于创建堆栈的更改类型如何,都可以对堆栈执行修复。
我能否知道在补救之前会对堆栈执行哪些更改?
可以。两种更改类型都提供了一个**DryRun**选项,您可以使用该选项来请求在堆栈修复后将要执行的更改。但是,最终的补救更改可能会有所不同,具体取决于补救时堆栈上存在的偏差。
# 日程安排 RFCs
日**程安排**功能允许您选择的开始时间 RFCs。“**日程安排**” 功能中提供了以下选项:
+ **尽快执行此更改**:AMS 一经批准,就会立即运行 RFC。大多数 CTs 都是自动批准的。如果不希望 RFC 在特定时间启动,请使用此选项。
+ **安排此更改**:设置 RFC 运行的日期、时间和时区。对于自动变更类型,最佳做法是在计划提交 RFC 后至少 10 分钟后申请开始时间。对于托管自动化变更类型,您需要在计划提交 RFC 后至少 24 小时内申请开始时间。如果 RFC 在配置的开始时间之前未获得批准,则 RFC 将被拒绝。
## 设置 RFC 时间表
要安排 RFC,请使用以下方法之一:
**尽快执行此更改**:
+ 主机:什么都不做。这使用默认的 RFC 时间表。
+ API 或 CLI:删除 “创建 RFC” 操作中的`RequestedStartTime`和`RequestedEndTime`选项。
如果在提交后的三十天内未获得批准,**ASAP** “托管自动化” RFCs 将被自动拒绝。
**安排此更改**:
+ 控制台:选择 “**安排此更改**” 单选按钮。将打开 **“开始时间**” 区域。手动输入日期或使用日历控件选择日期。输入以 ISO 8601 格式表示的 UTC 时间,然后使用下拉列表选择地点。默认情况下,AMS 使用 ISO 8601 格式 YYYYMMDDThhmmss Z 或:mm: ss YYYY-MM-DDThh z,这两种格式都被接受。
**注意**
**默认结束时间**是从您输入的**开始时间算起** 4 小时。要将计划更改的**结束时间**设置为 4 小时以上,请使用 API 或 CLI 运行更改。
+ API 或 CLI:在 “创建 RFC” 操作中提交`RequestedStartTime`和`RequestedEndTime`参数的值。传递配置`RequestedEndTime`并不能停止已经启动的自动更改类型的运行。对于 “托管自动化” 变更类型,如果在 AMS 运营研究仍在进行期间达到,并且您正在与 AMS 沟通,则可以申请延期,或者可能会要求您重新提交 RFC。`RequestedEndTime`
**提示**
有关世界标准时间读数的示例,请参阅 Time-is 网站上的 [UTC](https://time.is/UTC)。**下午 2 点 20 分 date/time 值为 2016-12-05 的 ISO 8601 格式示例:**2016-12-05T14:20:00 Z 或 20161205T142000Z**。**
如果你提供...
+ 只有 a`RequestedStartTime`,RFC 被视为已定时`RequestedEndTime`的,并使用该`ExecutionDurationInMinutes`值填充。
+ 只有 a`RequestedEndTime`,我们扔一个 InvalidArgumentException。
+ 两者`RequestedStartTime`兼而有之`RequestedEndTime`,我们`RequestedEndTime`用指定的开始时间加上该`ExecutionDurationInMinutes`值覆盖。
+ `RequestedStartTime`也不是`RequestedEndTime`,我们将这些值保留为空,并且 RFC 被视为 ASAP RFC。
**注意**
对于所有已安排的时间 RFCs,将未指定的结束时间写成指定的时间`RequestedStartTime`加上已提交的更改类型的`ExpectedExecutionDurationInMinutes`属性。例如,如果`ExpectedExecutionDurationInMinutes`为 “60”(分钟),指定`RequestedStartTime`为`2016-12-05T14:20:00Z`(2016 年 12 月 5 日凌晨 4:20),则实际结束时间将设置为 2016 年 12 月 5 日凌晨 5:20。要查找`ExpectedExecutionDurationInMinutes`特定更改类型的,请运行以下命令:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
## 使用 RFC 优先级选项
使用`execution mode = manual`变更类型中的 “**优先级**” 选项提醒 AMS 运营部门注意请求的紧迫性。
**优先级**选项位于`execution mode = manual`:
将手动 RFC 的优先级指定为**高**、**中**或**低**。 RFCs **在 RFC 服务级别目标 (SLOs) 及其提交时间的前提下,在 RFCs 归类为 “**中**” 之前要经过审核和批准。** RFCs 如果指定了**低**优先级或未指定优先级,则按提交顺序进行处理。
# 批准或拒绝 RFCs
RFCs 提交时需要批准(手动) CTs 必须获得您或 AMS 的批准。系统会自动处理预先批准 CTs 。有关更多信息,请参阅 [CT 批准要求](constrained-unconstrained-ctis.md)。
**注意**
手动使用时 CTs,AMS 建议您使用 “尽快**安排**” 选项(在控制台中选择 “尽快”,在 **AP** I/CLI 中将开始和结束时间留空),因为这些选项 CTs 要求 AMS 操作员检查 RFC,并可能在批准和运行之前与您沟通。如果您安排这些活动 RFCs,请务必留出至少 24 小时的时间。如果在预定开始时间之前未获得批准,RFC 将被自动拒绝。
如果 AMS 成功提交了需要批准的 RFC,则必须得到您的明确批准。或者,如果您提交需要批准的 RFC,则必须获得 AMS 的批准。如果您需要批准 AMS 提交的 RFC,则会向您发送电子邮件或其他预先确定的通信,请求批准。通信包括 RFC ID。发送通信后,请执行以下任一操作:
+ 控制台批准或拒绝:使用 RFC 详细信息页面查看相关 RFC:
![\[RFC 详细信息页面。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/AMS_Console-App-Rej.png)
+ API/CLI 批准:将更改[ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html)标记为已批准。如果所有者和操作者都需要,则必须同时采取行动。以下是 CLI 批准命令的示例。在以下示例中,将 RFC\$1ID 替换为相应的 RFC ID。
```
aws amscm approve-rfc --rfc-id RFC_ID
```
+ API/CLI 拒绝:将更改[RejectRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_RejectRfc.html)标记为已拒绝。以下是 CLI 拒绝命令的示例。在以下示例中,将 RFC\$1ID 替换为相应的 RFC ID。
```
aws amscm reject-rfc --rfc-id RFC_ID --reason "no longer relevant"
```
# 申请 RFC 限制运行期
以前称为封锁日,您可以请求限制某些时间段。在这段时间内无法进行任何更改。
要设置限制运行时段,请使用 [UpdateRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_UpdateRestrictedExecutionTimes.html)API 操作并以 UTC 为单位设置特定的时间段。您指定的时间段会覆盖之前指定的任何时段。如果您在指定的受限运行时间内提交 RFC,则提交失败并显示错误 “RFC 计划无效”。您最多可以指定 200 个受限时间段。默认情况下,未设置限制期限。以下是请求命令示例(配置了 SAML 身份验证):
```
aws amscm --profile saml update-restricted-execution-times --restricted-execution-times="[{\"TimeRange\":{\"StartTime\":\"2018-01-01T12:00:00Z\",\"EndTime\":\"2018-01-01T12:00:01Z\"}}]"
```
您也可以通过运行 [ListRestrictedExecutionTimes](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRestrictedExecutionTimes.html)API 操作来查看当前 RestrictedExecutionTimes 设置。示例:
```
aws amscm --profile saml list-restricted-execution-times
```
如果您想在指定的受限执行时间内提交 RFC,请添加值为的 **OverrideRestrictedTimeRanges**,然后像往常一样提交 RFC。**RestrictedExecutionTimesOverrideId**最佳做法是仅将此方法用于关键或紧急 RFC。有关更多信息,请参阅的 API 参考[SubmitRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_SubmitRfc.html)。
# 创建、克隆、更新、查找和取消 RFCs
以下示例将引导您完成各种 RFC 操作。
**Topics**
+ [创建 RFC](ex-rfc-create-col.md)
+ [使用 AMS 控制台进行克隆 RFCs (重新创建)](ex-clone-rfcs.md)
+ [更新 RFCs](ex-update-rfcs.md)
+ [查找 RFCs](ex-rfc-find-col.md)
+ [取消 RFCs](ex-cancel-rfcs.md)
# 创建 RFC
## 使用控制台创建 RFC
以下是 AMS 控制台中 RFC 创建流程的第一页,其中**快速卡片**已打开,**浏览更改类型**处于活动状态:
![\[Quick create section with options for common AWS stack operations and access management.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/quickCreate1.png)
以下是 AMS 控制台中 RFC 创建流程的第一页,**按类别选择处于活动状态:**
![\[Create RFC page with change type categorization options for managed services environment.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/guiRfcCreate1-2.png)
工作原理:
1. 导航到 “**创建 RFC**” 页面:在 AMS 控制台的左侧导航窗格中,单击**RFCs**打开 RFCs 列表页面,然后单击 “**创建 R** FC”。
1. 在默认的 “**浏览更改类型” 视图中选择常用更改类型** (CT),或者在 “**按类别选择” 视图中选择** CT。
+ **按更改类型浏览**:您可以单击 “**快速创建**” 区域中的常用 CT,立即打开 “**运行 RFC**” 页面。请注意,您不能使用快速创建来选择较旧的 CT 版本。
要进行排序 CTs,请使用**卡片**视图或**表格**视图中的**所有更改类型**区域。在任一视图中,选择一个 CT,然后单击 “**创建 RFC**” 打开 “**运行 RFC**” 页面。如果适用,“**创建 RFC” 按钮旁边会出现 “使用旧版本****创建**” 选项。
+ **按类别选择:选择类别**、子类别、项目和操作,CT 详细信息框将打开,并显示 “使用**旧版本创建**” 选项(如果适用)。单击 “**创建 RFC**” 打开 “**运行 RFC**” 页面。
1. 在 “**运行 RFC**” 页面上,打开 CT 名称区域以查看 CT 详细信息框。必须填写**主题**(如果您在 “**浏览更改类型**” 视图中选择 CT,则会为您填写此主题)。打开 “**其他配置”** 区域以添加有关 RFC 的信息。
在**执行配置**区域中,使用可用的下拉列表或输入所需参数的值。要配置可选的执行参数,请打开**其他配置**区域。
1. 完成后,单击 “**运行**”。如果没有错误,则会显示**成功创建的 RFC** 页面,其中包含已提交的 RFC 详细信息和初始**运行**输出。
1. 打开**运行参数**区域以查看您提交的配置。刷新页面以更新 RFC 的执行状态。(可选)取消 RFC 或使用页面顶部的选项创建一个 RFC 的副本。
## 使用 CLI 创建 RFC
工作原理:
1. 使用 Inline Create(您发出包含所有 RFC 和执行参数的`create-rfc`命令)或模板创建(创建两个 JSON 文件,一个用于 RFC 参数,一个用于执行参数),然后以这两个文件作为输入发出`create-rfc`命令。这里描述了这两种方法。
1. 提交带有返回的 RFC ID 的 RFC: `aws amscm submit-rfc --rfc-id ID` 命令。
监控 RFC: `aws amscm get-rfc --rfc-id ID` 命令。
要检查更改类型版本,请使用以下命令:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注意**
您可以将任何`CreateRfc`参数与任何 RFC 一起使用,无论它们是否属于变更类型的架构的一部分。例如,要在 RFC 状态更改时收到通知,请将此行添加到请求的 RFC 参数部分(不是执行参数)。`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`有关所有 CreateRfc 参数的列表,请参阅《[AMS 变更管理 API 参考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)》。
*内联创建*:
使用内联提供的执行参数(内联提供执行参数时使用转义引号)发出 create RFC 命令,然后提交返回的 RFC ID。例如,你可以用这样的东西替换内容::
```
aws amscm create-rfc --change-type-id "CT_ID" --change-type-version "VERSION" --title "TITLE" --execution-parameters "{\"Description\": \"example\"}"
```
*模板创建*:
**注意**
此创建 RFC 的示例使用了 Load Balancer (ELB) 堆栈更改类型。
1. 找到相关的 CT。以下命令在 CT 分类摘要中搜索**项目**名称中包含 “ELB” 的摘要,并以表格形式创建类别、项目、操作和 ChangeType ID 的输出(两者的子类别均为`Advanced stack components`)。
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries[?contains(Item,'ELB')].[Category,Item,Operation,ChangeTypeId]" --output table
```
```
---------------------------------------------------------------------
| CtSummaries |
+-----------+---------------------------+---------------------------+
| Deployment| Load balancer (ELB) stack | Create | ct-123h45t6uz7jl |
| Management| Load balancer (ELB) stack | Update | ct-0ltm873rsebx9 |
+-----------+---------------------------+---------------------------+
```
1. 查找 CT 的最新版本:
`ChangeTypeId`and`ChangeTypeVersion`:本演练的更改类型 ID 是`ct-123h45t6uz7jl`(创建 ELB),要查找最新版本,请运行以下命令:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=ct-123h45t6uz7jl
```
1. 了解选项和要求。以下命令将架构输出到名为 CreateElbParams .json 的 JSON 文件中。
```
aws amscm get-change-type-version --change-type-id "ct-123h45t6uz7jl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateElbParams.json
```
1. 修改并保存执行参数 JSON 文件。此示例将文件命名为 CreateElbParams .json。
对于配置 CT,包含 StackTemplateId 在架构中,并且必须在执行参数中提交。
对于 TimeoutInMinutes,在 RFC 失败之前允许创建堆栈多少分钟,此设置不会延迟 RFC 的执行,但您必须留出足够的时间(例如,不要指定 “5”)。对于长时间运行的 CT,有效值为 “60” 到 “360” UserData:创建 EC2 并创建 ASG。我们建议所有其他配置 CTs的最大允许值为 “60”。
提供您要在其中创建堆栈的 VPC 的 ID;您可以使用 CLI 命令获取 VPC ID `aws amsskms list-vpc-summaries`。
```
{
"Description": "ELB-Create-RFC",
"VpcId": "VPC_ID",
"StackTemplateId": "stm-sdhopv00000000000",
"Name": "MyElbInstance",
"TimeoutInMinutes": 60,
"Parameters": {
"ELBSubnetIds": ["SUBNET_ID"],
"ELBHealthCheckHealthyThreshold": 4,
"ELBHealthCheckInterval": 5,
"ELBHealthCheckTarget": "HTTP:80/",
"ELBHealthCheckTimeout": 60,
"ELBHealthCheckUnhealthyThreshold": 5,
"ELBScheme": false
}
}
```
1. 将 RFC JSON 模板输出到当前文件夹中名为 CreateElbRfc .json 的文件中:
```
aws amscm create-rfc --generate-cli-skeleton > CreateElbRfc.json
```
1. 修改并保存 CreateElbRfc .json 文件。由于您在单独的文件中创建了执行参数,因此请删除该`ExecutionParameters`行。例如,你可以用这样的东西替换内容:
```
{
"ChangeTypeVersion": "2.0",
"ChangeTypeId": "ct-123h45t6uz7jl",
"Title": "Create ELB"
}
```
1. 创建 RFC。以下命令指定执行参数文件和 RFC 模板文件:
```
aws amscm create-rfc --cli-input-json file://CreateElbRfc.json --execution-parameters file://CreateElbParams.json
```
您在响应中收到新 RFC 的 ID,并可以使用它来提交和监控 RFC。在您提交之前,RFC 仍处于编辑状态且无法启动。
## 提示
**注意**
您可以使用 AMS 创建 RFC API/CLI ,而无需创建 RFC JSON 文件或 CT 执行参数 JSON 文件。为此,您可以使用`create-rfc`命令并将所需的 RFC 和执行参数添加到命令中,这称为 “Inline Create”。请注意,所有配置 CTs 都在`execution-parameters`区块中包含一个包含资源参数的`Parameters`数组。参数必须使用反斜杠 (\$1) 对引号进行转义。
另一种记录在案的创建 RFC 的方法叫做 “模板创建”。在这里,您可以为 RFC 参数创建一个 JSON 文件,为执行参数创建另一个 JSON 文件,然后使用`create-rfc`命令提交这两个文件。这些文件可以用作模板,并可在将来 RFCs重复使用。
RFCs 使用模板创建时,您可以使用命令通过发出如下所示的命令来创建包含所需内容的 JSON 文件。这些命令使用显示的内容创建一个名为 “parameters.json” 的文件;你也可以使用这些命令来创建 RFC JSON 文件。
# 使用 AMS 控制台进行克隆 RFCs (重新创建)
您可以使用 AMS 控制台克隆现有的 RFC。
要使用 AMS 控制台克隆或重新创建 RFC,请执行以下步骤:
1. 找到相关的 RFC。在左侧导航栏中,单击**RFCs**。
RFCs 仪表板打开。
1. 滚动浏览页面,直到找到要克隆的 RFC。使用 “**筛选**” 选项缩小列表范围。选择要克隆的 RFC。
RFC 详细信息页面打开。
1. 单击 “**创建副本**”。
将打开 “**创建更改请求**” 页面,所有选项的设置都与原始 RFC 中的设置相同。
1. 根据需要进行更改。要设置其他选项,请将 “**基本**” 选项更改为 “**高级**”。设置完所有选项后,选择**提交**。
活动的 RFC 详细信息页面打开时会显示克隆的 RFC 的新 RFC ID,克隆的 RFC 将显示在 RFC 控制面板中。
# 更新 RFCs
您可以通过更新 RFC 然后提交或重新提交来重新提交已被拒绝或尚未提交的 RFC。请注意,大多数 RFCs 都被拒绝,因为指定的值在提交前`RequestedStartTime`已通过,或者指定的值 TimeoutInMinutes 不足以运行 RFC(由于 TimeoutInMinutes 不会延长成功的 RFC,因此对于长期运行的 Amazon EC2 或 Amazon A EC2 uto Scaling 组,我们建议始终将其设置为至少 “60”,最多设置为 “360”)。 UserData本节介绍如何使用`UpdateRfc`命令的 CLI 版本使用新的 RFC 参数更新 RFC,或者使用字符串化的 JSON 或更新的参数文件来更新 RFC。
此示例介绍如何使用 CLI 版本的 AMS UpdateRfc API(参见[更新 RFC](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/update-rfc.html))。虽然有些更改类型可用于更新某些资源(DNS 私有和公有、负载均衡器堆栈以及堆栈修补配置),但没有 CT 可以更新 RFC。
我们建议您一次提交一个 UpdateRfc 操作。如果您提交多个更新(例如在 DNS 堆栈上),则尝试同时更新 DNS 时,更新可能会失败。
必填数据:`RfcId`: 您正在更新的 RFC。
可选数据:`ExecutionParameters`: 除非你要更新非必填字段,比如`Description`,否则你需要提交修改后的执行参数来解决导致 RFC 被拒绝或取消的问题。所有提交的非空值都会覆盖原始 RFC 中的这些值。
1. 找到相关的已拒绝或已取消的 RFC,您可以使用以下命令(可以将值替换为`Canceled`):
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Rejected
```
1. 您可以修改以下任何 RFC 参数:
```
{
"Description": "string",
"ExecutionParameters": "string",
"ExpectedOutcome": "string",
"ImplementationPlan": "string",
"RequestedEndTime": "string",
"RequestedStartTime": "string",
"RfcId": "string",
"RollbackPlan": "string",
"Title": "string",
"WorstCaseScenario": "string"}
```
更新描述字段的命令示例:
```
aws amscm update-rfc --description "AMSTestNoOpsActionRequired" --rfc-id "RFC_ID" --region us-east-1
```
更新 ExecutionParameters VpcId 字段的命令示例:
```
aws amscm update-rfc --execution-parameters "{\"VpcId\":\"VPC_ID\"}" --rfc-id "RFC_ID" --region us-east-1
```
使用包含更新的执行参数文件更新 RFC 的命令示例;参见步骤 2 中的示例执行参数文件:[EC2 stack \$1 Creat](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ec2-stack-create.html) e:
```
aws amscm update-rfc --execution-parameters file://CreateEc2ParamsUpdate.json --rfc-id "RFC_ID" --region us-east-1
```
1. 使用`submit-rfc`与首次创建 RFC 时相同的 RFC 编号重新提交 RFC:
```
aws amscm submit-rfc --rfc-id RFC_ID
```
如果 RFC 成功,则您不会在命令行收到任何确认或错误消息。
1. 要监控请求的状态并查看执行输出,请运行以下命令。
```
aws amscm get-rfc --rfc-id RFC_ID
```
# 查找 RFCs
## 使用控制台查找变更请求 (RFC)
要使用 AMS 控制台查找 RFC,请按照以下步骤操作。
**注意**
此过程仅适用于未使用 **ASAP** 选项的已计划 RFCs。 RFCs
1. 在左侧导航栏中,单击**RFCs**。
RFCs 仪表板打开。
1. 滚动浏览列表或使用 “**筛选**” 选项来细化列表。
根据筛选标准,RFC 列表会发生变化。
1. 选择所需的 RFC 的 “主题” 链接。
将打开该 RFC 的 RFC 详细信息页面,其中包含包括 RFC ID 在内的信息。
1. 如果仪表板 RFCs 中有许多内容,则可以使用 “**筛选器**” 选项按 RFC 进行搜索:
+ **主题**:创建 RFC 时向其提供的主题行或标题(在 API/CLI 中)。
+ **RFC ID**:RFC 的标识符。
+ **活动状态**:如果您知道 RFC 状态,则可以在**AwsOperatorAssigned**表示操作员当前正在查看 RFC(**AwsActionPending**即 AMS 操作员必须在 RFC 执行之前执行某项操作)或**CustomerActionPending**表示您需要在 RFC 执行之前采取一些操作之间进行选择。
+ **状态**:如果您知道 RFC 状态,则可以在以下选项中进行选择:
+ **已计划**: RFCs 那是预定的。
+ **已取消**: RFCs 已取消。
+ **进行中**: RFCs 进行中。
+ **成功**: RFCs 成功执行。
+ **已拒绝**: RFCs 已被拒绝。
+ **编辑**: RFCs 正在编辑中。
+ **失败**: RFCs 失败了。
+ **待批准**:在 AMS 或您批准之前, RFCs 这无法继续进行。通常,这表示您需要批准 RFC。您将在服务请求列表中收到有关此问题的服务通知。
+ **更改类型**:选择 **“类别”、“****子类别”、“****物料**” 和 “**操作**”,系统将为您检索更改类型 ID。
+ **请求的开始时间**或**请求的结束时间**:此筛选选项允许您选择 “**之前**” 或 “**之后**”,然后输入**日期**,也可以输入**时间**(hh: mm 和时区)。此过滤器只能按计划成功运行 RFCs (不是 ASAP RFCs)。
+ **状态:“**已**计划**”、“**已取消**”、“**进行中**”、“**成功**”、“已**拒绝**”、“正在**编辑**” 或 “**失败**”。
+ **主题**:您向 RFC 提供的主题(或标题,如果 RFC 是使用 API/CLI 创建的)。
+ **变更类型 ID**:使用与 RFC 一起提交的变更类型的标识符。
搜索允许您添加过滤器,如以下屏幕截图所示。
![\[Search or filter options including Subject, RFC ID, Activity state, and various time-related fields.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/filterRfcAllOptions3.png)
1. 点击所需的 RFC 的 “主题” 链接。
将打开该 RFC 的 RFC 详细信息页面,其中包含包括 RFC ID 在内的信息。
## 使用 CLI 查找变更请求 (RFC)
您可以使用多个筛选器来查找 RFC。
要检查更改类型版本,请使用以下命令:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**注意**
您可以将任何`CreateRfc`参数与任何 RFC 一起使用,无论它们是否属于变更类型的架构的一部分。例如,要在 RFC 状态更改时收到通知,请将此行添加到请求的 RFC 参数部分(不是执行参数)。`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`有关所有 CreateRfc 参数的列表,请参阅《[AMS 变更管理 API 参考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)》。
如果您没有写下 RFC ID,需要稍后查找,则可以使用 AMS 变更管理 (CM) 系统进行搜索并使用筛选器或查询来缩小结果范围。
1. CM API [ListRfcSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListRfcSummaries.html)操作具有过滤器。您可以根据`Attribute`和`Value`组合在逻辑 AND 运算中[筛选](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_Filter.html)结果,也可以基于`Attribute``Condition`、a 和筛选结果`Values`。
**RFC 过滤**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/ex-rfc-find-col.html)
示例:
要查找所有与 SQS RFCs 相关的(其中 SQS 包含在 CT 的项目部分),可以使用以下命令: IDs
```
list-rfc-summaries --query 'RfcSummaries[?contains(Item.Name,`SQS`)].[Category.Id,Subcategory.Id,Type.Id,Item.Id,RfcId]' --output table
```
它会返回这样的东西:
```
----------------------------------------------------------------------------
| ListRfcSummaries |
+----------+--------------------------------+-------+-------+----------------+
|Deployment| Advanced Stack Components |SQS |Create |ct-123h45t6uz7jl|
|Management| Monitoring & Notification |SQS |Update |ct-123h45t6uz7jl|
+----------+--------------------------------+-------+-------+----------------+
```
另一个可用的过滤器`list-rfc-summaries`是`AutomationStatusId`,寻找 RFCs 自动或手动的过滤器:
```
aws amscm list-rfc-summaries --filter Attribute=AutomationStatusId,Value=Automated
```
另一个可用的过滤器`list-rfc-summaries`是`Title`(控制台中的**主题**):
```
Attribute=Title,Value=RFC-TITLE
```
JSON 中的新请求结构示例,其返回 RFCs 位置为:
+ (标题包含 “Windows 2012” 或 “亚马逊 Linux” 这句话)和
+ (RfcStatusId 等于 “成功” 或 InProgress “”)和
+ (20170101T000000Z <= RequestedStartTime <= 20170103T000000Z) 和 (ActualEndTime <= 20170103T000000Z)
```
{
"Filters": [
{
"Attribute": "Title",
"Values": ["Windows 2012", "Amazon Linux"],
"Condition": "Contains"
},
{
"Attribute": "RfcStatusId",
"Values": ["Success", "InProgress"],
"Condition": "Equals"
},
{
"Attribute": "RequestedStartTime",
"Values": ["20170101T000000Z", "20170103T000000Z"],
"Condition": "Between"
},
{
"Attribute": "ActualEndTime",
"Values": ["20170103T000000Z"],
"Condition": "Before"
}
]
}
```
**注意**
在更高级的版本中`Filters`,AMS 打算在即将发布的版本中弃用以下字段:
值:“值” 字段是 “筛选器” 字段的一部分。使用支持更多高级功能的 “值” 字段。
RequestedEndTimeRange: 使用支持更高级功能的 “过滤器” 字段 RequestedEndTime 内部
RequestedStartTimeRange:使用支持更高级功能的 “过滤器” 字段 RequestedStartTime 内部。
有关使用 CLI 查询的信息,请参阅[如何使用--query 选项过滤输出](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter)和查询语言参考[JMESPath 规范](http://jmespath.org/specification.html)。
1. 如果您使用的是 AMS 控制台:
转到**RFCs**列表页面。如果需要,您可以在 RFC **主题**上进行筛选,这是您在创建 RFC `Title` 时输入的内容。
## 提示
**注意**
此过程仅适用于未使用 **ASAP** 选项的已计划 RFCs。 RFCs
# 取消 RFCs
您可以使用控制台或 AMS API/CLI 取消 RFC。
**要使用控制台取消 RFC,请在您的 RFC 列表中找到 RFC,将其打开,单击 “取消”。**
所需数据:
+ `Reason`: 你为什么要取消 RFC。
+ `RfcId`: 您要取消的 RFC。
1. 通常,您会在提交 RFC 后立即将其取消(因此 RFC ID 应该很方便);否则,除非您安排了它并且在指定的开始时间之前,否则您将无法取消它。如果需要查找 RFC ID,则可以使用以下命令(可以`Value`用`PendingApproval`替换手动批准的 RFC):
```
aws amscm list-rfc-summaries --filter Attribute=RfcStatusId,Value=Scheduled
```
1. 取消 RFC 的命令示例:
```
aws amscm cancel-rfc --reason "Bad Stack ID" --rfc-id "RFC_ID" --profile saml --region us-east-1
```
# 将 AMS 控制台与 RFCs
AMS 控制台提供的功能可帮助您成功创建和提交 RFCs。
## 使用 RFC 列表页面(控制台)
AMS 控制台**RFCs**列表页面为您提供以下选项:
+ 通过**过滤器**进行高级 RFC 搜索。有关信息,请参阅[查找 RFCs](ex-rfc-find-col.md)。
+ 查找 RFC 上次**修改**的时间。此值表示上次更改 RFC 状态的时间。
+ **使用 RFC 主题查看 RFC 详细信息。**选择此链接将打开该 RFC 的详细信息页面。
+ 查看 RFC 状态。有关信息,请参阅 [了解 RFC 状态码](ex-rfc-status-codes.md)
![\[RFC 列表页面。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/guiRfcListTable.png)
## 使用 RFC 快速创建(控制台)
使用 RFC 快速创建卡片或列表表,或者 RFCs 按分类选择更改类型。
要了解更多信息,请参阅[创建 RFC](ex-rfc-create-col.md)。
## 添加 RFC 信件和附件(控制台)
您可以在 RFC 提交后和获得批准之前向其添加信件;例如,当它处于 “PendingApproval” 状态时。在 RFC 获得批准后(处于 “已计划” 或 InProgress “” 状态),则无法添加信件,因为它可能被解释为对请求的更改。RFC 完成后(处于 “已取消”、“已拒绝”、“成功” 或 “失败” 状态),将再次启用通信,但在 RFC 关闭超过 30 天后,通信将被禁用。
**注意**
每封信件不得超过 5,000 个字符。
**附件的限制:**
+ 每封信件只有三个附件。
+ 每个 RFC 限制五十个附件。
+ 每个附件的大小必须小于 5 MB。
+ 仅接受文本文件,例如纯文本 (`.txt`)、逗号分隔值 ()、JSON (`.csv`) 或 YAM `.json` L ()。`.yaml`如果是 YAML 格式,则必须使用文件扩展名`.yaml`附加文件。
**注意**
禁止包含 XML 内容的文本文件。如果您有 XML 内容要与 AMS 共享,请使用服务请求。
+ 文件名限制为 255 个字符,只能包含数字、字母、空格、破折号 (-)、下划线 (\$1) 和点 (.)。
+ 目前不支持在 RFC 上更新和删除附件。
要向 RFC 添加信件和附件,请执行以下步骤:
1. 在 AMS 控制台中,在 RFC 的 RFC 详细信息页面上,找到页面底部的 “**通信**” 部分。
在任何通信之前:
![\[信件栏目为空。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/correspondence-rfc-detail-new.png)
经过一番信件后:
![\[信函栏目显示回复表格和收到的信件。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/correspondence-reply-form2.png)
1. 要添加新的信件,请在**回复**文本框中键入您的消息。要附加与信件相关的文件,请选择 “**添加附件**”,然后选择所需的文件。
![\[信件部分显示评论框和附件。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/correspondence-add-attachments.png)
1. 完成后,选择 “**提交**”。
新的信件以及所附文件的链接出现在RFC详细信息页面的信件列表中。
![\[收到的信件清单。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/correspondence-list2.png)
# 配置 RFC 电子邮件通知(控制台)
AMS 控制台的 “**更改请求**创建” 页面为您提供了添加电子邮件地址以接收 RFC 状态变更通知的选项:
![\[添加电子邮件地址以接收 RFC 状态更改通知。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/emailNoticeOption2.png)
此外,您可以将通知的电子邮件地址添加到任何更改类型,例如:
```
aws amscm create-rfc --change-type-id
--change-type-version 1.0 --title "TITLE"
--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"
```
在请求的 RFC 参数部分,而不是参数部分,向任何更改类型内联或模板请求添加类似的行 (`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`)。
# 了解常用 RFC 参数
以下是您需要提交的 RFC 参数以及中 RFCs常用的参数:
+ 更改类型信息: ChangeTypeId 和 ChangeTypeVersion。有关更改类型 IDs 和版本号的列表,请参阅[更改类型参考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)。
使用`query`参数`list-change-type-classification-summaries`在 CLI 中运行以缩小结果范围。例如,缩小结果范围以更改`Item`名称中包含 “Access” 的类型。
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains (Item, 'access')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
运行`get-change-type-version`并指定更改类型 ID。以下命令获取 ct-2tylseo8rxfsc 的 CT 版本。
```
aws amscm get-change-type-version --change-type-id ct-2tylseo8rxfsc
```
+ 标题:RFC 的名称;它成为 AMS 控制台 RFC 列表中 RFC **的主**题,你可以使用`GetRfc`命令和过滤器对其进行搜索 `Title`
+ 计划:如果您想要预定的 RFC,则必须包含`RequestedStartTime`和`RequestedEndTime`参数,或者使用 “**安排此更改**” 控制台选项。对于 **ASAP** RFC(在获得批准后立即运行),在使用 CLI 时,请保留`RequestedStartTime`并`RequestedEndTime`为 null。使用控制台时,请接受 “**尽快**” 选项。
如果错过`RequestedStartTime`,则 RFC 将被拒绝。
+ 配置 CTs:执行参数,或者`Parameters`是配置资源所需的特定设置。根据 CT 的不同,它们差异很大。
+ 非预配 CTs: CTs 未配置资源(例如访问权限 CTs 或其他 \$1 其他)或删除堆栈的执行参数最少且没有`Parameters`阻塞。
+ 有些 RFCs 还要求您在 RFC 失败之前指定创建堆栈的时间或允许多少分钟。`TimeoutInMinutes`对于长时间运行 UserData,有效值为 60(分钟)到 360。如果在超过之前无法完成执行,则 `TimeoutInMinutes` RFC 将失败。但是,此设置不会延迟 RFC 的执行。
+ RFCs 创建实例(例如 S3 存储桶或 ELB)通常会提供允许您添加最多七个标签(键/值对)的架构。您可以使用部署 \$1 高级堆栈组件 \$1 标签 \$1 创建更改类型 (ct-3cx7we852p3af) 提交 RFC,从而向 S3 存储桶添加更多标签。 EC2、EFS、RDS 和多层(HA 双层和 HA 单层)架构最多允许 50 个标签。标签是在架构的`ExecutionParameters`部分中指定的。提供标签可能非常有价值。有关更多信息,请参阅[标记您的 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。
使用 AMS 控制台时,必须打开**其他配置**区域才能添加标签。
**提示**
许多 CT 架构的架构顶部附近都有一个`Description`和`Name`字段。这些字段用于命名堆栈或堆栈组件,它们不会命名您正在创建的资源。有些架构提供参数来命名你正在创建的资源,有些则没有。例如,Create EC2 堆栈的 CT 架构不提供用于命名 EC2 实例的参数。为此,您必须使用密钥为 “Name” 和您想要的名称的值创建一个标签。如果您未创建此类标签,则您的 EC2 实例将在 EC2 控制台中显示,但不带名称属性。
## 使用 RFC AWS 区域选项
AMS API 和 CLI(`amscm`和`amsskms`)端点已在`us-east-1`。如果您使用安全断言标记语言 (SAML) 进行联合,则会在入门时为您提供将您的区域设置为 us-east-1 的脚本。 AWS 如果您使用 SAML,则在发出命令时无需指定该`--region`选项。如果您的 SAML 配置为使用 us-east-1,但您的账户不 AWS 在该区域内,则在发出其他命令(例如)时,您必须指定您的账户已注册区域。 AWS `aws s3`
**注意**
本指南中提供的大多数命令示例都不包含该`--region`选项。
# 注册 RFC 每日电子邮件
您可以使用 RFC 摘要功能注册每日一封电子邮件,总结过去 24 小时内您账户中的 RFC 活动。RFC 摘要功能是一个简化的流程,可减少您收到的有关您账户的电子邮件通知的 RFCs数量。RFC 摘要可能会降低您错过等待回复的操作的可能性。
要打开 RFC 摘要功能,请联系您的 AMS 云服务交付经理 (CSDM)。CSDM 会为您订阅。您可以请求将最多 20 个电子邮件地址(或别名)添加到 RFC 摘要电子邮件列表中。当前的电子邮件时间表固定在 09:00 UTC-8。
要关闭 RFC 摘要功能,请联系您的 CSDM 并提出您的请求。
如果您没有设置 RFC 摘要并想要有关您的通知 RFCs,或者您想要的信息 RFCs 比 RFC 摘要提供的内容更详细,请使用变更管理系统为您想要了解的每个 RFC 设置 CloudWatch 事件通知或电子邮件通知。有关设置 RFC 通知的信息,请参阅 [RFC 状态更改](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-state-change-notices.html)通知。
RFC 摘要中包含的主题包括以下内容:
+ 等待买家批准: RFCs 处于**PendingApproval**状态正在等待您批准的列表
+ 待处理的买家回复: RFCs 正在等待您回复 RFC 信件的清单
+ 待定 AWS 批准或回复:等待 AMS 回复或批准的清单 RFCs
+ 已完成:列表状态 RFCs 为**成功**、**失败**、**已取消和已****拒绝**
以下是 RFC 摘要示例:
![\[RFC 摘要示例\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/RFCDigestExample.png)
# 什么是变更类型?
变更类型是指 AWS Managed Services (AMS) 变更请求 (RFC) 执行的操作,包括变更操作本身,以及变更类型(手动与自动)。AMS 拥有大量未被其他 Amazon 网络服务使用的变更类型。在提交变更请求 (RFC) 以部署、管理或访问资源时,您可以使用这些更改类型。
**Topics**
+ [自动和手动 CTs](ug-automated-or-manual.md)
+ [CT 批准要求](constrained-unconstrained-ctis.md)
+ [更改类型版本](ct-versions.md)
+ [创建变更类型](ct-creates.md)
+ [更新变更类型](ct-updates.md)
+ [仅限内部的变更类型](ct-internals.md)
+ [更改类型架构](ct-schemas.md)
+ [管理变更类型的权限](ct-permissions.md)
+ [编辑变更类型中的敏感信息](ct-redaction.md)
+ [使用查询选项查找更改类型](ug-find-ct-ex-section.md)
# 自动和手动 CTs
对更改类型的限制是它们是自动还是手动的,这是更改类型`AutomationStatusId`属性,在 AMS 控制台中称为**执行模式**。
自动变更类型具有预期的结果和执行时间,并通过AMS自动化系统运行,通常在一小时或更短的时间内(这在很大程度上取决于CT配置的资源)。手动更改类型并不常见,但它们的处理方式有所不同,因为它们要求 AMS 操作员在运行 RFC 之前对其进行操作。这有时意味着要与 RFC 提交者沟通,因此,手动变更类型需要不同的时间才能完成。
对于所有已安排的时间 RFCs,将未指定的结束时间写成指定的时间`RequestedStartTime`加上已提交的更改类型的`ExpectedExecutionDurationInMinutes`属性。例如,如果`ExpectedExecutionDurationInMinutes`为 “60”(分钟),指定`RequestedStartTime`为`2016-12-05T14:20:00Z`(2016 年 12 月 5 日凌晨 4:20),则实际结束时间将设置为 2016 年 12 月 5 日凌晨 5:20。要查找`ExpectedExecutionDurationInMinutes`特定更改类型的,请运行以下命令:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
**注意**
在控制台中, RFCs 使用**执行模式** = 手动进行调度,必须设置为将来至少 24 小时内运行。
**注意**
使用手动操作时 CTs,AMS 建议您使用 “尽快**安排**” 选项(在控制台中选择 “尽快”,在 **AP** I/CLI 中将开始和结束时间留空),因为这些选项 CTs 要求 AMS 操作员检查 RFC,并可能在批准和运行之前与您沟通。如果您安排这些活动 RFCs,请务必留出至少 24 小时的时间。如果在预定开始时间之前未获得批准,则 RFC 将被自动拒绝。
AMS 的目标是在四小时内对手动 CT 做出回应,并将尽快对应,但是 RFC 可能需要更长的时间才能真正运行。
有关手动 CTs 且需要 AMS 审核的内容的列表,请参阅控制台**开发者资源**页面上提供的更改类型 CSV 文件。
**YouTube 视频**:[如何查找 AMS 的自动变更类型 RFCs?](https://www.youtube.com/watch?v=sOzDuCCOduI&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=2&t=1s)
要在 AMS 控制台中查找 CT 的**执行模式**,必须使用**浏览更改类型**搜索选项。结果显示匹配的变更类型或变更类型的执行模式。
要使用 AMS CLI 查找特定更改类型的,请运行以下命令:`AutomationStatus`
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
您还可以在 [AMS 变更类型参考中查找变更类型,该参考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)提供了有关所有 AMS 变更类型的信息。
**注意**
AMS 目前不 API/CLI 是 AWS 的一部分API/CLI. To access the AMS API/CLI,您可以通过 AMS 控制台下载 AMS 软件开发工具包。
# CT 批准要求
AMS CTs 总是有两个批准条件 **AwsApprovalId**,**CustomerApprovalId**这表明RFC是要求AMS还是你或任何人批准执行。
批准条件与执行模式有些相关;有关详细信息,请参阅[自动和手动 CTs](ug-automated-or-manual.md)。
要找出 CT 的批准条件,您可以查看 [AMS 变更类型参考](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)或运行[GetChangeTypeVersion](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_GetChangeTypeVersion.html)。两者还将为您提供CT `AutomationStatusId` 或**执行模式**。
您可以使用 AMS 控制台或使用以下命令进行批准 RFCs :
```
aws amscm approve-rfc --rfc-id RFC_ID
```
**CT 批准条件**
| 如果 CT 批准条件是 | 它需要获得批准 | 并且 |
| --- | --- | --- |
| `AwsApprovalId: Required` | AMS 变更类型系统, | 无需采取行动。这种情况是自动化的典型情况 CTs。 |
| `AwsApprovalId: NotRequiredIfSubmitter` | AMS 变更类型系统,没有其他人,如果提交的 RFC 是针对其提交时所针对的账户, | 无需采取行动。这种情况是手动操作的典型情况, CTs 因为AMS操作员将始终对其进行审查。 |
| `CustomerApprovalId: NotRequired` | AMS 变更类型系统, | 如果 RFC 通过了语法和参数检查,则会自动获得批准。 |
| `CustomerApprovalId: Required` | AMS 变更类型系统而你, | 系统会向您发送通知,您必须通过回复通知或运行[ApproveRfc](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ApproveRfc.html)操作来明确批准 RFC。 |
| `CustomerApprovalId: NotRequiredIfSubmitter` | 如果您提交了 RFC,AMS 将更改类型系统,而没有其他人可用。 | 如果 RFC 通过了语法和参数检查,则会自动获得批准。 |
| 紧急安全事件或补丁 | AMS | 已通过 auto 批准并实施。 |
# 更改类型版本
当对变更类型进行重大更新时,变更类型会被版本控制,版本也会发生变化。
使用 AMS 控制台选择更改类型后,您可以选择打开**其他配置**区域并选择更改类型版本。您也可以在 API/CLI 命令行中指定更改类型版本。您可能出于各种原因想要这样做,包括:
+ 您知道您想要的 “**更新**” 更改类型的版本必须与您用于**创建**现在要更新的资源的 “创建变更” 类型的版本相匹配。例如,您可能有一个使用 ELB 创建的 Elastic Load Balancer (ELB) 实例。创建更改类型版本 1。要对其进行更新,请选择 ELB 更新版本 1。
+ 您想要使用的更改类型版本中包含的选项与最新的更改类型不同。我们不建议这样做,因为 AMS 更新更改类型主要是出于安全考虑,我们建议您始终选择最新版本。
# 创建变更类型
创建变更类型 version-to-version与更新变更类型相匹配。也就是说,用于置备资源的更改类型版本必须与您稍后用于修改该资源的更新更改类型的版本相匹配。例如,如果您使用创建 S3 存储桶更改类型为 2.0 的 S3 存储桶,之后又想提交 RFC 来修改该 S3 存储桶,则即使版本 3.0 中存在更新 S3 存储桶更改类型,也必须使用更新 S3 存储桶更改类型版本 2.0。
我们建议记录您在使用创建变更类型置备资源时使用的变更类型 ID 和版本,以备日后您想使用更新更改类型对其进行修改。
# 更新变更类型
AMS 提供更新更改类型,以更新使用 “创建更改类型” 创建的资源。更新更改类型必须 version-to-version与最初用于置备资源的 “创建” 更改类型相匹配。
我们建议记录您在配置资源时使用的更改类型 ID 和版本,以便于更新。
**YouTube 视频**:[如何使用更新 CTs 来更改 AWS Managed Services (AMS) 账户中的资源?](https://www.youtube.com/watch?v=dqb31yaAXhc&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=8&t=30s)
# 仅限内部的变更类型
您可以看到仅供内部使用的更改类型。这样您就可以知道 AMS 可以或正在采取哪些行动。如果您想提供仅限内部使用的变更类型,请提交服务请求。
例如,只有内部才有 “管理” \$1 “监控和通知” \$1 “ CloudWatch 警报抑制” \$1 “更新 CT”。AMS 使用它来部署基础设施更新(例如修补),以关闭更新可能错误触发的警报通知。提交此 CT 后,您将在您的 RFC 列表中注意到 CT 的 RFC。部署在 RFC 中的任何仅限内部的 CT 都会显示在您的 RFC 列表中。
# 更改类型架构
所有变更类型都提供一个 JSON 架构,供您在创建、修改或访问资源时输入内容。架构提供参数及其描述,供您创建更改请求 (RFC)。
成功执行 RFC 会产生执行输出。为了进行配置 RFCs,执行输出包括一个 “stack\$1id”,它表示中的堆栈 CloudFormation,可以在控制台中搜索。 CloudFormation 执行输出有时包括创建的实例 ID 的输出,该 ID 可用于在相应的 AWS 控制台中搜索该实例。例如,创建 ELB CT 执行输出包括一个可在中搜索的 “stack\$1id”, CloudFormation 并输出一个可在亚马逊控制台中搜索 Elastic Load Balancing 的 key=elb value=。 EC2
让我们来看看 CT 架构。这是 CodeDeploy 应用程序创建的架构,这是一个相当小的架构。有些架构的`Parameter`区域非常大。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/ct-schemas.html)
**注意**
此架构最多允许 7 个标签;但是,EFS EC2、RDS 和多层创建架构最多允许 50 个标签。
# 管理变更类型的权限
您可以使用自定义策略来限制哪些更改类型 (CTs) 可供不同的群组或用户使用。
要了解有关执行此操作的更多信息,请参阅 AMS 用户指南中的[设置权限](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-permissions.html)部分。
# 编辑变更类型中的敏感信息
AMS 更改类型架构提供参数属性,`"metadata":"ams:sensitive":"true"`该属性用于包含密码等敏感信息的参数。设置此属性后,所提供的输入将被遮盖。请注意,您无法设置此参数属性;但是,如果您正在与 AMS 合作创建更改类型,并且想要在输入时隐藏某个参数,则可以请求这样做。
# 使用查询选项查找更改类型
此示例演示如何使用 AMS 控制台查找要提交的 RFC 的相应更改类型。
您可以使用控制台或 API/CLI 来查找更改类型 ID (CT) 或版本。有两种方法,要么是搜索,要么是选择分类。对于这两种选择类型,您可以通过选择 “**最常用”、“**最近使用****” 或 “**按字母顺**序” 对搜索进行排序。
**YouTube 视频**:[如何使用 AWS Managed Services CLI 创建 RFC,在哪里可以找到 CT 架构](https://www.youtube.com/watch?v=IluDFwnJJFU&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=3&t=150s)?
在 AMS 控制台中,在 **RFCs**-> **创建 RFC** 页面上:
+ 选择 **“按更改类型浏览**”(默认)后,可以:
+ 使用**快速创建**区域从 AMS 最受欢迎的 AMS 中进行选择 CTs。点击标签,将打开 “**运行 RFC**” 页面,并自动为您填充**主题**选项。根据需要完成其余选项,然后单击 “**运行**” 提交 RFC。
+ 或者,向下滚动到 “**所有变更类型**” 区域并开始在选项框中键入 CT 名称,您不必输入确切或完整的更改类型名称。您还可以通过输入相关词语按更改类型 ID、分类或执行模式(自动或手动)搜索 CT。
选择默认**卡片**视图后,匹配的 CT 卡片会在您键入时出现,选择一张卡片并单击 “**创建 RFC**”。选择**表格**视图后,选择相关的 CT,然后单击 “**创建 RFC**”。两种方法都会打开 “**运行 RFC**” 页面。
+ 或者,要浏览更改类型选择,请单击页面顶部的**按类别选择**以打开一系列下拉选项框。
+ 选择 “**类别**”、“**子类别”、“****物料**” 和 “**工序**”。该更改类型的信息框显示在页面底部显示一个面板。
+ 准备就绪后,**按 Enter**,将显示匹配的更改类型列表。
+ 从列表中选择更改类型。该更改类型的信息框出现在页面底部。
+ 选择正确的更改类型后,选择 “**创建 RFC**”。
**注意**
必须安装 AMS CLI 才能使这些命令生效。要安装 AMS API 或 CLI,请前往 AMS 控制台**开发者资源**页面。有关 AMS CM API 或 AMS SKMS API 的参考资料,请参阅《用户指南》中的 “AMS 信息资源” 部分。您可能需要添加身份验证`--profile`选项;例如,`aws amsskms ams-cli-command --profile SAML`。您可能还需要添加该`--region`选项,因为所有 AMS 命令都将使用 us-east-1;例如。`aws amscm ams-cli-command --region=us-east-1`
**注意**
AMS API/CLI (amscm 和 amsskms)终端节点位于 AWS 弗吉尼亚北部区域。`us-east-1`根据您的身份验证设置方式以及您的账户和资源所在的 AWS 区域,您可能需要在发出命令`--region us-east-1`时进行添加。如果这是您的身份验证方法`--profile saml`,则可能还需要添加。
要使用 AMS CM API(参见 [ListChangeTypeClassificationSummaries](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html))或 CLI 搜索更改类型,请执行以下操作:
您可以使用筛选器或查询进行搜索。该 ListChangeTypeClassificationSummaries 操作具有`Category`、`Subcategory``Item`、和的 “[筛选器](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_ListChangeTypeClassificationSummaries.html#amscm-ListChangeTypeClassificationSummaries-request-Filters)” 选项`Operation`,但这些值必须与现有值完全匹配。要在使用 CLI 时获得更灵活的结果,可以使用`--query`选项。
**使用 AMS CM API/CLI 更改类型筛选**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/ug-find-ct-ex-section.html)
1. 以下是一些商品变更类型分类的示例:
以下命令列出了所有更改类型类别。
```
aws amscm list-change-type-categories
```
以下命令列出了属于指定类别的子类别。
```
aws amscm list-change-type-subcategories --category CATEGORY
```
以下命令列出了属于指定类别和子类别的项目。
```
aws amscm list-change-type-items --category CATEGORY --subcategory SUBCATEGORY
```
1. 以下是一些使用 CLI 查询搜索变更类型的示例:
以下命令在 CT 分类摘要中搜索项目名称中包含 “S3” 的摘要,并以表格形式创建类别、子类别、项目、操作和更改类型 ID 的输出。
```
aws amscm list-change-type-classification-summaries --query "ChangeTypeClassificationSummaries [?contains(Item, 'S3')].[Category,Subcategory,Item,Operation,ChangeTypeId]" --output table
```
```
+---------------------------------------------------------------+
| ListChangeTypeClassificationSummaries |
+----------+-------------------------+--+------+----------------+
|Deployment|Advanced Stack Components|S3|Create|ct-1a68ck03fn98r|
+----------+-------------------------+--+------+----------------+
```
1. 然后,您可以使用更改类型 ID 获取 CT 架构并检查参数。以下命令将架构输出到名为 creates3Params.schema.json 的 JSON 文件中。
```
aws amscm get-change-type-version --change-type-id "ct-1a68ck03fn98r" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateS3Params.schema.json
```
有关使用 CLI 查询的信息,请参阅[如何使用--query 选项过滤输出](https://docs.aws.amazon.com/cli/latest/userguide/controlling-output.html#controlling-output-filter)和查询语言参考[JMESPath 规范](http://jmespath.org/specification.html)。
1. 获得变更类型 ID 后,我们建议您验证变更类型的版本,以确保它是最新版本。使用以下命令查找指定更改类型的版本:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CHANGE_TYPE_ID
```
要查找`AutomationStatus`特定更改类型的,请运行以下命令:
```
aws amscm --profile saml get-change-type-version --change-type-id CHANGE_TYPE_ID --query "ChangeTypeVersion.{AutomationStatus:AutomationStatus.Name}"
```
要查找`ExpectedExecutionDurationInMinutes`特定更改类型的,请运行以下命令:
```
aws amscm --profile saml get-change-type-version --change-type-id ct-14027q0sjyt1h --query "ChangeTypeVersion.{ExpectedDuration:ExpectedExecutionDurationInMinutes}"
```
# 对 AMS 中的 RFC 错误进行故障排除
可以通过 CloudFormation 文档调查许多 AMS 配置 RFC 故障。参见 [AWS 疑难解答 CloudFormation:错误疑难解答](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors)
以下各节提供了其他疑难解答建议。
## AMS 中的 “管理” RFC 错误
AMS “管理” 类别更改类型 (CTs) 允许您请求访问资源并管理现有资源。本节介绍一些常见问题。
### RFC 访问错误
+ 确保您在 RFC 中指定的用户名和 FQDN 正确且存在于域中。有关查找您的 FQDN 的帮助,请参阅[查找您的 FQ](https://docs.aws.amazon.com/managedservices/latest/userguide/find-FQDN.html) DN。
+ 确保您为访问而指定的堆栈 ID 是与 EC2 相关的堆栈。诸如 ELB 和 Amazon Simple Storage Service (S3) 之类的堆栈不适合访问 RFCs,而是使用您的只读访问权限角色来访问这些堆栈资源。有关查找堆栈 ID 的帮助,请参阅[查找堆栈 IDs](https://docs.aws.amazon.com/managedservices/latest/userguide/find-stack.html)
+ 确保您提供的堆栈 ID 正确且属于相关账户。
有关其他访问 RFC 故障的帮助,请参阅[访问管理](https://docs.aws.amazon.com/managedservices/latest/userguide/access-mgmt.html)。
**YouTube 视频**:[如何正确提出变更申请 (RFC) 以避免被拒绝和](https://www.youtube.com/watch?v=IFOn4Q-5Cas&list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-&index=5&t=242s)失败?
### RFC(手动)CT 调度错误
大多数更改类型是 ExecutionMode =Automated,但有些是 ExecutionMode =Manual,这会影响您应如何安排更改以避免 RFC 失败。
如果 RFCs 使用 AMS 控制台创建 R ExecutionMode FC,则必须将其设置为将来至少 24 小时内执行。
AMS 的目标是在八小时内对手动 CT 做出回应,并将尽快回复,但是 RFC 可能需要更长的时间才能真正执行。
### RFCs 与手动更新一起使用 CTs
如果您要更新的堆栈类型有 “更新” 更改类型,则 AMS Operations 会拒绝 “管理” \$1 “其他 RFCs ” \$1 “其他” 更新堆栈。
### RFC 删除堆栈错误
RFC 删除堆栈失败:如果您使用管理 \$1 标准堆栈 \$1 堆栈 \$1 删除 CT,则将在 CloudFormation 控制台中看到带有 AMS 堆栈名称的堆栈的详细事件。您可以通过将堆栈与 AMS 控制台中的名称进行核对来识别堆栈。 CloudFormation 控制台提供了有关故障原因的更多详细信息。
在删除堆栈之前,应考虑堆栈是如何创建的。如果您使用 AMS CT 创建堆栈,但未添加或编辑堆栈资源,则可以毫无问题地将其删除。但是,在提交针对堆栈的删除堆栈 RFC 之前,最好先从堆栈中移除所有手动添加的资源。例如,如果您使用完整堆栈 CT(HA Two Tier)创建堆栈,则该堆栈将包含一个安全组- SG1。如果您随后使用 AMS 创建另一个安全组- SG2,并引用 SG1 已创建的作为完整堆栈一部分的新 SG2 安全组,然后使用删除堆栈 CT 删除该堆栈,则该堆栈 SG1 不会像引用的那样被删除 SG2。
**重要**
删除堆栈可能会带来意想不到和意想不到的后果。出于这个原因,AMS 倾向于\$1不\$1代表客户删除堆栈或堆栈资源。请注意,AMS 只会代表您删除无法使用相应的自动更改类型进行删除的资源(通过提交的管理 \$1 其他 \$1 其他 \$1 更新更改类型)。其他注意事项:
如果资源启用了 “删除保护”,则如果您提交 “管理 \$1 其他 \$1 其他 \$1 更新” 更改类型,AMS 可以帮助解除此限制,并且删除保护后,您可以使用自动 CT 删除该资源。
如果堆栈中有多个资源,并且您只想删除堆栈资源的子集,请使用 CloudFormation 更新更改类型(参见 [CloudFormation Ingest Stack:](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-cfn-ingest-update-col.html)Update)。您也可以提交 “管理 \$1 其他 \$1 其他 \$1 更新” 变更类型,如果需要,AMS 工程师可以帮助您制作变更集。
如果由于偏差而在使用 CloudFormation 更新 CT 时出现问题,AMS 可以提供帮助,方法是您提交管理 \$1 其他 \$1 其他 \$1 其他 \$1 更新来解决偏差(在 AWS CloudFormation 服务支持的范围 Management/Custom Stack/Stack From CloudFormation Template/Approve内),并提供一个 ChangeSet 您可以随后使用自动 CT、变更集和更新进行验证和执行的更新。
AMS 维持上述限制,以帮助确保不会出现意外或意外的资源删除。
有关更多信息,请参阅 [AWS 疑难解答 CloudFormation:删除堆栈失败](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails)。
### RFC 更新 DNS 错误
多次 RFCs 更新 DNS 托管区域可能会失败,有些是无缘无故的。同时创建多个 RFCs 用于更新 DNS 托管区域(私有或公共)可能会 RFCs 导致某些区域失败,因为它们正在尝试同时更新同一个堆栈。由于另一个 RFC 已经更新堆栈而无法更新堆栈,AMS 变更管理会拒绝或失败 RFCs 。AMS 建议您一次创建一个 RFC,等待 RFC 成功后再为同一个堆栈筹集一个新的 RFC。
### RFC IAM 实体错误
AMS 将许多默认 IAM 角色和配置文件配置到 AMS 账户中,以满足您的需求。但是,您可能需要偶尔请求其他 IAM 资源。
提交 RFCs 请求自定义 IAM 资源的流程遵循标准的手动工作流程 RFCs,但批准流程还包括安全审查,以确保适当的安全控制措施到位。因此,该过程通常比其他手册花费更长的时间 RFCs。要缩短这些产品的周期时间 RFCs,请遵循以下准则。
有关我们所说的 IAM 审查的含义以及它如何与我们的技术标准和风险接受流程对应的信息,请参阅[了解 RFC 安全评论](rfc-security.md)。
常见的 IAM 资源请求:
+ 如果您要求提供与主要云兼容应用程序相关的政策,例如 CloudEndure,请参阅 AMS 预先批准的 IAM CloudEndure 政策:解压[WIGs 云端耐久着陆区示例](samples/wigs-ce-lz-examples.zip)文件并打开 `customer_cloud_endure_policy.json`
**注意**
如果您想要更宽松的政策,请与您讨论您的需求, CloudArchitect/CSDM 并在必要时获得 AMS 安全审查和签署,然后再提交实施该政策的 RFC。
+ 如果您想修改默认情况下由 AMS 在您的账户中部署的资源,我们建议您索要该资源的修改副本,而不是更改现有资源。
+ 如果您正在为人类用户请求权限(而不是向用户授予权限),请将权限附加到某个角色,然后向该用户授予担任该角色的权限。有关执行此操作的详细信息,请参阅[临时 AMS 高级控制台访问权限](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html)。
+ 如果您需要特殊权限来执行临时迁移或工作流程,请在请求中提供这些权限的结束日期。
+ 如果您已经与安全团队讨论了请求的主题,请尽可能详细地向您的 CSDM 提供他们批准的证据。
如果 AMS 拒绝 IAM RFC,我们会提供明确的拒绝理由。例如,我们可能会拒绝 IAM 策略创建请求,并解释该策略的哪些内容不合适。在这种情况下,您可以进行已确定的更改并重新提交请求。如果需要进一步明确请求的状态,请提交服务请求或联系您的 CSDM。
以下列表描述了 AMS 在审核您的 IAM 时试图降低的典型风险 RFCs。如果您的 IAM RFC 存在上述任何风险,则可能会导致 RFC 被拒绝。如果您需要例外,AMS 会要求您的安全团队批准。要寻求这样的例外,请与您的 CSDM 进行协调。
**注意**
AMS 可以出于任何原因拒绝对账户内的 IAM 资源进行任何更改。如对任何 RFC 拒绝有任何疑问,请通过服务请求与 AMS 运营部门联系,或联系您的 CSDM。
+ 权限升级,例如允许您修改自己的权限或修改账户内其他资源的权限的权限。示例:
+ `iam:PassRole`与另一个更具特权的角色一起使用。
+ 角色或用户对 attach/detach IAM 策略的权限。
+ 账户中 IAM 策略的修改。
+ 能够在管理基础架构的上下文中进行 API 调用。
+ 修改向您提供 AMS 服务所需的资源或应用程序的权限。示例:
+ 修改 AMS 基础设施,例如堡垒、管理主机或 EPS 基础架构。
+ 删除日志管理 AWS Lambda 函数或日志流。
+ 删除或修改默认 CloudTrail 监控应用程序。
+ 目录服务活动目录 (AD) 的修改。
+ 禁用 CloudWatch (CW) 警报。
+ 修改作为 landing zone 一部分部署在账户中的委托人、策略和命名空间。
+ 在最佳实践之外部署基础架构,例如允许在危及信息安全的状态下创建基础设施的权限。示例:
+ 创建公有或未加密的 S3 存储桶或公开共享 EBS 卷。
+ 公有 IP 地址的配置。
+ 修改安全组以允许广泛访问。
+ 过于宽泛的权限会对应用程序造成影响,例如可能导致数据丢失、完整性丢失、配置不当或基础架构和账户内应用程序服务中断的权限。示例:
+ 禁用或重定向通过 APIs like `ModifyNetworkInterfaceAttribute` 或`UpdateRouteTable`的网络流量。
+ 通过将卷与托管主机分离来禁用托管基础架构。
+ 服务权限不在 AMS 服务描述中,也不受 AMS 支持。
AMS 服务说明中未列出的服务不能用于 AMS 账户。要请求某项功能或服务的支持,请联系您的 CSDM。
+ 权限不符合您的既定目标,因为它们要么过于慷慨,要么过于保守,要么应用于错误的资源。示例:
+ 对`s3:PutObject`具有强制性 KMS 加密的 S3 存储桶的权限请求,但没有相关密钥的`KMS:Encrypt`权限。
+ 与账户中不存在的资源相关的权限。
+ IAM, RFCs 其中 RFC 的描述似乎与请求不符。
## “部署” RFC 错误
AMS “部署” 类别更改类型 (CTs) 允许您请求将各种 AMS 支持的资源添加到您的账户。
创建资源的大多数 AMS CTs 都是基于 CloudFormation 模板的。作为客户,您可以只读访问所有 AWS 服务 CloudFormation,包括,您可以使用 CloudFormation 控制台根据 CloudFormation 堆栈描述快速识别代表您的堆栈的堆栈。失败的堆栈可能处于 DELETE\$1COMPLETE 状态。确定 CloudFormation 堆栈后,事件将向您显示创建失败的特定资源及其原因。
### 使用 CloudFormation 文档进行故障排除
大多数 AMS 配置都 RFCs 使用 CloudFormation 模板,该文档可能有助于进行故障排除。请参阅该 CloudFormation 模板的文档:
+ 创建应用程序负载均衡器失败:[ AWS::ElasticLoadBalancingV2::LoadBalancer (Application Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-elasticloadbalancingv2-loadbalancer.html)
+ 创建 Auto Scaling 组:[ AWS::AutoScaling::AutoScalingGroup (Auto Scaling 组)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-group.html)
+ 创建 memcached 缓存:[ AWS::ElastiCache::CacheCluster (缓存集群](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html))
+ 创建 Redis 缓存:[ AWS::ElastiCache::CacheCluster (缓存集群](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-elasticache-cache-cluster.html))
+ 创建 DNS 托管区域(与创建 DNS 私有/公用):[ AWS::Route53::HostedZone (R53](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html) 托管区域)
+ 创建 DNS 记录集(与创建 DNS 私有/公共 DNS 一起使用): [ AWS::Route53::RecordSet (资源记录](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-route53-recordset.html)集)
+ 创建 EC2 堆栈:[ AWS::EC2::Instance (弹性计算云)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-instance.html)
+ 创建弹性文件系统 (EFS): [ AWS::EFS::FileSystem (弹性文件系统)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-efs-filesystem.html)
+ 创建负载均衡器:[ AWS::ElasticLoadBalancing::LoadBalancer (Elastic Load Balancer)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb.html)
+ 创建 RDS 数据库:[ AWS::RDS::DBInstance (关系数据库)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-rds-database-instance.html)
+ 创建 Amazon S3:[ AWS::S3::Bucket (简单存储服务)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-s3-bucket.html)
+ 创建队列:[ AWS::SQS::Queue (简单队列服务)](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-sqs-queues.html)
### RFC 创建错误 AMIs
亚马逊机器映像(AMI)是一种包含软件配置(例如,操作系统、应用程序服务器和应用程序)的模板。通过 AMI,您可以启动实例,实例是作为云中虚拟服务器运行的 AMI 的副本。AMI 非常有用,是创建 EC2 实例或 Auto Scaling 组所必需的;但是,您必须遵守一些要求:
+ 您为其指定的实例`Ec2InstanceId`必须处于停止状态,RFC 才能成功。请勿为此参数使用 Auto Scaling 组 (ASG) 实例,因为 ASG 将终止已停止的实例。
+ 要创建 AMS Amazon 系统映像 (AMI),您必须从 AMS 实例开始。在使用该实例创建 AMI 之前,您必须确保它已停止并与其域断开连接,从而对其进行准备。有关详细信息,请参阅[使用 Sysprep 创建标准亚马逊系统映像](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html#23ami-create-standard)
+ 您为新 AMI 指定的名称在账户中必须是唯一的,否则 RFC 将失败。[AMI \$1 Creat](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html) e 中描述了如何执行此操作,有关更多详细信息,请参阅和 [AWS AMI 设计](https://aws.amazon.com/answers/configuration-management/aws-ami-design/)。
**注意**
有关为 AMI 创建做准备的其他信息,请参阅 [AMI \$1 创建](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html)。
### RFCs 正在创建 o EC2s r ASGs 错误
对于出现超时的 EC2 或 ASG 故障,AMS 建议您确认所使用的 AMI 是否经过自定义。如果是,请参阅本指南中包含的 AMI 创建步骤(参见 [AMI \$1 Cre](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-ami-create.html) ate),以确保正确创建 AMI。创建自定义 AMI 时的一个常见错误是未按照指南中的步骤重命名或调用 Sysprep。
### RFCs 创建 RDS 错误
Amazon Relational Database (RDS) 失败的原因可能有很多,因为您在创建 RDS 时可以使用许多不同的引擎,而且每个引擎都有自己的要求和限制。在尝试创建 AMS RDS 堆栈之前,请仔细查看 AWS RDS 参数值,请参阅[创建DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)。
要了解有关 Amazon RDS 的更多信息,包括大小建议,请参阅[亚马逊关系数据库服务文档](https://aws.amazon.com/documentation/rds/)。
### RFCs 创建 Amazon S3 错误
创建 S3 存储桶时的一个常见错误是该存储桶没有使用唯一的名称。如果您提交的 S3 存储桶 Create CT 的名称与之前提交的存储桶相同,则该存储桶将失败,因为已经存在与之同名的 S3 存储桶 BucketName。这将在 CloudFormation 控制台中详细介绍,您将在控制台中看到堆栈事件显示存储桶名称已在使用中。
## RFC 验证与执行错误
在选定的 RFC 的 AMS 控制台 RFC 详细信息页面上,RFC 失败和相关消息的输出消息有所不同:
+ 验证失败的原因仅在 “状态” 字段中可用
+ 执行失败的原因可在执行输出和状态字段中找到。
![\[Request for change details showing rejected status due to no domain trust found.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/rfcReason.png)
## RFC 错误消息
当您在列出的更改类型 (CTs) 中遇到以下错误时,可以使用这些解决方案来帮助您找到问题的根源并进行修复。
`{"errorMessage":"An error has occurred during RFC execution. We are investigating the issue.","errorType":"InternalError"}`
如果您在参考以下故障排除选项后需要进一步的帮助,请通过 RFC 通信与 AMS 联系。有关更多信息,请参阅 [RFC 通信和附件(控制台)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)。
### 工作负载摄取 (WIGS) 错误
**注意**
可以下载适用于 Windows 和 Linux 的验证工具,并直接在您的本地服务器上运行,也可以在 AWS 中的 EC2 实例上直接运行。这些内容可通过《*AMS 高级应用程序开发者指南迁移工作负载:Linux 摄取前验证》和《*[迁移工作负载:Windows 摄取前验证](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-linux-validation.html)[》中找到](https://docs.aws.amazon.com/managedservices/latest/appguide/ex-migrate-instance-win-validation.html)。
+ 确保目标 AMS 账户中存在 EC2 实例。例如,如果您已将您的 AMI 从非 AMS 账户共享到 AMS 账户,则必须先在您的 AMS 账户中使用共享的 AMI 创建一个 EC2 实例,然后才能提交工作负载采集 RFC。
+ 检查连接到实例的安全组是否允许出口流量。SSM 代理需要能够连接到其公共端点。
+ 检查该实例是否具有连接 SSM 代理的正确权限。这些权限附带了`customer-mc-ec2-instance-profile`,您可以在 EC2 控制台中进行检查:
![\[EC2 instance details showing IAM role set to customer-mc-ec2-instance-profile.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/ec2ConsoleWCircle.png)
### EC2 实例堆栈停止错误
+ 检查实例是否已处于停止或已终止状态。
+ 如果 EC2 实例处于联机状态并且您看到`InternalError`错误,请提交服务请求让 AMS 进行调查。
+ 请注意,您不能使用更改类型管理 \$1 高级堆栈组件 \$1 EC2 实例堆栈 \$1 停止 ct-3mvvt2zkyveqj 来停止 Auto Scaling 组 (ASG) 实例。如果您需要停止 ASG 实例,请提交服务请求。
### EC2 实例堆栈创建错误
`InternalError`消息来自 CloudFormation;一个 CREATION\$1FAILED 状态的原因。您可以按照以下步骤在堆栈事件中找到有关 CloudWatch 堆栈故障的详细信息:
+ 在 AWS 管理控制台中,您可以在创建、更新或删除堆栈时查看堆栈事件列表。从该列表中,找到失败事件,然后查看该事件的状态原因。
状态原因可能包含来自 AWS CloudFormation 或特定服务的错误消息,可以帮助您了解问题。
+ 有关查看堆栈事件的更多信息,请参阅[在 AWS 管理控制台上查看 AWS CloudFormation 堆栈数据和资源](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html)。
### EC2 实例卷恢复错误
当 EC2 实例卷恢复失败时,AMS 会创建内部故障排除 RFC。之所以这样做,是因为 EC2 实例卷恢复是灾难恢复 (DR) 的重要组成部分,AMS 会自动为您创建此内部故障排除 RFC。
创建内部疑难解答 RFC 后,会显示一个横幅,为您提供指向 RFC 的链接。此内部故障排除 RFC 可让您更清楚地了解 RFC 故障,与其提交 RFCs 导致相同错误的重试或手动联系 AMS 解决此故障,不如跟踪更改并知道 AMS 正在处理故障。这也降低了他们变更的 time-to-recovery (TTR) 指标,因为 AMS 操作员会主动处理 RFC 故障,而不是等待您的请求。
## 如何获得有关 RFC 的帮助
您可以联系 AMS 以确定失败的根本原因。AMS 的工作时间为每年 365 天、每周 7 天、每天 24 小时。
AMS 提供了多种寻求帮助的途径。
+ 如果您需要有关已完成但不正确的 RFC 或已完成的 RFC 的帮助,请通过 RFC 双向通信与 AMS 接触。有关更多信息,请参阅 [RFC 通信和附件(控制台)](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-rfc-gui.html#ex-rfc-correspondence)。
+ 要报告影响您的托管环境的 AWS 或 AMS 服务性能问题,请使用 AMS 控制台并提交事件报告。有关详细信息,请参阅[报告事件](https://docs.aws.amazon.com/managedservices/latest/userguide/gui-ex-report-incident.html)。有关 AMS 事件管理的一般信息,请参阅[事件响应](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)。
+ 有关您或您的资源或应用程序如何使用 AMS 的具体问题,或者要升级事件,请通过电子邮件发送以下一项或多封电子邮件:
1. 首先,如果您对服务请求或事件报告回复不满意,请发送电子邮件至 CSDM:ams-csdm@amazon.com
1. 接下来,如果需要升级,你可以发送电子邮件给 AMS 运营经理(但你的 CSDM 可能会这样做):ams-opsmanager@amazon.com
1. 进一步升级将向 AMS 局长提出:ams-director@amazon.com
1. 最后,你可以随时联系 AMS 副总裁:ams-vp@amazon.com
# AMS 中的直接更改模式
**Topics**
+ [直接更改模式入门](dcm-get-started.md)
+ [安全性和合规性](dcm-security-n-compliance.md)
+ [直接更改模式下的变更管理](dcm-change-mgmt.md)
+ [使用 “直接更改” 模式创建堆栈](dcm-creating-stacks.md)
+ [直接更改模式用例](dcm-use-cases.md)
AWS Managed Services (AMS) 直接变更模式 (DCM) 通过提供对 AMS Advanced Plus 和高级账户的本机 AWS 访问权限来配置和更新 AWS 资源,从而扩展了 AMS 高级变更管理。使用 DCM,您可以选择使用原生 AWS API(控制台或 CLI/SDK)或 AMS Advanced 变更管理请求进行更改(RFCs),无论哪种情况,AMS 都完全支持资源及其更改,包括监控、补丁、备份、事件响应管理。通过 DCM 配置的资源在 AMS 服务知识管理系统 (SKMS) 中注册,加入 AMS 托管 Active Directory 域(如果适用),并运行 AMS 管理代理。使用现有工具(例如 SDK 和 CD AWS K)开发和部署 AMS CloudFormation 管理的堆栈。 CloudFormation
**注意**
直接更改模式不会删除 AMS 变更管理 RFCs。通过 DCM,您可以完全访问 AM RFCs S。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Qu1aKIUPT28?si=KrOqr8pniwfh7Nob)
# 直接更改模式入门
首先检查先决条件,然后在符合条件的 AMS Advanced 账户中提交变更申请 (RFC)。
1. 确认您要在 DCM 中使用的账户是否符合要求:
+ 该账户是 AMS 高级增强版或高级版。
+ 该账户未启用 Service Catalog。我们目前不支持同时登录 DCM 和 Service Catalog 的账号。如果您已加入 Service Catalog 但对 DCM 感兴趣,请与您的云服务交付经理 (CSDM) 讨论您的需求。如果您决定从 Service Catalog 切换到 DCM,请在下面的变更请求中加入询问。有关 AMS 中的服务目录的详细信息,请参阅 [AMS 和服务目录](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-service-catalog.html)。
1. 使用管理 \$1 托管账户 \$1 直接更改模式 \$1 启用更改类型 (ct-3rd4781c2nnhp) 提交变更申请 (RFC)。有关演练示例,请参阅[直接更改模式 \$1 启用](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-direct-change-mode-enable.html)。
处理 CT 后,将在指定账户中配置预定义`AWSManagedServicesUpdateRole`的 IAM 角色`AWSManagedServicesCloudFormationAdminRole`和。
1. 使用您的内部联合流程为需要 DCM 访问权限的用户分配相应的角色。
**注意**
您可以指定任意数量的 SAMLIdentity提供商、 AWS 服务和 IAM 实体(角色、用户等)来担任这些角色。您必须至少提供一个:`SAMLIdentityProviderARNs``IAMEntityARNs`、或`AWSServicePrincipals`。有关更多信息,请咨询贵公司的 IAM 部门或 AMS 云架构师 (CA)。
## 直接更改模式 IAM 角色和策略
在账户中启用直接更改模式后,将部署以下新的 IAM 实体:
`AWSManagedServicesCloudFormationAdminRole`:此角色授予访问 CloudFormation 控制台、创建和更新 CloudFormation 堆栈、查看偏差报告以及创建和执行 CloudFormation ChangeSets的权限。此角色的访问权限由您的 SAML 提供商管理。
部署并附加到角色的托管策略`AWSManagedServicesCloudFormationAdminRole`有:
+ AMS 高级多账号 landing zone (MALZ) 应用程序账户
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ 此策略代表授予的权限`AWSManagedServicesCloudFormationAdminRole`。您和合作伙伴使用此政策授予对账户中现有角色的访问权限,并允许该角色启动和更新账户中的 CloudFormation 堆栈。这可能需要额外的 AMS 服务控制策略 (SCP) 更新,以允许其他 IAM 实体启动 CloudFormation 堆栈。
+ AMS 高级单账号 landing zone (SALZ) 账户
+ AWSManagedServices\$1CloudFormationAdminPolicy1
+ AWSManagedServices\$1CloudFormationAdminPolicy2
+ cdk-legacy-mode-s3 次访问 [内联政策]
+ AWS ReadOnlyAccess 政策
`AWSManagedServicesUpdateRole`:此角色授予对下游 AWS 服务的受限访问权限 APIs。该角色采用托管策略部署,这些策略提供变更和非变更的 API 操作,但通常限制针对某些服务(例如 IAM、KMS、GuardDuty VPC、AMS 基础设施资源和配置等Create/Delete/PUT)的变更操作(例如)。 此角色的访问权限由您的 SAML 提供商管理。
部署并附加到角色的托管策略`AWSManagedServicesUpdateRole`有:
+ AMS 高级多账号 landing zone 应用程序账号
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyPolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2而且 RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfra政策
+ AMS 高级单账号 landing zone 账号
+ AWSManagedServicesUpdateBasePolicy
+ AWSManagedServicesUpdateDenyProvisioningPolicy
+ AWSManagedServicesUpdateEC2而且 RDSPolicy
+ AWSManagedServicesUpdateDenyActionsOnAMSInfra政策 1
+ AWSManagedServicesUpdateDenyActionsOnAMSInfra政策 2
除此之外,托管策略`AWSManagedServicesUpdateRole`角色还`ViewOnlyAccess`附加了 AWS 托管策略。
# 安全性和合规性
安全与合规是 AMS Advanced 和您作为我们的客户的共同责任。AMS Advanced Direct Change 模式不会更改此项共同责任。
## 直接更改模式下的安全性
AMS Advanced 通过规范性的着陆区、变更管理系统和访问管理提供了额外的价值。使用 “直接变更” 模式时,此责任模型不会改变。但是,您应该注意其他风险。
直接更改模式 “更新” 角色(参见[直接更改模式 IAM 角色和策略](dcm-get-started.md#dcm-gs-iam-roles-and-policies))提供了提升的权限,允许有权访问该角色的实体更改您账户中由 AMS 支持的服务的基础设施资源。权限提升后,会存在不同的风险,具体取决于资源、服务和操作,尤其是在由于疏忽、错误或缺乏对内部流程和控制框架的遵守而导致错误更改的情况下。
根据AMS技术标准,已经确定了以下风险并提出了以下建议。有关 AMS 技术标准的详细信息可通过以下网址获取 AWS Artifact。要进行访问 AWS Artifact,请联系您的 CSDM 获取说明或前往[入门](https://aws.amazon.com/artifact/getting-started)。 AWS Artifact
**AMS-STD-001:标记**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-002:身份和访问管理 (IAM) Access Management**
| 标准 | 它坏了吗 | 风险 | 建议 |
| --- | --- | --- | --- |
| 4.7 不得允许绕过变更管理流程 (RFC) 的操作,例如启动或停止实例、创建 S3 存储桶或 RDS 实例等。只要在分配的角色范围内执行操作,开发者模式账户和自助服务预置模式服务 (SSP) 就可以获得豁免。 | 是。自助操作的目的允许您绕过 AMS RFC 系统执行操作。 | 安全访问模式是 AMS 的核心技术方面,用于控制台或编程访问的 IAM 用户可以规避这种访问控制。AMS 变更管理不监控 IAM 用户的访问权限。访问权限 CloudTrail 仅限登录。 | IAM 用户应有时间限制,并根据最低权限向其授予权限。 need-to-know |
**AMS-STD-003:网络安全**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
**AMS-STD-007:日志记录**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/dcm-security-n-compliance.html)
与您的内部授权和身份验证团队合作,相应地控制直接更改模式角色的权限。
## 直接更改模式下的合规性
直接更改模式与生产和非生产工作负载兼容。您有责任确保遵守任何合规标准(例如 PHI、HIPAA、PCI),并确保直接变更模式的使用符合您的内部控制框架和标准。
# 直接更改模式下的变更管理
变更管理是 AMS Advanced 用来实施变更请求的流程。变更请求 (RFC) 是由您或 AMS Advanced 通过 AMS Advanced 界面创建的对托管环境进行更改的请求,其中包含特定操作的 AMS 高级更改类型 (CT) ID。有关更多信息,请参阅[变更管理](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-what-is.html)。
**注意**
直接更改模式不会删除 AMS 变更管理 RFCs,您仍然可以使用 DCM 完全访问 AMS RFCs 。
AMS Direct Change 模式 (DCM) 通过提供对 AMS Advanced Plus 和高级账户的本机 AWS 访问权限来配置和更新 AWS 资源,从而扩展了 AMS 高级变更管理。通过 IAM 角色获得直接更改模式权限的用户可以使用原生 AWS API 访问权限在其 AMS Advanced 账户中配置和更改资源。用户仍然可以使用相同的 IAM 角色 RFCs 使用 AMS 高级变更管理。在这两种情况下,AMS 都完全支持资源及其更改,包括监控、补丁、备份、事件响应管理。在这些账户中没有适当角色的用户必须使用 AMS Advanced 变更管理 RFC 流程进行更改。
## 变更管理用例
出于安全考虑,AMS Advanced 中的某些更改只能通过变更管理变更申请 (RFC) 流程来完成。`AWSManagedServicesCloudFormationAdminRole`仅限于通过 CloudFormation (CFN) 采取的行动。有关如何通过 DCM 创建堆栈的更多信息,请参阅[使用 Direct Change 模式创建堆栈](https://docs.aws.amazon.com/managedservices/latest/userguide/dcm-creating-stacks.html)。`AWSManagedServicesUpdateRole`仅限于以下操作。
*[有关每种变更类型的演练,包括管理 \$1 托管账户 \$1 直接更改模式 \$1 启用 (ct-3rd4781c2nnhp) 变更类型,请参阅 “其他信息” 部分,了解按分类划分的 AMS 高级更改类型参考变更类型。](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html)*
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/dcm-change-mgmt.html)
# 使用 “直接更改” 模式创建堆栈
为了让 AMS 管理堆栈`AWSManagedServicesCloudFormationAdminRole`,在 CloudFormation 使用中启动堆栈时有两个要求:
+ 模板必须包含`AmsStackTransform`。
+ 堆栈名称必须以前缀开头,`stack-`后跟一个 17 个字符的字母数字字符串。
**注意**
要成功使用`AmsStackTransform`,您必须确认您的堆栈模板包含相应`CAPABILITY_AUTO_EXPAND`功能,以便 CloudFormation (CFN) 创建或更新堆栈。为此,您可以将`CAPABILITY_AUTO_EXPAND`作为创建堆栈请求的一部分传递。如果模板中包含此功能时未确认此功能,则 CFN 会拒绝该请求。`AmsStackTransform`如果您的模板中有转换,CFN 控制台可确保您通过此功能,但是当您通过 CFN 控制台与 CFN 进行交互时,可能会错过此功能。 APIs
无论何时使用以下 CFN API 调用,都必须通过此功能:
[CreateChangeSet](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateChangeSet.html)
[ CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html#API_CreateStack_RequestParameters)
[UpdateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_UpdateStack.html)
使用 DCM 创建或更新堆栈时,将在堆栈上执行 CFN Ingest 和堆栈更新的 CTs 相同验证和增强,有关更多信息,请参阅载[CloudFormation 入指南、最佳实践](https://docs.aws.amazon.com/managedservices/latest/appguide/cfn-author-templates.html)和限制。唯一的例外是,AMS 默认安全组 (SGs) 不会附加到 Auto Scaling 组中的任何独立 EC2 EC2 实例或 Auto Scaling 组 (ASGs) 中的实例。使用独立 EC2 实例或创建 CloudFormation 模板时 ASGs,可以附加默认实例 SGs。
**注意**
现在可以使用创建和管理 IAM 角色`AWSManagedServicesCloudFormationAdminRole`。
AMS 默认 SGs 具有入口和出口规则,允许实例成功启动,并允许稍后由 AMS 操作和您通过 SSH 或 RDP 进行访问。如果您发现 AMS 的默认安全组过于宽松,则可以创建自己的安全组,并 SGs 使用更严格的规则将其附加到您的实例,前提是它仍然允许您和 AMS 操作人员在事件发生期间访问该实例。
AMS 的默认安全组如下:
+ SentinelDefaultSecurityGroupPrivateOnly: 可以通过此 SSM 参数在 CFN 模板中进行访问 `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnly`
+ SentinelDefaultSecurityGroupPrivateOnlyEgressAll: 可以通过此 SSM 参数在 CFN 模板中进行访问 `/ams/${VpcId}/SentinelDefaultSecurityGroupPrivateOnlyEgressAll`
## AMS 转型
在 CloudFormation 模板`Transform`中添加声明。这将添加一个 CloudFormation 宏,用于在启动时验证堆栈并将其注册到 AMS。
**JSON** 示
```
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
}
```
**YAML 示例**
```
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
```
在更新现有堆栈的模板时,还要添加该`Transform`语句。
**JSON** 示
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Description" : "Create an SNS Topic",
"Transform": {
"Name": "AmsStackTransform",
"Parameters": {
"StackId": {"Ref" : "AWS::StackId"}
}
},
"Parameters": {
"TopicName": {
"Type": "String",
"Default": "HelloWorldTopic"
}
},
"Resources": {
"SnsTopic": {
"Type": "AWS::SNS::Topic",
"Properties": {
"TopicName": {"Ref": "TopicName"}
}
}
}
}
```
**YAML 示例**
```
AWSTemplateFormatVersion: '2010-09-09'
Description: Create an SNS Topic
Transform:
Name: AmsStackTransform
Parameters:
StackId: !Ref 'AWS::StackId'
Parameters:
TopicName:
Type: String
Default: HelloWorldTopic
Resources:
SnsTopic:
Type: AWS::SNS::Topic
Properties:
TopicName: !Ref TopicName
```
## 堆栈名称
堆栈名称必须以前缀开头,`stack-`后跟一个 17 个字符的字母数字字符串。这是为了保持与在 AMS 堆栈上运行的其他 AMS 系统的兼容性 IDs。
以下是生成兼容堆栈的方法示例 IDs:
Bash:
```
echo "stack-$(env LC_CTYPE=C tr -dc 'a-z0-9' < /dev/urandom | head -c 17)"
```
Python:
```
import string
import random
'stack-' + ''.join(random.choices(string.ascii_lowercase + string.digits, k=17))
```
Powershell:
```
"stack-" + ( -join ((0x30..0x39) + ( 0x61..0x7A) | Get-Random -Count 17 | % {[char]$_}) )
```
# 直接更改模式用例
以下是直接更改模式的用例:
**通过以下方式提供和管理资源 CloudFormation**
+ 整合 CloudFormation基于现有工具和流程。
**持续的资源管理和更新**
+ 原子变化小,风险低。
+ 本来需要通过手动或自动 RFC 进行的更改。
+ 需要原生 AWS API 访问权限的工具。
+ 如果您处于迁移阶段,则可以使用 DCM 角色。迁移团队利用 DCM 的权限来创建或修改堆栈。
+ DCM 角色可以在 CI/CD 管道中用于构建新角色 AMIs、创建 Amazon ECS 任务等。
# AMS 高级开发者模式
**Topics**
+ [AMS 高级开发者模式入门](developer-mode-implement.md)
+ [开发者模式下的安全性与合规性](developer-mode-security-and-compliance.md)
+ [开发者模式下的变更管理](developer-mode-change-management.md)
+ [在 AMS 开发者模式下配置基础架构](developer-mode-provisioning.md)
+ [AMS 开发者模式下的 Detective 控件](developer-mode-detective-controls.md)
+ [在 AMS 开发者模式下记录、监控和事件管理](developer-mode-logging.md)
+ [AMS 开发者模式下的事件管理](developer-mode-incident-management.md)
+ [AMS 开发者模式下的补丁管理](developer-mode-patch-management.md)
+ [AMS 开发人员模式下的连续性管理](developer-mode-continuity.md)
+ [AMS 开发者模式下的安全和访问管理](developer-mode-security-and-access.md)
AWS Managed Services (AMS) 开发者模式使用 AMS 高级增强版和高级版账户中的提升权限在 AMS 高级变更管理流程之外配置和更新 AWS 资源。AMS 高级开发人员模式通过利用 AMS 高级虚拟私有云 (VPC) 中的原生 AWS API 调用来实现这一点,使您能够在托管环境中设计和实施基础设施和应用程序。
使用启用了开发者模式的账户时,将为通过 AMS 高级变更管理流程或使用 AMS Amazon 系统映像 (AMI) 配置的资源提供连续性管理、补丁管理和变更管理。但是,这些 AMS 管理功能不适用于通过本机 AWS APIs配置的资源。
您负责监控在 AMS Advanced 变更管理流程之外配置的基础设施资源。开发者模式与生产和非生产工作负载兼容。有了更高的权限,您就有更多的责任来确保遵守内部控制。
**重要**
只有使用 AMS Advanced 变更管理流程创建您使用开发者模式创建的资源才能由 AMS Advanced 管理。
开发者模式是您可以采用的 AMS 高级模式之一。有关更多信息,请参阅 [模式概述](ams-modes-ug.md)。
# AMS 高级开发者模式入门
了解使用 AMS 高级开发者模式的各种 AMS 高级账户以及如何成功实现开发者模式。
**Topics**
+ [开始前的准备工作](developer-mode-faqs.md)
+ [开发者模式的先决条件](#developer-mode-implement-prerequisites)
+ [如何实现开发者模式](#developer-mode-implement-steps)
+ [开发者模式权限](#developer-mode-role)
# 开始使用 AMS 开发者模式之前
在实现开发者模式之前,你应该知道几件事。
AMS Advanced 无法管理在 AMS Advanced 变更管理流程之外通过变更请求创建的 DevMode 账户中的现有堆栈或资源 (RFCs)。但是,当账户处于开启状态时 DevMode,AMS Advanced 将继续使用管理通过 AMS Advanced 变更管理流程配置的 RFCs资源。
您不能先使用 DevMode 账户,然后再将其转换为 AMS Advanced 管理的应用程序账户。
## AMS 开发者模式的先决条件
以下是实现开发者模式的先决条件:
+ 您必须是 AMS Advanced 客户,并且至少有一个已注册的 AMS Advanced Plus 或高级账户。
+ 您使用的任何账户都必须是 AMS Advanced Plus 或高级账户。
+ **多账户登录区 (MALZ)**:您必须使用`AWSManagedServicesDevelopmentRole`预定义的 AWS Identity and Access Management (IAM) 角色。你申请这个角色。下一节将介绍如何获取开发者模式权限。
+ **单账户登录区 (SALZ)**:您必须使用`customer_developer_role`预定义的 AWS Identity and Access Management (IAM) 角色。你申请这个角色。下一节将介绍如何获取开发者模式权限。
## 如何实现 AMS 高级开发者模式
您可以通过请求为符合条件的 AMS Advanced 账户配置预定义的 IAM 角色来实现开发者模式:
+ **MALZ**:`AWSManagedServicesDevelopmentRole`
+ **SALZ**:`customer_developer_role`
然后,您将该角色分配给联合网络中的相关用户。
AMS Advanced 建议您确保开发者模式的使用符合您的内部控制框架和标准,因为开发者模式会带来两个变革向量:AMS Advanced 管理的资源的 AMS Advanced 变更管理以及针对您(作为我们的客户)管理的资源的客户管理角色联合。虽然 AMS Advanced 流程仍然符合我们的声明,但可能需要更新客户流程和控制框架。
**在您的 AMS 高级账户中实现开发者模式**
1. 确认您要在开发者模式下使用的账户符合中列出的要求[AMS 开发者模式的先决条件](#developer-mode-implement-prerequisites)。
1. 使用变更类型 (CT) 管理 \$1 托管账户 \$1 开发者模式 \$1 启用(托管自动化)提交变更请求 (RFC)。有关如何使用此 CT 的示例,请参阅[开发者模式 \$1 启用(托管自动化)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-developer-mode-enable-review-required.html)。
处理 CT 后,将在请求的账户中配置预定义的 IAM 角色(`AWSManagedServicesDevelopmentRole`对`customer_developer_role`于 **M** **ALZ,对于 SALZ**)。
1. 使用您的内部联合流程为需要开发者模式访问权限的用户分配相应的角色。
AMS Advanced 建议您限制访问权限,以防止不必要或未经批准地配置或更改资源。
## AMS 高级开发者模式权限
预定义角色(适用`AWSManagedServicesDevelopmentRole`于 **MALZ**,`customer_developer_role`对于 **SALZ**)授予在 AMS 高级 VPC 中创建应用程序基础设施资源的权限,包括 IAM 角色,同时限制访问由 AMS Advanced 运营的*共享服务*组件(例如,管理主机、域控制器、趋势科技 EPS、堡垒和不支持的 AWS 服务)。该角色还限制对以下内容的访问 AWS 服务:Amazon GuardDuty、 AWS Organizations AWS Directory Service APIs、和 AMS Advanced 日志。
虽然该角色允许您创建其他 IAM 角色,但开发人员模式访问权限中包含的相同权限限制也适用于由创建的任何 IAM 角色`AWSManagedServicesDevelopmentRole`。
# 开发者模式下的安全性与合规性
安全与合规是 AMS Advanced 和您作为我们的客户的共同责任。AMS Advanced Developer 模式将您在变更管理流程之外配置的资源或通过变更管理配置但使用开发者模式权限更新的资源的共同责任转移给您。有关分担责任的更多信息,请参阅 [AWS Managed Services](https://aws.amazon.com/managed-services/)。
**注意事项:**
+ DevMode 允许您和您的授权团队绕过 AMS 安全的核心 deny-by-default原则。必须权衡自助服务、减少等待 AMS 的优点和缺点,任何人都可以在安全团队不知情的情况下执行意想不到的破坏性操作。用于启用开发模式和直接更改模式的自动更改类型已公开,您组织中的任何授权人员都可以运行这些类型 CTs 并启用这些模式。
+ 您负责从您的用户群中管理 CT 执行权限。
+ AMS 不管理 CT 执行权限
**建议**
+ **保护**
+ 客户可以通过权限阻止访问此 CT,请参阅[使用 IAM 角色策略声明限制权限](https://docs.aws.amazon.com/managedservices/latest/userguide/request-iam-user.html)
+ 通过实施代理(例如 ITSM 系统)来阻止对此 CT 的访问
+ 利用服务控制策略 (SCPs),根据需要阻止策略和行为,请参阅 [AMS Preventical 和 Detective Control](https://docs.aws.amazon.com/managedservices/latest/userguide/scp-library.html) s 库
+ **检测**
+ 监视你的 RFC 是否正在执行这些内容 CTs (启用开发者模式 ct-1opjmhuddw194 和直接更改模式,启用 ct-3rd4781c2nnhp)并做出相应的响应
+ 查看 and/or 您的账户是否存在 IAM 资源,以确定部署了开发者模式或直接变更模式的账户
+ **回应**
+ 根据需要在开发者模式下移除账户
## 开发者模式下的安全性
AMS Advanced 通过规范性的着陆区、变更管理系统和访问管理提供了额外的价值。使用开发者模式时,AMS Advanced 的安全值通过使用与标准 AMS Advanced 账户相同的账户配置来保持 AMS Advanced 的安全值,该账户配置与 AMS Advanced 的基准安全强化网络相同。网络受角色中强制执行的权限边界的保护(`AWSManagedServicesDevelopmentRole`对于 **MALZ**,`customer_developer_role`对于 **SALZ**),这限制了用户破坏在设置账户时建立的参数保护。
例如,具有该角色的用户可以访问 Amazon Route 53,但是 AMS 高级内部托管区域受到限制。对创建的 IAM 角色强制执行相同的权限边界`AWSManagedServicesDevelopmentRole`,从而限制用户破坏账户加入 AMS Advanced 时建立的参数保护。`AWSManagedServicesDevelopmentRole`
## 开发者模式下的合规性
开发者模式与生产和非生产工作负载兼容。您有责任确保遵守任何合规标准(例如 PHI、HIPAA、PCI),并确保开发人员模式的使用符合您的内部控制框架和标准。
# 开发者模式下的变更管理
变更管理是 AMS Advanced 服务用来实施变更请求的流程。变更请求 (RFC) 是您或 AMS Advanced 通过 AMS Advanced 界面创建的对托管环境进行更改的请求,其中包括特定操作的更改类型 (CT) ID。有关更多信息,请参阅 [更改管理模式](using-change-management.md)。
在授予开发者模式权限的 AMS Advanced 账户中,不强制执行变更管理。已获得 IAM 角色的开发者模式权限(`AWSManagedServicesDevelopmentRole`适用于 **MALZ**、`customer_developer_role` **SALZ**)的用户可以使用原生 AWS API 访问权限在其 AMS 高级账户中配置和更改资源。在这些账户中没有相应角色的用户必须使用 AMS Advanced 变更管理流程进行更改。
**重要**
只有使用 AMS Advanced 变更管理流程创建您使用开发者模式创建的资源才能由 AMS Advanced 管理。对于在 AMS Advanced 变更管理流程之外创建的资源,提交给 AMS Advanced 的更改请求会被 AMS Advanced 拒绝,因为这些请求必须由您处理。
## 自助配置服务 API 限制
开发者模式支持所有 AMS Advanced 自行配置服务。对自行配置服务的访问受每项服务的相应用户指南部分中概述的限制。如果您的开发者模式角色无法使用自行配置的服务,则可以通过开发者模式更改类型请求更新的角色。
以下服务不提供对服务的完全访问权限 APIs:
**自配服务在开发者模式下受到限制**
| 服务 | 备注 |
| --- | --- |
| Amazon API Gateway | 允许所有网关 APIs 呼叫,但以下情况除外`SetWebACL`。 |
| Application Auto Scaling | 只能注册或取消注册可扩展目标,以及放置或删除扩展策略。 |
| AWS CloudFormation | 无法访问或修改名称前缀为的 CloudFormation 堆栈。`mc-` |
| AWS CloudTrail | 无法访问或修改名称前缀为的 CloudTrail 资源。`ams-` and/or `mc-` |
| Amazon Cognito(用户池) | 无法关联软件令牌。 无法创建用户池、用户导入任务、资源服务器或身份提供商。 |
| AWS Directory Service | `Connect`和`WorkSpaces`服务只需要 Directory Service 执行以下操作。开发者模式权限边界策略拒绝所有其他 Directory Service 操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/developer-mode-change-management.html) 在单账户 landing zone 账户中,边界策略明确拒绝访问 AMS Advanced 用于维护对启用开发模式的账户的访问权限的 AMS Advanced 托管目录。 |
| Amazon Elastic Compute Cloud | 无法访问包含以下字符串 EC2 APIs 的 Amazon:`DhcpOptions``Gateway`、`Subnet`、`VPC`、和`VPN`。 无法访问或修改标签前缀为`AMS`、、`mc``ManagementHostASG`、 and/or `sentinel`的 Amazon EC2 资源。 |
| 亚马逊 EC2 (报告) | 仅授予查看权限(不能修改)。注意:Amazon EC2 Reports 正在更新。“**报告**” 菜单项将从 Amazon EC2 控制台导航菜单中删除。要在删除后查看您的 Amazon EC2 使用情况报告,请使用 AWS Billing 和成本管理控制台。 |
| AWS Identity and Access Management (IAM) | 无法删除现有权限界限,也无法修改 IAM 用户密码策略。 除非您使用正确的 IAM 角色(对于 MALZ,对`AWSManagedServicesDevelopmentRole`于 **S **ALZ****),`customer_developer_role`否则无法创建或修改 IAM 资源。 无法修改前缀为:`ams`、、`mc``customer_deny_policy`、 and/or `sentinel`的 IAM 资源。 创建新的 IAM 资源(角色、用户或群组)时,必须附加权限边界(**MALZ**: `AWSManagedServicesDevelopmentRolePermissionsBoundary`、**SALZ**:`ams-app-infra-permissions-boundary`)。 |
| AWS Key Management Service (AWS KMS) | 无法访问或修改 AMS 高级管理的 KMS 密钥。 |
| AWS Lambda | 无法访问或修改前缀为的 AWS Lambda 函数。`AMS` |
| CloudWatch 日志 | 无法访问名称前缀为:`mc`、、`aws``lambda`、 and/or `AMS`的 CloudWatch 日志流。 |
| Amazon Relational Database Service (Amazon RDS) | 无法访问或修改名称前缀为:`mc-`的亚马逊关系数据库服务 (Amazon RDSDBs) 数据库 ()。 |
| AWS Resource Groups | 只能访问`Get``List`、和`Search`资源组 API 操作。 |
| Amazon Route 53 | 无法访问或修改 Route53 AMS 高级维护的资源。 |
| Amazon S3 | 无法访问名称前缀为:`ams-*`、、`ams`或的 Amazon S3 存储桶。`ms-a` `mc-a` |
| AWS Security Token Service | 唯一允许的安全令牌服务 API 是`DecodeAuthorizationMessage`。 |
| Amazon SNS | 无法访问名称前缀为:`AMS-``Energon-Topic`、或的 SNS 主题。`MMS-Topic` |
| AWS Systems Manager 经理 (SSM) | 无法修改以`ams`、`mc`或为前缀的 SSM 参数。`svc` 无法`SendCommand`对标签前缀为或的 Amazon EC2 实例使用 SSM API。`ams` `mc` |
| AWS 标记 | 您只能访问前缀为的 AWS 标记 API 操作。`Get` |
| AWS Lake Formation | 以下 AWS Lake Formation API 操作被拒绝: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/developer-mode-change-management.html) |
| Amazon Elastic Inference | 您只能调用 Elastic Inference API 操作。`elastic-inference:Connect`此权限包含在`customer_sagemaker_admin_policy`所附的权限中`customer_sagemaker_admin_role`。此操作允许您访问 Elastic Inference 加速器。 |
| AWS Shield | 无法访问任何此服务 APIs 或控制台。 |
| Amazon Simple Workflow Service | 无法访问任何此服务 APIs 或控制台。 |
# 在 AMS 开发者模式下配置基础架构
在启用开发者模式的账户中`AWSManagedServicesDevelopmentRole`,没有开发者模式 IAM 角色的用户必须遵循利用 AMS Advanced 的 AMS 高级变更管理流程。 AMIs角色正确(**MALZ: `AWSManagedServicesDevelopmentRole`、**SALZ****:`customer_developer_role`)的用户可以使用 AMS Advanced 变更管理系统和 AMS Advanced, AMIs 但不是必需的。
**注意**
未通过 AWS AMS 高级工作负载摄取处理或在 AMS 高级账户中创建的 AMI 将不包含 AMS Advanced 所需的配置。
# AMS 开发者模式下的 Detective 控件
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
# 在 AMS 开发者模式下记录、监控和事件管理
对于在 AMS Advanced 变更管理流程之外配置的资源,或者通过变更管理配置然后由使用开发者模式权限的账户更改的资源,不可使用记录、监控和事件管理。
# AMS 开发者模式下的事件管理
事件响应时间没有变化。对于在变更管理流程之外配置的资源,或者通过变更管理配置的资源,然后由使用开发者模式权限的账户进行更改,应尽力解决事件。
**注意**
AMS 服务等级协议 (SLA) 不适用于在 AMS 变更管理系统之外创建或更新的资源(包括更改请求或 RFCs),包括开发人员模式;因此,在开发者模式下更新或创建的资源会自动降级为 P3,AMS 支持是尽力而为。
# AMS 开发者模式下的补丁管理
补丁管理不适用于在 AMS Advanced 变更管理流程之外置备的资源,也不可用于通过变更管理配置然后由使用开发者模式权限的账户更改的资源。修补时间:
+ 对于重要的安全更新:供应商发布通过变更管理配置然后由使用开发者模式权限的账户更改的资源后 10 个工作日内。
+ 重要更新:供应商发布通过变更管理配置的资源,然后由使用开发者模式权限的账户进行更改的资源后 2 个月内。
# AMS 开发人员模式下的连续性管理
连续性管理不适用于在 AMS Advanced 变更管理流程之外配置的资源,也不可用于通过变更管理配置然后由使用开发者模式权限的账户更改的资源。
对于在 AMS Advanced 变更管理流程之外配置的资源,或者对于通过变更管理配置然后由使用开发者模式权限的账户更改的资源,环境恢复启动时间可能长达 12 小时。
# AMS 开发者模式下的安全和访问管理
防恶意软件保护是指您对在 AMS Advanced 变更管理流程之外配置的资源,或者对通过变更管理配置然后由使用开发者模式权限的账户更改的资源的责任。对未通过 AMS 高级变更管理配置的亚马逊弹性计算云 (Amazon EC2) 实例的访问可能由密钥对控制,而不是提供联合访问权限。
# AMS 中的自助服务配置模式
AWS Managed Services (AMS) 自助服务配置 (SSP) 模式提供对 AMS 托管账户中原生 AWS 服务和 API 功能的完全访问权限。您可以通过标准化的、范围缩小的 AWS Identity and Access Management 角色来访问服务。AMS 提供服务请求和事件管理。警报、监控、记录、修补、备份和变更管理是您的责任。在许多情况下,自助服务配置服务 (SSP) 是自我管理或无服务器的,不需要管理某些操作任务,例如修补。在 AMS 护栏定义的环境边界内使用这些服务将使您受益,任何 IAM 更改(包括服务关联角色、服务角色、跨账户角色或策略更新)都需要获得 AMS Operations 的批准,以维护平台的基准安全性。您可以利用 CloudFormation 模板自动部署这些服务,但并非所有 SSP 服务都支持此功能。
**重要**
在您的 AWS Managed Services (AMS) 账户中使用 SSP 模式访问和使用 AWS 服务,但限制如上所述。
在您 AWS 服务 的 AMS 账户中,有些无需管理 AMS 即可使用。本节介绍了自助服务配置模式服务(简称 SSP)、如何将它们添加到您的 AMS 账户以及 FAQs 每项服务。
自助配置服务按原样提供,您负责管理这些服务。AMS 不为与这些服务相关的资源提供警报、监控、日志记录或修补。AMS 提供 IAM 角色,使您能够安全地使用 AMS 账户中的服务。AMS SLAs 不适用。
对于您通过自助服务配置的资源,AMS 通过服务请求提供事件管理、侦探控制和护栏、报告、指定资源(云服务交付经理和云架构师)、安全和访问权限以及技术支持。此外,在适用的情况下,您负责在 AMS 变更管理系统之外配置或配置的资源的连续性管理、补丁管理、基础设施监控和变更管理。
# AMS 中的 SSP 模式入门
自助配置是您可以使用的多账户着陆区 (MALZ) 的 AMS 模式之一。有关更多信息,请参阅 [模式概述](ams-modes-ug.md)。
为了提供自助服务配置功能,AMS 创建了具有权限界限的提升的 IAM 角色,以限制直接 AWS 服务 访问的意外更改。这些角色并不能阻止所有更改,您必须遵守内部控制和合规政策,并验证所有 AWS 服务 使用的角色是否符合所需的认证。这是自助配置模式。有关 AWS 合规性要求的详细信息,请参阅[AWS 合规性](https://aws.amazon.com/compliance/)。
要向您的多账户 landing zone Application 账户添加自助配置** AWS 服务,请按照服务的说明使用管理 \$1 服务 \$1 自配置服务 \$1 添加**变更类型 (CT),即需要审阅的 CT 或自动 CT。
**注意**
要请求 AMS 提供额外的自助服务配置服务,请提交服务请求。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon API Gateway
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon API Gateway 功能。[Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) 是一项完全托管的服务,让开发人员可以轻松地以任何规模创建、发布、维护、监控和保护 APIs 。[使用 AWS 管理控制台 可以创建 REST WebSocket APIs ,它可以作为应用程序访问后端服务的数据、业务逻辑或功能的前门,例如在亚马逊弹性计算云 (Amazon EC2) 上运行的工作负载、在上面运行的代码[AWS Lambda](https://aws.amazon.com/lambda/)、任何 Web 应用程序或实时通信应用程序。](https://aws.amazon.com/ec2/)
API Gateway 可处理接受和处理多达数十万个并发 API 调用所涉及的所有任务,包括流量管理、授权和访问控制、监控以及 API 版本管理。API Gateway 没有最低费用或启动成本。您只需为收到的 API 调用和传出的数据量付费,而且,借助 API Gateway 分层定价模型,您可以随着 API 使用量的扩大而降低成本。要了解更多信息,请参阅 [Amazon API Gateway](https://aws.amazon.com/api-gateway/)。
## 常见问题:AMS 中的 API Gateway
**问:如何使用我的 AMS 账户申请访问亚马逊 API Gateway?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 API Gateway。此 RFC 为您的账户配置以下 IAM 角色:`customer_apigateway_author_role`和。`customer_apigateway_cloudwatch_role`在您的账户中配置后,您必须在联合解决方案中加入角色。
**问:在我的 AMS 账户中使用 Amazon API Gateway 有哪些限制?**
+ API Gateway 配置仅限于不带前缀`AMS-`或`MC-`前缀的资源,以防止对 AMS 基础设施进行任何修改。
+ `CREATE`的权限已禁 VPCLink 用,以防止不受监管地创建弹性负载均衡器。如果 VPCLinks 需要,请参阅 App [lication Load Balancer \$1 Creat](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-application-load-balancer-create.html) e。
**问:在我的 AMS 账户中使用 Amazon API Gateway 有哪些先决条件或依赖关系?**
这取决于你要部署的 API Gateway 的类型。它可以是独立服务,但也可以请求访问现有服务(例如,网络负载均衡器)。
# 使用 AMS SSP 在你的 AMS 账户中配置 Alexa for Business
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Alexa for Business 功能。Alexa for Business 是一项服务,可让您的组织和员工使用 Alexa 来完成更多工作。有了 Alexa for Business,你可以使用 Alexa 作为智能助手,在会议室、办公桌前,甚至使用已经在家中或旅途中使用的 Alexa 设备提高工作效率。IT 和设施经理可以使用 Alexa for Business 来衡量和提高工作场所现有会议室的利用率。
要了解更多信息,请参阅 [Alexa for Business。](https://aws.amazon.com/alexaforbusiness/)
## AWS Managed Services 中的 Alexa for Business 常见问题解答
**问:如何使用我的 AMS 账户申请访问 Alexa for Business?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_alexa_console_role`. 还`customer_alexa_device_setup_user`为 Alexa for Business 提供的设备设置工具创建了 A;然后可以使用此设备设置工具来设置您的设备。在您的账户中配置角色后,您必须在联合解决方案中加入角色。
Alexa for Business 网关使您可以将 Alexa for Business 连接到思科 Webex 和 Poly Group 系列终端,从而使用语音控制会议。网关软件在您的本地硬件上运行,可以安全地将会议指令从 Alexa for Business 代理到您的思科终端。网关需要两对 AWS 凭据才能与 Alexa for Business 通信。我们提供两个访问受限的IAM用户:`customer_alexa_gateway_installer_user`以及`customer_alexa_gateway_execution_user`您的Alexa for Business网关,一个用于安装网关,一个用于操作网关;可以通过使用部署 \$1 高级堆栈组件 \$1 身份和访问管理 (IAM) \$1 创建实体或策略(托管自动化)更改类型 (ct-3dpd8mdd9jn1r) 提交RFC来申请。
**注意**
要生成使用情况报告并将其发送到 Amazon S3,请在自配置服务 RFC 中指定 Amazon S3 存储桶名称。
**问:在我的 AMS 账户中使用 Alexa for Business 有哪些限制?**
没有任何限制。Alexa for Business 的全部功能可通过 Alexa for Business 自行配置服务角色获得。
**问:在我的 AMS 账户中使用 Alexa for Business 有哪些先决条件或依赖条件?**
+ 如果您打算使用 E WPA2 nterprise Wi-Fi 来设置共享设备,请在设备设置工具中指定此网络安全类型,该工具需要使用。 AWS 私有证书颁发机构
+ AMS 仅创建以命名空间 “A4B” 开头的密钥。这仅限于此命名空间。
**问:Alexa for Business 的哪些功能需要 RFCs单独使用?**
要向 Alexa for Business 注册 Alexa 语音服务 (AVS) 设备,请提供对 Alexa 内置设备制造商的访问权限。为此,需要在 Alexa for Business 控制台中创建一个 IAM 角色,该角色可以使用管理 \$1 其他 \$1 其他更改类型进行部署。这允许 AVS 设备制造商代表您在 Alexa for Business 上注册和管理设备。
# 使用 AMS SSP 在您的 AMS WorkSpaces 账户中配置亚马逊应用程序
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊 WorkSpaces WorkSpaces 应用程序(应用程序)功能。 WorkSpaces 应用程序允许您将桌面应用程序移至 AWS,而无需重写它们。您可以将应用程序安装在 WorkSpaces 应用程序上,设置启动配置,并使应用程序可供用户使用。 WorkSpaces Applications 提供了多种虚拟机选项,因此您可以选择最符合应用程序要求的实例类型,并设置自动缩放参数,以便轻松满足最终用户的需求。 WorkSpaces 应用程序使您能够在自己的网络中启动应用程序,这意味着您的应用程序可以与现有 AWS 资源进行交互。
Amazon A WorkSpaces pplications 使您能够使用映像生成器快速轻松地安装、测试和更新应用程序。支持在微软 Windows Server 2012 R2、Windows Server 2016 或 Windows Server 2019 上运行的任何应用程序,你无需进行任何修改。测试完成后,您可以设置应用程序启动配置、默认用户设置,并发布图像以供用户访问。
要了解更多信息,请参阅[WorkSpaces 应用程序](https://aws.amazon.com/appstream2/)。
## WorkSpaces AWS Managed Services 中的应用程序常见问题解答
**问:如何申请访问我的 AMS 账户中的 WorkSpaces 应用程序?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-3qe6io8t6jtny) 更改类型提交 RFC,请求访问 WorkSpaces 应用程序。此 RFC 为您的账户配置以下 IAM 角色:`customer_appstream_console_role`.
还部署 A `customer_appstream_stream_role` 以流式传输要求用户使用 Active Directory 登录凭据进行身份验证的应用程序。
在您的账户中配置角色后,您必须在联合解决方案中加入角色。
**问:在我的 AMS 账户中使用 WorkSpaces 应用程序有哪些限制?**
+ 以下功能必须由 AMS Support 团队进行配置,并且需要特定 RFCs。有关请求其他功能的说明可在第 4 节中找到。
+ 从接口 VPC 终端节点创建和流式传输。
+ 支持 Amazon S3 终端节点,用于主文件夹和应用程序设置在私有网络上的持久性。
+ 创建并选择将在所有队列流实例上可用的 IAM 角色。
+ 加入 WorkSpaces 应用程序队列和映像生成器 Microsoft 活动目录域。
+ 创建 WorkSpaces 应用程序自定义使用情况报告。
+ 目前不支持自定义品牌。
**问:在我的 AMS 账户中使用 WorkSpaces 应用程序的先决条件或依赖条件是什么?**
在向载入 WorkSpaces 应用程序提交 RFC 时,请包括用于 WorkSpaces 应用程序使用情况报告的 Amazon S3 存储桶名称。存储桶名称`customer-appstream-usagereports-policy`将添加到加载 WorkSpaces 应用程序时创建的。
**问:哪些 WorkSpaces 应用程序功能需要分开 RFCs?**
+ 要为 WorkSpaces 应用程序选择接口 VPC 终端节点,请提交管理 \$1 其他 \$1 其他 \$1 更新更改类型 RFC 以在您的账户中创建 VPC 终端节点。有关为应用程序创建自定义终端节点的步骤,请参阅 WorkSpaces WorkSpaces 应用程序用户指南中的[从接口 VPC 终端节点创建和流式传输](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html)。
+ 通过使用 “管理 \$1 其他 \$1 其他 \$1 其他 \$1 创建更改类型 RFC” 请求 Amazon S3 VPC 终端节点,即可配置对主文件夹和应用程序设置在私有网络上的持久性的支持。RFC 必须包括分别托管主文件夹内容的目标 Amazon S3 存储桶或应用程序设置 Amazon S3 存储桶。此 RFC 将为 WorkSpaces 应用程序提供访问 Amazon S3 VPC 终端节点所需的权限。有关为流创建自定义终端节点的步骤,请参阅应用程序用户指南中的[将 Amazon S3 VPC 终端节点用于主文件夹和 WorkSpaces 应用程序设置持久性](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html)。
+ 要创建和选择可在所有队列流实例上使用的 IAM 角色,请提交部署 \$1 高级堆栈组件 \$1 身份和访问管理 (IAM) \$1 创建实体或策略(托管自动化)更改类型 (ct-3dpd8mdd9jn1r) RFC 请求使用所需策略的 IAM 角色。IAM 角色名称应始终以前缀 “customer\$1appstream” 开头。
+ 通过在 Active Directory (AD) 中提交管理 \$1 其他 \$1 其他 \$1 其他 \$1 更新更改类型 RFC,即可将亚马逊 WorkSpaces 应用程序队列和映像生成器加入到 Microsoft Active Directory 中的域中。加入 Microsoft Active Directory 所需的最低[权限在 WorkSpaces 应用程序文档的授予创建和管理 Active Directory 计算机对象](https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions)的权限中定义。
+ 要创建自定义 WorkSpaces 应用程序使用情况报告,请提交管理 \$1 其他 \$1 其他 \$1 创建更改类型 RFC,请求以下内容:
+ “AppStreamUsageReports” CFN 堆栈创建
+ 在账户中配置 “customer\$1appstream\$1usagereports\$1role”
+ 此外,请提供以下详细信息:
+ 提供 CRON 表达式来安排 Crawler 运行。默认情况下,每天为世界标准时间 23:00。
+ 用于获取 Athena 查询结果的 Amazon S3 存储桶 ARN。这个存储桶应该有前缀:`aws-athena-query-results`
+ Amazon S3 存储桶 ARN WorkSpaces 应用程序使用情况报告日志。
配置角色后,将该角色加入您的联合解决方案并登录,然后使用使用情况报告角色访问 AWS GlueAWS Glue 和 Athena 以生成自定义报告。有关使用 WorkSpaces 应用程序使用情况报告的详细信息,请参阅[ WorkSpaces 应用程序文档中的创建自定义报告和分析 WorkSpaces 应用程序使用情况数据](https://docs.aws.amazon.com/appstream2/latest/developerguide/configure-custom-reports-analyze-usage-data.html)。
# 使用 AMS SSP 在你的 AMS 账户中配置亚马逊 Athena
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊 Athena(Athena)功能。Athena 是一项交互式查询服务,可帮助您使用标准 SQL 分析 Amazon S3 中的数据。Athena 没有服务器,没有要管理的基础设施,只需为运行的查询付费。您指向 Amazon S3 中的数据,定义架构,然后开始使用标准 SQL 进行查询。大多数结果会在几秒钟内送达。有了 Athena,无需 extract-transform-load复杂的 (ETL) 任务来准备数据以供分析。这使得任何具有 SQL 技能的人都可以直接快速分析大规模数据集。要了解更多信息,请参阅[亚马逊 Athena](https://aws.amazon.com/athena/)。
## 常见问题:AMS 中的 Athena
**问:如何使用我的 AMS 账户申请访问亚马逊 Athena?**
使用管理 AWS \$1 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 Athena。此 RFC 为您的账户配置以下 IAM 角色:`customer_athena_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用亚马逊 Athena 有哪些限制?**
没有任何限制。您的 AMS 账户中提供亚马逊 Athena 的全部功能。
**问:在我的 AMS 账户中使用 Amazon Athena 的先决条件或依赖条件是什么?**
Athena 主要依赖 AWS Glue 该服务,因为它使用使用创建的数据。 catalog/metastore AWS Glue因此, AWS Glue 权限包含在成功的 Athena RFC 中。
该角色`customer_athena_console_role`具有 Amazon S3 存储桶的先决条件。要创建新的存储桶,请使用自动化 CT`ct-1a68ck03fn98r`(部署 \$1 高级堆栈组件 \$1 S3 存储 \$1 创建)。当您使用此自动 CT 为 Athena 创建 S3 存储桶时,存储桶名称必须以前缀开头。`athena-query-results-*`
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Bedrock
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Bedrock 功能。Amazon Bedrock 是一项完全托管的服务,可制作来自领先的 AI 初创公司的高性能基础模型 (FMs),并通过统一的 API AWS 供您使用。您可以从各种根基模型中选择,找到最适合您的用例的模型。Amazon Bedrock 还提供了一系列广泛的功能,可以构建生成式人工智能应用程序,为您提供安全可靠的专属人工智能服务。利用 Amazon Bedrock,您可以轻松试验和评估用例的常用根基模型,使用微调和检索增强生成 (RAG) 等技术,通过自己的数据进行量身定制,并构建使用企业系统和数据来源执行任务的代理。
借助 Amazon Bedrock 的无服务器体验,您可以快速入门,使用自己的数据私下自定义基础模型,并使用 AWS 工具轻松安全地将其集成和部署到您的应用程序中,而无需管理任何基础设施。有关更多信息,请参阅 [Amazon Bedrock](https://aws.amazon.com/bedrock/)。
## 常见问题:AMS 中的 Amazon Bedrock
**问:如何使用我的 AMS 账户申请访问 Amazon Bedrock?**
要请求访问 Amazon Bedrock,请使用管理 \$1 AWS 服务 \$1 自行配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型提交 RFC。此 RFC 为您的账户配置以下 IAM 角色:`customer_bedrock_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon Bedrock 有哪些限制?**
+ 默认情况下,作为 SSP 角色的一部分,不支持 Amazon Bedrock 知识库,因为它依赖亚马逊无服务器 OpenSearch 服务,AMS 目前不支持该服务。
+ 由于依赖亚马逊等不受支持的服务,因此不支持 Bedrock Studio。 DataZone
**问:在我的 AMS 账户中使用 Amazon Bedrock 有哪些先决条件或依赖关系?**
+ 需要 AWS Marketplace 权限的第三方模型订阅必须由默认角色完成(`AWSManagedServicesAdminRole`在 MALZ 和 SALZ `Customer_ReadOnly_Role` 上)。这是因为默认角色包括 AWS Marketplace 权限。
+ 如果使用数据加密,则在请求创建控制台角色时必须提供 AWS KMS 密钥 ARN。此外,正在使用的 Amazon S3 存储桶的名称中必须有 “基石”。
# 使用 AMS SSP CloudSearch 在您的 AMS 账户中配置亚马逊
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊 CloudSearch 功能。Amazon CloudSearch 是一项 AWS 云端托管服务,您可以经济高效地使用它来设置、管理和扩展您的网站或应用程序的搜索解决方案。Amazon CloudSearch 支持 34 种语言和热门搜索功能,例如突出显示、自动完成和地理空间搜索。要了解更多信息,请参阅 [Amazon CloudSearch](https://aws.amazon.com/cloudsearch/)。
**注意**
AWS 自 2024 年 7 月 25 日起 CloudSearch,已关闭新买家访问亚马逊的权限。Amazon CloudSearch 现有客户可以继续照常使用该服务。 AWS 继续投资于 Amazon 的安全性、可用性和性能改进 CloudSearch,但我们不打算推出新功能。
要了解亚马逊 CloudSearch 和亚马逊 OpenSearch 服务之间的区别,以及如何过渡到 OpenSearch 服务,请联系您的云架构师 (CA) 寻求指导。有关过渡到 OpenSearch 服务的更多信息,请参阅[从亚马逊过渡 CloudSearch 到亚马逊 OpenSearch 服务服务](https://aws.amazon.com/blogs/big-data/transition-from-amazon-cloudsearch-to-amazon-opensearch-service/)。
## AWS Managed Services CloudSearch 中的亚马逊常见问题解答
**问:如何使用我的 AMS 账户申请访问亚马逊 CloudSearch ?**
使用管理 \$1 AWS 服务 \$1 自行配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问亚马逊 CloudSearch 。此 RFC 为您的账户配置以下 IAM 角色:`customer_csearch_admin_role`和。`customer_csearch_dev_role`在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: CloudSearch 在我的 AMS 账户中使用亚马逊有哪些限制?**
您的 AMS 账户中提供 CloudSearch 了 Amazon 的全部功能。Amazon 目前支持所有 AMS 支持的数据库解决方案。 CloudSearch请注意,当前,DynamoDB 是唯一无法建立索引的 AWS 托管数据库解决方案。
**问:在我的 AMS 账户 CloudSearch 中使用 Amazon 的先决条件或依赖条件是什么?**
Amazon CloudSearch 依靠 Amazon S3 与身份提供商合作来自动分析输入数据并确定表字段。此 RFC 不提供对 Amazon S3 的访问权限,因此必须在服务请求中单独申请。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon CloudWatch Synthetics
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon CloudWatch Synthetics 功能。你可以使用 Amazon S CloudWatch ynthetics 创建 “加那利群岛” 来监控你的终端节点,然后。 APIs
Canarie 是用 Node.js 或 Python 编写的可配置脚本,按计划运行。它们以 Node.js 或 Python 为框架在您的账户中创建 Lambda 函数。金丝雀通过 HTTP 和 HTTPS 两种协议工作。Canaries 会检查您的终端节点的可用性和延迟,并可以存储加载时间数据和 UI 屏幕截图。他们监控您的 REST APIs 和网站内容,并可以检查网络钓鱼、代码注入和跨站脚本是否存在未经授权的更改。 URLs
加那利群岛遵循与客户相同的路线和执行相同的操作,因此即使您的应用程序上没有任何客户流量,您也可以持续验证客户体验。使用金丝雀,您可以早于客户先行发现问题。要了解更多信息,请参阅 [Amazon CloudWatch:使用综合监控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries.html)。
## AWS Manage CloudWatch d Services 中的亚马逊 Synthetics 常见问题解答
**问:如何使用我的 AMS 账户申请访问亚马逊 S CloudWatch ynthetics?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66 CloudWatch n899dct) 更改类型提交 RFC,请求访问 Amazon Synthetics。此 RFC 为您的账户配置以下 IAM 角色:“customer\$1cw\$1synthetics\$1console\$1role” 和 “customer\$1cw\$1synthetics\$1canary\$1lambda\$1role”。在您的账户中配置后,您必须在联合解决方案中加入 “customer\$1cw\$1synthetics\$1console\$1role” 角色。
**问:在我的 AMS 账户中使用 Amazon S CloudWatch ynthetics 有哪些限制?**
在您的 AMS 账户中使用 Amazon S CloudWatch ynthetics 没有任何限制。禁止在 AMS 提供的服务角色 “customer\$1cw\$1synthetics\$1canary\$1lambda\$1role” 之外为加那利群岛创建角色。
**问:在我的 AMS 账户中使用 Amazon S CloudWatch ynthetics 有哪些先决条件或依赖条件?**
加那利群岛创建并使用默认的 Amazon Synth CloudWatch etics S3 存储桶:cw-syn-results“--” *\$1\$1accountnumber\$1* *\$1\$1default-region\$1*
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Cognito 用户池
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Cognito 用户池功能。Amazon Cognito 用户池提供了一个安全的用户目录,可扩展到数亿用户。作为一项完全托管的服务,Amazon Cognito 用户池的设置无需担心服务器基础设施的架设问题。此服务使您能够管理最终用户池,您可以使用这些用户与内部应用程序集成。此服务为您提供了自定义数据库或网络或移动应用程序最终用户目录的替代方案。同时,Amazon Cognito 用户池提供了目录服务的全套功能,例如密码策略、多因素身份验证、密码恢复和自助注册服务。它还允许该应用程序联合访问其他流行的公共服务,例如OpenID、Facebook、Amazon或Google。
亚马逊 Cognito 分为两个主要产品。亚马逊 Cognito 用户池和亚马逊 Cognito 身份提供商。本节重点介绍 Amazon Cognito 用户池,这些用户池提供对亚马逊 S3 或 DynamoDB 等其他 AWS 服务的访问权限。该服务允许您使用 Amazon Cognito 用户池或第三方身份提供商来提供对服务的访问权限。 AWS 它还通过匿名访客访问提供对 AWS 服务的访问。由于 Amazon Cognito 用户池的强大特性,它将 case-by-case作为操作手动服务进行手动管理,以避免账户受到潜在的安全漏洞。要了解更多信息,请参阅 [Amazon Cognito 用户池](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)。
## AWS Managed Services 常见问题解答中的 Amazon Cognito 用户池
常见问题和答案:
**问:如何申请访问我的 AMS 账户中的 Amazon Cognito 用户池?**
在 AMS 中实施 Amazon Cognito 用户池分为两个步骤:
1. 提交管理 \$1 其他 \$1 其他 \$1 创建 (ct-1e1xtak34nx76) 更改类型并请求在您的 AMS 账户中创建 Amazon Cognito 用户池。包括以下信息:
+ AWS 区域。
+ Cognito 用户池的名称。
+ 如果您想使用亚马逊简单电子邮件服务 (Amazon SES) 来发送消息和通知,而不是默认的内部 Cognito 邮件服务,则客户应在账户中提供一个已经过验证的 Amazon SES 服务电子邮件地址。此地址将用于邮件的 “发件人” 和 “回复至” 字段。它们还必须注明激活亚马逊 SES 的地区(us-east-1、eu-west-1 或 us-west-2)。
+ 如果您想使用短信进行一次性密码和验证,则客户应注明。
1. 通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 来请求用户访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_cognito_admin_role`和。`customer_cognito_importjob_role`在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。这些角色允许您管理 Amazon Cognito 用户池、管理池中的用户和群组、为用户创建导入任务、修改通知和订阅消息、将应用程序关联到用户池、自行管理向池中添加联合服务以及删除已创建的池。
**问:在我的 AMS 账户中使用 Amazon Cognito 用户池有哪些限制?**
您将无法创建 Amazon Cognito 用户池。该操作需要创建 IAM 角色才能利用亚马逊 Cognito 使用的服务,例如亚马逊 SES 和亚马逊简单通知服务 (Amazon SNS) Service。
**问:在我的 AMS 账户中使用 Amazon Cognito 用户池有哪些先决条件或依赖关系?**
如果您想使用 Amazon SES 通过电子邮件向您的用户池发送消息和通知,他们应该已经在账户中激活 Amazon SES 服务,并且已经验证了应在已发送电子邮件的 “发件人” 和 “回复” 字段中使用的电子邮件地址。有关使用 Amazon SES 验证电子邮件地址的更多信息,请参阅在 Amazon S [ES 中验证电子邮件地址](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/verify-email-addresses.html)。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Comprehend
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Comprehend 功能。Amazon Comprehend 是一项自然语言处理 (NLP) 服务,它使用机器学习在文本中查找见解和关系,无需任何机器学习经验。Amazon Comprehend 使用机器学习来帮助您发现非结构化数据中的见解和关系。该服务能够识别文本语言;提取关键短语、地点、人物、品牌或事件;判断文本的积极或消极程度;通过分词和词性标注分析文本;并按主题自动整理文本文件集。您还可以使用 Amazon Comprehend 中的 AutoML 功能来构建一组专为您的组织需求量身定制的自定义实体或文本分类模型。要了解更多信息,请参阅[亚马逊 Comprehend](https://aws.amazon.com/comprehend/)。
## AWS Managed Services 常见问题解答中的亚马逊 Comprehend
**问:如何使用我的 AMS 账户申请访问亚马逊 Comprehend?**
可以通过提交两个 AMS 服务来申请 Amazon Comprehend 控制台和数据访问角色: RFCs
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_comprehend_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon Comprehend 有哪些限制?**
通过 Amazon Comprehend 控制台创建新的 IAM 角色功能受到限制。否则,Amazon Comprehend 的全部功能都可以在你的 AMS 账户中使用。
**问:在我的 AMS 账户中使用 Amazon Comprehend 有哪些先决条件或依赖关系?**
如果亚马逊 S3 存储桶使用密钥加密,则必须使用 Amazon S3 和 AWS Key Management Service (AWS KMS) 才能使用 Amazon Comprehend。 AWS KMS
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Connect
**注意**
经过慎重考虑,我们决定从 2026 年 5 月 20 日起终止对 Amazon Connect Voice ID 的支持。从 2025 年 5 月 20 日起,Amazon Connect Voice ID 将不再接受新客户。作为在 2025 年 5 月 20 日之前注册该服务的账户的现有客户,您可以继续使用 Amazon Connect Voice ID 功能。2026 年 5 月 20 日之后,您将无法再使用 Amazon Connect Voice ID。
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Connect 功能。Amazon Connect 是一个全渠道云联络中心,可帮助公司以更低的成本提供卓越的客户服务。Amazon Connect 为客户和座席提供无缝的语音和聊天体验。这包括一套基于技能的路由工具、强大的实时和历史分析以及 easy-to-use直观的管理工具,所有这些都包含 pay-as-you-go定价。
您可以在 AMS 多账户 landing zone 或单账户着陆区账户中创建虚拟联络中心实例的一个或多个实例。您可以使用现有的 SAML 2.0 身份提供商进行代理访问或使用 Amazon Connect 原生支持进行用户生命周期管理。
此外,您可以从 Amazon Connect 控制台申请每个 Amazon Connect 实例的收费 free/direct 拨号电话号码。您可以使用 easy-to-use图形用户界面创建丰富的联系流程,以实现所需的客户体验和路由。联系流可以利用 AWS Lambda 函数与本地数据存储和 API 集成。你也可以使用 Kinesis Streams 和 Firehose 启用数据流。
通话记录、聊天记录和报告存储在使用 AWS KMS 密钥加密的 Amazon S3 存储桶中。可以将联络流日志保存到 CloudWatch 日志组中。
要了解更多信息,请参阅 [Amazon Connect](https://aws.amazon.com/connect/)。
## AWS Managed Services 常见问题中的 Amazon Connect
**问:如何使用我的 AMS 账户申请访问 Amazon Connect?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_connect_console_role`和。`customer_connect_user_role`在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon Connect 有哪些限制?**
没有任何限制。您的 AMS 账户中提供了 Amazon Connect 的全部功能。
**问:在我的 AMS 账户中使用 Amazon Connect 有哪些先决条件或依赖条件?**
+ 您必须使用标准 AMS 创建 AWS KMS 密钥和 Amazon S3 存储桶 RFCs;Amazon S3 存储桶是存储通话录音和聊天记录所必需的。
+ 如果您想与 Active Directory (AD) 集成,则需要 AD 连接器才能在 AMS 托管的 Amazon Connect 实例和您的本地目录服务之间进行集成。可以通过请求 “管理 \$1 其他 \$1 其他” RFC 在您的账户中配置 AD Connector。
+ 您可以根据联系流程要求启用以下可选的自配服务。
+ **AWS Lambda**: 您可以使用 Lambda 函数扩展联系流程,以利用现有的本地数据存储或。 APIs您可以使用 Lambda 自行配置的服务来创建 Lambda 函数。
+ **Amazon Kinesis D** ata Streams:您可以创建数据流以实现向外部应用程序传输数据。您可以流式传输联系人跟踪记录或代理事件。
+ **Amazon Kinesis D** ata Firehose:您可以创建 Data Firehose,将大量联系人追踪记录流式传输到外部应用程序。
+ **Amazon Lex**:您可以利用 Amazon Lex 聊天机器人创建智能联系流程,利用亚马逊 Alexa 服务,实现丰富的客户体验和自动化。
+ **问:如何请求添加拨出或呼入电话的国家/地区列表?**
要添加拨出或呼入电话的国家/地区列表,请向 AMS 提交服务请求。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Data Firehose
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Data Firehose 功能。Firehose 是将流数据可靠地加载到数据湖、数据存储和分析工具的最简单方法。它可以捕获、转换流数据并将其加载到 Amazon S3、Amazon Redshift、Amazon S OpenSearch ervice 和 [Splunk](https://aws.amazon.com/kinesis/data-firehose/splunk/) 中,从而使用你目前已经在使用的现有商业智能工具和仪表板实现近乎实时的分析。它是一项完全托管的服务,可自动扩展以满足数据吞吐量要求,并且无需进行日常管理。此外,它还可以在加载数据前对数据进行批处理、压缩、转换和加密,从而尽可能地减少在目标位置占用的存储量,同时提高安全性。要了解更多信息,请参阅[什么是亚马逊数据 Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)?
## AWS Managed Services 常见问题解答中的 Firehose
常见问题和答案:
**问:如何通过我的 AMS 账户申请访问亚马逊数据 Firehose?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_kinesis_firehose_user_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Firehose 有什么限制?**
没有任何限制。Amazon Data Firehose 的全部功能可在您的 AMS 账户中使用。
**问:在我的 AMS 账户中使用 Firehose 的先决条件或依赖条件是什么?**
必须为每个交付流请求新的服务相关的 IAM 角色。您还可以使用所需的资源权限(包括 S3 存储桶/KMS 密钥/Lambda Functions/Kinesis 流)更新角色策略,从而为所有直播重复使用单个服务相关角色。
在您提交 RFC 以添加 Firehose 后,AMS 运营工程师将通过服务请求与您联系,请求您想要与 Data Firehose 连接的资源(例如 S3 AWS KMS、Lambda 和 Kinesis Streams)。 ARNs
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon DevOps Guru
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon DevOps Guru 功能。Amazon DevOps Guru 是一项完全托管的运营服务,可让开发人员和操作员轻松提高其应用程序的性能和可用性。 DevOpsGuru 可以让你卸下与识别操作问题相关的管理任务,这样你就可以快速实施改进应用程序的建议。 DevOpsGuru 创建了反应式见解,您可以立即使用这些见解来改进您的应用程序。它还可以提供主动见解,帮助您避免将来可能影响应用程序的操作问题。 DevOpsGuru 应用机器学习来分析您的运营数据以及应用程序指标和事件,以识别偏离正常操作模式的行为。当 DevOps Guru 检测到操作问题或风险时,您会收到通知。对于每个问题, DevOpsGuru都会提出明智的建议,以解决当前和预测的未来运营问题。
要了解更多信息,请参阅[什么是 Amazon DevOps Guru](https://docs.aws.amazon.com/devops-guru/latest/userguide/welcome.html)。
## AWS Managed Services 常见问题解答中的 Amazon DevOps Guru
**问:如何使用我的 AMS 账户申请访问 Amazon DevOps Guru?**
要请求访问权限,请提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型。此 RFC 为您的账户配置以下 IAM 角色:`customer_devopsguru_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon DevOps Guru 有哪些限制?**
没有任何限制。Amazon DevOps Guru 的全部功能可在您的 AMS 账户中使用。
**问:在我的 AMS 账户中使用 Amazon DevOps Guru 的先决条件或依赖条件是什么?**
没有先决条件。 DevOpsGuru 利用以下 AWS 服务:Amazon Log CloudWatch s、RDS Insights、 AWS X-Ray AWS Lambda、和。 AWS CloudTrail
# 使用 AMS SSP 在你的 AMS 账户中配置亚马逊 DocumentDB(兼容 MongoDB)
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊 DocumentDB(兼容 MongoDB)功能。Amazon DocumentDB(兼容 MongoDB)是一项快速、可扩展、高度可用且完全托管的文档数据库服务,可支持 MongoDB 工作负载。Amazon DocumentDB 为您提供大规模操作任务关键型 MongoDB 工作负载所需的性能、可扩展性和可用性。Amazon DocumentDB 通过模拟 MongoDB 客户端期望从 MongoDB 服务器获得的响应来实现 Apache 2.0 开源 MongoDB 3.6 API,允许您在亚马逊 DocumentDB 上使用现有的 MongoDB 驱动程序和工具。在 Amazon DocumentDB 中,存储和计算是分离的,允许两者独立扩展,无论您的数据大小如何,您都可以通过添加多达 15 个低延迟只读副本将读取容量增加到每秒数百万个请求。Amazon DocumentDB 专为 99.99% 的可用性而设计,可在三个 AWS 可用区复制六份数据副本 ()。AZs您可以免费使用 AWS Database Migration Service (DMS)(六个月)将本地数据库或亚马逊弹性计算云 (Amazon EC2) MongoDB 数据库迁移到亚马逊文档数据库,几乎无需停机。要了解更多信息,请参阅[亚马逊文档数据库(兼容 MongoDB](https://aws.amazon.com/documentdb/))。
## AWS Managed Services 常见问题解答中的亚马逊 DocumentDB
**问:如何使用我的 AMS 账户申请访问亚马逊文档数据库?**
可以通过提交两个 AMS RFCs(控制台访问权限和数据访问权限)来请求 Amazon DocumentDB 控制台和数据访问角色:
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问亚马逊文档数据库。此 RFC 为您的账户配置以下 IAM 角色:`customer_documentdb_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用亚马逊 DocumentDB 有哪些限制?**
亚马逊 DocumentDB 需要亚马逊 RDS 特定的权限。由于 AMS 完全管理亚马逊 RDS,因此 Amazon DocumentDB 的 IAM 角色包括对亚马逊 RDS 操作的一些限制。以下限制适用:
+ 对`DeleteDBInstance`和的访问`DeleteDBCluster` APIs 已受到限制。要使用这些删除功能 APIs,请提交 RFC,其中包含管理 \$1 高级堆栈组件 \$1 身份和访问管理 (IAM) \$1 更新实体或策略(托管自动化)更改类型 (ct-27tuth19k52b4)。
+ 您无法在 Amazon RDS 实例中添加或删除标签。
+ 您无法将您的亚马逊文档数据库实例设为公有。
**问:在我的 AMS 账户中使用亚马逊 DocumentDB 有哪些先决条件或依赖关系?**
如果亚马逊 S3 存储桶使用密钥加密, AWS KMS 则必须使用 Amazon S3 和,才能使用亚马逊 DocumentDB。 AWS KMS
# 使用 AMS SSP 在你的 AMS 账户中配置亚马逊 DynamoDB
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊 DynamoDB (DynamoDB) 功能。Amazon DynamoDB 是一个关键值和文档数据库,可在任何规模上提供个位数的毫秒级性能。它是一个完全托管的多区域、多活动数据库,具有内置安全性、备份和恢复功能,以及适用于互联网规模应用程序的内存缓存。要了解更多信息,请参阅[Amazon DynamoDB](https://aws.amazon.com/dynamodb/)。
Amazon DynamoDB Accelerator (DAX) 是一项直写缓存服务,旨在简化将缓存添加到 DynamoDB 表的过程。DAX 适用于需要高性能读取的应用程序。
## AWS Managed Services 中的 DynamoDB 常见问题解答
**问:如何使用我的 AMS 账户请求访问 DynamoDB 和 DAX?**
使用管理 AWS \$1 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 DynamoDB 和 DAX。此 RFC 为您的账户配置以下 IAM 角色和策略:
+ DynamoDB 角色名称:`customer_dynamodb_role`
DAX 服务角色名称:`customer_dax_service_role`
+ DynamoDB 策略名称:`customer_dynamodb_policy`
DAX 服务政策:`customer_dax_service_policy`
在您的账户中配置后,您必须在联合解决方案`customer_dynamodb_role`中加载。
**问:在我的 AMS 账户中使用 DynamoDB 有哪些限制?**
支持所有 DynamoDB 功能,包括 DynamoDB 加速器 (DAX)。
为任何给定表创建警报时,警报名称必须以 “customer\$1” 为前缀;例如,。`customer-employee-table-high-put-latency`
为 DynamoDB 创建 Amazon SNS 主题时,必须将其命名为:。`dynamodb`
要删除 DynamoDB 创建的 Amazon SNS 主题,请提交 “管理 \$1 其他 \$1 其他 \$1 其他 \$1 更新更改类型 RFC”。
**问:在我的 AMS 账户中使用 DynamoDB 有哪些先决条件或依赖关系?**
在您的 AMS 账户中使用 DynamoDB 没有任何先决条件或依赖关系。
# 使用 AMS SSP 在您的 AMS 账户中配置 Amazon 弹性容器注册表
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊弹性容器注册表 (Amazon ECR) Container Registry 功能。Amazon Elastic Container Registry 是一个完全托管的 [Docker](https://aws.amazon.com/docker/) 容器注册表,可让开发人员轻松存储、管理和部署 Docker 容器镜像。Amazon ECR 已与[亚马逊弹性容器服务 (Amazon ECS) Service](https://aws.amazon.com/ecs/) 集成,简化了从开发到生产的工作流程。Amazon ECR 让您无需操作自己的容器存储库,也不必担心底层基础设施的扩展。Amazon ECS 将您的映像托管在高度可用且可扩展的架构中,使您能够可靠地为应用程序部署容器。与 AWS Identity and Access Management (IAM) 集成提供了对每个存储库的资源级控制。使用 Amazon ECR,无需支付任何预付费用或承诺。您只需为存储在存储库中的数据量和传输到 Internet 的数据量付费。
要了解更多信息,请参阅 [Amazon 弹性容器注册表](https://aws.amazon.com/ecr/)。
## AWS Managed Services 中的亚马逊弹性容器注册表常见问题解答
**问:如何申请访问我的 AMS 账户中的 Amazon ECR?**
使用管理 \$1 AWS 服务 \$1 自行配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问亚马逊 ECR。此 RFC 将以下 IAM 角色分别配置到您的账户:` customer_ecr_console_role`、以及`customer_ecr_poweruser_instance_profile`关联的 IAM 策略`customer_ecr_console_policy`和`customer_ecr_poweruser_instance_profile_policy`。在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon ECR 有哪些限制?**
在您的 AMS 账户中使用 Amazon ECR 时,AMS 命名空间存在限制。容器镜像不得以 “AMS-” 或 “Sentinel-” 为前缀。
**问:在我的 AMS 账户中使用 Amazon ECR 有哪些先决条件或依赖条件?**
在您的 AMS 账户中使用 Amazon ECR 没有任何先决条件或依赖关系。
# 使用 AMS SSP 在您的 AMS 账户中配置 EC2 Image Builder
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 EC2 Image Builder 功能。EC2 Image Builder 是一项完全托管的 AWS 服务,它可以更轻松地自动创建、管理和部署自定义、安全和 up-to-date “黄金” 服务器映像,这些镜像已预先安装并预先配置了软件和设置,以满足特定 IT 标准。
您可以使用 AWS 管理控制台、 AWS CLI 或 APIs 在您的 AWS 账户中创建自定义镜像。使用时 AWS 管理控制台,Amazon EC2 Image Builder 向导将指导您完成以下步骤:
+ 提供起始构件
+ 添加和删除软件
+ 自定义设置和脚本
+ 运行选定的测试
+ 将图像分发到 AWS 区域
您构建的映像是在您的账户中创建的,可以持续配置操作系统补丁。要了解更多信息,请参阅 [EC2 Image Builder](https://aws.amazon.com/image-builder/)。
## AWS Managed Services 中的 EC2 Image Builder 常见问题解答
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问 EC2 Image Builder?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。通过此 RFC,将在您的账户中配置以下 IAM 角色:。` customer_ec2_imagebuilder_role`在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:EC2 Image Builder 有哪些限制?**
AMS 不支持使用服务默认值进行基础设施配置。您可以创建新的基础架构配置或使用现有基础架构配置。
AMS 目前不支持创建容器配方。
**问:启用 EC2 Image Builder 的先决条件或依赖项是什么?**
+ EC2 Image Builder 服务相关角色:您无需手动创建服务相关角色。当您在 AWS 管理控制台、CLI 或 AWS AP AWS I 中创建第一个 Image Builder 资源时,Image Builder 会为您创建服务相关角色。
+ 用于使用 Image Builder 构建映像和运行测试的实例必须有权访问 Systems Manager 服务。如果 SSM 代理尚不存在,将在源镜像上安装该代理,并在创建镜像之前将其删除。
+ AWS IAM:您与实例配置文件关联的 IAM 角色必须有权运行映像中包含的构建和测试组件。必须将以下 IAM 角色策略附加到与实例配置文件关联的 IAM 角色:`EC2InstanceProfileForImageBuilder`和`AmazonSSMManagedInstanceCore`。IAM 角色名称应包含`*imagebuilder*`关键字。
+ 如果配置日志记录,在基础设施配置中指定的实例配置文件必须具有目标存储桶 (`arn:aws:s3:::{bucket-name}/*`) 的 `s3:PutObject` 权限。例如:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::{bucket-name}/*"
}
]
}
```
------
+ 创建名为 “imagebuilder” 的 SNS 主题,以接收来自 EC2 Image Builder 的任何警报和通知。
# 使用 AMS SSP 在你的 AMS 账户 AWS Fargate 中配置 Amazon ECS
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中通过 AWS Fargate 功能访问 Amazon ECS。 AWS Fargate 是一种可以与 Amazon ECS 配合使用的技术,无需管理 Amazon EC2 实例的服务器或集群即可运行[容器(参见上](https://aws.amazon.com/what-are-containers)面的容器 AWS)。使用 AWS Fargate,您无需再预置、配置或扩展虚拟机集群来运行容器。这样一来,您就无需再选择服务器类型、确定扩展集群的时间和优化集群打包。
要了解更多信息,请参阅上的 [Amazon ECS AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/AWS_Fargate.html)。
## AWS Managed Services 常见问题解答中的 Fargate 上的 Amazon ECS
**问:如何使用我的 AMS 账户请求访问 Fargate 上的 Amazon ECS?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 Fargate 上的 Amazon ECS。此 RFC 将以下 IAM 角色配置到您的账户:`customer_ecs_fargate_console_role`(如果没有提供 ECS 策略与 ECS 策略关联的现有 IAM 角色)`customer_ecs_fargate_events_service_role`、`customer_ecs_task_execution_service_role`、`customer_ecs_codedeploy_service_role`、和`AWSServiceRoleForApplicationAutoScaling_ECSService`。在您的账户中配置角色后,您必须在联合解决方案中加入角色。
**问:使用我的 AMS 账户在 Fargate 上使用 Amazon ECS 有哪些限制?**
+ Amazon ECS 任务监控和日志记录被视为您的责任,因为容器级别的活动发生在虚拟机管理程序之上,并且日志记录功能受到 Fargate 上的 Amazon ECS 的限制。作为 Fargate 上的 Amazon ECS 用户,我们建议您采取必要步骤启用对您的 Amazon ECS 任务的登录功能。有关更多信息,请参阅为容器[启用 awslogs 日志驱动程序。](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#enable_awslogs)
+ 容器级别的安全和恶意软件保护也被视为您的责任。Fargate 上的 Amazon ECS 不包括趋势科技或预配置的网络安全组件。
+ 此服务适用于多账号着陆区和单账号着陆区 AMS 账户。
+ 由于创建 Route 53 私有托管区域需要更高的权限,因此默认情况下,自行配置角色限制了 Amazon ECS [服务发现](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html)。要在服务上启用服务发现,请提交 “管理” \$1 “其他” \$1 “其他” \$1 “更新” 更改类型。要提供为您的 Amazon ECS 服务启用服务发现所需的信息,请参阅[服务发现手册](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-discovery.html)。
+ AMS 目前不管理或限制用于在 Amazon ECS Fargate 上部署到容器的映像。您将能够部署来自 Amazon ECR、Docker Hub 或任何其他私有镜像存储库的镜像。因此,我们建议不要部署公共镜像或任何不安全的镜像,因为它们可能会导致账户出现恶意活动。
**问:在我的 AMS 账户中在 Fargate 上使用 Amazon ECS 有哪些先决条件或依赖关系?**
+ 以下是 Amazon ECS 对 Fargate 的依赖关系;但是,使用您的自配置角色启用这些服务无需执行任何其他操作:
+ CloudWatch 日志
+ CloudWatch 事件
+ CloudWatch 警报
+ CodeDeploy
+ App Mesh
+ Cloud Map
+ Route 53
+ 根据您的使用案例,以下是 Amazon ECS 所依赖的资源,并且在您的账户中使用 Fargate 上的 Amazon ECS 之前可能需要的资源:
+ 要与 Amazon ECS 服务配合使用的安全组。您可以使用部署 \$1 高级堆栈组件 \$1 安全组 \$1 创建 (auto) (ct-3pc215bnwb6p7),或者,如果您的安全组需要特殊规则,请使用部署 \$1 高级堆栈组件 \$1 安全组 \$1 创建(托管自动化)(ct-1oxx2g2g2d7hc90)。注意:您在 Amazon ECS 上选择的安全组必须专门为 Amazon ECS 服务或集群所在的 Amazon ECS 创建。您可以在 “使用 [Amazon ECS 进行设置” 和 “亚马逊](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for-amazon-ecs.html)[弹性容器服务中的安全” 的 “安全](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/security.html)**组**” 部分了解更多信息。
+ 应用程序负载均衡器 (ALB)、网络负载均衡器 (NLB)、用于任务间负载平衡的经典负载均衡器 (ELB)。
+ 的目标群体 ALBs.
+ 用于与 Amazon ECS 集群集成的应用程序网格资源(例如虚拟路由器、虚拟服务、虚拟节点)。
+ 目前,在标准 AMS 变更类型之外创建时,AMS 无法自动降低与支持安全组权限相关的风险。我们建议您申请一个用于您的 Fargate 集群的特定安全组,以限制使用未指定用于 Amazon ECS 的安全组的可能性。
# 使用 AMS SSP 在你的 AMS 账户 AWS Fargate 中配置 Amazon EKS
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中通过 AWS Fargate 功能访问 Amazon EKS。 AWS Fargate 是一种按需为容器提供大小合适的计算容量的技术(要了解容器,请参阅[什么是容器](https://aws.amazon.com/what-are-containers)? )。使用 AWS Fargate,您无需再预置、配置或扩展虚拟机组来运行容器。这样一来,您就无需再选择服务器类型、确定扩展节点组的时间和优化集群打包。
亚马逊 Elastic Kubernetes Service(亚马逊 EKS)使用使用 AWS Fargate Kubernetes 提供的上游可扩展模型 AWS 构建的控制器将 Kubernetes 与 Kubernetes 集成。这些控制器作为 Amazon EKS 管理的 Kubernetes 控制平面的一部分运行,负责将原生 Kubernetes pod 调度到 Fargate 上。除了若干转换和验证准入控制器外,Fargate 控制器还包括一个与默认 Kubernetes 调度器一起运行的新调度器。当您启动满足 Fargate 上的运行条件的 Pod 时,集群中运行的 Fargate 控制器会识别、更新 Pod 并将其安排到 Fargate 上。
要了解更多信息,请参阅[AWS Fargate 现已正式上市的 Amazon](https://aws.amazon.com/blogs/aws/amazon-eks-on-aws-fargate-now-generally-available/) EKS 和 [Amazon EKS 安全最佳实践指南](https://aws.github.io/aws-eks-best-practices/security/docs/)(包括 “建议”,例如 “查看并撤消不必要的匿名访问权限” 等)。
**提示**
AMS 有一个变更类型,即部署 \$1 高级堆栈组件 \$1 身份和访问管理 (IAM) \$1 创建 OpenID Connect 提供商 (ct-30ecvfi3tq4k3),你可以将其与亚马逊 EKS 一起使用。有关示例,请参阅[身份和访问管理 (IAM) Management \$1 创建 OpenID Conn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-openid-connect-provider.html) ect 提供商。
## AWS Managed Services 常见问题解答 AWS Fargate 中的亚马逊 EKS
**问:如何使用我的 AMS 账户申请访问 Fargate 上的 Amazon EKS?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色。
+ `customer_eks_fargate_console_role`.
在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
+ 这些服务角色允许 Fargate 上的 Amazon EKS 代表您拨打其他 AWS 服务:
+ `customer_eks_pod_execution_role`
+ `customer_eks_cluster_service_role`
**问:在我的 AMS 账户中在 Fargate 上使用 Amazon EKS 有哪些限制?**
+ AMS 不支持创建[托[管](https://docs.aws.amazon.com/eks/latest/userguide/managed-node-groups.html)或自行管理](https://docs.aws.amazon.com/eks/latest/userguide/worker.html)的 EC2 节点组。如果您需要使用 EC2 工作节点,请联系您的 AMS 云服务交付经理 (CSDM) 或云架构师 (CA)。
+ AMS 不包括趋势科技或容器映像的预配置网络安全组件。您需要管理自己的图像扫描服务,以便在部署之前检测恶意容器镜像。
+ 由于相互依存关系,不支持 EKSCTL。 CloudFormation
+ 在创建集群期间,您有权禁用集群控制平面日志记录。有关更多信息,请参阅 [Amazon EKS 控制面板日志记录](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)。我们建议您在创建集群时启用所有重要的 API、身份验证和审核日志。
+ 在创建集群期间,Amazon EKS 集群的集群终端节点访问权限默认为公用;有关更多信息,请参阅 [Amazon EKS 集群终端节点访问控制](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html)。我们建议将 Amazon EKS 终端节点设置为私有终端节点。如果需要终端节点才能进行公共访问,则最佳做法是仅针对特定 CIDR 范围将其设置为公用。
+ AMS 没有办法强制和限制用于部署到 Amazon EKS Fargate 上的容器中的映像。您可以部署来自 Amazon ECR、Docker Hub 或任何其他私有镜像存储库的镜像。因此,部署可能对账户执行恶意活动的公共镜像存在风险。
+ AMS 不支持通过云开发套件 (CDK) 或 CloudFormation Ingest 部署 EKS 集群。
+ 您必须使用 [ct-3pc215bnwb6p7 部署 \$1 高级堆栈组件 \$1 安全组 \$1 在清单文件中创建和引用创建入口所需的安全组](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-security-group-create.html)。这是因为该角色`customer-eks-alb-ingress-controller-role`无权创建安全组。
**问:在我的 AMS 账户中在 Fargate 上使用 Amazon EKS 有哪些先决条件或依赖关系?**
要使用该服务,必须配置以下依赖关系:
+ 要针对服务进行身份验证, aws-iam-authenticator必须同时安装 KUBECTL 和;有关更多信息,请参阅[管理](https://docs.aws.amazon.com/eks/latest/userguide/managing-auth.html)集群身份验证。
+ Kubernetes 依赖一个叫做 “服务账户” 的概念。为了在 EKS 上使用 kubernetes 集群内部的服务账户功能,需要使用管理 \$1 其他 \$1 其他 \$1 更新 RFC,其中包含以下输入:
+ [必填] 亚马逊 EKS 集群名称
+ [必需] 将部署服务账户 (SA) 的 Amazon EKS 集群命名空间。
+ [必填] Amazon EKS 集群 SA 名称。
+ [必填] IAM 策略名称和 permissions/document 待关联。
+ [必需] 正在请求 IAM 角色名称。
+ [可选] OpenID Connect 提供商网址。有关更多信息,请参阅
+ [在集群上为服务账户启用 IAM 角色](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html)
+ [为服务账号引入精细的 IAM 角色](https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/)
+ 我们建议配置和监控 Config 规则
+ 公共集群终端节点
+ 已禁用 API 日志记录
您有责任监控和修正这些 Config 规则。
如果您想部署 [ALB 入口控制器,请提交 “管理 \$1 其他 \$1 其他更新 RFC”,以配置与 ALB Ing](https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html) ress Controller Pod 一起使用的必要的 IAM 角色。创建与 ALB Ingress Controller 关联的 IAM 资源需要以下输入(包括您的 RFC 中的这些内容):
+ [必填] 亚马逊 EKS 集群名称
+ [可选] OpenID Connect 提供商网址
+ [可选] 将部署应用程序负载均衡器 (ALB) 入口控制器服务的 Amazon EKS 集群命名空间。 [默认:kube-system]
+ [可选] Amazon EKS 集群服务账户 (SA) 名称。 [默认: aws-load-balancer-controller]
如果要在集群中启用信封密钥加密(我们建议这样做),请在 RFC 的描述字段中提供 IDs 您打算使用的 KMS 密钥以添加服务(管理 \$1 服务 \$1 自配置 AWS 服务 \$1 添加 (ct-1w8z66n899dct)。要了解有关信封加密的更多信息,请参阅 [Amazon EKS 使用 AWS KMS 为机密添加信封加密](https://aws.amazon.com/about-aws/whats-new/2020/03/amazon-eks-adds-envelope-encryption-for-secrets-with-aws-kms/)。
# 使用 AMS SSP 在您的 AMS 账户中配置亚马逊 EMR
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon EMR 功能。亚马逊 EMR 是业界领先的云大数据平台,用于使用 Apache Spark、Apache Hive、Apache Flink、Apache Flink、Apache Hudi 和 P HBase resto 等开源工具处理大量数据。借助 Amazon EMR,您可以以不到传统本地解决方案一半的成本运行 PB 级分析,速度比标准 Apache Spark 快 3 倍以上。对于短期运行的作业,您可以启动和关闭集群,并为使用的实例按秒付费。对于长时间运行的工作负载,您可以创建高度可用的集群,这些集群可以自动扩展以满足需求。
您可以在 AMS 多账户着陆区账户或单账户着陆区账户中创建一个或多个 Amazon EMR 集群实例,以支持临时和永久性 Amazon EMR 集群。您也可以启用 Kerberos 身份验证以启用对本地 Active Directory 域中的用户进行身份验证。
您可以在 Amazon EMR 集群中利用多个数据存储来支持特定于用例的 Hadoop 工具和库。可以使用 OnDemand 或竞价型实例创建 Amazon EMR 集群,并配置自动扩展以管理容量并降低成本。
可以将集群日志文件存档到 Amazon S3 存储桶中以进行日志记录和调试。您还可以访问托管在 Amazon EMR 集群中的网页界面,以支持 hadoop 管理要求或为客户提供笔记本体验。
要了解更多信息,请参阅 [Amazon EMR](https://aws.amazon.com/emr/)。
## AWS Managed Services 常见问题解答中的亚马逊 EMR
**问:如何通过我的 AMS 账户申请访问亚马逊 EMR?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:
+ `customer_emr_cluster_instance_profile`
+ `customer_emr_cluster_autoscaling_role`
+ `customer_emr_console_role`
+ `customer_emr_cluster_service_role`
在您的账户中进行配置后,您必须在联合解决方案中加载 customer\$1emr\$1console\$1role。
**问:在我的 AMS 账户中使用 Amazon EMR 有哪些限制?**
通过 AWS 控制台在 EC2 集群上创建 Amazon EMR 时,我们建议您使用 “**创建集群-高级**” 选项。必须通过添加带有密钥 “**for-use-with-amazon-emr-managed-policies” 且值为 **“tru** e”** 的标签来创建 Amazon EMR 集群。在 “**安全**” 选项中选择以下配置:
+ 为您的集群选择自定义角色:
+ EMR 角色:customer\$1emr\$1cluster\$1service\$1role
+ EC2 实例配置文件:customer\$1emr\$1cluster\$1instance\$1profile
+ Auto Scaling 角色:customer\$1emr\$1cluster\$1autoscaling\$1role
+ EC2 安全组:
+ Master: ams-emr-master-security-group
+ 核心和任务: ams-emr-worker-security-group
+ 服务访问权限: ams-emr-serviceaccess-security-group
**问:在我的 AMS 账户中使用 Amazon EMR 的先决条件或依赖条件是什么?**
AMS 为 Amazon EMR 主节点、工作节点和服务节点创建默认安全组。
要用于 Amazon EMR 集群的启动模板和安全组必须具有标签密钥 “**for-use-with-amazon-”,值为 **“true emr-managed-policies**”**。
默认的 Amazon EMR 集群实例配置文件允许访问名称包含 “emr” 的 s3 存储桶和 dynamodb 表等资源。您可以申请其他 IAM 政策,以使用任何其他资源与 Amazon EMR 配合使用。**以下资源 ARN 可以使用 customer\$1emr\$1cluster\$1instance\$1profile 用于亚马逊 EMR 任务:**
+ arn: aws: dynamodb: \$1: \$1: table/\$1emr\$1
+ arn: aws: kinesis: \$1: \$1: stream/\$1emr\$1
+ arn: aws: sns: \$1: \$1: \$1emr\$1arn: aws: sqs: \$1: \$1: \$1emr\$1
+ arn: aws: sqs: \$1: \$1: \$1emr\$1
+ arn: aws: sqs: \$1: \$1: AWS--\$1 ElasticMapReduce
+ arn: aws: sdb: \$1: \$1: domain: \$1emr\$1
+ arn: aws: s3::: \$1emr\$1
如果 Amazon EMR 集群需要 kerberos 身份验证:
+ 提供用于每个 kerberized Amazon EMR 集群的领域名称和本地 Active Directory IP 地址。
+ 基础架构要求:
**多账户登录区 (MALZ)**:提交 RFC 以在现有应用程序账户中创建新的托管应用程序账户或新 VPC。
**单账户着陆区 (SALZ)**:提交 RFC 以在您的 VPC 中创建新的子网。
+ 在预置的 Active Directory 上为集群的领域配置传入信任。
+ 提交 RFC 以在托管 AD 中为该领域配置 DNS 区域。
+ 领域配置:
**MALZ**:提交管理 \$1 其他 \$1 其他 \$1 更新 (ct-0xdawir96cy7k) RFC 以更新 VPC DHCP 选项设置为使用域名后缀的领域名称。
**SALZ**:提交管理 \$1 其他 \$1 其他 \$1 更新 (ct-0xdawir96cy7k) RFC 以生成新的亚马逊 EMR AMI,使用特定领域作为域名后缀。
要部署 Amazon EMR studio,该角色`customer_emr_cluster_service_role`必须具备亚马逊简单存储服务存储段的先决条件。要创建存储桶,请使用自动化 CT`ct-1a68ck03fn98r`(部署 \$1 高级堆栈组件 \$1 S3 存储 \$1 创建)。当您使用此自动 CT 为 Amazon EMR 创建 Amazon S3 存储桶时,存储桶名称必须以前缀开头。`customer-emr-*`而且,您必须在与 Amazon EMR AWS 集群相同的区域中创建存储桶。
# 使用 AMS SSP EventBridge 在您的 AMS 账户中配置亚马逊
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊 EventBridge 功能。Amazon EventBridge 是一项无服务器事件总线服务,可以轻松地将您的应用程序与来自各种来源的数据连接起来。 EventBridge 提供来自您自己的应用程序、 Software-as-a-Service (SaaS) 应用程序和 AWS 服务的实时数据流,并将这些数据路由到目标,例如 AWS Lambda。您可以设置路由规则来确定发送数据的目的地,以便构建能够实时响应所有数据源的应用程序架构。利用 EventBridge ,您可以构建事件驱动的体系结构,这些体系结构是松散耦合的和分布式的。
要了解更多信息,请参阅 [Amazon EventBridge](https://aws.amazon.com/eventbridge/)。
## EventBridge 在 AWS Managed Services 常见问题中
**问:如何在 AMS 账户 EventBridge 中申请访问权限?**
EventBridge 通过使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_eventbridge_role`和。`customer_eventbridge_scheduler_execution_role`在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
执行角色`customer_eventbridge_scheduler_execution_role`是一个 IAM 角色, EventBridge 日程安排器代替您与其他 AWS 服务 角色进行交互。附加到此角色的权限策略授予 EventBridge 调度程序调用目标的访问权限。
**注意**
默认情况下, EventBridge 调度器使用 AWS 自有的密钥 EventBridge 对数据进行加密。要使用客户托管密钥对数据进行加密,请使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 [添加(托管自动化)更改类型 (ct-3qe6io8t6jtny)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-aws-self-provisioned-service-add-review-required.html) 提交服务配置的 RFC。 EventBridge
**问: EventBridge 在我的 AMS 账户中使用有什么限制?**
您必须提交 AMS RFCs 并创建以下资源:用于触发批处理作业的服务角色、SQS 队列 CodeBuild CodePipeline、和 SSM 命令。
**问:在我的 AMS 账户 EventBridge 中使用的先决条件或依赖条件是什么?**
在使用触发其他 EventBridge资源(例如 Lambda、Amazon SNS、Amazon SNS、Amazon SQS 或亚马逊日志资源)之前,您必须使用部署 \$1 高级堆栈组件 \$1 身份和访问管理 (IAM) \$1 创建实体或策略(托管自动化)更改类型 (ct-3dpd8m AWS dd9jn1r) 请求 EventBridge 服务角色。 AWS Batch CloudWatch 指定在请求您的服务角色时要调用的服务。要了解调用目标所需的权限,请参阅[使用基于资源的策略。 EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html)
EventBridge 与 AWS CloudTrail一项服务集成,该服务提供用户、角色或角色所执行操作 AWS 服务 的记录 EventBridge。 CloudTrail 必须启用并允许其将日志文件存储到 S3 存储桶中。注意:所有 AMS 账户均已 CloudTrail 启用,因此无需执行任何操作。
**问:角色 customer\$1eventbridge\$1scheduler\$1execution\$1role 具有密钥的先决条件(如果用于加密,则为可选)。 AWS Key Management Service 如何在静止/传输时采用 AWS KMS CMKs 数据加密?**
默认情况下,S EventBridge cheduler 会加密其存储在 AWS 自有密钥下的事件元数据和消息数据(静态加密)。 EventBridge 调度器还使用传输层安全 (TLS)(传输中的加密)对在 EventBridge 调度程序和其他服务之间传递的数据进行加密。
如果您的特定用例要求您控制和审核在 EventBridge 计划程序上保护您的数据的加密密钥,则可以使用客户托管密钥。
在使用 Ama EventBridge zon 加入许可之前,您必须使用管理 AWS 服务 \$1 \$1 自行配置服务 \$1 添加(托管自动化)更改类型申请 RFC。 AWS KMS
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Forecast
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Forecast(Forecast)功能。Amazon Forecast 是一项完全托管的服务,它使用机器学习来提供高度准确的预测。
**注意**
AWS 自 2024 年 7 月 29 日起,已关闭新买家访问 Amazon Forecast 的权限。Amazon Forecast 现有客户可以继续照常使用该服务。 AWS 继续投资于 Amazon Forecast 的安全性、可用性和性能改进,但 AWS 不打算推出新功能。
如果你想使用 Amazon Forecast,请联系你的 CSDM,他们可以进一步指导你如何将你的 Amazon Forecast [使用转移到亚马逊 Can](https://aws.amazon.com/blogs/machine-learning/transition-your-amazon-forecast-usage-to-amazon-sagemaker-canvas/) vas。 SageMaker
基于亚马逊使用的相同技术,Forecast 使用机器学习将时间序列数据与其他变量相结合以建立预测。Forecast 不需要任何机器学习经验即可开始使用。您只需要提供历史数据,以及您认为可能影响预测的任何其他数据。例如,对特定颜色的衬衫的需求可能会随着季节和商店位置的变化而变化。这种复杂的关系很难单独确定,但是机器学习非常适合识别这种关系。在您提供数据后,Forecast 将自动对其进行检查,确定哪些内容有意义,并生成一个预测模型,该模型能够做出比单独查看时间序列数据高出 50% 的预测准确性。
要了解更多信息,请参阅 [Amazon Forecast](https://aws.amazon.com/forecast/)。
## AWS Managed Services 常见问题中的 Amazon Forecast
**问:如何使用我的 AMS 账户申请访问 Forecast?**
AWS Firewall Manager 通过使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_forecast_admin_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Forecast 有哪些限制?**
默认 S3 存储桶访问权限仅允许您访问命名模式为 “customer-forecast-\$1” 的存储桶。如果您对数据存储桶有自己的命名约定,请与您的云架构师 (CA) 讨论存储分区命名和相关访问权限设置。例如:
+ 您可以定义您的特定的 Amazon Forecast 服务角色,命名为 “AmazonForecast-ExecutionRole-\$1”,并关联相应的 S3 存储桶访问权限。在 IAM 控制台中查看服务角色 AmazonForecast-ExecutionRole-Admin和 IAM 策略-customer\$1forecast\$1default\$1s3\$1access\$1policy。
+ 您可能需要将相关的 S3 存储桶访问权限关联到 IAM 联合角色中。在 IAM 控制台中查看 IAM 政策——customer\$1forecast\$1default\$1s3\$1access\$1policy。
**问:在我的 AMS 账户中使用 Forecast 的先决条件或依赖条件是什么?**
+ 在使用 Forecast 之前,必须创建正确的 Amazon S3 存储桶。特别是,默认 S3 存储桶访问权限使用命名模式 “customer-forecast-\$1”
+ 如果要在 S3 存储桶上使用除 “customer-forecast-\$1” 之外的命名模式,则必须创建一个对存储桶具有 S3 访问权限的新服务角色:
1. 要创建一个命名为 “AmazonForecast-ExecutionRole-\$1suffix\$1” 的新服务角色。
1. 要创建的新 IAM 策略与 customer\$1forecast\$1default\$1s3\$1access\$1policy 类似,并将与新的服务角色和相关的联合管理员角色(例如 “customer\$1forecast\$1admin\$1role”)相关联
**问:在使用 Amazon Forecast 时,如何增强数据安全?**
+ 对于静态数据加密,您可以使用配置客户托管的 CMK AWS KMS 来保护 Amazon S3 服务上的数据存储:
+ 使用配置密钥在存储桶上启用默认加密,并将存储桶策略设置为在放置 AWS KMS 数据时接受数据加密。
+ 启用 Amazon Forecast 服务角色 'AmazonForecast-ExecutionRole-\$1' 和联盟管理员角色(例如' customer\$1forecast\$1admin\$1role ')作为关键用户。 AWS KMS
+ 对于传输中的数据加密,您可以设置 HTTPS 协议,这是根据 Amazon S3 存储桶策略传输对象时所必需的。
+ 对访问控制的进一步限制,为Amazon Forecast服务角色 “AmazonForecast-ExecutionRole-\$1” 和管理员角色(例如 “customer\$1forecast\$1admin\$1role”)的已批准访问启用存储桶策略。
**问:使用 Amazon Forecast 时的最佳做法是什么?**
+ 在 Amazon Forecast 中使用 S3 存储桶时,您应该充分了解自己的数据分类实践并规划相关的数据安全需求。
+ 对于 Amazon S3 存储桶配置,我们强烈建议您在 S3 存储桶策略中启用 HTTPS 强制执行。
+ 您必须知道管理员角色 “customer\$1forecast\$1admin\$1role” 支持对亚马逊 S3 存储桶进行许可访问(S3 对象Get/Delete/Put),命名为 “customer-forecast-\$1”。注意:如果您需要对多个团队进行精细的访问控制,请遵循以下做法:
+ 定义您的基于团队的访问权限 IAM 身份(角色/用户),对相关 Amazon S3 存储桶具有最低权限访问权限。
+ team/project 基于创建 AWS KMS CMKs 授予对应的 IAM 身份的适当访问权限。 (用户访问权限和 'AmazonForecast-ExecutionRole-\$1团队/项目\$1'。
+ 使用创建的设置 S3 存储桶默认加密 AWS KMS CMKs。
+ 在 S3 存储桶策略上使用 HTTPS 协议强制执行 S3 API 流量。
+ 对相关 IAM 身份(用户访问权限和 “AmazonForecast-ExecutionRole-\$1team/project\$1”)的已批准访问存储桶强制执行 S3 存储桶配置。
+ 如果您想将 “customer\$1forecast\$1admin\$1role” 用于一般用途,请考虑前面列出的保护 S3 存储桶的要点。
**问:有关 Amazon Forecast 的合规信息在哪里?**
请参阅[AWS 服务合规计划](https://aws.amazon.com/compliance/services-in-scope/)。
# 使用 AMS SSP FSx 在您的 AMS 账户中配置亚马逊
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊 FSx 功能。Amazon FSx 提供完全托管的第三方文件系统。Amazon FSx 为您提供第三方文件系统的原生兼容性,其功能集适用于基于 Windows 的存储、高性能计算 (HPC)、机器学习和电子设计自动化 (EDA) 等工作负载。Amazon FSx 可自动执行耗时的管理任务,例如硬件配置、软件配置、修补和备份。Amazon FSx 将文件系统与云原生 AWS 服务集成,使其对更广泛的工作负载更加有用。
亚马逊 FSx 为您提供两种文件系统 FSx 供您选择:适用于基于 Windows 的应用程序的 Amazon Windows 文件服务器和适用于计算密集型工作负载的 Amazon fo FSx r Lustre。要了解更多信息,请参阅 [Amazon FSx](https://aws.amazon.com/fsx/)。
## AWS Managed Services FSx 中的亚马逊常见问题解答
**问:如何使用我的 AMS 账户申请访问亚马逊 FSx ?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问亚马逊 FSx 。此 RFC 为您的账户配置以下 IAM 角色:`customer_fsx_admin_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: FSx 在我的 AMS 账户中使用 Amazon 有哪些限制?**
没有任何限制。该服务的全部功能都可用。
**问:在我的 AMS 账户 FSx 中使用 Amazon 的先决条件或依赖条件是什么?**
没有先决条件。但是,对于多可用区等高级配置,您必须安装和管理 DFS 复制和 DFS 命名空间服务。有关更多信息,请参阅[部署多可用区文件系统](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/multi-az-deployments.html)。
**问:如何将我的 Amazon FSx 文件系统与我的多账户 landing zone 托管 AD 集成?**
创建亚马逊 FSx 文件系统时,您可以将您的 MALZ 托管 AD 指定为 “AWS 托管的 Microsoft Active Directory”,用于 Windows 身份验证。有关更多信息,请参阅 “将[亚马逊 FSx 与微软 Active Dire AWS Directory Service ctory 搭配使用](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html)”
您还必须先将托管 AD 共享给应用程序账户。为此,请使用管理 \$1 Directory Service \$1 Directory Service \$1 Directory \$1 共享目录更改类型 (ct-369odosk0pd9w) 提交 RFC。
**问:哪些用户属于 **AWS 委派 FSx 管理员**组?**
只有 IT 文件服务器管理员。该组对所有文件共享都具有**完全访问**权限。
**问:我是否应该使用在配置 FSx系统时创建的默认文件**共享**(共享)?**
不,我们不建议使用已配置的默认文件共**享**,即共享。它向**所有人**授予**完全访问**权限,这违反了最低权限原则。相反,可以创建更小的自定义文件共享,以满足您的业务需求。
**问:如何为企业中的特定组织创建自定义文件共享?**
有关创建自定义[文件共享](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/managing-file-shares.html)的说明,请参阅文件共享。使用最低权限原则限制对每个文件共享的访问权限。
# 使用 AMS SSP 在你的 AMS 账户中 FSx 为亚马逊配置 OpenZFS
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托 FSx 管账户中访问亚马逊 OpenZFS 功能。 FSx for OpenZFS 是一项完全托管的文件存储服务,无需更改应用程序代码或数据管理方式,即可轻松地将本地 ZFS 或其他基于 Linux 的文件服务器中的数据移动到 AWS。它提供基于开源 OpenZFS 文件系统的高度可靠、可扩展、高性能和功能丰富的文件存储,提供 OpenZFS 文件系统熟悉的特性和功能,同时具有完全托管服务的敏捷性、可扩展性和简单性。 AWS 对于构建云原生应用程序的开发人员,它提供了简单、高性能的存储,并具有丰富的数据处理功能。
FSx openZFS 文件系统可使用行业标准 NFS 协议(v3、v4.0、v4.1、v4.2)从 Linux、Windows 和 macOS 计算实例和容器中广泛访问。OpenZFS 由 AWS Graviton 处理器以及最新的 AWS 磁盘和网络技术(包括 AWS 可扩展的可靠数据报网络和 AWS Nitro 系统)提供支持,可提供高达 100 万个 IOPS,延迟 FSx 为数百微秒。凭借对即时 point-in-time快照和数据克隆等 OpenZFS 功能的全面支持, FSx For OpenZFS 使您可以轻松地将本地文件服务器替换为提供熟悉文件系统功能的 AWS 存储,并且无需进行冗长的资格认证以及更改或重新架构现有应用程序或工具。而且,通过将 OpenZFS 数据管理功能的强大功能与最新 AWS 技术的高性能和成本效益相结合,for OpenZFS 使您能够构建和运行高性能、 FSx 数据密集型应用程序。
作为一项完全托管 FSx 的服务,for OpenZFS 可以轻松启动、运行和扩展完全托管的文件系统 AWS ,取代您在本地运行的文件服务器,同时有助于提供更好的灵活性和更低的成本。使用 f FSx or OpenZFS,您不必再担心设置和配置文件服务器和存储卷、复制数据、安装和修补文件服务器软件、检测和解决硬件故障以及手动执行备份。它还提供了与其他 AWS 服务的丰富集成,例如 AWS Identity and Access Management (IAM)、 AWS Key Management Service (AWS KMS)、Amazon CloudWatch 和 AWS CloudTrail。
亚马逊 FSx 为您提供两种文件系统 FSx 供您选择:适用于基于 Windows 的应用程序的 Amazon Windows 文件服务器和适用于计算密集型工作负载的 Amazon fo FSx r Lustre。要了解更多信息,请参阅 [Amazon FSx](https://aws.amazon.com/fsx/)。
## AWS Man FSx aged Services 常见问题解答中的亚马逊 OpenZFS
**问:如何申请在我的 AMS 账户中使用 FSx OpenZFS 的访问权限?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8 FSx z66n899dct) 更改类型提交 RFC,请求访问亚马逊 OpenZFS。此 RFC 为您的账户配置以下 IAM 角色:`customer_fsx_ontap_admin_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 FSx OpenZFS 有哪些限制?**
替换 Amazon FSx 弹性网络接口 (ENIs) 上的安全组需要您提交 “管理” \$1 “其他” \$1 “其他” \$1 “更新”, RFCs 因为安全组是 AMS 环境的关键边界。这是唯一的限制。
**问:在我的 AMS 账户中使用 FSx OpenZFS 有哪些先决条件或依赖关系?**
没有先决条件。但是,您必须已[使用 AMS SSP FSx 在您的 AMS 账户中配置亚马逊](amz-fsx.md)安装。
# 使用 AMS SSP 在您的 AMS 账户中 FSx 为 NetApp ONTAP 配置亚马逊
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管 FSx 账户中访问 Amazon for NetApp ONTAP 功能。Amazon FSx f NetApp or ONTAP 是一项完全托管的服务,它基于广受欢迎的 ONTAP 文件系统提供高度可靠、可扩展、高性能和功能丰富的文件存储。 NetApp它提供了熟悉的特性、性能、功能和 APIs NetApp 文件系统,并具有完全托管的敏捷性、可扩展性和简单性 AWS 服务。
Amazon FSx f NetApp or ONTAP 提供功能丰富、快速且灵活的共享文件存储,可在本地或本地运行的 Linux、Windows 和 macOS 计算实例上广泛访问这些存储空间。 AWS FSx for ONTAP 提供具有亚毫秒延迟的高性能 SSD 存储,您只需单击一下按钮即可快照、克隆和复制文件,从而可以快速轻松地管理数据。它还可以自动将您的数据分层到成本更低的弹性存储,从而无需预置或管理容量,并允许您实现工作负载的 SSD 性能级别,同时只需为一小部分数据支付 SSD 存储费用。它通过完全托管的备份提供高度可用和耐用的存储,并支持跨区域灾难恢复,并支持流行的数据安全和防病毒应用程序,使保护和保护数据变得更加容易。对于在本地使用 NetApp ONTAP 的客户 FSx 来说,for ONTAP 是将基于文件的应用程序从本地迁移、备份或突发到本地的理想解决方案, AWS 无需更改应用程序代码或数据管理方式。
作为一项完全托管的服务,Amazon FSx for NetApp ONTAP 可以轻松地在云中启动和扩展可靠、高性能和安全的共享文件存储。有了 Amazon FSx for NetApp ONTAP,您不必再担心设置和配置文件服务器和存储卷、复制数据、安装和修补文件服务器软件、检测和解决硬件故障、管理故障转移和故障恢复以及手动执行备份。它还提供了与其他 AWS 服务(例如 AWS Identity and Access Management Amazon WorkSpaces 和)的丰富集成 AWS CloudTrail。 AWS Key Management Service
亚马逊 FSx 为您提供两种文件系统 FSx 供您选择:适用于基于 Windows 的应用程序的 Amazon Windows 文件服务器和适用于计算密集型工作负载的 Amazon fo FSx r Lustre。要了解更多信息,请参阅 [Amazon FSx](https://aws.amazon.com/fsx/)。
## AWS M FSx anaged Services 常见问题解答中的亚马逊 NetApp ONTAP 版
**问:如何使用我的 AMS 账户申请访问亚马逊 FSx NetApp ONTAP 版?**
使用管理 \$1 AWS 服务 \$1 自行配置服务 \$1 添加 (ct-1w8z66 NetApp n899dct) 更改类型提交 RFC,请求访问亚马逊 FSx ONTAP 版。此 RFC 为您的账户配置以下 IAM 角色:`customer_fsx_ontap_admin_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon FSx f NetApp or ONTAP 有哪些限制?**
将 Amazon 上的安全组替换 FSx 为 NetApp ONTAP 弹性网络接口 (ENIs) 需要您提交 “管理 \$1 其他 \$1 其他 \$1 其他 \$1 更新”, RFCs 因为安全组是 AMS 环境的关键边界。这是唯一的限制。
**问:在我的 AMS 账户中使用 Amazon FSx for NetApp ONTAP 有哪些先决条件或依赖关系?**
没有先决条件。但是,您必须已[使用 AMS SSP FSx 在您的 AMS 账户中配置亚马逊](amz-fsx.md)安装。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Inspector Classic
**注意**
终止支持通知:2026年5月20日, AWS 将终止对Amazon Inspector Classic的支持。2026 年 5 月 20 日之后,您将无法再访问亚马逊 Inspector Classic 控制台或亚马逊 Inspector Classic 资源。Amazon Inspector Classic 将不再适用于新账户和在过去六个月内未完成评估的账户。对于所有其他账户,访问权限将在 2026 年 5 月 20 日之前有效,之后您将无法再访问亚马逊 Inspector Classic 控制台或 Amazon Inspector Classic 资源。有关更多信息,请参阅 [Amazon Inspector Classic 终止支持](https://docs.aws.amazon.com/inspector/v1/userguide/inspector-migration.html)。
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Inspector Classic 功能。Amazon Inspector Classic 是一项自动安全评估服务,可帮助提高部署在其上的应用程序的安全性和合规性 AWS。Amazon Inspector Classic 会自动评估应用程序的漏洞、漏洞以及与最佳实践的偏差。执行评估后,Amazon Inspector Classic 会生成一份按严重程度排列优先顺序的安全发现的详细清单。这些发现可以直接查看,也可以作为详细评估报告的一部分进行审查,这些报告可通过 Amazon Inspector Classic 控制台或 API 获得。要了解更多信息,请参阅 [Amazon Inspector 经典版](https://docs.aws.amazon.com/inspector/v1/userguide/inspector_introduction.html)。
## AWS Managed Services 常见问题中的亚马逊 Inspector
**问:如何使用我的 AMS 账户申请访问 Amazon Inspector Classic?**
使用管理 \$1 AWS 服务 \$1 自行配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 Amazon Inspector Classic。此 RFC 为您的账户`customer_inspector_admin_role`配置 IAM 角色。该角色包括 AWS托管 AmazonInspectorFullAccess 策略。在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon Inspector Classic 有哪些限制?**
没有任何限制。Amazon Inspector Classic 的全部功能可在你的 AMS 账户中使用。
**问:在我的 AMS 账户中使用 Amazon Inspector Classic 有哪些先决条件或依赖关系?**
在您的 AMS 账户中使用 Amazon Inspector Classic 没有任何先决条件或依赖关系。
## 在 AMS 中使用全新 Amazon Inspector
现在,你可以在你的 AMS 账户中使用新的 Amazon Inspector。
对于 Amazon Inspector Classic`AmazonInspectorFullAccess`,必须使用`customer-inspector-admin-role-ssm-inspector-agent-policy`和。但是,SSPS 角色已更新`customer-inspector-admin-role`,现在包括一个新增`policyAmazonInspector2FullAccess`角色。这项新政策允许使用新版本的 Amazon Inspector 的 API 权限。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Kendra
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Kendra 功能。Amazon Kendra 是一项智能搜索服务,它使用自然语言处理和高级机器学习算法,从您的数据中返回搜索问题的具体答案。与传统的基于关键字的搜索不同,Amazon Kendra 使用其语义和上下文理解功能来确定文档是否与搜索查询相关。Amazon Kendra 会返回问题的具体答案,因此您的体验接近于与人类专家互动。Amazon Kendra 具有高度的可扩展性,能够满足性能需求,与 Amazon S3 和 Amazon Lex 等其他 AWS 服务紧密集成,并提供企业级安全性。要了解更多信息,请参阅 [Amazon Kendra;](https://docs.aws.amazon.com/kendra/latest/dg/what-is-kendra.html)。
## AWS Managed Services 常见问题解答中的亚马逊 Kendra
**问:如何使用我的 AMS 账户申请访问亚马逊 Kendra?**
要申请访问 Amazon Inspector Classic,请使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-3qe6io8t6jtny) 更改类型提交 RFC。此 RFC 为您的账户`customer_kendra_console_role`配置 IAM 角色。在您的账户中配置后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon Kendra 有哪些限制?**
没有任何限制。Amazon Kendra 的全部功能可在您的 AMS 账户中使用。
**问:在我的 AMS 账户中使用 Amazon Kendra 的先决条件或依赖条件是什么?**
开始使用 Amazon Kendra 没有任何先决条件或依赖关系。但是,根据您的具体用例,您可能需要访问其他 AWS 服务。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Kinesis Data Streams
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Kinesis Data Streams (KDS) 功能。Amazon Kinesis Data Streams 是一项高度可扩展、耐用的实时数据流服务。KDS 每秒可以持续捕获来自成千上万个来源(例如网站点击流、数据库事件流、财务交易、社交媒体源、IT 日志和位置跟踪事件)的千兆字节数据。收集的数据可在毫秒内获得,以实现实时分析用例,例如实时仪表板、实时异常检测、动态定价等。要了解更多信息,请参阅 [Amazon Kinesis Data Stream](https://aws.amazon.com/kinesis/data-streams/) s。
## AWS Managed Services 中的 Kinesis Data Streams 常见问题解答
常见问题和答案:
**问:如何通过我的 AMS 账户申请访问亚马逊 Kinesis Data Streams?**
通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC,请求访问亚马逊 Kinesis Data Streams。此 RFC 为您的账户配置以下 IAM 角色:`customer_kinesis_data_streaming_user_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用亚马逊 Kinesis Data Streams 有哪些限制?**
没有任何限制。Amazon Kinesis Data Streams 的全部功能可在你的 AMS 账户中使用。
**问:在我的 AMS 账户中使用 Amazon Kinesis Data Streams 有哪些先决条件或依赖关系?**
在您的 AMS 账户中使用 Amazon Kinesis Data Streams 没有任何先决条件或依赖关系。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Kinesis Video Streams
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Kinesis Video Streams (KVS) 功能。Amazon Kinesis Video Streams 可帮助您安全地将视频从联网设备流式传输 AWS 到用于分析、机器学习 (ML)、播放和其他处理的目的。Kinesis Video Streams 可自动配置并弹性扩展从数百万台设备摄取流视频数据所需的所有基础架构。它还可以持久地存储、加密和索引直播中的视频数据,并允许您通过访问数据。 easy-to-use APIsKinesis Video Streams 使您能够播放用于直播和点播观看的视频,并通过与 Amazon Rekognition Video 以及 Apache 和 OpenCV MxNet 等 TensorFlow机器学习框架的库集成,快速构建利用计算机视觉和视频分析的应用程序。要了解更多信息,请参阅 [Amazon Kinesis Video Streams](https://aws.amazon.com/kinesis/video-streams/)。
## AWS Managed Services 中的亚马逊 Kinesis Video Streams 常见问题解答
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问亚马逊 Kinesis Video Streams Amazon Kinesis Video Streams?**
使用管理 AWS \$1 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC,请求访问亚马逊 Kinesis Video Streams。此 RFC 为您的账户配置以下 IAM 角色:`customer_kinesis_video_streaming_user_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用亚马逊 Kinesis Video Streams 有哪些限制?**
没有任何限制。Amazon Kinesis Video Streams 的全部功能可在你的 AMS 账户中使用。
**问:在我的 AMS 账户中使用 Amazon Kinesis Video Streams 有哪些先决条件或依赖关系?**
在你的 AMS 账户中使用 Amazon Kinesis Video Streams 没有先决条件或依赖关系。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Lex
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Lex 功能。Amazon Lex 是一项使用语音和文本在任何应用程序中构建对话界面的服务。Amazon Lex 提供高级深度学习功能,包括用于将语音转换为文本的自动语音识别 (ASR) 和用于识别文本意图的自然语言理解 (NLU),使您能够构建具有高度吸引力的用户体验和逼真的对话互动的应用程序。借助 Amazon Lex,任何开发者都可以使用支持 Amazon Alexa 的深度学习技术,使您能够快速轻松地构建复杂的自然语言、对话机器人或聊天机器人。要了解更多信息,请参阅 [Amazon Lex](https://aws.amazon.com/lex/)。
## AWS Managed Services 中的亚马逊 Lex 常见问题解答
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问 Amazon Lex?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_lex_author_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon Lex 有哪些限制?**
为了防止对 AMS 基础设施进行任何修改,Amazon Lex 与 Lambda 的集成仅限于没有 “AMS-” 前缀的 Lambda 函数。
**问:在我的 AMS 账户中使用 Amazon Lex 有哪些先决条件或依赖条件?**
在您的 AMS 账户中使用 Amazon Lex 没有任何先决条件或依赖关系。
# 使用 AMS SSP 在您的 AMS 账户中配置亚马逊 MQ
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon MQ 功能。Amazon MQ 是一项适用于 Apache ActiveMQ 的托管消息代理服务,可帮助您在云中设置和操作消息代理。消息代理允许不同的软件系统(通常使用不同的编程语言和不同的平台)来通信和交换信息。Amazon MQ 通过管理流行的开源消息代理 ActiveMQ 的配置、设置和维护来减轻您的运营负担。将您当前的应用程序连接到 Amazon MQ 使用行业标准 APIs 和消息传递协议,包括 JMS、NMS、AMQP、STOMP、MQTT 和。 WebSocket使用标准意味着,在大多数情况下,迁移到 AWS时无需重写任何消息传递代码。要了解更多信息,请参阅[什么是 Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/welcome.html)?
## AWS Managed Services 常见问题解答中的亚马逊 MQ
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问亚马逊 MQ?**
在您的 AMS 账户中使用亚马逊 MQ 的过程分为两步:
1. 配置亚马逊 MQ 代理。为此,请通过包含亚马逊 MQ Broker 的 RFC 提交 CFN 模板,其中包含部署 \$1 Ingestion \$1 Stack CloudFormation from template \$1 创建更改类型 (ct-36cn2avfrrj9v),或者使用管理层 \$1 其他 \$1 其他 \$1 创建更改类型 (ct-1e1xtak34nx76) 更改类型提交 RFC,请求配置亚马逊 MQ Broker 已存入您的账户。
1. 访问亚马逊 MQ 控制台。配置亚马逊 MQ Broker 后,使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC,即可访问亚马逊 MQ 控制台。此 RFC 为您的账户配置以下 IAM 角色:`customer_mq_console_role`.
在您的账户中配置该角色后,您必须将其加入您的联合解决方案中。
**问:在我的 AMS 账户中使用 Amazon MQ 有哪些限制?**
Amazon MQ 的全部功能可在您的 AMS 账户中使用;但是,由于需要提升权限,因此无法通过该政策配置亚马逊 MQ Broker。有关如何在您的账户中配置 Amazon MQ 经纪商的详细信息,请参阅上文。
**问:在我的 AMS 账户中使用 Amazon MQ 有哪些先决条件或依赖关系?**
在您的 AMS 账户中使用 Amazon MQ 没有任何先决条件或依赖关系。
# 使用 AMS SSP 在你的 AMS 账户中为 Apache Flink 配置亚马逊托管服务
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问适用于 Apache Flink 的亚马逊托管服务功能。适用于 Apache Flink 的托管服务是分析流数据、获得切实可行的见解以及实时响应业务和客户需求的最简单方法。Amazon Apache Flink 托管服务降低了构建、管理流应用程序以及与其他 AWS 服务集成的复杂性。SQL 用户可以使用模板和交互式 SQL 编辑器,轻松查询流数据或构建整个流应用程序。Java 开发人员可以使用开源 Java 库和 AWS 集成快速构建复杂的流媒体应用程序,以实时转换和分析数据。适用于 Apache Flink 的 Amazon 托管服务负责处理持续运行实时应用程序所需的一切,并自动扩展以匹配传入数据的数量和吞吐量。使用适用于 Apache Flink 的亚马逊托管服务,您只需为流媒体应用程序消耗的资源付费。没有最低费用或安装成本。要了解更多信息,请参阅适用于 A [pache Flink 的亚马逊托管服务](https://aws.amazon.com/kinesis/data-analytics/)。
## AWS Managed Services 常见问题解答中的 Apache Flink 托管服务
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问适用于 Apache Flink 的亚马逊托管服务?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_kinesis_analytics_application_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用适用于 Apache Flink 的亚马逊托管服务有哪些限制?**
+ 配置仅限于没有 “AMS-” 或 “MC-” 前缀的资源,以防止对 AMS 基础设施进行任何修改。
+ 删除或创建新 Kinesis Data Streams 或 Firehose 的权限已从政策中删除。我们还有另一项允许这样做的政策。
**问:在我的 AMS 账户中使用 Amazon Kinesis Data Streams 有哪些先决条件或依赖关系?**
有几个依赖关系:
+ 适用于 Apache Flink 的亚马逊托管服务要求在使用适用于 Apache Flink 的托管服务配置应用程序之前,必须先创建 Kinesis Data Streams 或 Firehose。
+ 基于资源的策略权限应指明特定的输入数据源。
# 使用 AMS SSP 在你的 AMS 账户中为 Apache Kafka 配置亚马逊托管流媒体 Kafka
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问适用于 Apache Kafka 的亚马逊托管流媒体(亚马逊 MSK)功能。适用于 Apache Kafka 的 Amazon Managed Streaming 是一项完全 AWS 托管的流数据服务,可让您轻松构建和运行使用 Apache Kafka 处理流数据的应用程序,而无需成为 Apache Kafka 集群的操作专家。Amazon MSK 为您管理 Apache Kafka 集群和 Apache 节点的配置、配置和维护。 ZooKeeper 亚马逊 MSK 还在控制台中显示了 Apache Kafka 的关键性能指标。 AWS
Amazon MSK 为您的 Apache Kafka 集群提供多个级别的安全保护,包括 VPC 网络隔离、用于控制平面 API 授权的 AWS IAM、静态加密、传输中的 TLS 加密、基于 TLS 的证书身份验证、受保护的身份验证。 SASL/SCRAM AWS Secrets Manager要了解更多信息,请参阅 [Amazon MSK](https://aws.amazon.com/msk/)。
## AWS Managed Services 常见问题解答中的亚马逊 MSK
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问亚马逊 MSK?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 策略和角色:
+ `customer-msk-admin-policy.json`
+ `AmazonMSKFullAccess`
+ `customer-msk-admin-role.json`
在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:使用 Amazon MSK 有哪些限制?**
要让 Amazon MSK 将代理日志传送到您配置的目的地,请确保将该`AmazonMSKFullAccess`策略附加到您的 IAM 角色。因此,完全访问权限已经到位。
**问:使用 Amazon MSK 的先决条件或依赖条件是什么?**
在创建 MSK 集群之前,您必须拥有一个 VPC 并在该 VPC 内拥有子网。默认情况下,AMS 在[创建 AMS VPC](https://docs.aws.amazon.com/msk/latest/developerguide/msk-create-cluster.html) 时会将其包括在内。
要了解亚马逊 MSK 的限制,请参阅亚马[逊 MSK](https://docs.aws.amazon.com/msk/latest/developerguide/limits.html) 限制。
# 使用 AMS SSP 在您的 AMS 账户中为 Prometheus 配置亚马逊托管服务
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问适用于 Prometheus 的亚马逊托管服务 (AMP) 功能。Amazon Managed Service for Prometheus 是一项面向容器指标的无服务器 Prometheus 兼容监控服务,有助于更轻松地实现对容器环境的大规模监控。借助 Amazon Managed Service for Prometheus,您可以使用目前所用的开源 Prometheus 数据模型和查询语言来监控容器化工作负载的性能,还可以享受更高的可扩展性、可用性和安全性,而无需管理底层基础设施。
Amazon Prometheus 托管服务会随着工作负载的扩大和缩小规模而自动扩展操作指标的摄取、存储和查询。它与 AWS 安全服务集成,可以快速、安全地访问数据。有关更多信息,请参阅[什么是 Prometheus 的亚马逊托管服务](https://docs.aws.amazon.com/prometheus/latest/userguide/what-is-Amazon-Managed-Service-Prometheus.html)?
## AWS Managed Services 常见问题解答中的亚马逊 Prometheus 托管服务
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问适用于 Prometheus 的亚马逊 Prometheus 托管服务?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer-prometheus-console-role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该`customer-prometheus-console-role`角色。
**问:在我的 AMS 账户中使用适用于 Prometheus 的亚马逊 Prometheus 托管服务有哪些限制?**
支持所有功能。
**问:在我的 AMS 账户中使用适用于 Prometheus 的亚马逊 Prometheus 托管服务有哪些先决条件或依赖关系?**
开始使用适用于 Prometheus 的亚马逊托管服务没有任何先决条件或依赖关系。但是,根据您的具体用例,您可能需要访问其他 AWS 服务。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Personalize
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Personalize 功能。Amazon Personalize 是一项机器学习服务,可让开发人员轻松为使用其应用程序的客户创建个性化推荐。
机器学习越来越多地用于通过提供个性化的产品和内容推荐、量身定制的搜索结果和有针对性的营销促销来提高客户参与度。但是,由于复杂性,开发制作这些复杂的推荐系统所必需的机器学习能力已超出了当今大多数组织的能力。Amazon Personalize 允许以前没有机器学习经验的开发者使用经过多年在 Amazon.com 上使用而完善的机器学习技术,轻松地在其应用程序中构建复杂的个性化功能。
借助 Amazon Personalize,您可以从应用程序中提供活动流(点击量、页面浏览量、注册次数、购买次数等)以及您想要推荐的商品(例如文章、产品、视频或音乐)的清单。您也可以选择向 Amazon Personalize 提供用户的其他人口统计信息,例如年龄或地理位置。Amazon Personalize 将处理和检查数据,确定哪些内容有意义,选择正确的算法,并训练和优化针对您的数据定制的个性化模型。Amazon Personalize 分析的所有数据都保密且安全,并且仅用于您的定制推荐。您可以通过简单的 API 调用开始提供个性化推荐。您只需按您的实际用量付费;既没有最低费用,也无需预付费。
要了解更多信息,请参阅 [Amazon Personaliz](https://aws.amazon.com/personalize/) e。
## AWS Managed Services 常见问题解答中的亚马逊个性化
**问:如何使用我的 AMS 账户申请访问 Amazon Personalize?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限,并且您需要指定哪个 S3 存储桶包含用于个性化生成推荐的数据。 AWS 此 RFC 为您的账户配置以下 IAM 角色:`customer_personalize_console_role`和。`customer_personalize_service_role`
+ 在您的账户中配置`customer_personalize_console_role`完毕后,您必须在联合解决方案中加入该角色。您也可以将附加`customer_personalize_console_policy`到除之外的其他现有角色`Customer_ReadOnly_Role`。
+ 向您的账户提供后,您可以在创建新的数据集组时参考其 ARN。`customer_personalize_service_role`
此时,AMS Operations 还将在您的账户中部署此服务角色:`aws_code_pipeline_service_role_policy`。
**问:在我的 AMS 账户中使用 Amazon Personalize 有哪些限制?**
Amazon Personalize 配置仅限于没有 “ams-” 或 “mc-” 前缀的资源,以防止对 AMS 基础设施进行任何修改。
**问:在我的 AMS 账户中使用 Amazon Personalize 有哪些先决条件或依赖条件?**
+ 如果存储数据的 S3 存储桶已加密,则必须提供 KMS 密钥 ID,这样我们就可以允许 Amazon Personalize 使用的角色解密该存储桶。
Amazon Personalize 不支持默认 KMS S3 密钥。如果需要使用 KMS,请创建一个自定义密钥,然后通过打开 RFC 并使用更改类型 KMS Key \$1 Create(托管自动化)向其添加以下策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
+ 必须使用以下存储桶策略创建 S3 存储桶。为此,请提交 RFC,更改类型为 S3 存储 \$1 创建策略。该政策允许 Amazon Personalize 访问数据;该存储桶将包含供亚马逊个性化使用的数据。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PersonalizeS3BucketAccessPolicy",
"Statement": [
{
"Sid": "PersonalizeS3BucketAccessPolicy",
"Effect": "Allow",
"Principal": {
"Service": "personalize.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
]
}
```
------
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Quick
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Quick 功能。Quick 是一项快速、基于云的商业智能服务,可为组织中的每个人提供见解。作为一项完全托管的服务,Quick 可让您轻松创建和发布包含机器学习 (ML) 见解的交互式仪表板。要了解更多信息,请参阅 [Amazon Quick](https://aws.amazon.com/quicksight/)。
## AWS Managed Services 常见问题解答快速介绍
常见问题和答案:
**问:如何在我的 AMS 账户中申请 Quick 的访问权限?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_quicksight_console_admin_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Quick 有什么限制?**
+ AWS 由于 IAM 策略依赖关系,您将无法访问 Quick 上的资源设置。但是,AMS 团队会根据您启用服务的请求为您启用每项资源。
+ 此模式不支持个人用户和群组的资源访问权限,因为此功能使用户能够更改可能危及 AMS 基础设施的 IAM 权限。
+ 由于更改 IAM 对象涉及风险, QuickSight 因此不支持从内部邀请 IAM 身份。
+ Quick Service 提供两个版本:企业版和标准版。两者都提供了 AMS 支持的单点登录 (SSO) 选项。但是,企业版可以选择将 Quick 与 Active Directory (AD) 集成。由于 AMS 账户结构与快速信任要求不兼容,Quick on AMS 不支持与 AD 集成。
**问:在我的 AMS 账户中使用 Quick 的先决条件或依赖条件是什么?**
+ 当 AMS 收到要添加 Quick 的 RFC 时,您会收到一份服务请求,要求您提供更多信息;请向他们提供以下信息:
+ 快速账户名称(例如 `CustomerName-quicksight`
+ 快速版(标准版与企业版)
+ 启用快速服务的 AWS 区域(默认为您的 AMS AWS 区域)。
+ Quick 账户的通知电子邮件地址。
+ (可选)要分析的数据文件所在的 S3 存储桶。
+ 连接 IDs 到 Quick 的 VPC 和子网支持添加 VPC 连接的功能,该功能允许在 Quick 和账户内的资源之间建立私有连接。
AMS 操作员代表您执行注册流程并配置两个 QuickSight 功能:
+ [自动发现](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html)数据源。
+ [VPC 连接](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)。
**注意**
这些操作需要由 AMS 操作员执行,因为在登录过程中需要提升的 IAM 和 VPC 权限。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Rekognition
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Rekognition 功能。Amazon Rekognition 使用久经考验、高度可扩展的深度学习技术,无需机器学习专业知识即可轻松地将图像和视频分析添加到应用程序中。借助 Amazon Rekognition,您可以识别图像和视频中的物体、人物、文本、场景和活动,以及检测任何不当内容。Amazon Rekognition 还提供高度精确的面部分析和面部搜索功能,可用于检测、分析和比较不同人脸,以用于各种用户验证、人员计数和公共安全使用案例。
借助 Amazon Rekognition 自定义标签,您可以识别图像中特定于您的业务需求的对象和场景。例如,您可以构建一个模型来对装配线上的特定机器零件进行分类或检测运行状况不佳的工厂。Amazon Rekognition Custom Labels 为您处理模型开发的繁重工作,因此无需任何机器学习经验。您只需要提供要识别的物体或场景的图像,剩下的交给该服务即可。
要了解更多信息,请参阅[亚马逊 Rek](https://aws.amazon.com/rekognition/) ognition。
## AWS Managed Services 常见问题解答中的亚马逊 Rekognition
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问亚马逊 Rekognition?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_rekognition_console_role & customer_rekognition_service_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用亚马逊 Rekognition 有哪些限制?**
亚马逊 Rekognition 的全部功能可通过亚马逊 Rekognition 自行配置服务角色获得。
**问:在我的 AMS 账户中使用 Amazon Rekognition 有哪些先决条件或依赖关系?**
如果您使用为亚马逊 Rekognition Video 流处理器或数据流提供源流视频的 Kinesis Video Streams 作为向 Kinesis Data Streams 写入数据的目标,请在创建 RFC 时向 AMS 提供。`kinesisStreamName`
# 使用 AMS SSP 在你的 AMS 账户中配置 SageMaker Amazon AI
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 SageMaker Amazon AI 功能。 SageMaker AI 为每位开发人员和数据科学家提供了快速构建、训练和部署机器学习模型的能力。Amazon SageMaker AI 是一项完全托管的服务,涵盖了整个机器学习工作流程,包括标记和准备数据、选择算法、训练模型、调整和优化模型以进行部署、做出预测和采取行动。您的模型能够以更少的工作量和更低的成本更快地投入生产。要了解更多信息,请参阅 [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/)。
## SageMaker AWS Managed Services 中的人工智能常见问题
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问 SageMaker AI?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_sagemaker_admin_role`和服务角色`AmazonSageMaker-ExecutionRole-Admin`。在您的账户中配置 SageMaker AI 后,您必须在联合解决方案中加入该`customer_sagemaker_admin_role`角色。您无法直接访问服务角色; SageMaker AI 服务在执行各种操作时使用该角色,如下所述:[传递角色](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-pass-role)。
**问:在我的 AMS 账户中使用 SageMaker AI 有哪些限制?**
+ AMS Amazon A SageMaker I IAM 角色不支持以下用例:
+ SageMaker 目前不支持 AI Studio。
+ SageMaker 不支持 AI Ground Truth 来管理私人员工,因为此功能需要过于宽松地访问 Amazon Cognito 资源。如果需要管理私人员工,则可以申请一个具有 A SageMaker I 和 Amazon Cognito 权限相结合的自定义 IAM 角色。否则,我们建议使用公共劳动力(由 Amazon Mechanical Turk 提供支持)或 AWS Marketplace 服务提供商进行数据标记。
+ 创建 VPC 终端节点以支持对 SageMaker AI 服务的 API 调用(aws.sagemaker。 \$1区域\$1 .notebook,com.amazonaws。 \$1region\$1 .sagemaker.api & com.amazonaws。 不支持 \$1region\$1 .sagemaker.runtime),因为权限不能仅限于人工智能相关的服务。 SageMaker 要支持此用例,请提交管理 \$1 其他 \$1 其他 RFC 以创建相关的 VPC 终端节点。
+ SageMaker 不支持 AI 端点自动缩放,因为 SageMaker AI 需要任何 (“\$1”) 资源的`DeleteAlarm`权限。要支持端点自动缩放,请提交 “管理 \$1 其他 \$1 其他 \$1 其他 RFC” 来为 SageMaker AI 终端节点设置自动缩放。
**问:在我的 AMS 账户中使用 SageMaker AI 的先决条件或依赖条件是什么?**
+ 以下用例需要在使用前进行特殊配置:
+ 如果要使用 S3 存储桶来存储模型工件和数据,则必须使用部署 \$1 高级堆栈组件 \$1 S3 存储 \$1 创建 RFC 请求一个以所需关键字(”、SageMaker “Sagemaker”、“sagemaker” 或 “aws-glue”)命名的 S3 存储桶。
+ 如果要使用弹性文件存储 (EFS),则必须在同一个子网中配置 EFS 存储,并且必须得到安全组的允许。
+ 如果其他资源需要直接访问 SageMaker AI 服务(笔记本、API、运行时等),则必须通过以下方式请求配置:
+ 提交 RFC 以为终端节点创建安全组(部署 \$1 高级堆栈组件 \$1 安全组 \$1 创建 (auto))。
+ 提交管理 \$1 其他 \$1 其他 \$1 创建 RFC 以设置相关的 VPC 终端节点。
**问:对于`customer_sagemaker_admin_role`可以直接访问的资源,支持的命名约定有哪些?** (以下内容适用于更新和删除权限;如果您需要其他支持的资源命名约定,请联系 AMS Cloud Architect 进行咨询。)
+ 资源:传递`AmazonSageMaker-ExecutionRole-*`角色
+ 权限: SageMaker AI 自行配置的服务角色支持您使用 SageMaker AI 服务角色 (`AmazonSageMaker-ExecutionRole-*`) 和 AWS Glue AWS RoboMaker、和。 AWS Step Functions
+ 资源:Secrets Manager 上的 AWS 秘密
+ 权限:使用`AmazonSageMaker-*`前缀描述、创建、获取、更新密钥。
+ 权限:当`SageMaker`资源标签设置为时,描述、获取机密`true`。
+ 资源:存储库开启 AWS CodeCommit
+ 权限:创建/删除带`AmazonSageMaker-*`前缀的仓库。
+ 权限:在带有以下前缀的存储库 Pull/Push 上使用 Git `*sagemaker*`、`*SageMaker*`、和。`*Sagemaker*`
+ 资源:Amazon ECR(亚马逊弹性容器注册表)存储库
+ 权限:权限:使用以下资源命名约定时,设置、删除存储库策略和上传容器镜像`*sagemaker*`。
+ 资源:亚马逊 S3 存储桶
+ 权限:当资源具有以下前缀时,获取、放置、删除对象、中止分段上传 S3 对象:`*SageMaker*`、`*Sagemaker*`和。`*sagemaker*` `aws-glue`
+ 权限:当`SageMaker`标签设置为时获取 S3 对象`true`。
+ 资源:Amazon CloudWatch 日志组
+ 权限:创建日志组或流、放置日志事件、列出、更新、创建、删除带以下前缀的日志传送:`/aws/sagemaker/*`。
+ 资源:Amazon CloudWatch 指标
+ 权限:使用以下前缀时放入指标数据:`AWS/SageMaker`、`AWS/SageMaker/`、`aws/SageMaker`、`aws/SageMaker/`、`aws/sagemaker``aws/sagemaker/`、和`/aws/sagemaker/.`。
+ 资源:Amazon CloudWatch 控制面板
+ 权限:使用以下前缀时的 Create/Delete 仪表板:`customer_*`.
+ 资源:Amazon SNS(简单通知服务)主题
+ 权限:使用以下前缀时 Subscribe/Create 的主题:`*sagemaker*``*SageMaker*`、和。`*Sagemaker*`
**问:`AmazonSageMakerFullAccess`和有什么区别`customer_sagemaker_admin_role`?**
`customer_sagemaker_admin_role`与`customer_sagemaker_admin_policy`提供的权限几乎相同,唯一的 AmazonSageMakerFullAccess 不同是:
+ 连接 Amazon Cognito 和 AWS Glue 资源的权限。 AWS RoboMaker
+ SageMaker AI 端点自动缩放。您必须使用管理 \$1 高级堆栈组件 \$1 身份和访问管理 (IAM) \$1 更新实体或策略(托管自动化)更改类型 (ct-27tuth19k52b4) 提交 RFC,以临时或永久提升自动扩展权限,因为自动扩展需要对服务的许可访问权限。 CloudWatch
**问:如何在静态数据加密中采用 AWS KMS 客户托管密钥?**
您必须确保已在客户托管密钥上正确设置密钥策略,以便相关的 IAM 用户或角色可以使用这些密钥。有关更多信息,请参阅[AWS KMS 密钥策略文档](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)。
# 使用 AMS SSP 在您的 AMS 账户中配置 Amazon 简单电子邮件服务
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊简单电子邮件服务 (Amazon SES) 功能。Amazon Simple Email Service 是一项基于云的电子邮件发送服务,旨在帮助数字营销人员和应用程序开发人员发送营销、通知和交易电子邮件。
您可以使用 SMTP 接口或其中一个接口将 Amazon SES 直接集成 AWS SDKs 到您的现有应用程序中。您还可以将 Amazon SES 的电子邮件发送功能集成到您已经使用的软件中,例如票务系统和电子邮件客户端。
要了解更多信息,请参阅 [Amazon 简单电子邮件服务](https://aws.amazon.com/ses/)。
## AWS Managed Services 中的亚马逊 SES 常见问题解答
**问:如何使用我的 AMS 账户申请访问 Amazon SES?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 Amazon SES。此 RFC 为您的账户配置以下 IAM 角色:`customer_ses_admin_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon SES 有哪些先决条件或依赖条件?**
+ 您必须配置 S3 存储桶策略以允许 Amazon SES 向存储桶发布事件。
+ 您必须使用默认 (S AWS ES) 或配置 CMK 密钥,以允许 Amazon SES 加密电子邮件并将事件推送到属于该账户的其他服务资源,例如 Amazon S3、Amazon SNS、Lambda 和 Firehose。
**问:在我的 AMS 账户中使用 Amazon SES 有哪些限制?**
您必须筹集 RFCs 才能创建以下资源:
+ PutEvents 有权访问 Kinesis Firehose 直播的 SMTP 用户和 IAM 服务角色。
+ 您必须使用 AMS 更改类型创建 S3 存储桶、Firehose 流、SNS 主题等新 AWS 资源,这样您的 Amazon SES 规则和配置集的目标才能使用这些资源。
+ SMTP 凭证。要申请新的 SMTP 凭证,请使用更改类型(管理 \$1 其他 \$1 其他 \$1 创建)。AMS 会为您创建凭证并将其添加到 Secrets Manager 中。
# 使用 AMS SSP 在您的 AMS 账户中配置 Amazon 简单工作流程服务
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问亚马逊简单工作流服务 (Amazon SWF) Simple Workflow Service 功能。Amazon Simple Workflow Service 可帮助开发人员构建、运行和扩展具有并行或顺序步骤的后台作业。您可以将 Amazon SWF 视为云端完全托管的状态跟踪器和任务协调器。如果您的应用程序的步骤需要超过 500 毫秒才能完成,则需要跟踪处理状态,或者在任务失败时需要恢复或重试,Amazon SWF 可以为您提供帮助。要了解更多信息,请参阅 [Amazon 简单工作流程服务](https://aws.amazon.com/swf/)。
## AWS Managed Services 常见问题解答中的亚马逊 SWF
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问亚马逊 SWF?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_swf_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon SWF 有哪些限制?**
Lambda `InvokeFunction` 权限已包含在该服务中,但是,添加到所有 AMS `customer_deny_policy` 客户角色的 AMS 明确拒绝访问 AMS Lambda 函数和 AMS 拥有的资源。要在 Amazon SWF 中标记或取消标记资源,请提交 “管理 \$1 其他 \$1 其他更改类型”。
**问:在我的 AMS 账户中使用 Amazon SWF 有哪些先决条件或依赖条件?**
Amazon SWF 依赖于该 AWS Lambda 服务,因此,该角色提供了调用 Lambda 的权限,并且无需其他权限即可从亚马逊 SWF 调用 Lambda。否则,使用 Amazon SWF 没有任何先决条件。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Textract
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Textract 功能。Amazon Textract 是一项完全托管的机器学习服务,可自动从扫描的文档中提取打印的文本、手写和其他数据,这些数据超出了简单的光学字符识别 (OCR) 范围,可以识别、理解和提取表单和表格中的数据。要了解更多信息,请参阅 [Amazon Textract](https://aws.amazon.com/textract/)。
## AWS Managed Services 常见问题解答中的亚马逊 Textract
常见问题和答案:
**问:如何申请在我的 AMS 账户中设置亚马逊 Textract?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_textract_console_role``customer_textract_human_review_execution_role`、和。`customer_ec2_textract_instance_profile`在您的账户中配置该角色后,您必须在联合解决方案`customer_textract_console_role`中加入该角色。
**问:在我的 AMS 账户中使用亚马逊 Textract 有哪些限制?**
在您的 AMS 账户中使用亚马逊 Textract 没有任何限制。
**问:在我的 AMS 账户中使用 Amazon Textract 有哪些先决条件或依赖条件?**
您必须通过提交 RFC 部署 \$1 高级堆栈组件 \$1S3 存储 \$1 创建 (ct-1a68ck03fn98r) 来请求创建 S3 存储桶。
# 使用 AMS SSP 在你的 AMS 账户中配置 Amazon Transcribe
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Amazon Transcribe 功能。Amazon Transcribe 是一项完全托管且持续训练的自动语音识别服务,可自动从音频文件生成带有时间戳的文本脚本。借助 Amazon Transcribe,开发人员可以轻松地为其 speech-to-text应用程序添加功能。计算机几乎不可能搜索和分析音频数据。因此,录制的语音需要先转换为文本,然后才能用于应用程序。从历史上看,客户必须与转录提供商合作,这些提供商要求他们签订昂贵的合同,并且很难集成到他们的技术堆栈中来完成这项任务。这些提供商中有许多使用过时的技术,无法很好地适应不同的场景,例如联络中心常见的低保真电话音频,这会导致准确性差。
Amazon Transcribe 使用一种称为自动语音识别 (ASR) 的深度学习过程来快速准确地将语音转换为文本。Amazon Transcribe 可用于转录客户服务电话、自动添加隐藏式字幕和字幕,以及生成媒体资产的元数据以创建完全可搜索的档案。您可以使用 Amazon Transcribe Medical 为临床文档应用程序添加医疗 speech-to-text功能。要了解更多信息,请参阅 [Amazon Transcribe。](https://aws.amazon.com/transcribe/)
## AWS Managed Services 中的亚马逊转录常见问题解答
常见问题和答案:
**问:如何申请在我的 AMS 账户中设置 Amazon Transcribe?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_transcribe_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Amazon Transcribe 有哪些限制?**
使用 transcribe 时,您必须使用 “customer-transcribe\$1” 作为存储桶的前缀,除非 RA 和另有说明。
您无法在 Amazon 转录中创建 IAM 角色。
您不能使用服务托管 S3 存储桶存储默认 SSP 中的输出数据(如果需要,请联系您的账户 CA)。
如果您想使用不属于 AMS 命名空间的客户管理的 KMS 密钥,则必须提交 “风险接受”。
**问:在我的 AMS 账户中使用 Amazon Transcribe 有哪些先决条件或依赖条件?**
S3 必须有权访问名为 “客户转录\$1” 的存储桶。如果您的 S3 存储桶使用 KMS 密钥加密,则需要使用 KMS 才能使用 Amazon Transcribe。如果存储桶不需要加密,则可以删除 “KMStranscribeAllow”。
# 使用 AMS SSP WorkSpaces 在您的 AMS 账户中配置亚马逊
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 WorkSpaces 功能。 WorkSpaces 允许你为用户配置基于云的虚拟 Microsoft Windows 或 Amazon Linux 桌面,称为 WorkSpaces。 WorkSpaces 无需购买和部署硬件或安装复杂的软件。您可以根据需求的变更,快速添加或删除用户。用户使用 WorkSpaces 支持的设备上的客户端应用程序或者(对于 Windows,则使用 Web 浏览器)进行访问 WorkSpaces,然后使用现有的本地 Active Directory (AD) 凭据登录。
要了解更多信息,请参阅 [Amazon WorkSpaces](https://aws.amazon.com/workspaces/)。
## WorkSpaces 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何在 AMS 账户 WorkSpaces 中申请访问权限?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_workspaces_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: WorkSpaces 在我的 AMS 账户中使用有什么限制?**
Amazon WorkSpaces 自行配置的服务角色提供了工作空间的全部功能。
**问:在我的 AMS 账户 WorkSpaces 中使用的先决条件或依赖条件是什么?**
+ WorkSpaces 受 AWS 区域限制;因此,AD Connector 必须配置在托管 WorkSpaces 实例的同一 AWS 区域。
客户可以使用以下两种方法之一 WorkSpaces 连接到客户 AD:
1. 使用 AD 连接器代理对本地 Active Directory 服务的身份验证(首选):
在将您的 WorkSpaces 实例与本地目录服务集成之前,在您的 AMS 账户中配置 Active Directory (AD) 连接器。AD Connector 充当您的现有 AD 用户(来自您的域)的代理,让他们 WorkSpaces 使用现有本地 AD 凭据进行连接。这是首选,因为 WorkSpaces 它们可以直接加入客户的本地域,该域既充当资源林,又充当用户林,从而增强了客户方面的控制权。
有关更多信息,请参阅[部署 Amazon 的最佳实践 WorkSpaces (场景 1)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-1-using-ad-connector-to-proxy-authentication-to-on-premises-active-directory-service.html)。
1. 将 AD Connector 与 AWS 微软 AD、共享服务 VPC 以及对本地的单向信任一起使用:
您还可以先建立从 AMS 管理的 AD 到您的本地 AD 的单向传出信任,从而使用本地目录对用户进行身份验证。 WorkSpaces 将使用 AD Connector 加入 AMS 管理的 AD。 WorkSpaces 然后,访问权限将通过 AMS 托管的 AD 委派给 WorkSpaces 实例,无需与您的本地环境建立双向信任。在这种情况下,用户林将位于客户 AD 中,资源林将位于 AMS 管理的 AD 中(可以通过 RFC 请求对 AMS 管理的 AD 进行更改)。请注意, WorkSpaces VPC 和运行 AMS 托管 AD 的 MALZ 共享服务 VPC 之间的连接是通过 Transit Gateway 建立的。
有关更多信息,请参阅[部署 Amazon 的最佳实践 WorkSpaces (场景 6)](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/scenario-6-aws-microsoft-ad-shared-services-vpc-and-a-one-way-trust-to-on-premises.html)。
**注意**
可以通过提交 “管理 \$1 其他 \$1 其他 \$1 其他 \$1 创建更改类型 RFC” 来配置 AD Connector,其中包含先决条件 AD 配置的详细信息;有关更多信息,请参阅[创建 AD 连接器](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html)。如果使用方法 2 在 AMS 管理的 AD 中创建资源林,请通过运行 AMS 管理的 AD 在 AMS 共享服务账户中提交另一个管理 \$1 其他 \$1 其他 \$1 创建更改类型 RFC。
# 使用 AMS SSP 在您的 AMS 账户中配置 AMS 代码服务
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 AMS Code 服务功能。AMS Code 服务是 AWS 代码管理服务的专有捆绑包,详见下文。您可以选择使用 AMS Code 服务在 AMS 中部署所有服务,也可以在 AMS 中单独部署这些服务。
AMS 代码服务包括以下服务:
+ AWS CodeCommit:一种完全托管的[源代码控制](https://aws.amazon.com/devops/source-control)服务,用于托管基于 Git 的安全存储库。它使团队可以在安全且高度可扩展的生态系统中协作处理代码。 CodeCommit 无需操作自己的源代码控制系统或担心扩展其基础架构。您可以使用 CodeCommit 将源代码中的内容安全地存储到二进制文件中,并且它可与您现有的 Git 工具无缝协作。要了解更多信息,请参阅 [AWS CodeCommit](https://aws.amazon.com/codecommit/)。
要将其独立于 AMS Code 服务部署到您的 AMS 账户中,请参阅[使用 AMS SSP AWS CodeCommit 在您的 AMS 账户中进行预配置](codecommit.md)。
+ AWS CodeBuild:一种完全托管的持续集成服务,用于编译源代码、运行测试和生成随时可以部署的软件包。使用 CodeBuild,您无需预置、管理和扩展自己的构建服务器。 CodeBuild 持续扩展并同时处理多个构建,因此您的构建不会排队等待。您可以使用预先打包的构建环境快速开始,也可以创建使用您自己的构建工具的自定义构建环境。使用 CodeBuild,按分钟计费所使用的计算资源。要了解更多信息,请参阅 [AWS CodeBuild](https://aws.amazon.com/codebuild/)。
要将其独立于 AMS Code 服务部署到您的 AMS 账户中,请参阅[使用 AMS SSP AWS CodeBuild 在您的 AMS 账户中进行预配置](code-build.md)。
+ AWS CodeDeploy:一项完全托管的部署服务,可自动将软件部署到各种计算服务,例如 Amazon EC2 和您的本地服务器。 AWS CodeDeploy 帮助您快速发布新功能,帮助您避免应用程序部署期间的停机,并处理更新应用程序的复杂性。您可以使用 AWS CodeDeploy 自动化软件部署,无需进行容易出错的手动操作。该服务可根据您的部署需求进行扩展。要了解更多信息,请参阅 [AWS CodeDeploy](https://aws.amazon.com/codedeploy/)。
要将其独立于 AMS Code 服务部署到您的 AMS 账户中,请参阅[使用 AMS SSP AWS CodeDeploy 在您的 AMS 账户中进行预配置](code-deploy.md)。
+ AWS CodePipeline:一项完全托管的[持续交付](https://aws.amazon.com/devops/continuous-delivery/)服务,可帮助您实现发布管道的自动化,从而实现快速可靠的应用程序和基础设施更新。 CodePipeline 每次发生代码更改时,都会根据您定义的发布模型自动执行发布过程的构建、测试和部署阶段。这让您可以快速而可靠地交付各种功能和更新。您可以轻松地 AWS CodePipeline 与第三方服务集成,例如 GitHub 或与您自己的自定义插件集成。使用 AWS CodePipeline,您只需为实际用量付费。无前期费用,无长期承诺。要了解更多信息,请参阅 [AWS CodePipeline](https://aws.amazon.com/codepipeline/)。
要将其独立于 AMS Code 服务部署到您的 AMS 账户中,请参阅[使用 AMS SSP AWS CodePipeline 在您的 AMS 账户中进行配置](code-pipeline.md)。
## AWS Managed Services 常见问题解答中的 AMS 代码服务
**问:如何使用我的 AMS 账户申请访问 AMS Code 服务?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_code_suite_console_role`. 在您的账户中配置后,您必须在联合解决方案中加入该角色。此时,AMS Operation `customer_codebuild_service_role` s 还将在您的账户中为 CodeDeploy 和`aws_code_pipeline_service_role`服务部署 CodeBuild、、 CodePipeline 服务角色。`customer_codedeploy_service_role`如果需要其他 IAM 权限,请提交 AMS 服务请求。`customer_codebuild_service_role`
**注意**
您也可以单独添加这些服务;有关信息,请分别参见[使用 AMS SSP AWS CodeBuild 在您的 AMS 账户中进行预配置](code-build.md)[使用 AMS SSP AWS CodeDeploy 在您的 AMS 账户中进行预配置](code-deploy.md)[使用 AMS SSP AWS CodePipeline 在您的 AMS 账户中进行配置](code-pipeline.md)、和。
**问:在我的 AMS 账户中使用 AMS 代码服务有哪些限制?**
+ AWS CodeCommit:如果具有创建 SNS 主题的相关权限, CodeCommit 则开启的触发器功能已禁用。直接进行身份验证受到限制;用户应使用 Cre CodeCommit dential Helper 进行身份验证。某些 KMS 命令也受到限制: kms:加密、 kms:解密、 kms:ReEncrypt、 kms:GenereteDataKey kms:GenerateDataKeyWithoutPlaintext、和。 kms: DescribeKey
+ CodeBuild:对于 AWS CodeBuild 控制台管理员访问权限,权限在资源级别受到限制;例如,对特定资源的 CloudWatch 操作受到限制,`iam:PassRole`权限受到控制。
+ CodeDeploy:目前仅 CodeDeploy 支持在 Amazon EC2/本地部署。不支持通过 CodeDeploy ECS 和 Lambda 进行部署。
+ CodePipeline: CodePipeline 功能、阶段和提供者仅限于以下内容:
+ 部署阶段:亚马逊 S3 和 AWS CodeDeploy
+ 来源阶段:Amazon S3、 AWS CodeCommit、Bit Bucket 和 GitHub
+ 建造阶段: AWS CodeBuild 还有 Jenkins
+ 批准阶段:亚马逊 SNS
+ 测试阶段: AWS CodeBuild、Jenkins、、Ghost Inspector UI 测试、Micro Focus Loa StormRunner d、Runscope BlazeMeter
+ 调用阶段:Step Functions 和 Lambda
**注意**
AMS Operations `customer_code_pipeline_lambda_policy` 在您的账户中部署;它必须与 Lambda 调用阶段的 Lambda 执行角色相关联。提供您想要添加此策略的 Lambda service/execution 角色名称。如果没有自定义 Lambda service/execution 角色,则 AMS 会创建一个名为的新角色`customer_code_pipeline_lambda_execution_role`,该角色是和的` customer_lambda_basic_execution_role`副本。`customer_code_pipeline_lambda_policy`
**问:在我的 AMS 账户中使用 AMS Code 服务的先决条件或依赖条件是什么?**
+ CodeCommit:如果 S3 存储桶使用 AWS KMS 密钥加密, AWS KMS 则必须使用 AWS CodeCommit S3 和。
+ CodeBuild:如果定义的 AWS CodeBuild 服务角色需要其他 IAM 权限,请通过 AMS 服务请求请求这些权限。
+ CodeDeploy: 无。
+ CodePipeline: 无。 AWS 支持的服务 AWS CodeDeploy—AWS CodeCommit AWS CodeBuild、、— 必须在发布之前或同时启动。 CodePipeline但是,这是由 AMS 工程师完成的。
# 使用 AMS SSP AWS Amplify 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Amplify 功能。 AWS Amplify 这是一个完整的解决方案,允许前端 Web 和移动开发人员轻松构建、连接和托管全栈应用程序。随着用例的演变,Amplify 可以灵活地利用 AWS 服务的广度。Amplify 提供用于构建全栈 iOS、安卓、Flutter、Web 和 React Native 应用程序的产品。要了解更多信息,请参阅[AWS Amplify](https://docs.amplify.aws/console)。
## AWS Amplify 在 AWS Managed Services 常见问题中
常见问题和答案:
**问: AWS Amplify 如何申请在我的 AMS 账户中进行设置?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_amplify_console_role`. 配置到您的账户后,您必须在联合解决方案中加入该角色。
此外,您必须提供风险接受,因为您 AWS Amplify 拥有基础架构变更权限。为此,请与您的云服务交付经理 (CSDM) 合作。
**问: AWS Amplify 在我的 AMS 账户中使用有什么限制?**
使用 Amplify 时,您必须使用`'amplify*'`作为存储桶的前缀,除非 RA 和另有说明。
**问:在我的 AMS 账户 AWS Amplify 中使用的先决条件或依赖条件是什么?**
在您的 AMS 账户 AWS Amplify 中使用没有任何先决条件。
**仅限 Malz 环境**:Amplify 的默认载入角色是 “customer\$1amplify\$1console\$1role”。要使用自定义角色,请先部署 IAM 实体。然后,再创建一个 RFC,将您的自定义角色添加到应用程序帐户的服务控制策略允许列表中。
# 使用 AMS SSP 进行配置 AWS AppSync
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS AppSync 功能。 AWS AppSync 允许您创建灵活的 API 来安全地访问、操作和合并来自一个或多个数据源的数据,从而简化应用程序开发。 AWS AppSync 是一项托管服务,它使用 GraphQL 让应用程序可以轻松地准确获取所需的数据。
借 AWS AppSync助,您可以在一系列数据源(例如 NoSQL 数据存储、关系数据库、HTTP APIs 和自定义数据源)上构建可扩展的应用程序,包括那些需要实时更新的应用程序。 AWS Lambda对于移动和 Web 应用程序, AWS AppSync 还可在设备离线时提供本地数据访问权限,并在设备重新联机时提供可自定义冲突解决方案的数据同步。要了解更多信息,请参阅[AWS AppSync](https://aws.amazon.com/appsync/)。
## AWS AppSync 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问权限 AWS AppSync ?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_appsync_service_role`和。`customer_appsync_author_role`在您的账户中配置后,您必须在联合解决方案`customer_appsync_author_role`中加载。
**问:使用有哪些限制 AWS AppSync?**
+ 在客户上 AppSync 创建数据源时,需要指定先前创建的服务角色,不允许创建新角色,因此会返回访问被拒绝的消息
+ AppSync 角色配置为限制对包含 “AMS-” 或 “MC-” 前缀的资源的权限,以防止对 AMS 基础设施进行任何修改。
**问:使用的先决条件或依赖关系 AWS AppSync是什么?**
该服务允许将多个其他服务用作数据源,因此使用这些服务的基本权限包含在服务角色 (`customer_appsync_service_role`) 中,但在使用服务时必须手动选择服务角色。
# 使用 AMS SSP AWS App Mesh 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS App Mesh 功能。 AWS App Mesh 提供应用程序级联网,使您的服务可以轻松地在多种类型的计算基础设施之间相互通信。App Mesh 标准化了您的服务通信方式,为您提供 end-to-end可视性并确保应用程序的高可用性。
AWS App Mesh 通过为跨多种类型的计算基础设施构建的服务提供一致的可见性和网络流量控制,使服务运行变得更加容易。App Mesh 无需更新应用程序代码,即可更改监控数据的收集方式或服务间流量的路由方式。App Mesh 将每项服务配置为导出监控数据,并在整个应用程序中实现一致的通信控制逻辑。这样可以轻松快速查明错误的确切位置,并在出现故障或需要部署代码更改时自动重新路由网络流量。要了解更多信息,请参阅[AWS App Mesh](https://aws.amazon.com/app-mesh/)。
## AWS App Mesh 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问权限 AWS App Mesh ?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_app_mesh_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:使用有哪些限制 AWS App Mesh?**
的全部功能可在您 AWS App Mesh 的 AMS 账户中使用。
**问:使用的先决条件或依赖关系 AWS App Mesh是什么?**
您的 AMS 账户 AWS App Mesh 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Audit Manager 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Audit Manager 功能。Audit Manager 可帮助您持续审计 AWS 使用情况,以简化评估风险以及对法规和行业标准的合规性的方式。Audit Manager 可自动收集证据,以便更轻松地评估您的策略、过程和活动是否有效运行。当需要进行审计时,Audit Manager 可以帮助您管理利益相关者对控制措施的审查,并帮助您以更少的手动工作来生成可供审计的报告。要了解更多信息,请参阅 Audit [Manager](https://aws.amazon.com/audit-manager/)。
## AWS Audit Manager 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何在 AMS 账户 AWS Audit Manager 中申请访问权限?**
您可以通过提交 AWS 服务 RFC 管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 来请求访问权限。此 RFC 在您的账户中配置以下 IAM 角色:`customer-audit-manager-admin-Role`. 在您的账户中配置后,您必须在联合解决方案中加入该角色。
**问:使用有哪些限制 AWS Audit Manager?**
在您的 AMS 账户 AWS Audit Manager 中使用没有任何限制。提供了 AWS Audit Manager 的全部功能。
**问:使用的先决条件或依赖关系 AWS Audit Manager是什么?**
1. 您需要向 AMS 提供您 reports/assessments 要存放的 s3 存储桶。
1. 如果您想使用该服务进行加密,则需要向 AMS 提供要使用的 KMS CMK ARN。
1. 如果您想向某个主题发送 SNS 通知,则必须提供该主题的名称或 arn。
1. **(可选)**如果您想在 Audit Manager 中启用 Organizations 作为多账户登录区域的一部分,并且想要委托管理员帐户,则还有一个额外的先决条件:在 RFC(管理 \$1 AWS 服务 \$1 兼容服务 \$1 添加)的描述字段中,提及您要在 Audit Manager 设置中使用委派管理员帐户,并提供以下详细信息:
+ KMS CMK ARN(最初用于设置 Audit Manager)
+ Audit Manager 可以用作此多账户登录区域一部分的委托管理员账户 ID(可以是 MALZ 应用程序账户)
# 使用 AMS SSP AWS Batch 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Batch 功能。 AWS Batch 使开发人员、科学家和工程师能够轻松高效地运行成千上万的批量计算作业 AWS。 AWS Batch 根据提交的批处理作业的容量和特定资源要求,动态配置计算资源的最佳数量和类型(例如 CPU 或内存优化型实例)。有了它 AWS Batch,您无需安装和管理用于运行作业的批处理计算软件或服务器集群,这样您就可以专注于分析结果和解决问题。要了解更多信息,请参阅[AWS Batch](https://aws.amazon.com/batch/)。
## AWS Batch 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何申请访问我 AWS Batch 的 AMS 账户?**
1. 要申请访问权限 AWS Batch,请提交 RFC 管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct)。此 RFC 在您的账户中配置了以下 IAM 角色和策略:
IAM 角色:
+ `customer_batch_console_role`
+ `customer_batch_ecs_instance_role`
+ `customer_batch_events_service_role`
+ `customer_batch_service_role`
+ `customer_batch_ecs_task_role`
策略:
+ `customer_batch_console_role_policy`
+ `customer_batch_service_role_policy`
+ `customer_batch_events_service_role_policy`
2. 在您的账户中配置后,您必须在联合解决方案`customer_batch_console_role`中加入该角色。
**问:使用有什么限制 AWS Batch?**
创建计算环境时,应将 EC2 实例标记为 “customer\$1batch” 或 “customer\$1batch”。如果未标记实例,则在任务完成时不会批量终止实例。
**问:使用的先决条件或依赖关系 AWS Batch是什么?**
您的 AMS 账户 AWS Batch 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Certificate Manager 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接在您的 AMS 托管账户中访问 AWS Certificate Manager (ACM) 功能。 AWS Certificate Manager 是一项服务,可让您预置、管理和部署用于服务和内部连接资源的公共和私有安全套接字 Layer/Transport 层安全 (SSL/TLS) 证书。 AWS SSL/TLS 证书用于保护网络通信并通过互联网确定网站的身份以及私有网络上的资源。 AWS Certificate Manager 消除了购买、上传和续订 SSL/TLS 证书的耗时手动流程。
借助 AWS Certificate Manager,您可以申请证书,将其部署在集成 ACM 的 AWS 资源上,例如弹性负载均衡器、Amazon CloudFront 分配和 API APIs Gateway 上,然后让我们来 AWS Certificate Manager 处理证书续订。您还可以使用它为内部资源创建私有证书,并集中管理证书生命周期。通过预配置的 AWS Certificate Manager 用于集成 ACM 的服务的公有和私有证书是免费的。您只需为为运行应用程序而创建的 AWS 资源付费。使用 [AWS 私有证书颁发机构](https://aws.amazon.com/certificate-manager/private-certificate-authority/),您每月为操作 AWS 私有 CA 和您颁发的私有证书支付费用。要了解更多信息,请参阅 [AWS Certificate Manager - AWS 文档](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。
## AWS Managed Services 中的 ACM 常见问题解答
常见问题和答案:
**问:如何申请访问我 AWS Certificate Manager 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_acm_create_role`. 您可以使用此角色来创建和管理 ACM 证书。在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
即使您尚未添加 IAM 角色,也可以使用以下更改类型创建 AC `customer_acm_create_role` M 证书:
+ [ACM \$1 创建公共证书](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-public-certificate.html)
+ [ACM \$1 创建私有证书](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-create-private-certificate.html)
+ [ACM 证书及其他 SANs \$1 创建](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-acm-certificate-with-additional-sans-create.html)
**问:使用有哪些限制 AWS Certificate Manager?**
您必须向 AMS 提交更改申请 (RFC) 才能删除或修改现有证书,因为这些操作需要完全的管理员访问权限(使用管理 \$1 高级堆栈组件 \$1 ACM \$1 删除证书更改类型 (ct-1q8q56cmwqj9m))。请注意,IAM 策略不能根据标签名称(mc\$1、ams\$1 等)排除权限。证书不产生费用,因此删除未使用的证书对时间不敏感。
**问:使用 Certificate Manager 的先决条件或依赖条件是什么?**
现有的公有 DNS 名称和创建 DNS 别名记录的访问权限,但这些记录无需托管在托管账户中。
# 使用 AMS SSP AWS 私有证书颁发机构 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS 私有证书颁发机构 功能。私有证书用于识别和保护私有网络上互联资源之间的通信,例如服务器、移动设备和物联网设备和应用程序。 AWS 私有 CA 是一项托管私有 CA 服务,可帮助您轻松安全地管理私有证书的生命周期。 AWS 私有 CA 为您提供高度可用的私有 CA 服务,无需支付运营自己的私有 CA 的前期投资和持续维护成本。 AWS 私有 CA 将 ACM 的证书管理功能扩展到私有证书,使您能够集中创建和管理公有和私有证书。您可以使用 AWS 管理控制台或 ACM API 轻松地为您的 AWS 资源创建和部署私有证书。对于 EC2 实例、容器、物联网设备和本地资源,您可以轻松创建和跟踪私有证书,并使用自己的客户端自动化代码进行部署。对于需要自定义证书生命周期、密钥算法或资源名称的应用程序,您还可以灵活地创建私有证书并自行管理这些证书。要了解更多信息,请参阅[AWS 私有 CA](https://aws.amazon.com/certificate-manager/private-certificate-authority/)。
## AWS 私有 CA 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问权限 AWS 私有 CA ?**
通过提交 AWS 服务 RFC(管理 \$1 服务 \$1 兼容 AWS 服务)来申请访问权限。通过此 RFC,将在您的账户中配置以下 IAM 角色:。`customer_acm_pca_role`在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:使用有哪些限制 AWS 私有 CA?**
目前, AWS Resource Access Manager (AWS RAM) 不能用于共享您的 AWS 私有 CA 跨账户。
**问:使用的先决条件或依赖关系 AWS 私有 CA是什么?**
1. 如果您计划创建 CRL,则需要一个 S3 存储桶来存储它。 AWS 私有 CA 自动将 CRL 存入您指定的 Amazon S3 存储桶中,并定期对其进行更新。在设置 CRL 之前,S3 存储桶必须具有以下存储桶策略。要继续处理此请求,请按如下方式使用 ct-0fpjlxa808sh2(管理 \$1 高级堆栈组件 \$1 S3 存储 \$1 更新策略)创建 RFC:
+ 提供 S3 存储桶名称或 ARN。
+ 将以下策略复制到 RFC 上,并`bucket-name`替换为所需的 S3 存储桶名称。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource":[
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
]
}
]
}
```
------
2. 如果上述 S3 存储桶已加密,则服务主体 acm-pca.amazonaws.com 需要解密权限。要继续处理此请求,请按如下方式使用 ct-3ovo7px2vsa6n(管理 \$1 高级堆栈组件 \$1 KMS 密钥 \$1 更新)创建 RFC:
+ 提供必须更新策略的 KMS 密钥 ARN。
+ 将以下策略复制到 RFC 上,并`bucket-name`替换为所需的 S3 存储桶名称。
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
"arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
"arn:aws:s3:::bucket_name/audit-report/*",
"arn:aws:s3:::bucket_name/crl/*"
]
}
}
}
```
3。 AWS 私有 CA CRLs 不支持 S3 设置 “阻止通过新的访问控制列表 (ACLs) 授予的对存储桶和对象的公开访问权限”。您必须对 S3 账户和存储桶禁用此设置才能允许写入, CRLs 如[如何安全地创建和存储 ACM Private CA 的 CRL 中所述。如果您想禁用,请](https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/)使用 ct-0xdawir96cy7k(管理 \$1 其他 \$1 其他 \$1 更新)创建一个新的 RFC 并附上风险接受书。 AWS 私有 CA 如果您对风险接受有任何疑问,请联系您的云架构师。
# 使用 AMS SSP AWS CloudEndure 在您的 AMS 账户中进行预配置
**注意**
成功推出后 AWS Application Migration Service, CloudEndure 迁移服务现已在所有 AWS 地区停用。我们建议客户使用 AWS Application Migration Service 升降和转移到 GovCloud 区域和商业区域的迁移。有关信息,请参阅[什么是 AWS Application Migration Service?](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html) 。
如果您想使用 AWS Application Migration Service,请联系您的 CA,以便他们为您提供指导。
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS CloudEndure 功能。 AWS CloudEndure 迁移可简化、加快和自动化从物理、虚拟和基于云的基础架构向的大规模迁移。 AWS CloudEndure 灾难恢复 (DR) 可防止任何威胁(包括勒索软件和服务器损坏)造成的停机和数据丢失。
## AWS CloudEndure 在 AWS Managed Services 常见问题中
**问:如何申请访问我 CloudEndure 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 将以下 IAM 用户配置到您的账户:`customer_cloud_endure_user`. 在您的账户中配置访问密钥和密钥后,将在 Secrets Manager 中共享该用户的访问密钥和 AWS 密钥。
这些策略也已配置到账户:`customer_cloud_endure_policy`和。`customer_cloud_endure_deny_policy`
此外,您必须提供风险承受能力,因为用于应用程序集成的 CloudEndure 灾难恢复解决方案具有基础架构变更权限。为此,请与您的云服务交付经理 (CSDM) 合作。
**问: CloudEndure 在我的 AMS 账户中使用有什么限制?**
云端忍受复制和转换实例只能在您指定的子网中启动。
**问:在我的 AMS 账户 CloudEndure 中使用的先决条件或依赖条件是什么?** 通过 RFC 双向通信共享以下内容:
+ 要启动的复制和转换实例的 VPC 子网详细信息。
+ 如果 EBS 卷已加密,则为 KMS 密钥亚马逊资源名称 (ARN)。
# 使用 AMS SSP AWS CloudHSM 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS CloudHSM 功能。 AWS CloudHSM 通过在 AWS 云中使用专用的硬件安全模块 (HSM) 实例,帮助您满足企业、合同和监管机构对数据安全的合规性要求。 AWS和 AWS Marketplace 合作伙伴提供了各种解决方案来保护 AWS 平台内的敏感数据,但是对于某些受合同或监管要求约束的管理加密密钥的应用程序和数据,可能需要额外的保护。 AWS CloudHSM 补充现有的数据保护解决方案,并允许您保护其中的加密密钥 HSMs ,这些密钥是按照政府安全密钥管理标准设计和验证的。 AWS CloudHSM 允许您以只有您才能访问的方式安全地生成、存储和管理用于数据加密的加密密钥。要了解更多信息,请参阅[AWS CloudHSM](https://aws.amazon.com/cloudhsm/)。
## AWS CloudHSM 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何申请访问我 AWS CloudHSM 的 AMS 账户?**
在您的 AMS 账户中使用分为两个步骤:
1. 请求集 AWS CloudHSM 群。为此,请提交 RFC,其中包含管理 \$1 其他 \$1 其他 \$1 创建 (ct-1e1xtak34nx76) 更改类型。请包括以下详细信息:
+ AWS 区域。
+ 与您提交的 RFC 属于同一账户的 VPC ID/ARN. Provide a VPC ID/VPC ARN。
+ 为集群指定至少两个可用区。
+ 将连接到 HSM 集群的亚马逊 EC2 实例 ID。
1. 访问控制 AWS CloudHSM 台。为此,请使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC。此 RFC 为您的账户配置以下 IAM 角色:`customer_cloudhsm_console_role`.
在您的账户中配置该角色后,您必须将其加入您的联合解决方案中。
**问: AWS CloudHSM 在我的 AMS 账户中使用有什么限制?**
访问 AWS CloudHSM 控制台不允许您创建、终止或恢复集群。要做这些事情,请提交 “管理 \$1 其他 \$1 其他 \$1 创建变更类型 (ct-1e1xtak34nx76)” 变更类型。
**问:在我的 AMS 账户 AWS CloudHSM 中使用的先决条件或依赖条件是什么?**
您必须允许 TCP 流量使用端口 2225 通过 VPC 内的客户端 Amazon EC2 实例,或者要访问 HSM 集群的本地服务器使用 Direct Connect VPN。 AWS CloudHSM 依赖于 Amazon EC2 来提供安全组和网络接口。对于日志监控或审计,HSM 依赖 CloudTrail (AWS API 操作)和 CloudWatch 日志来处理所有本地 HSM 设备活动。
**问:谁将对 AWS CloudHSM 客户端和相关软件库进行更新?**
您负责应用库和客户端更新。您需要监视 [CloudHSM 版本历史记录页面上的版本,然后使用 C](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html) lou [d](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-upgrade.html) HSM 客户端升级来应用更新。
**注意**
HSM 设备的软件补丁始终由该 AWS CloudHSM 服务自动应用。
# 使用 AMS SSP AWS CodeBuild 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS CodeBuild 功能。 AWS CodeBuild 是一项完全托管的持续集成服务,用于编译源代码、运行测试和生成随时可以部署的软件包。使用 CodeBuild,您无需预置、管理和扩展自己的构建服务器。 CodeBuild 持续扩展并同时处理多个构建,因此您的构建不会在队列中等待。您可以使用预先打包的构建环境快速开始,也可以创建使用您自己的构建工具的自定义构建环境。使用 CodeBuild,按分钟计费所使用的计算资源。要了解更多信息,请参阅[AWS CodeBuild](https://aws.amazon.com/codebuild/)。
**注意**
要加载 CodeCommit、 CodeBuild CodeDeploy、和 CodePipeline 使用单个 RFC,请提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型并请求三项服务:和。 CodeBuild CodeDeploy CodePipeline然后,所有三个角色、`customer_codebuild_service_role``customer_codedeploy_service_role`、和`aws_code_pipeline_service_role`都将在您的账户中配置。在您的账户中进行配置后,您必须在联合解决方案中加入该角色。
## CodeBuild 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何申请访问我 AWS CodeBuild 的 AMS 账户?**
AWS CodeBuild 在您的 AMS 账户中使用分为两个步骤:
1. 预置构建流程以与 AWS S3 存储桶、Amazon CloudWatch 和日志组进行协调 `CodeBuild Service Role`
1. 请求访问控制 CodeBuild 台
您可以通过管理 \$1 AWS 服务 \$1 自配服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC,请求在您的 AMS 账户中同时设置两者。在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: AWS CodeBuild 在我的 AMS 账户中使用有什么限制?**
对于 AWS CodeBuild 控制台管理员的访问权限,权限受资源级别的限制;例如,对特定资源的 CloudWatch 操作受到限制,`iam:PassRole`权限受到控制。
**问:在我的 AMS 账户 CodeBuild 中使用的先决条件或依赖条件是什么?**
如果定义的 AWS CodeBuild 服务角色需要其他 IAM 权限,请通过 AMS 服务请求进行申请。
# 使用 AMS SSP AWS CodeCommit 在您的 AMS 账户中进行预配置
**注意**
AWS 自 2024 年 7 月 25 日 AWS CodeCommit起,已关闭新客户访问权限。 AWS CodeCommit 现有客户可以继续照常使用该服务。 AWS 继续投资于安全性、可用性和性能改进 AWS CodeCommit,但我们不打算引入新功能。
要将 AWS CodeCommit Git 存储库迁移到其他 Git 提供商,请联系您的云架构师 (CA) 寻求指导。有关迁移 Git 存储库的更多信息,请参阅[如何将您的 AWS CodeCommit 存储库迁移到其他 Git 提供商](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/)。
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS CodeCommit 功能。 AWS CodeCommit 是一项完全托管的[源代码控制](https://aws.amazon.com/devops/source-control/)服务,用于托管基于 Git 的安全存储库。它可以帮助团队在安全且高度可扩展的生态系统中协作处理代码。 CodeCommit 无需操作自己的源代码控制系统或担心扩展其基础架构。您可以使用 CodeCommit 安全地存储从源代码到二进制文件的所有内容,并且它可以与现有 Git 工具无缝协作。要了解更多信息,请参阅[AWS CodeCommit](https://aws.amazon.com/codecommit/)。
**注意**
要加载 CodeCommit、 CodeBuild CodeDeploy、和 CodePipeline 使用单个 RFC,请提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型并请求三项服务:和。 CodeBuild CodeDeploy CodePipeline然后,所有三个角色、`customer_codebuild_service_role``customer_codedeploy_service_role`、和`aws_code_pipeline_service_role`都将在您的账户中配置。在您的账户中进行配置后,您必须在联合解决方案中加入该角色。
## CodeCommit 在 AWS Managed Services 常见问题中
**问:如何在 AMS 账户 CodeCommit 中申请访问权限?**
AWS CodeCommit 可以通过提交两个 AWS 服务 RFCs、控制台访问和数据访问权限来请求控制台和数据访问角色:
+ AWS CodeCommit 通过使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_codecommit_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
数据访问(例如训练和实体列表)要求每个数据源分别 CTs 指定 S3 数据源(必填)、输出存储桶(必填)和 KMS(可选)。只要所有数据源都被授予访问角色,就不会对创造 AWS CodeCommit 就业机会施加任何限制。要申请数据访问权限,请向管理层 \$1 其他 \$1 其他 \$1 创建 (ct-1e1xtak34nx76) 提交 RFC。
**问: AWS CodeCommit 在我的 AMS 账户中使用有什么限制?**
如果具有创建 SNS 主题的相关权限, CodeCommit 则会禁用开启的触发器功能。直接进行身份验证受到限制,用户应使用 Cre CodeCommit dential Helper 进行身份验证。某些 KMS 命令也受到限制:`kms:Encrypt``kms:Decrypt``kms:ReEncrypt`、、`kms:GenereteDataKey`、`kms:GenerateDataKeyWithoutPlaintext`、和`kms:DescribeKey`。
**问:在我的 AMS 账户 AWS CodeCommit 中使用的先决条件或依赖条件是什么?**
如果使用 KMS 密钥加密 S3 存储桶,则必须使用 AWS CodeCommit S3 和 KMS。
# 使用 AMS SSP AWS CodeDeploy 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS CodeDeploy 功能。 AWS CodeDeploy 是一项完全托管的部署服务,可自动将软件部署到各种计算服务,例如 Amazon EC2 AWS Fargate、 AWS Lambda、和您的本地服务器。 AWS CodeDeploy 帮助您快速发布新功能,帮助您避免应用程序部署期间的停机,并处理更新应用程序的复杂性。您可以使用 AWS CodeDeploy 自动化软件部署,无需进行容易出错的手动操作。该服务可根据您的部署需求进行扩展。要了解更多信息,请参阅[AWS CodeDeploy](https://aws.amazon.com/codedeploy/)。
**注意**
要加载 CodeCommit、 CodeBuild CodeDeploy、和 CodePipeline 使用单个 RFC,请提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型并请求三项服务:和。 CodeBuild CodeDeploy CodePipeline然后,所有三个角色、`customer_codebuild_service_role``customer_codedeploy_service_role`、和`aws_code_pipeline_service_role`都将在您的账户中配置。在您的账户中进行配置后,您必须在联合解决方案中加入该角色。
## CodeDeploy 在 AWS Managed Services 常见问题中
**问:如何申请访问我 CodeDeploy 的 AMS 账户?**
CodeDeploy 通过使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_codedeploy_console_role`和。`customer_codedeploy_service_role`在您的账户中配置该角色后,您必须在联合解决方案中加入该`customer_codedeploy_console_role`角色。
**问: CodeDeploy 在我的 AMS 账户中使用有什么限制?**
目前,我们仅支持计算平台 — Amazon EC2/本地。 Blue/Green 不支持部署。
**问:在我的 AMS 账户 CodeDeploy 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 CodeDeploy 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS CodePipeline 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS CodePipeline 功能。 AWS CodePipeline 是一项完全托管的[持续交付](https://aws.amazon.com/devops/continuous-delivery/)服务,可帮助您实现发布管道的自动化,从而实现快速可靠的应用程序和基础架构更新。 CodePipeline 每次发生代码更改时,都会根据您定义的发布模型自动执行发布过程的构建、测试和部署阶段。这让您可以快速而可靠地交付各种功能和更新。您可以轻松地 AWS CodePipeline 与第三方服务集成,例如 GitHub 或与您自己的自定义插件集成。使用 AWS CodePipeline,您只需为实际用量付费。无前期费用,无长期承诺。要了解更多信息,请参阅[AWS CodePipeline](https://aws.amazon.com/codepipeline/)。
**注意**
要加载 CodeCommit、 CodeBuild CodeDeploy、和 CodePipeline 使用单个 RFC,请提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型并请求三项服务:和。 CodeBuild CodeDeploy CodePipeline然后,所有三个角色、`customer_codebuild_service_role``customer_codedeploy_service_role`、和`aws_code_pipeline_service_role`都将在您的账户中配置。在您的账户中进行配置后,您必须在联合解决方案中加入该角色。
CodePipeline 在 AMS 中,不支持源阶段的 “Amazon Ev CloudWatch ents”,因为它需要更高的权限才能创建服务角色和策略,从而绕过最低权限模型和 AMS 变更管理流程。
## CodePipeline 在 AWS Managed Services 常见问题中
**问:如何申请访问我 CodePipeline 的 AMS 账户?**
CodePipeline 通过在相关账户`customer_code_pipeline_console_role`中提交服务请求来请求访问权限。在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
此时,AMS 运营部门还将在您的账户中部署此服务角色:`aws_code_pipeline_service_role_policy`。
**问: CodePipeline 在我的 AMS 账户中使用有什么限制?**
是的。 CodePipeline 功能、阶段和提供者仅限于以下内容:
1. 部署阶段:仅限于 Amazon S3,以及 AWS CodeDeploy
1. 来源阶段:仅限于 Amazon S3 AWS CodeCommit、 BitBucket、和 GitHub
1. 建造阶段:仅限于 AWS CodeBuild,而且 Jenkins
1. 批准阶段:仅限于亚马逊 SNS
1. 测试阶段:仅限于 Jenkins AWS CodeBuild、、Ghost Inspector 用户界面测试、Micro Focus StormRunner 加载和 Runscope API 监控 BlazeMeter
1. 调用阶段:仅限于 Step Functions 和 Lambda
**注意**
AMS 操作将在您的账户`customer_code_pipeline_lambda_policy`中部署;它必须与 Lambda 调用阶段的 Lambda 执行角色相关联。请提供您想要添加此策略的 Lambda service/execution 角色名称。如果没有自定义 Lambda service/execution 角色,AMS 将创建一个名为的新角色`customer_code_pipeline_lambda_execution_role`,该角色将作为副`customer_lambda_basic_execution_role`本。`customer_code_pipeline_lambda_policy`
**问:在我的 AMS 账户 CodePipeline 中使用的先决条件或依赖条件是什么?**
AWS 支持的服务 AWS CodeCommit AWS CodeDeploy 必须在发布之前或同时启动 CodePipeline。 AWS CodeBuild
# 使用 AMS SSP AWS Compute Optimizer 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Compute Optimizer 功能。 AWS Compute Optimizer 使用机器学习来分析历史利用率指标,为您的工作负载推荐最佳 AWS 计算资源,从而降低成本并提高性能。过度配置计算(Amazon EC2 和 ASG)可能会导致不必要的基础设施成本,而计算配置不足会导致应用程序性能不佳。Compute Optimizer 可帮助您根据使用率数据选择最佳的 Amazon EC2 实例类型,包括属于 Amazon EC2 Auto Scaling 组的实例类型。要了解更多信息,请参阅[AWS Compute Optimizer](https://aws.amazon.com/compute-optimizer/)。
## AWS 托管服务中的 Compute Optimizer 常见问题解答
**问:如何使用我的 AMS 账户申请访问 Compute Optimizer?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_compute_optimizer_readonly_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Compute Optimizer 有哪些限制?**
没有任何限制。的全部功能可在您 AWS Compute Optimizer 的 AMS 账户中使用。
**问:在我的 AMS 账户中使用 Compute Optimizer 有哪些先决条件或依赖关系?**
+ 您必须提交 RFC(管理 \$1 其他 \$1 其他 \$1 更新),授权 AMS Ops 在账户中启用该服务。在部署期间,将创建一个服务关联角色 (SLR),以允许收集指标和生成报告。单反相机标有 “AWSServiceRoleForComputeOptimizer”。有关更多信息,请参阅[使用服务相关角色 AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/using-service-linked-roles.html)
+ CloudWatch 必须为以下指标启用指标:
+ **CPU 利用率**:实例上正在使用的已分配 Amazon EC2 计算单位的百分比。该指标确定了在选定实例上运行应用程序所需的处理能力。
+ **内存利用率**:在采样期间以某种方式使用的内存量。该指标用于确定在选定实例上运行应用程序所需的内存。仅对安装了统一 CloudWatch 代理的资源进行内存利用率分析。有关更多信息,请参阅使用 CloudWatch 代理启用内存利用率(第 10 页)。
+ **网络输入:实例在**所有网络接口上接收的字节数。该指标用于识别单个实例的传入网络流量。
+ **网络输出**:实例在所有网络接口上发送的字节数。该指标用于识别来自单个实例的传出网络流量。
+ **本地磁盘 input/output (I/O)**:本地磁盘的 input/output 操作次数。该指标用于识别实例根卷的性能
# 使用 AMS SSP AWS DataSync 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS DataSync 功能。 AWS DataSync 在本地存储和亚马逊 S3、亚马逊弹性文件系统(亚马逊弹性文件系统)或亚马逊之间在线移动大量数据 FSx。与数据传输相关的手动任务可能会减慢迁移速度并给 IT 运营带来负担。 DataSync 消除或自动处理其中的许多任务,包括编写拷贝作业脚本、安排和监控传输、验证数据以及优化网络利用率。 DataSync 软件代理连接到您的网络文件系统 (NFS) 和服务器消息块 (SMB) 存储,因此您无需修改应用程序。 DataSync 可以通过 Internet 或 AWS Direct Connect 链接传输数百 TB 和数百万个文件,速度比开源工具快 10 倍。您可以使用将活动数据集或存档迁移 DataSync 到云端 AWS,将数据传输到云端以便及时进行分析和处理,或者将数据复制到云端以 AWS 实现业务连续性。
要了解更多信息,请参阅[AWS DataSync](https://aws.amazon.com/datasync/)。
## DataSync 在 AWS Managed Services 常见问题中
**问:如何申请访问我 DataSync 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_datasync_console_role`.
在您的账户中配置后,您必须在联合解决方案中加入角色。
用于流式传输任务 CloudWatch 日志的日志组是 “/aws/datasync”。
**问: DataSync 在我的 AMS 账户中使用有什么限制?**
的全部功能可在您 AWS DataSync 的 AMS 账户中使用。
**问:在我的 AMS 账户 DataSync 中使用的先决条件或依赖条件是什么?**
+ 与将使用 DataSync 服务角色`customer_datasync_service_role`执行的 DataSync 任务关联的所有 S3 存储桶都必须使用 Amazon S3 ARNs (亚马逊资源名称)。
+ 在使用 VPC 终端节点之前,必须使用管理 \$1 其他 \$1 其他 \$1 创建 (ct-1e1xtak34nx76) 更改类型的 RFC 请求 DataSync 代理的 VPC 终端节点和安全组。
+ AWS DataSync 代理作为设备在 AMS 中运行。该服务已对 AWS DataSync 代理进行修补和更新;有关详细信息,请参阅[AWS DataSync 常见问题解答](https://aws.amazon.com/datasync/faqs/)。
+ 要启动 AWS DataSync 代理,请提交带有管理 \$1 其他 \$1 其他 \$1 创建 (ct-1e1xtak34nx76) 更改类型的 RFC,请求部署代理。提供 AWS DataSync Amazon EC2 AMI ID、实例类型、子网、安全组;并引用现有的 Amazon EC2 密钥对或请求创建新的密钥对。
**注意**
AMS 代表客户手动配置 AWS DataSync 代理,并且不需要在 Amazon AWS DataSync EC2 AMI 上执行 WIGS 摄取流程。
# 使用 AMS SSP AWS Device Farm 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Device Farm 功能。 AWS Device Farm 是一项应用程序测试服务,可让您通过在各种桌面浏览器和真实移动设备上测试 Web 和移动应用程序来提高其质量,而无需预置和管理任何测试基础架构。该服务使您能够在多个桌面浏览器或真实设备上同时运行测试,以加快测试套件的执行速度,并生成视频和日志以帮助您快速识别应用程序存在的问题。
要了解更多信息,请参阅[AWS Device Farm](https://aws.amazon.com/device-farm/)。
## AWS Device Farm 在 AWS Managed Services 常见问题中
**问:如何在 AMS 账户 AWS Device Farm 中申请访问权限?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_devicefarm_role`.
在您的账户中配置角色后,您必须在联合解决方案中加入角色。
**问: AWS Device Farm 在我的 AMS 账户中使用有什么限制?**
除了在 “名称” 标签中使用 AMS 命名空间外,还提供对该 AWS Device Farm 服务的完全访问权限。
**问:在我的 AMS 账户 AWS Device Farm 中使用的先决条件或依赖条件是什么?**
无。
# 使用 AMS SSP AWS 弹性灾难恢复 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS 弹性灾难恢复 功能。 AWS 弹性灾难恢复 使用经济实惠的存储、最少的计算和恢复,快速、可靠地 point-in-time恢复本地和基于云的应用程序,最大限度地减少停机时间和数据丢失。当您使用 AWS 弹性灾难恢复 复制在支持的操作系统上运行的本地应用程序或基于云的应用程序时,可以提高 IT 弹性。使用 AWS 管理控制台 来配置复制和启动设置、监控数据复制以及启动用于演练或恢复的实例。
要了解更多信息,请参阅[AWS 弹性灾难恢复](https://aws.amazon.com/disaster-recovery/)。
## AWS 弹性灾难恢复 在 AWS Managed Services 常见问题中
**问:如何申请访问我 AWS 弹性灾难恢复 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_drs_console_role`.
在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: AWS 弹性灾难恢复 在我的 AMS 账户中使用有什么限制?**
在您的 AMS 账户 AWS 弹性灾难恢复 中使用没有任何限制。
**问:在我的 AMS 账户 AWS 弹性灾难恢复 中使用的先决条件或依赖条件是什么?**
+ 访问控制台角色后,您必须初始化 Elastic 灾难恢复服务,以便在账户中创建所需的 IAM 角色。
+ 您必须提交更改类型管理 \$1 应用程序 \$1 IAM 实例配置文件 \$1 创建(托管自动化)更改类型 ct-0ixp4ch2tiu04 RFC 才能创建实例配置文件的克隆并附加策略。`customer-mc-ec2-instance-profile` `AWSElasticDisasterRecoveryEc2InstancePolicy`您必须指定要将新策略附加到哪些计算机。
+ 如果实例未使用默认实例配置文件,则 AMS `AWSElasticDisasterRecoveryEc2InstancePolicy` 可以通过自动化进行连接。
+ 您必须使用客户拥有的 KMS 密钥进行跨账户恢复。必须按照策略更新源账户的 KMS 密钥以允许目标账户访问。有关更多信息,请参阅[与目标账户共享 EBS 加密密钥](https://docs.aws.amazon.com/drs/latest/userguide/multi-account.html#multi-account-ebs)。
+ 如果您不想切换角色进行查看,则必须更新 KMS 密钥策略以允许允许`customer_drs_console_role`查看策略。
+ 对于跨账户、跨区域灾难恢复,AMS 必须将源账户和目标账户设置为可信账户,并通过部署[故障恢复和大小合适的角色AWS](https://docs.aws.amazon.com/drs/latest/userguide/trusted-accounts-failback-role.html)。 CloudFormation
# 使用 AMS SSP AWS Elemental MediaConvert 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Elemental MediaConvert 功能。 AWS Elemental MediaConvert 是一种基于文件的视频转码服务,具有广播级功能。它使您能够创建 video-on-demand(VOD)内容,用于大规模广播和多屏传送。该服务将高级视频和音频功能与简单的 Web 服务界面和 pay-as-you-go定价相结合。借 AWS Elemental MediaConvert助,您可以专注于提供引人入胜的媒体体验,而不必担心构建和运营自己的视频处理基础设施的复杂性。
要了解更多信息,请参阅[AWS Elemental MediaConvert](https://aws.amazon.com/mediaconvert/)。
## MediaConvert 在 AWS Managed Services 常见问题中
**问:如何申请访问我 MediaConvert 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_mediaconvert_author_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
将提供第二个角色`customer_MediaConvert_Default_Role`,该角色用于从源 S3 存储桶读取数据并将输出写入目标 S3 存储桶,还用于在需要数字版权管理 (DRM) 时调用 API 网关。 MediaConvert
**问: MediaConvert 在我的 AMS 账户中使用有什么限制?**
在 AMS MediaConvert 中使用没有任何限制。
**问:在我的 AMS 账户 MediaConvert 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 MediaConvert 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Elemental MediaLive 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Elemental MediaLive 功能。 AWS Elemental MediaLive 是一项广播级的直播视频处理服务。它使您能够创建高质量的视频流,以传送到广播电视和联网的多屏设备,例如联网设备、平板电脑 TVs、智能手机和机顶盒。该服务的工作原理是:对您的实时视频流进行实时编码,获取较大的实时视频源,然后将其压缩成较小的版本以分发给您的观众。借助高级广播功能 AWS Elemental MediaLive、高可用性和定价,您可以轻松地为直播活动和全天候频道设置直播。 pay-as-you-go AWS Elemental MediaLive 让您可以专注于为观众创造引人入胜的实时视频体验,而无需复杂地构建和运营广播级视频处理基础架构。
要了解更多信息,请参阅[AWS Elemental MediaLive](https://aws.amazon.com/medialive/)。
## MediaLive 在 AWS Managed Services 常见问题中
**问:如何申请访问我 MediaLive 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_medialive_author_role`.
作为本 RFC 的一部分,第二个角色将部署到您的账户;该`customer_medialive_service_role`角色可以分配给您的媒体直播频道和输入,以便与其他服务(例如 Amazon S3 和 CloudWatch 日志)进行交互。 MediaStore
在您的账户中配置角色后,您必须在联合解决方案中加入角色。
**问: MediaLive 在我的 AMS 账户中使用有什么限制?**
在 AMS MediaLive 中使用没有任何限制。
**问:在我的 AMS 账户 MediaLive 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 MediaLive 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Elemental MediaPackage 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Elemental MediaPackage 功能。 AWS Elemental MediaPackage 可靠地准备和保护您的视频,以便通过互联网传输。通过单个视频输入, AWS Elemental MediaPackage 创建格式化为可在联网手机 TVs、计算机、平板电脑和游戏机上播放的视频流。它可以轻松地为观众实现流行的视频功能(重播、暂停、倒带等),就像上面常见的功能一样。 DVRs AWS Elemental MediaPackage 还可以使用数字版权管理 (DRM) 保护您的内容。 AWS Elemental MediaPackage 根据加载量自动缩放,因此您的观众将始终获得出色的体验,而不必事先准确预测所需的容量。
要了解更多信息,请参阅[AWS Elemental MediaPackage](https://aws.amazon.com/mediapackage/)。
## MediaPackage 在 AWS Managed Services 常见问题中
**问:如何申请访问我 AWS Elemental MediaPackage 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_mediapackage_author_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
将提供第二个角色`customer_mediapackage_service_role`,可以将其分配给您的媒体直播频道和输入,以便与其他服务(例如 S3 和 Secrets Manager)进行交互。
**问: MediaPackage 在我的 AMS 账户中使用有什么限制?**
在 AMS MediaPackage 中使用没有任何限制。
**问:在我的 AMS 账户 MediaPackage 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 MediaPackage 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Elemental MediaStore 在您的 AMS 账户中进行配置
**注意**
经过仔细考虑,决定停产 MediaStore, AWS 自2025年11月13日起生效。如果您是的活跃客户 MediaStore,则可以照常使用 MediaStore ,直到 2025 年 11 月 13 日该服务的支持将终止。在此日期之后,您将无法再使用本服务提供的 MediaStore 任何功能。
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Elemental MediaStore 功能。 AWS Elemental MediaStore 是一项针对媒体进行了优化的 AWS 存储服务。它为您提供交付直播视频内容所需的性能、一致性和低延迟。 AWS Elemental MediaStore 在您的视频工作流程中充当原始存储。其高性能功能可满足最苛刻的媒体交付工作负载的需求,再加上长期且经济实惠的存储。要了解更多信息,请参阅[AWS Elemental MediaStore](https://aws.amazon.com/mediastore/)。
## MediaStore 在 AWS Managed Services 常见问题中
**问:如何申请访问我 MediaStore 的 AMS 账户?**
MediaStore 通过使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_mediastore_author_role`. 作为本 RFC 的一部分,将在您的账户中部署第二个角色:`MediaStoreAccessLogs`角色,如果您选择启用该功能 CloudWatch,则 MediaStore 服务使用该角色来登录活动。在您的账户中配置角色后,您必须在联合解决方案中加入角色。
此时,AMS 运营部门还将在您的账户中部署此服务角色:`aws_code_pipeline_service_role_policy`。
**问: MediaStore 在我的 AMS 账户中使用有什么限制?**
在 AMS MediaStore 中使用没有任何限制。
**问:在我的 AMS 账户 MediaStore 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 MediaStore 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Elemental MediaTailor 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Elemental MediaTailor 功能。 AWS Elemental MediaTailor 允许视频提供商在不牺牲广播 quality-of-service级别的情况下将单独定向的广告插入到其视频流中。这样 AWS Elemental MediaTailor,您的直播或点播视频的观众都会收到一个将您的内容与针对他们的个性化广告相结合的直播。但是,与其他个性化广告解决方案不同, AWS Elemental MediaTailor 您的整个视频流(视频和广告)都以广播级的视频质量投放,以改善观众的体验。 AWS Elemental MediaTailor 提供基于客户端和服务器端广告投放指标的自动报告,以准确衡量广告展示次数和观众行为。您可以轻松地通过意想不到的高需求观看活动获利,而无需支付任何前期费用。 AWS Elemental MediaTailor它还可以提高广告投放率,帮助您从每个视频中获得更多收益,并且可以与更多种类的内容交付网络、广告决策服务器和客户端设备配合使用。
要了解更多信息,请参阅[AWS Elemental MediaTailor](https://aws.amazon.com/mediatailor/)。
## MediaTailor 在 AWS Managed Services 常见问题中
**问:如何申请访问我 MediaTailor 的 AMS 账户?**
MediaTailor 通过使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer-mediatailor-role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: MediaTailor 在我的 AMS 账户中使用有什么限制?**
在 AMS MediaTailor 中使用没有任何限制。
**问:在我的 AMS 账户 MediaTailor 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 MediaTailor 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Global Accelerator 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问全球加速器功能。Global Accelerator 是一项网络层服务,您可以在其中创建加速器以提高全球受众使用的互联网应用程序的可用性和性能。要了解更多信息,请参阅[全球加速器](https://aws.amazon.com/global-accelerator/)。
## AWS Managed Services 中的全球加速器常见问题解答
常见问题和答案:
**问:如何申请在我的 AMS 账户中设置全球加速器?**
通过提交 AWS 服务 RFC(管理 \$1 服务 \$1 自配 AWS 服务)来请求访问权限。通过此 RFC,将在您的账户中配置以下 IAM 角色:。`customer_global_accelerator_console_role`在您的账户中配置控制台角色后,您必须在联合解决方案中加入控制台角色。
**问:在我的 AMS 账户中使用全球加速器有哪些限制?**
Global Accelerator 是一项全球服务,支持 AWS 区域[表中列出的多个AWS 区域](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)的终端节点。
**问:在我的 AMS 账户中使用全球加速器的先决条件或依赖条件是什么?**
使用全球加速器设置加速器时,可以将静态 IP 地址关联到一个或多个 AWS 区域的区域终端节点。对于标准加速器,终端节点是网络负载均衡器、应用程序负载均衡器、Amazon EC2 实例或弹性 IP 地址。对于自定义路由加速器,终端节点是具有一个或多个 EC2 实例的虚拟私有云 (VPC) 子网。
# 使用 AMS SSP AWS Glue 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Glue 功能。 AWS Glue 是一项完全托管的提取、转换和加载 (ETL) 服务,可帮助您准备和加载数据以进行分析。只需在中单击几下即可创建和运行 ETL 作业。 AWS 管理控制台您指 AWS Glue 向存储在上的数据 AWS, AWS Glue 发现您的数据并将关联的元数据(例如表定义和架构)存储在中 AWS Glue Data Catalog。对您的数据进行编目后,即可立即搜索和查询,并可用于ETL操作。要了解更多信息,请参阅[AWS Glue](https://aws.amazon.com/glue/)。
## AWS Glue 在 AWS Managed Services 常见问题中
常见问题和答案:
**问: AWS Glue 如何申请在我的 AMS 账户中进行设置?**
AWS Glue 通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:
+ `customer_glue_console_role`
+ `customer_glue_service_role`
前面的角色包括以下附加策略:
+ `customer_glue_secrets_manager_policy`
+ `customer_glue_deny_policy`
在您的账户中配置角色后,您必须将其加入您的联合解决方案中。
要访问爬虫、作业和开发终端节点(特定用例所需的角色),请使用部署 \$1 高级堆栈组件 \$1 身份和访问管理 (IAM) \$1 创建实体或策略 (ct-3dpd8mdd9jn1r) 提交 RFC。
**问: AWS Glue 在我的 AMS 账户中使用有什么限制?**
没有任何限制。的全部功能可在您 AWS Glue 的 AMS 账户中使用。要获得可以创作和测试 ETL 脚本的交互式环境,请使用 AWS Glue Studio 上的笔记本。 AWS Glue Interactive Sessions 和 Job Notebook 是无服务器功能,你可以在中 AWS Glue 使用这些功能,也可以利用 AWS Glue 服务角色。 AWS Glue
**AWS Glue 2.0 之前版本:** AWS Glue 笔记本是一种非托管资源,可在账户中启动 Amazon EC2 实例。最佳做法是启动您自己的 Amazon EC2 实例并安装支持笔记本环境和开发所需的软件。有关更多信息,请参阅[教程:设置本地 Apache Zeppelin 笔记本来测试和调试 ETL 脚本以及[使用开发端点开发](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html)脚本](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint-tutorial-local-notebook.html)。
**问:在我的 AMS 账户 AWS Glue 中使用的先决条件或依赖条件是什么?**
AWS Glue 依赖于 Amazon S3 CloudWatch、和 CloudWatch 日志。传递依赖关系因数据源和可能与之交互的其他 AWS Glue 服务功能而异(例如:Amazon Redshift、Amazon RDS、Athena)。
# 使用 AMS SSP AWS Lake Formation 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Lake Formation 功能。 AWS Lake Formation 是一项服务,可让您在几天之内轻松设置安全的数据湖。数据湖是一种集中的、策管的、安全存储库,用于存储所有数据,包括原始形式和准备进行分析的形式。数据湖能够打破数据孤岛,将不同类型的分析结合起来,获得信息并指导更好的业务决策。
使用 Lake Formation 创建数据湖很简单,以及要应用的数据访问和安全策略。然后,Lake Formation 可帮助您从数据库和对象存储收集和编目数据,将数据移动到新的 Amazon S3 数据湖,使用机器学习算法清理和分类数据,安全访问敏感数据。您的用户可以访问描述可用数据集及其适当用法的集中式数据目录(有关详细信息,请参阅[AWS Glue 常见问题解答](https://aws.amazon.com/glue/faqs/#AWS_Glue_Data_Catalog/))。然后,您的用户将这些数据集与他们选择的分析和机器学习服务结合起来,例如[亚马逊 Redshift、Amazon](https://aws.amazon.com/redshift/) At [hena 和(测试版)适用于 Apache](https://aws.amazon.com/athena/) Spark 的 A [ma](https://aws.amazon.com/emr/) zon EMR。Lake Formation 建立在中提供的功能之上[AWS Glue](https://aws.amazon.com/glue/)。
要了解更多信息,请参阅[AWS Lake Formation](https://aws.amazon.com/lake-formation/)。
## AWS 托管服务中的 Lake Formation 常见问题解答
**问:如何申请访问我 AWS Lake Formation 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_lakeformation_data_analyst_role`. 在您的账户中配置角色后,您必须在联合解决方案中加入角色。
此外,以下两个角色是可选的:
+ `customer_lakeformation_admin_role`
+ `customer_lakeformation_workflow_role`
要获得管理员权限,您可以选择将角色`customer_lakeformation_admin_role`作为相同 SSP 更改类型(ct-3qe6io8t6jtny)的一部分加入。
如果要在 AWS Lake Formation 控制台中创建蓝图,则需要提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型并显式添加以部署。`customer_lakeformation_workflow_role`在 RFC 中,如果创建蓝图时存储桶是源,则必须提供 S3 存储桶名称。如果蓝图类型为 AWS CloudTrail Classic Load Balancer 日志或应用程序负载均衡器日志,则 S3 存储桶适用。
**问: AWS Lake Formation 在我的 AMS 账户中使用有什么限制?**
Lake Formation 的全部功能已在 AMS 中提供。
**问:在我的 AMS 账户 AWS Lake Formation 中使用的先决条件或依赖条件是什么?**
Lake Formation 与该 AWS Glue 服务集成,因此 AWS Glue 用户只能访问他们拥有 Lake Formation 权限的数据库和表。此外, AWS Athena 和 Amazon Redshift 用户只能查询他们拥有 Lake Formation 权限 AWS Glue 的数据库和表。
# 使用 AMS SSP AWS Lambda 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Lambda 功能。 AWS Lambda 允许您在不预置或管理服务器的情况下运行代码。您只需为所消耗的计算时间付费,当您的代码未运行时不收取任何费用。借助 Lambda,您几乎可以为任何类型的应用程序或后端服务运行代码,所有这些都无需任何管理。上传您的代码,Lambda 会处理运行和扩展代码所需的一切,使其具有高可用性。您可以将代码设置为从其他 AWS 服务自动触发,或者直接从任何 Web 或移动应用程序调用。要了解更多信息,请参阅[AWS Lambda](https://aws.amazon.com/lambda/)。
## AWS Managed Services 中的 Lambda 常见问题解答
**问:如何申请访问我 AWS Lambda 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型来请求访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_lambda_admin_role`和。`customer_lambda_basic_execution_role`在您的账户中配置角色后,您必须在联合解决方案中加入角色。
**问: AWS Lambda 在我的 AMS 账户中使用有什么限制?**
+ Lambda 函数旨在由事件源调用。有关可用作 Lambda 事件源的服务列表,请参阅[与其他服务 AWS Lambda 一起使用](https://docs.aws.amazon.com/lambda/latest/dg/lambda-services.html)。目前,并非所有这些服务都在 AMS 账户中可用。如果您需要的服务不可用,请与您的 AMS CSDM 合作提交例外申请。
+ 默认情况下,AMS 为您提供包含`AWSLambdaBasicExecutionRole`和`AWSXrayWriteOnlyAccess`权限的基本 Lambda 初始角色;有关信息,请参阅[AWS Lambda 初始](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)角色。如果您需要其他权限,例如能够在您的 AMS VPC 中配置 Lambda 函数,请使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型提交 RFC。
**问:在我的 AMS 账户 AWS Lambda 中使用的先决条件或依赖条件是什么?**
开始时没有先决条件或依赖关系 AWS Lambda;但是,根据您的具体用例,您可能需要访问其他 AWS 服务才能创建事件源,或者您的函数需要额外的权限才能执行各种操作。如果需要其他权限,请使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)更改类型 (ct-3qe6io8t6jtny) 提交 RFC。
**问:要在我的任何账户中运行 Lambda 函数,我需要做什么?**
要在核心账户中部署 Lambda 函数,请使用以下指南:
+ 确保已加载 SSP f AWS Lambda or。
+ 只要您的 AMS 资源受到保护且合规,AMS 职责下没有禁止这种部署的具体限制。
+ 如果您希望 AMS 创建 Lambda 函数,则必须首先使用所提供的 SSP 角色。 AWS Lambda然后,如果您仍希望 AMS 协助部署或支持该功能,请联系您的 CA 并启动超出范围 (OOS) 流程。
# 使用 AMS SSP AWS License Manager 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS License Manager 功能。 AWS License Manager 与 AWS 服务集成,通过单 AWS 一账户简化多个 AWS 账户、IT 目录和本地许可证的管理。 AWS License Manager 允许管理员创建模拟其许可协议条款的自定义许可规则,然后在 Amazon 实例启动时强制执行这些规则 EC2 。中的规则 AWS License Manager 使您能够通过实际阻止实例启动或将违规行为通知管理员来限制许可违规行为。要了解更多信息,请参阅[AWS License Manager](https://aws.amazon.com/license-manager/)。
## AWS Managed Services 中的许可证管理器常见问题解答
常见问题和答案:
**问: AWS License Manager 如何申请在我的 AMS 账户中进行设置?**
AWS License Manager 通过使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_license_manager_role`. 在您的账户中配置 License Manager IAM 角色后,您必须在联合身份验证解决方案中加入该角色。
**问: AWS License Manager 在我的 AMS 账户中使用有什么限制?**
您可以将规则与 AMIs 您自己的 AWS License Manager 规则相关联(在 “我拥有” 下筛选)。如果您选择强制与 AMI 建立限制关联(例如:只能支持此 AMI 的 100 个 vCPU)并耗尽限制,则未来使用该 AMI 的启动将被阻止,并返回一条错误消息,指出 “没有可用许可证”。这是本服务的预期行为(不允许许可证耗尽)。如果您已用尽限制,但需要再次启动 AMI,则必须修改中配置的规则 AWS License Manager。
**问:在我的 AMS 账户 AWS License Manager 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 AWS License Manager 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Migration Hub 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Migration Hub 功能。 AWS Migration Hub 提供了一个位置,您可以在其中跟踪跨多个解决方案 AWS 和合作伙伴解决方案的应用程序迁移进度。使用 Migration Hub,您可以选择最适合自己需求的迁移工具 AWS 和合作伙伴,同时可以查看整个应用程序组合的迁移状态。Migration Hub 还提供各个应用程序的关键指标和进度,无论使用何种工具进行迁移。这使您可以快速获取所有迁移的进度更新,轻松识别和解决任何问题,并减少在迁移项目上花费的总体时间和精力。要了解更多信息,请参阅[AWS Migration Hub](https://aws.amazon.com/migration-hub/)。
## AWS Managed Services 中的迁移中心常见问题解答
常见问题和答案:
**问:如何使用我的 AMS 账户申请访问 Migration Hub?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 Migration Hub。此 RFC 为您的账户配置以下 IAM 角色:`customer_migrationhub_author_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:Migration Hub 有哪些限制?**
无。
**问:启用 Migration Hub 的先决条件是什么?**
在您的 AMS 账户中开始使用 Migration Hub 不需要任何先决条件。但是,在管理服务期间,可能需要在 Migration Hub 之外的权限,例如向 Amazon S3 写入上传服务器信息的权限。
# 使用 AMS SSP AWS Outposts 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Outposts 功能。 AWS Outposts 是一项完全托管的服务,可将 AWS 基础架构 APIs、 AWS 服务和工具扩展到几乎任何数据中心、托管空间或本地设施,以提供一致的混合体验。 AWS Outposts 适用于需要低延迟访问本地系统、本地数据处理或本地数据存储的工作负载。要了解更多信息,请参阅[AWS Outposts](https://aws.amazon.com/outposts/)。
## AWS Outposts 在 AWS Managed Services 常见问题中
常见问题和答案:
**问: AWS Outposts 如何申请在我的 AMS 账户中进行设置?**
AWS Outposts 通过使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_outposts_role`. 在您的账户中配置该角色后,您必须将其加入您的联合解决方案中。
**问: AWS Outposts 在我的 AMS 账户中使用有什么限制?**
在您的 AMS 账户 AWS Outposts 中使用没有任何限制。
**问:在我的 AMS 账户 AWS Outposts 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 AWS Outposts 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Resilience Hub 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Resilience Hub 功能。 AWS Resilience Hub 帮助您主动准备并保护 AWS 应用程序免受中断。Resilience Hub 提供弹性评估和验证,可集成到您的软件开发生命周期中,以发现弹性弱点。Resilience Hub 可帮助您估算您的应用程序能否满足恢复时间目标 (RTO) 和恢复点目标 (RPO) 目标,并在问题发布到生产环境之前帮助解决问题。将 AWS 应用程序部署到生产环境后,您可以使用 Resilience Hub 继续跟踪应用程序的弹性状况。如果发生中断,Resilition Hub 会向操作员发送通知,要求其启动相关的恢复流程。
## AWS Resilience Hub 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何在 AMS 账户 AWS Resilience Hub 中申请访问权限?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问弹性中心。此 RFC 为您的账户配置以下 IAM 角色和策略:
**IAM 角色**
+ `customer_resiliencehub_console_role`
+ `customer_resiliencehub_service_role`
**策略**
+ `customer_resiliencehub_console_policy`
+ `customer_resiliencehub_service_policy`
在您的账户中配置该角色后,您必须在联合解决方案`customer_resiliencehub_console_role`中加入该角色。
**问: AWS Resilience Hub 在我的 AMS 账户中使用有什么限制?**
没有任何限制。Resilience Hub 的全部功能可在您的 AMS 账户中使用。
**问:在我的 AMS 账户 AWS Resilience Hub 中使用的先决条件或依赖条件是什么?**
在您的 AMS 账户中使用 Resilience Hub 没有任何先决条件或依赖关系。
# 使用 AMS SSP AWS Secrets Manager 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Secrets Manager 功能。 AWS Secrets Manager 帮助您保护访问应用程序、服务和 IT 资源所需的机密。该项服务让您可以在数据库凭证、API 密钥和其他密钥的整个生命周期内轻松对其进行轮换、管理和检索。用户和应用程序通过调用 Secrets Manager 来检索机密 APIs,无需以纯文本格式对敏感信息进行硬编码。Secrets Manager 使用 Amazon RDS、Amazon Redshift 和 Amazon DocumentDB 的内置集成提供密钥轮换。此外,该服务还可扩展到其他类型的机密,包括 API 密钥和 OAuth 令牌。要了解更多信息,请参阅[AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)。
**注意**
默认情况下,AMS 操作员可以访问使用账户默认密 AWS KMS 钥 (CMK) 加密的机密。 AWS Secrets Manager 如果您希望 AMS Operations 无法访问您的机密,请使用自定义 CMK,其中包含一个 AWS Key Management Service (AWS KMS) 密钥策略,该策略定义了与存储在密钥中的数据相应的权限。
## AWS 托管服务中的 Secrets Manager 常见问题解答
**问:如何申请访问我 AWS Secrets Manager 的 AMS 账户?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-3qe6io8t6jtny) 更改类型提交 RFC,请求访问 Secrets Manager。此 RFC 为您的账户配置以下 IAM 角色:`customer_secrets_manager_console_role`和。`customer-rotate-secrets-lambda-role`用作管理员角色来配置和管理密钥,并用作轮换密钥`customer-rotate-secrets-lambda-role`的 Lambda 函数的 Lambda 执行角色。`customer_secrets_manager_console_role`在您的账户中配置该角色后,您必须在联合解决方案中加入该`customer_secrets_manager_console_role`角色。
**问: AWS Secrets Manager 在我的 AMS 账户中使用有什么限制?**
的全部功能均可在您 AWS Secrets Manager 的 AMS 账户中使用,同时还提供自动轮换密钥的功能。但是,请注意,不支持使用 “创建新的 Lambda 函数来执行轮换” 来设置轮换,因为它需要更高的权限才能创建 CloudFormation 堆栈(IAM 角色和 Lambda 函数创建),从而绕过变更管理流程。AMS Advanced 仅支持 “使用现有 Lambda 函数执行轮换”,您可以使用 Lambda SSP 管理员角色管理您的 Lambda 函数以轮换密钥。 AWS AMS Advanced 不会创建或管理 Lambda 来轮换密钥。
**问:在我的 AMS 账户 AWS Secrets Manager 中使用的先决条件或依赖条件是什么?**
以下命名空间保留给 AMS 使用,不能作为直接访问的一部分使用: AWS Secrets Manager
+ arn: aws: secretsmanager: \$1: \$1: secret: ams-shared/\$1
+ arn: aws: secretsmanager: \$1: \$1: secret: customershared/\$1
+ arn: aws: secretsmanager: \$1: \$1: secret: ams/\$1
## 使用 Secrets Manager (AMS SSP) 共享密钥
以 RFC、服务请求或事件报告的纯文本形式与 AMS 共享机密会导致信息泄露事件,AMS 会从案例中删除这些信息,并要求您重新生成密钥。
你可以在这个命名空间下使用 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)(Secrets Manager) `customer-shared`。
![\[Secrets Manager 工作流程。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/onboardingguide/images/secretsManager.png)
### 使用 Secrets Manager 共享密钥常见问题解答
**问:必须使用 Secrets Manager 共享哪种类型的机密?**
一些示例包括用于创建 VPN 的预共享密钥、身份验证密钥(IAM、SSH)、许可证密钥和密码等机密密钥。
**问:如何使用 Secrets Manager 与 AMS 共享密钥?**
1. 使用您的联合访问权限和相应的角色登录 AWS 管理控制台:
对于 SALZ 来说,`Customer_ReadOnly_Role`
对于 MALZ 来说,`AWSManagedServicesChangeManagementRole`。
1. 导航到[AWS Secrets Manager 控制台](https://console.aws.amazon.com/secretsmanager/home),然后单击 “**存储新密钥**”。
1. 选择**其他密钥类型**。
1. 以纯文本形式输入密钥值并使用默认 KMS 加密。单击**下一步**。
1. 输入密钥名称和描述,名称始终以 customers **hared**/开头。例如,**客户共享** /mykey2022。单击**下一步**。
1. 禁用自动轮换,单击 “**下一步**”。
1. 查看并单击 “**存储**” 以保存密钥。
1. 通过服务请求、RFC 或事件报告回复我们并提供机密名称,以便我们识别和检索机密。
**问:使用 Secrets Manager 共享密钥需要什么权限?**
**SALZ**:查找`customer_secrets_manager_shared_policy`托管 IAM 策略并验证策略文档是否与以下创建步骤中附加的策略文档相同。确认该策略已附加到以下 IAM 角色:`Customer_ReadOnly_Role`。
**MALZ**:验证`AMSSecretsManagerSharedPolicy`,是否已附加到允许您在`ams-shared`命名空间中`GetSecretValue`执行操作的`AWSManagedServicesChangeManagementRole`角色。
示例:
```
{
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
],
"Effect": "Allow",
"Sid": "AllowAccessToSharedNameSpaces"
}
```
**注意**
当您添加为自助服务配置服务时 AWS Secrets Manager ,将授予必要的权限。
# 使用 AMS SSP AWS Security Hub CSPM 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Security Hub CSPM 功能。 AWS Security Hub CSPM 让您全面了解自己的安全状态以及您对安全行业标准 AWS 和最佳实践的遵守情况。Security Hub CSPM 集中处理来自 AWS 账户、服务和支持的第三方合作伙伴的安全和合规调查结果并确定其优先级,以帮助您分析安全趋势并确定优先级最高的安全问题。要了解更多信息,请参阅[AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)。
## AWS Managed Services 常见问题解答中的 Security Hub CSPM
**问:如何申请访问我 AWS Security Hub CSPM 的 AMS 账户?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 Security Hub CSPM。此 RFC 为您的账户配置以下 IAM 角色:`customer_securityhub_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 Security Hub CSPM 有哪些限制?**
存档功能已被视为潜在的安全和操作风险,并且作为自配置服务安全角色的一部分受到限制。
**问:在我的 AMS 账户 AWS Security Hub CSPM 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 AWS Security Hub CSPM 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Service Catalog AppRegistry 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AppRegistry 功能。 AppRegistry 支持从中心位置进行应用程序搜索、报告和管理操作。构建者很少在单个 AWS 账户中创建应用程序。它们通常按生命周期阶段(例如开发、测试和生产)来分隔应用程序资源。 AppRegistry 允许您对您定义的 AWS 账户中的所有资源集进行分组和查看。
使用 AppRegistry,您可以存储您的 AWS 应用程序、与您的应用程序关联的资源集合以及应用程序属性组。要了解更多信息,请参阅[什么是 AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/arguide/intro-app-registry.html)。
## 常见问题解答: AWS Service Catalog AppRegistry 在 AMS 中
**问:如何申请访问我 AWS Service Catalog AppRegistry 的 AMS 账户?**
AppRegistry 通过使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加(托管自动化)(ct-3qe6io8t6jtny) 更改类型提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer-appregistry-console-role`. 在您的账户中配置后,您必须在联合解决方案中加入该角色。
**问: AWS Service Catalog AppRegistry 在我的 AMS 账户中使用有什么限制?**
除了在`'Name'`标签中使用 AMS 命名空间外,还提供对该 AppRegistry 服务的完全访问权限。
**问:在我的 AMS 账户 AWS Service Catalog AppRegistry 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 AppRegistry 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Shield Advanced 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Shield Advanced 功能。 AWS Shield Advanced 是一项托管的分布式拒绝服务 (DDoS) 保护服务,可保护正在运行的应用程序 AWS。Shield Advanced 提供不间断检测和自动内联缓解措施,可最大限度地减少应用程序停机时间和延迟,因此无需与 Su AWS pport 合作即可从 S 保护中受益。 DDo有两个等级 AWS Shield ——标准和高级;AMS 提供 Shield Advanced。要了解更多信息,请参阅 [Shield Advanced](https://aws.amazon.com/shield/)。
所有 AWS 客户均可享受自动保护 AWS Shield Standard,无需支付额外费用。 AWS Shield Standard 抵御针对您的网站或应用程序的最常见、最常发生的网络和传输层 DDo S 攻击。当您 AWS Shield Standard 与 Amazon CloudFront 和 Amazon Route 53 配合使用时,您将获得针对所有已知基础设施(第 3 层和第 4 层)攻击的全面可用性保护。
要获得更高级别的保护,抵御针对在亚马逊弹性计算云 (Amazon EC2)、Elastic Load Balancing (ELB) CloudFront AWS Global Accelerator、亚马逊和亚马逊 Route 53 资源上运行的应用程序的攻击,您可以订阅。 AWS Shield Advanced
除了随 AWS Shield Standard附的网络和传输层保护外,还 AWS Shield Advanced 提供了针对大型复杂的 DDo S 攻击的额外检测和缓解措施、近乎实时的攻击可见性以及与 AWS WAF Web 应用程序防火墙的集成。 AWS Shield Advanced 还允许你全天候访问 AWS Shield 响应小组 (SRT),并防止亚马逊弹性计算云 (亚马逊)、弹性负载平衡(弹性负载平衡 EC2)、亚马逊和亚马 CloudFront逊 Route 53 费用中与 DDo S 相关的峰值。 AWS Global Accelerator
## AWS Managed Services 常见问题解答中的 Shield Ad
**问:如何在我的 AMS 账户中申请访问 Shield Advanced?**
使用管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型提交 RFC,请求访问 Shield Advanced。此 RFC 为您的账户配置以下 IAM 角色:`customer_shield_role`和。`aws_drt_shield_role`在您的账户中配置角色后,您必须在联合解决方案中加入角色。
将角色部署到您的账户后,您可以使用在`customer_shield_role`您的账户 AWS Shield Advanced 中确认订阅。
**注意**
请注意,使用需要支付月费和一年的使用期限 AWS Shield Advanced。此外, AWS Shield Advanced 在 AMS 中使用会授权 AMS 升级到 AWS Shield (SRT),后者可以在分布式拒绝服务 (S AWS WAF) 事件升级期间更改您的 Web 应用程序防火墙 (DDo) 规则。这些变更将与AMS协调进行。
**问:在我的 AMS 账户中使用 Shield Advanced 有哪些限制?**
尽管不是限制,但你应该明白,使用 Shield Advanced 会部署`aws_drt_shield_role`,这允许 AWS Shield 队伍 (SRT) 在 S 事件升级 DDo期间对 AMS 账户内的 AWS WAF 规则进行紧急更改。AMS 建议这样做是为了最快地修复 DDo S 攻击,并且会在 AMS 升级到 SRT 之后发生。
**问:在我的 AMS 账户中使用 Shield Advanced 有哪些先决条件或依赖关系?**
在您的 AMS 账户中使用 Shield Advanced 没有任何先决条件或依赖关系。
# 使用 AMS SSP AWS Snowball Edge 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 Snowball Edge 功能。Snowball Edge 是一种 PB 级的数据传输解决方案,它使用专为安全设计的设备将大量数据传输到云端和从云端传出。 AWS Snowball Edge 解决了大规模数据传输的常见挑战,包括高昂的网络成本、较长的传输时间和安全问题。您可以使用 Snowball Edge 迁移分析数据、基因组学数据、视频库、图像存储库、备份,并存档部分数据中心关闭、磁带更换或应用程序迁移项目。使用 Snowball Edge 传输数据既简单、快速、更安全,而且只需通过高速互联网传输数据的成本的五分之一。
使用 Snowball Edge,您无需编写任何代码或购买任何硬件即可传输数据。首先使用 AWS 管理控制台为 Snowball [创建导入任务](https://docs.aws.amazon.com/snowball/latest/ug/create-import-job.html),Snowball 设备将自动发送给您。设备到达后,将设备连接到您的本地网络,下载并运行 Snowball Client(“客户端”)以建立连接,然后使用客户端选择要传输到设备的文件目录。然后,客户端会加密文件并将其高速传输到设备。转移完成并准备退回设备后,电子墨水的运输标签会自动更新,您可以通过亚马逊简单通知服务 (Amazon SNS) Simple Notification Service、短信或直接在控制台中跟踪任务状态。要了解更多信息,请参阅[AWS Snowball Edge](https://aws.amazon.com/snowball/)。
## AWS Managed Services 常见问题中的 Snowball Edge
常见问题和答案:
**问:如何申请访问我 AWS Snowball Edge 的 AMS 账户?**
在 AMS 中实施 Snowball Edge 分为两个步骤:
1. 提交管理 \$1 其他 \$1 其他 \$1 创建 (ct-1e1xtak34nx76) 更改类型,然后为你的 AMS 账户申请 Snowball Edge 的服务角色。
1. 通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 来请求用户访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_snowball_console_role``customer_snowball_export_role`、和。`customer_snowball_import_role`在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: AWS Snowball Edge 在我的 AMS 账户中使用有什么限制?**
的全部功能可在您 AWS Snowball Edge 的 AMS 账户中使用。
**问:在我的 AMS 账户 AWS Snowball Edge 中使用的先决条件或依赖条件是什么?**
您必须拥有如上所述的服务角色帐户。
# 使用 AMS SSP AWS Step Functions 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Step Functions 功能。 AWS Step Functions 是一项 Web 服务,使您能够使用可视化工作流来协调分布式应用程序和微服务的组件。您可通过能执行离散函数(或称为任务)的各单独组件构建应用程序,这样您能够快速扩展和更改应用程序。Step Functions 提供了一种可靠的方法来协调组件并逐步执行应用程序的函数。Step Functions 提供了一个图形控制台,可将应用程序的组件可视化为一系列步骤。它会自动触发和跟踪每个步骤,并在出现错误时重试,因此您的应用程序每次都能按预期按顺序运行。Step Functions 会记录每个步骤的状态,这样在出现错误时,您就能够迅速诊断并调试问题。要了解更多信息,请参阅[AWS Step Functions](https://aws.amazon.com/step-functions/)。
## AWS 托管服务常见问题解答中的 Step Functions
常见问题和答案:
**问:如何在 AMS 账户 AWS Step Functions 中申请访问权限?**
AWS Step Functions 通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_step_functions_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: AWS Step Functions 在我的 AMS 账户中使用有什么限制?**
的全部功能可在您 AWS Step Functions 的 AMS 账户中使用。
**问:在我的 AMS 账户 AWS Step Functions 中使用的先决条件或依赖条件是什么?**
在运行时,Step Functions 使用的角色必须有权访问步进函数所使用的服务。例如,步进函数可能依赖于 Lambda 函数。创作步骤函数的人很可能同时创建 Lambda 函数,并且还必须请求访问该服务。
# 使用 AMS SSP 在您的 AMS 账户中配置 AWS Systems Manager 参数存储
使用 AMS 自助配置 (SSP) 模式直接在您的 AMS 托管账户中访问 AWS Systems Manager 参数存储功能。 AWS Systems Manager Parameter Store 为配置数据管理和密钥管理提供安全的分层存储。也可以将密码、数据库字符串和许可证代码等数据存储为参数值。可以将值存储为纯文本或加密数据。然后,可以使用创建参数时指定的唯一名称来引用对应值。Parameter Store 具有高度的可扩展性、可用性和耐用性,由 AWS 云端提供支持。要了解更多信息,请参阅[AWS Systems Manager 参数存储](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)。
**注意**
如果您想要一个具有生命周期管理功能的专用密钥存储库,请使用[使用 AMS SSP AWS Secrets Manager 在您的 AMS 账户中进行配置](secrets-manager.md)而不是参数存储。Secrets Manager 允许您自动轮换密钥,从而帮助您满足安全和合规要求。Secrets Manager 在 Amazon RDS 上为 MySQL、PostgreSQL 和 Amazon Aurora 提供了内置集成,可通过自定义 Lambda 函数将其扩展到其他类型的机密。
## AWS Systems Manager AWS Managed Services 中的参数存储常见问题
常见问题和答案:
**问:如何在我的 AMS 账户中请求访问 Systems Manager 参数存储区?**
通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请对 AWS Systems Manager 参数存储的访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_systemsmanager_parameterstore_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 P AWS Systems Manager arameter Store 有哪些限制?**
您需要使用 AWS 托管密钥;创建自定义 KMS 密钥的访问权限受到限制。但是,如果需要自定义密钥,请提交 RFC 以使用此 IAM 角色的部署 \$1 高级堆栈组件 \$1 KMS 密钥 \$1 创建更改类型 (ct-1d84keiri1jhg) 作为和参数的值来创建客户管理的密钥 (CMK)。`customer_systemsmanager_parameterstore_console_role` `IAMPrincipalsRequiringDecryptPermissions` `IAMPrincipalsRequiringEncryptPermissionsPrincipal`创建 KMS 密钥后,您可以使用它创建安全字符串。
**问:在我的 AMS 账户中使用 P AWS Systems Manager arameter Store 有哪些先决条件或依赖关系?**
没有先决条件;但是,SSM Parameter Store 依赖 KMS 来创建安全字符串,因此您可以加密和解密存储在参数存储中的值。
# 使用 AMS SSP 在您的 AMS AWS Systems Manager 账户中配置自动化
使用 AMS 自助服务配置 (SSP) 模式,直接在您的 AMS 托管账户中访问 AWS Systems Manager 自动化功能。 AWS Systems Manager 自动化使用运行手册、操作和服务配额简化了 Amazon Elastic Compute Cloud 实例和其他 AWS 资源的常见维护和部署任务。它使您能够大规模构建、执行和监控自动化。Systems Manager Automation 是一种系统管理器文档,它定义了系统管理器对您的托管实例执行的操作。一本运行手册,用于执行常见的维护和部署任务,例如在托管实例中运行命令或自动化脚本。Systems Manager 包括一些功能,可帮助您使用亚马逊弹性计算云标签定位大量实例,以及帮助您根据定义的限制推出更改的速度控制。运行手册是使用 JavaScript 对象表示法 (JSON) 或 YAML 编写的。但是,通过使用 Systems Manager 自动化中的文档生成器,您可以创建运行手册,而无需使用本机 JSON 或 YAML 创作。或者,您可以使用 Systems Manager 提供的运行手册,其中包含适合您需求的预定义步骤。要了解更多信息,请参阅 AWS Systems Manager 文档中的[使用运行手册](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)。
**注意**
尽管 Systems Manager Automation 支持 20 种可在运行手册中使用的操作类型,但在创作要在 AMS 高级账户中使用的运行手册时,您可以使用的操作数量有限。同样,系统管理器提供的运行手册数量有限,既可以直接使用,也可以从自己的运行手册中使用。有关详细信息,请参阅以下常见问题解答中的限制。
## AWS Systems Manager AWS Managed Services 中的自动化常见问题解答
常见问题和答案:
**问:如何通过我的 AMS 账户申请访问 Systems Manager Automation?**
通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请 AWS Systems Manager 自动化的访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_systemsmanager_automation_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问:在我的 AMS 账户中使用 AWS Systems Manager 自动化有什么限制?**
你需要编写运行手册,只有在托管实例中运行命令 and/or 脚本时,Systems Manager 支持的操作有限。下文概述了可供您执行的操作以及任何限制。
**AWS Systems Manager 自动化限制**
| 操作 | 说明 | 限制 |
| --- | --- | --- |
| aws:assertAwsResource财产 — | 断言 AWS 资源状态或事件状态 | 仅限 EC2 实例 |
| aw: aws: branch — | 运行条件自动化步骤 | 没有限制 |
| AWS: 创建标签 — | 为 AWS 资源创建标签 | 仅适用于您撰写的 SSM 自动化运行手册 |
| AWS: 执行自动化 — | 运行另一个自动化 | 只有您撰写的自动化运行手册 |
| aws: 执行脚本 — | 运行脚本 | 唯一不对任何服务进行任何 API 调用的脚本 |
| aws: 暂停 — | 暂停自动化 | 没有限制 |
| aws: runCommand | 在托管实例上运行命令 | 仅使用系统管理器提供的文档 — AWS RunShellScript 和 AWS-RunPowerShellScript |
| aws: sleep — | 延迟自动化 | 没有限制 |
| aws: waitForAws ResourceProperty — | 等待 AWS 资源属性 | 仅限 EC2 实例 |
您也可以选择使用 Systems Manager 控制台中的 “运行命令” 功能直接RunPowerShellScript 使用 Systems Manager 提供的运行手册 AWS RunShellScript 和 AWS 运行手册运行命令或脚本。您还可以将这些运行手册嵌套在运行手册中,以满足额外的 and/or 后期验证或任何复杂的自动化逻辑。
该角色遵循最低权限原则,仅提供创作、执行和检索旨在在托管实例中执行命令 and/or 脚本的 runbook 的执行详细信息所需的权限。它不为 AWS Systems Manager 服务提供的任何其他功能提供权限。虽然该功能允许您编写自动化运行手册,但不能将运行手册的执行定向 AMS 拥有的资源。
**问:在我的 AMS 账户中使用 AWS Systems Manager 自动化的先决条件或依赖条件是什么?**
没有先决条件;但是,在编写运行手册时,必须确保 and/or 遵守内部流程合规性控制。我们还建议在根据生产资源执行运行手册之前,对其进行全面测试。
**问:Systems Manager 策略`customer_systemsmanager_automation_policy`能否附加到其他 IAM 角色?**
不可以,与其他启用自行配置的服务不同,此策略只能分配给已配置的默认角色。`customer_systemsmanager_automation_console_role`
与其他 SSP 角色的策略不同,此 SSM SSP 策略不能与其他自定义 IAM 角色共享,因为此 AMS 服务仅用于在托管实例中运行命令或自动化脚本。如果允许将这些权限附加到其他自定义 IAM 角色(可能具有其他服务的权限),则允许的操作范围可能会扩展到托管服务,并可能降低您账户的安全状况。
要根据我们的 AMS 技术标准评估任何变更请求 (RFCs),请与您各自的云架构师或服务交付经理合作,请参阅 [RFC 安全审查](https://docs.aws.amazon.com/managedservices/latest/ctref/rfc-security.html)。
**注意**
AWS Systems Manager 允许您使用与您的帐户共享的运行手册。我们建议您在使用共享运行手册时谨慎行事并进行尽职调查,并确保在执行运行手册之前查看内容以了解 command/scripts 其运行情况。有关详细信息,请参阅[共享 SSM 文档的最佳实践](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-before-you-share.html)。
# 使用 AMS SSP AWS Transfer Family 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接在您的 AMS 托管账户中访问 AWS Transfer Family (Transfer Family)功能。 AWS Transfer Family 是一项完全托管的 AWS 服务,允许您通过安全文件传输协议 (SFTP) 将文件传输到亚马逊简单存储服务 (Amazon S3) Simple S3 Service 存储和传出亚马逊简单存储服务 (Amazon S3) 存储。SFTP 也称为安全外壳 (SSH) 文件传输协议。SFTP 用于不同行业的数据交换工作流程,例如金融服务、医疗保健、广告和零售等。
使用 AWS SFTP,您 AWS 无需运行任何服务器基础架构即可访问 SFTP 服务器。您可以使用此服务将基于 SFTP 的工作流程迁移到, AWS 同时保持最终用户的客户端和配置不变。首先将您的主机名与 SFTP 服务器端点相关联,然后添加您的用户并为其配置适当的访问级别。完成后,将直接从您的 AWS SFTP 服务器端点处理用户的传输请求。要了解更多信息 [AWS Transfer for SFTP](https://aws.amazon.com/aws-transfer-family),另请参阅[创建支持 SFTP 的](https://docs.aws.amazon.com/transfer/latest/userguide/create-server-sftp.html)服务器。
## AWS Transfer for SFTP 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何申请访问我 AWS Transfer for SFTP 的 AMS 账户?**
AWS Transfer for SFTP 通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请访问权限。通过此 RFC,将在您的账户中配置以下 IAM 角色和策略:
+ `customer_transfer_author_role`。 此角色旨在让您通过控制台管理 SFTP 服务。
+ `customer_transfer_sftp_server_logging_role`。 此角色旨在附加到 SFTP 服务器上。它允许 SFTP 服务器提取日志。 CloudWatch
+ `customer_transfer_sftp_user_role`。 此角色旨在附加到 SFTP 用户身上。它允许 SFTP 用户与 S3 存储桶进行交互。
+ `policy customer_transfer_scope_down_policy`。 此策略是一项范围缩小策略,可应用于 SFTP 用户,将他们对 S3 存储桶的访问权限限制为其主文件夹。
+ `customer_transfer_sftp_efs_user_role`。 此角色旨在附加到 SFTP 用户身上。它允许 SFTP 用户与 EFS 文件系统进行交互。
在您的账户中配置角色后,您必须在联合解决方案中加入角色。
**问: AWS Transfer for SFTP 在我的 AMS 账户中使用有什么限制?**
AWS SFTP 配置的传输仅限于没有 “AMS-” 或 “MC-” 前缀的资源,以防止对 AMS 基础设施进行任何修改。
**问:在我的 AMS 账户 AWS Transfer for SFTP 中使用的先决条件或依赖条件是什么?**
+ 在创建服务器和用户之前,您必须拥有名称包含关键字 “transf AWS Transfer for SFTP er” 的 Amazon S3 存储桶。
+ 要使用 “客户识别提供商”,您必须部署 API Gateway、Lambda 函数和您的用户存储库(AD、Secrets Manager 等)。有关更多信息,请参阅[启用密码身份验证以 AWS Transfer for SFTP 使用 AWS Secrets Manager和使用](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-for-sftp-using-aws-secrets-manager/)[身份提供商](https://docs.aws.amazon.com/transfer/latest/userguide/authenticating-users.html)。
# 使用 AMS SSP AWS Transit Gateway 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Transit Gateway 功能。 AWS Transit Gateway 是一项服务,可让您将 Amazon Virtual Private Cloud (VPCs) 和本地网络连接到单个网关。随着运行的工作负载数量的增加 AWS,您需要能够跨多个账户和 Amazon 扩展您的网络, VPCs 以跟上增长的步伐。如今,您可以使用对等互连连接成对的A VPCs mazon。但是,如果无法集中管理 point-to-point连接策略 VPCs,则管理许多 Amazon 的连接可能在运营上成本高昂且繁琐。要实现本地连接,您需要将 AWS VPN 连接到每个 Amazon VPC。此解决方案的构建可能非常耗时,而且在数量 VPCs 增加到数百个时也难以管理。要了解更多信息,请参阅[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)。
## AWS Transit Gateway 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何在 AMS 账户 AWS Transit Gateway 中申请访问权限?**
AWS Transit Gateway 通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_tgw_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: AWS Transit Gateway 在我的 AMS 账户中使用有什么限制?**
除了 Trans AWS Transit Gateway it Gateway 路由的路线表修改外,您的 AMS 单账户着陆区账户中提供了的全部功能。通过提交管理 \$1 其他 \$1 其他 \$1 创建更改类型 (ct-1e1xtak34nx76) 来请求更改路由表。
**注意**
此服务仅支持单账户着陆区 (SALZ),不支持多账户着陆区 (MALZ)。
**问:在我的 AMS 账户 AWS Transit Gateway 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 AWS Transit Gateway 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP 在您的 AMS 账户中配置 AWS WAF -Web 应用程序防火墙
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS WAF 功能。 AWS WAF 是一种 Web 应用程序防火墙 (AWS WAF),可帮助保护您的 Web 应用程序免受常见 Web 漏洞的侵害,这些漏洞可能会影响应用程序可用性、危及安全性或消耗过多资源。 AWS WAF 通过定义可自定义的 Web 安全规则,您可以控制允许或阻止哪些流量进入您的 Web 应用程序。您可以使用 AWS WAF 创建阻止常见攻击模式(例如 SQL 注入或跨站点脚本)的自定义规则;以及专为您的特定应用程序设计的规则。
要了解更多信息,请参阅 [AWS WAF -Web 应用程序防火墙](https://aws.amazon.com/waf/)。
AMS 不支持监控(CloudWatch 警报/事件/彩信提醒)。 AWS WAF由于的性质 AWS WAF,您必须为应用程序创建自定义规则;如果没有应用程序的上下文,AMS 无法为您量化和创建警报。要了解更多信息,请参阅 [AWS WAF -Web 应用程序防火墙](https://aws.amazon.com/waf/)。
## AWS WAF 在 AWS Managed Services 常见问题中
常见问题和答案:
**问: AWS WAF 如何申请在我的 AMS 账户中进行设置?**
AWS WAF 通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_waf_role`. 在您的账户中配置 I AWS WAF AM 角色后,您必须在联合身份验证解决方案中加入该角色。
**问:使用有什么限制 AWS WAF?**
配置权限后,您将拥有的全部功能。 AWS WAF
**问:使用的先决条件或依赖关系 AWS WAF是什么?**
您的 AMS 账户 AWS WAF 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS Well-Architected Tool 在您的 AMS 账户中进行预配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS Well-Architected Tool 功能。 AWS Well-Architected Tool 可帮助您查看工作负载的状态,并将其与最新的 AWS 架构最佳实践进行比较。该工具基于Well-Architect [AWS ed Framework,旨在帮助云架构](https://aws.amazon.com/architecture/well-architected/)师构建安全、高性能、弹性和高效的应用基础架构。该框架为您评估架构提供了一种一致的方法,已在 AWS 解决方案架构团队进行的数万次工作负载审查中使用,并提供了指导以帮助实施可随着时间的推移随应用程序需求而扩展的设计。要了解更多信息,请参阅[AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)。
## AWS WA Tool 在 AWS Managed Services 常见问题中
常见问题和答案:
**问:如何在 AMS 账户 AWS Well-Architected Tool 中申请访问权限?**
AWS Well-Architected Tool 通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_well_architected_tool_console_admin_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
**问: AWS Well-Architected Tool 在我的 AMS 账户中使用有什么限制?**
的全部功能可在您 AWS Well-Architected Tool 的 AMS 账户中使用。
**问:在我的 AMS 账户 AWS Well-Architected Tool 中使用的先决条件或依赖条件是什么?**
您的 AMS 账户 AWS Well-Architected Tool 中没有必备条件或依赖项可供使用。
# 使用 AMS SSP AWS X-Ray 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接在您的 AMS 托管账户中访问 AWS X-Ray (X-Ray) 功能。 AWS X-Ray 帮助开发人员分析和调试生产型分布式应用程序,例如使用微服务架构构建的应用程序。借助 X-Ray,您可以了解您的应用程序及其底层服务的性能,从而识别和排除性能问题和错误的根本原因。X-Ray 提供请求在应用程序中传输时的 end-to-end视图,并显示应用程序底层组件的地图。您可以使用 X-Ray 分析开发和生产中的应用程序,从简单的三层应用程序到由数千个服务组成的复杂微服务应用程序。要了解更多信息,请参阅[AWS X-Ray](https://aws.amazon.com/xray/)。
## AWS 托管服务中的 X-Ray 常见问题解答
常见问题和答案:
**问:如何申请访问我 AWS X-Ray 的 AMS 账户?**
通过提交管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加 (ct-1w8z66n899dct) 更改类型来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:`customer_xray_console_role`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。此外,您必须拥有将数据从您的 Amazon EC2 实例推送`customer_xray_daemon_write_instance_profile`到 X-Ray 的权限。此实例配置文件是在您收到时创建的`customer_xray_console_role`。
您可以向 AMS Operations 提交服务请求以将其分配给现有实例配置文件,也可以使用 AMS Operations 为您启用 X-Ray 时创建的实例配置文件。`customer_xray_daemon_write_policy`
**问: AWS X-Ray 在我的 AMS 账户中使用有什么限制?**
除了使用 KM AWS X-Ray S 密钥(KMS 密 AWS 钥)进行加密外,您的 AMS 账户中还提供的所有功能。 AWS X-Ray 默认情况下会加密所有跟踪数据。默认情况下,X-Ray 对静态跟踪和相关数据进行加密。如果您需要使用密钥加密静态数据,则可以选择由托管的 KMS 密钥 (aws/xray) 或 KMS 客户 AWS管理的密钥。对于用于 X-Ray 加密的 KMS 客户管理密钥,请提交管理 \$1 其他 \$1 其他 \$1 创建更改类型 (ct-1e1xtak34nx76)。
**问:在我的 AMS 账户 AWS X-Ray 中使用的先决条件或依赖条件是什么?**
AWS X-Ray 依赖于 Amazon S3 和 CloudWatch 日志,它们已在 AMS 账户中实现。 CloudWatch传递依赖关系因数据源和功能可能与之交互的其他 AWS 服务 AWS X-Ray (例如 Amazon Redshift、Amazon RDS、Athena)而异。
# 使用 AMS SSP Import/Export 在您的 AMS 账户中配置虚拟机
使用 AMS 自助配置 (SSP) 模式 Import/Exportcapabilities 直接在您的 AMS 托管账户中访问虚拟机。通过虚拟机, Import/Export 您可以轻松地将虚拟机映像从现有环境导入到 Amazon EC2 实例,然后将其导出回本地环境。该产品允许您将虚拟机 EC2 作为 ready-to-use实例引入 Amazon,从而利用您为满足 IT 安全、配置管理和合规要求而构建的虚拟机的现有投资。您还可以将导入的实例导回本地虚拟化基础架构,从而可以在 IT 基础架构中部署工作负载。要了解更多信息,请参阅[虚拟机导入/导出](https://aws.amazon.com/ec2/vm-import/)。
## AWS Managed Services Import/Export 中的虚拟机常见问题
常见问题和答案:
**问:如何使用我的 AMS 账户申请虚拟机的 Import/Export 访问权限?**
Import/Export 通过管理 \$1 AWS 服务 \$1 自配置服务 \$1 添加更改类型 (ct-1w8z66n899dct) 提交 RFC 来请求访问虚拟机。此 RFC 为您的账户提供以下 IAM 政策:`customer_vmimport_policy`. 在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
服务需要一个额外的角色,即**虚拟机 Import/Export 服务**角色,才能在您的账户中执行操作。
**问: Import/Export 在我的 AMS 账户中使用 VM 有哪些限制?**
+ AMS VM Import/Export 中均提供导入自定义机器映像和数据量的功能。但是,对 S3 的权限范围已缩小,将操作限制`customer-vmimport-*`在与名称相匹配的存储桶上,从而限制对账户内信息的访问。
+ AMS 虚拟机导入/导出支持图像和快照导入。但是,由于安全措施,实例导入和实例导出功能不可用。
+ 此外,为了降低导出受限和敏感数据的风险,导出功能已被禁用。
**问:在我的 AMS 账户 Import/Export 中使用 VM 有哪些先决条件或依赖关系?**
+ 您必须提供支持的磁盘映像才能导入到 AWS 环境中。有关信息,请参阅[虚拟机 Import/Export 要求](https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html)。
+ Import/Export 无法通过 AWS 控制台访问虚拟机。您必须通过 AWS CLI AWS Tools for PowerShell、或访问此服务 AWS SDKs。或者,您可以通过提交更改类型 ct-117rmp64d5mvb:部署 \$1 高级堆栈组件 \$1 身份和访问管理 (IAM) Management \$1 创建实例配置文件来请求实例配置文件。 EC2 此实例配置文件允许工具从实例执行命令。
# 客户管理模式
AWS Managed Services (AMS) 客户管理模式提供了一种灵活且可以根据您的要求进行调整的管理模型。这可以被视为 AMS 无法为您运行的服务和应用程序的备用选项。AMS 不运营托管在此模式下创建的账户中的基础设施。但是,您可以在此模式下利用集中式多账户管理。在此模式下,可以利用以下多账户登录区域功能:
+ 自动账户部署
+ 通过网络账户中的 Transit Gateway 进行连接
+ AMS Config 规则库
+ 将日志副本存储在登录账户中
+ 将客户管理的 Guard Duty 警报汇总到安全账户
+ 整合账单
+ 启用自定义服务控制策略。
例如:如果您想在 Ubuntu Pro 上运行工作负载,而该操作系统不是 AMS 管理的操作系统,则可以使用客户管理的账户来托管。您还可以通过客户托管账户整合工作负载,以利用通过在 AWS 组织之间共享而获得的预留 Instances/Sharing 计划的批量折扣。
# 开始使用客户管理模式
AMS 客户管理模式可通过特殊的多账户 landing zone 应用程序账户获得。
有关详细信息,包括如何创建客户托管应用程序帐户,请参阅[客户管理的应用程序帐户](https://docs.aws.amazon.com/managedservices/latest/userguide/application-account-cust-man.html)。
# AMS 和 AWS Service Catalog
AWS Managed Services (AMS) 中的 Service Catalog 允许组织创建和管理 AWS 信息技术 (IT) 服务的目录,并允许 IT 管理员创建、管理和向其账户中的最终用户分发经批准的产品目录,然后他们可以在个性化的服务门户中访问所需的产品。管理员可以控制哪些用户有权访问每种产品,以强制遵守组织业务政策。管理员还可以设置角色,这样最终用户只需要访问 Service Catalog 的 IAM 访问权限即可部署已批准的资源。Service Catalog 使您的组织能够从更高的灵活性和更低的成本中受益,因为最终用户只能从您控制的目录中查找和发布他们需要的产品。
Service Catalog 为您提供 AMS 变更申请 (RFC) 流程的替代方案,用于在您的 AMS 托管账户中配置和更新资源。AMS 为通过 Service Catalog 配置的所有基础设施资源管理大规模运行 AWS 所需的所有基础设施运营任务,包括安全、合规、配置、可用性、补丁、监控、警报、报告、事件响应和成本优化。在您的 AMS 托管账户中使用 Service Catalog 可为您提供一种集中管理常用部署的 IT 服务的机制,并帮助您实现一致的治理,同时使用户能够快速将他们需要的经批准的 IT 服务部署到其托管环境中。
# Service Catalog 入门
要开始使用 AMS 中的 Service Catalog,请通过 AMS 控制台提交服务请求以请求访问服务目录。提交请求后,将向您的账户部署三个 IAM 角色以及一个包含调用 AMS 的 CloudFormation 宏的 AMS 托管堆栈`Transform`(如前所述),以便我们可以在系统中注册产品,并对通过 Service Catalog 配置的基础设施执行操作。部署的三个 IAM 角色包括 IT 管理员以服务目录管理员的身份管理产品的角色;一个供应用程序所有者和最终用户配置、启动和管理产品的角色;以及一个用作启动约束的角色,用于定义 Service Catalog 在启动或更新产品时将使用的权限。
# 开始之前 AMS 中的 Service Catalog
**Service Catalog 是否会取代现有的 AMS 变更申请 (RFC) 流程?**
在启用了 Service Catalog 的账户中,它将充当变更管理系统,您可以在其中通过预定义的产品目录在 AMS 账户中配置和更新 IT 服务;AMS 将提供默认 portfolio/product 目录,您的 IT 管理员可以创建和配置自己的目录。Service Catalog 只会确认通过 Service Catalog 置备的堆栈。同样,通过 Service Catalog 提供的服务也无法通过 AMS RFC 流程进行修改,因为在 Service Catalog 之外的修改会使堆栈偏离经批准的产品配置。
**我能否在 AMS 控制台中查看通过服务目录配置的堆栈?**
是。您可以在 AMS 控制台中查看通过服务目录配置的所有堆栈。通过服务目录配置的堆栈可通过 “SC-” 的堆栈 ID 轻松识别。尽管可以在 AMS 控制台中查看堆栈,但您将无法通过 AMS RFC 流程进行更新。对 AMS 变更管理系统 (RFCs) 的访问仅限于访问请求、补丁编排和备份 RFCs 。
**如果我通过 Service Catalog 配置 and/or 更新堆栈,AMS 控制台中是否会有相应的 RFC?**
AMS 控制台中唯一会显示的 RFC 是在最初配置堆栈时向 AMS 注册堆栈的 RFC。此 RFC 由 AMS 验证流程自动归档,该流程是在通过 Service Catalog 启动堆栈时触发的。所有其他配置和更改都直接在 Service Catalog 中进行跟踪,也可以在服务目录控制台中查看。此外,您还可以使用 Service Catalog 中的**预配置产品计划**功能来查看在置备或更新产品之前将对资源所做的更改列表。
**在我的 AMS 托管账户中配置产品时,我需要做任何具体的事情吗?**
是。在 AMS 账户中配置的所有 Service Catalog 产品都必须在定义该产品的 CFN 模板中包含以下 JSON 行:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
在您的 AMS 托管账户中配置资源之前,这段 CloudFormation 代码会触发所需的 AMS 验证。您有责任将此行代码作为产品定义的一部分。如果不包括在内,则配置将失败并显示以下错误消息:“无法创建产品。此账户由 AMS 管理。AMS 账户中的所有商品的模板中都必须有 AMS `Transform` 代码。”
**在发布时,是否有任何不 and/or 限于 AMS 客户的 Service Catalog 功能?**
是的,以下 SC 功能在首次发布时不适用于 AMS 客户:
+ 通过 Service Catalog 创建账户
+ 能够通过 Service Catalog 在 AMS 管理的账户中启动所有 AWS 服务。AWS 服务的可用性仅限于 AMS 支持的服务(托管和自行配置)。有关 AMS 支持的服务的更多信息,请参阅 AMS 服务说明。
+ Service Catalog IT 服务管理器 (ITSM) 连接器无法与 AMS 事件报告和服务请求进行通信。
+ 无需修改即可利用 Service Catalog 快速入门和参考架构。请记住,AMS 账户的 Service Catalog 产品必须包含以下一行 JSON 代码:
```
"Transform":{"Name":"AmsStackTransform","Parameters":{"StackId":{"Ref":"AWS::StackId"}}}
```
在 CNF 模板中。请注意,此行*不是*典型的 AWS CloudFormation 模板的一部分,必须明确添加。
+ AMS 目前不支持 Terraform 来配置 Service Catalog 产品。
+ AMS 不支持 AWS CFN 堆栈集。
+ 您无法创建自定义 IAM 角色。
+ 服务操作仅限于:
+ [AWS-RebootRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-RebootRdsInstance/description?region=us-east-1)
+ [AWS EC2 重启实例](https://console.aws.amazon.com/systems-manager/documents/AWS-RestartEC2Instance/description?region=us-east-1)
+ [AWS 启动实例 EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StartEC2Instance/description?region=us-east-1)
+ [AWS-StartRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StartRdsInstance/description?region=us-east-1)
+ [AWS-stop 实例 EC2](https://console.aws.amazon.com/systems-manager/documents/AWS-StopEC2Instance/description?region=us-east-1)
+ [AWS-StopRdsInstance](https://console.aws.amazon.com/systems-manager/documents/AWS-StopRdsInstance/description?region=us-east-1)
+ [AWS-CreateImage](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateImage/description?region=us-east-1)
+ [AWS-CreateRdsSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateRdsSnapshot/description?region=us-east-1)
+ [AWS-CreateSnapshot](https://console.aws.amazon.com/systems-manager/documents/AWS-CreateSnapshot/description?region=us-east-1)
**注意**
创建服务操作时,您可以将执行角色配置为最终用户的权限、启动角色或您选择的自定义 IAM 角色。所选执行角色必须具有足够的权限才能执行服务操作,并且必须具有允许 Service Catalog 代入 TrustPolicy 该服务操作的权限,否则该服务操作将在执行时失败。我们建议使用具有正确权限和信任策略的,可用作服务操作。 AWSManaged ServicesServiceCatalogLaunchRole
**我还需要使用 AMS RFC 系统做什么?**
正式上市 (GA) 后,您仍需要使用 RFCS 来运行以下操作:
+ 配置补丁编排器
+ 配置备份策略
+ 请求实例访问权限
+ 创建和分配不符合 AMS 准则的安全组。
+ 执行工作负载摄取 (WIGS)
+ 创建 IAM 角色
**我能否使用 Service Catalog CLI 访问我的 AMS 托管账户中的服务目录?**
是的,Service Catalog APIs 可用并通过 CLI 启用。从 Service Catalog 对象的管理到配置和终止这些构件的操作都可用。有关更多信息,请参阅 [AWS Service Catalog 资源](https://aws.amazon.com/servicecatalog/resources/),或下载最新的 AWS 开发工具包或 CLI。
**谁创建、管理和分发客户的批准产品目录?**
客户的目录管理员 and/or IT 管理员或分配的资源负责管理您的 Service Catalog 目录和批准的产品。
**我可以使用 AMS AMIs 吗?**
2020 年 3 月之后 AMIs 销售的 AMS 可以通过 AWS Service Catalog 进行部署。
**如何使用 Service Catalog 迁移到 AMS?**
要使用 Service Catalog 将工作负载迁移到 AMS,首先要按照[工作负载摄](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-workload-ingest.html)WIGs取 () 流程在 AMS 中创建 AMI。您可以使用 WIGS 生成的 AMI 在 Service Catalog 中创建产品。[AWS Service Catalog-入门](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/getstarted.html)中详细介绍了如何执行此操作。