AMS 模式的真实用例

用例 1，企业必须通过时间敏感的数据中心退出来降低成本：具有引人注目的业务事件（例如数据中心退出）的企业有兴趣在云上重新托管其本地应用程序。大多数本地库存都包含混合操作系统版本的 Windows 和 Linux 服务器。在这样做的过程中，客户还希望利用迁移到云端所带来的成本节约，并改善其应用程序的技术和安全状况。客户想要快速行动，但尚未具备内部云运营专业知识。客户必须在重构之间找到平衡，在时间紧迫的情况下，过多的重构可能会带来风险。但是，通过一些重构，例如更新操作系统版本和优化数据库，应用程序可以实现更高的性能水平。在此示例中，客户可以选择 AMS 管理的 RFC 模式来重新托管其大部分应用程序。AMS 提供基础设施运营，同时还指导客户运营团队了解在云端安全运营的最佳实践。

AMS 管理的 AWS Service Catalog 和 AMS 管理的 Direct Change 模式为客户提供了额外的灵活性，同时实现了相同的业务成果和目标。此外，客户可以使用 AMS 按需运营 (OOD) 产品让专门的 AMS 运营工程师来优先执行变更请求 (RFCs)。

在将无差别的基础设施运营任务（修补、备份、账户管理等）转移给 AMS 的同时，客户可以继续专注于优化其应用程序，增强内部团队的云运营能力。AMS 每月向客户提供成本节约报告，并就资源优化提出建议。在此用例中，如果客户决定不进行重构的旧操作系统版本（如Windows 2003和2008）上托管了 end-of-life应用程序，则这些应用程序也可以迁移到 AMS 并托管在利用客户管理模式的帐户中。

用例 2，在安全 AMS 边界内使用 Lambda、Glue、Athena 构建数据湖：一家企业希望建立数据湖以满足 AMS 中多个应用程序的报告需求。客户希望使用 S3 存储桶来存储数据集，并使用 AWS Athena 来查询每个报告的数据集。S3 和 AWS Athena 将部署在单独的 AMS 托管账户中。使用 S3 的账户还有其他服务，例如 Glue、Lambda 和 Step Functions，可用于构建数据摄取管道。在这种情况下，Glue、Lambda、Athena 和 Step Functions 被视为自助配置 (SSP) 服务。客户还在账户中部署了一个充当临时 tooling/scripting 服务器的 EC2 实例。客户首先请求 AMS 在其 AMS 托管账户中启用 SSP 服务。一旦该角色加入客户的联合解决方案，AMS 就会为客户可以担任的每项服务配置一个 IAM 角色。为便于管理，客户还可以将各个 IAM 角色的策略合并到一个自定义角色中，从而无需在 AWS 服务之间切换角色。在账户中启用该角色后，客户就可以根据自己的要求配置服务。但是，客户必须使用 AMS 变更管理系统来申请额外权限，具体取决于他们的用例。

例如，要访问 Glue Crawlers，Glue 需要额外的权限。还需要其他权限才能为 Lambda 创建事件源。客户将与 AMS 合作更新 IAM 角色，以允许 Athena 跨账户访问查询 S3 存储桶。还需要通过 AMS 变更管理更新服务角色或服务相关角色，让 Lambda 调用 Step Functions 服务，Glue 才能读取和写入所有 S3 存储桶。AMS 与客户合作，确保遵循最低权限访问模式，并且请求的 IAM 更改不会过于宽松，从而使环境面临不必要的风险。客户的数据湖团队花时间规划特定于客户架构的服务所需的所有 IAM 权限，并请求 AMS 启用这些权限。这是因为所有 IAM 更改都是手动处理的，并经过 AMS 安全团队的审查。应用程序部署计划中应考虑处理这些请求所需的时间。

由于 SSP 服务已在账户中运行，因此客户可以通过 AMS 事件管理和服务请求请求支持和报告问题。但是，AMS 不会主动监控 Lambda 的性能和并发指标，也不会主动监控 Glue 的作业指标。客户有责任确保为 SSP 服务启用适当的日志记录和监控。账户中的 EC2 实例和 S3 存储桶完全由 AMS 管理。

用例 3，在 AMS 中快速灵活地设置 CICD 部署管道：一位客户希望建立一个基于 Jenkins 的 CICD 管道，以便将代码管道部署到 AMS 中的所有应用程序帐户。客户可能会发现最适合在 AMS 管理的 Direct Change 模式 (DCM) 或 AMS 管理的开发者模式下托管此 CICD 管道，因为它使他们能够灵活地设置 Jenkins 服务器，开启所需的自定义配置 EC2，拥有所需的 IAM 访问权限 CloudFormation 和托管工件存储库的 S3 存储桶。虽然这也可以在 AMS 管理的 RFC 模式下完成，但客户团队需要为 IAM 角色创建多个手册 RFCs ，以迭代许可程度最低的已批准权限集，这些权限由 AMS 手动审核。DCM 允许客户在 AWS 上实现运营目标，同时在使用 AMS 管理的 RFC 模式时，无需为 IAM 角色创建多个手册 RFCs 来迭代许可性最低的已批准权限集，这些权限由 AMS 手动审核。要提高 AMS 流程和工具，客户需要时间和教育。使用开发人员模式，客户可以从 “开发人员角色” 开始，使用原生 AWS 配置基础设施 APIs。设置此管道的最快、最灵活的方法是使用 AMS 托管开发者模式。开发人员模式提供了最快、最简单的方法，同时影响了操作集成，而 DCM 不那么灵活，但提供的操作支持级别与 RFC 模式相同。

用例 4，AMS 基金会内部的定制运营模式：客户正在考虑最后期限驱动的数据中心退出，他们的一个企业应用程序完全由第三方 MSP 管理，包括应用程序运营和基础设施运营。假设客户没有时间在计划中重构此应用程序以使其可以由 AMS 运行，那么客户管理模式是一个合适的选择。客户可以利用 AMS 管理的着陆区的自动快速设置。他们可以利用集中式账户管理，通过集中式网络账户控制账户销售和连接。它还通过AMS Payer账户合并所有客户管理账户的费用，从而简化了他们的账单。客户可以灵活地设置定制的访问管理模式，将 MSP 与 AMS 托管账户使用的标准访问管理分开。这样，使用客户管理模式，他们可以设置 AMS 托管环境，同时满足腾出本地环境的业务需求。在这种情况下，如果客户还有要迁移到云端的基于Windows的应用程序，并选择将其迁移到客户管理的帐户，则客户负责创建云运营模式。这可能很复杂、昂贵且耗时，具体取决于客户转变传统 IT 流程和培训人员的能力。通过将此类工作负载 “转移并转移” 到 AMS 托管账户，并将基础设施运营转移给 AMS，客户可以节省时间和成本。