本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 服务描述
AMS Advanced (AMS) 是 AWS Managed Services 服务的一项运营计划,用于管理您的 AWS 基础设施的运营。AMS Advanced 提供日常基础设施操作,例如补丁、连续性管理、安全管理,以及 IT 管理流程,例如事件、变更和服务请求管理。有关支持的服务的列表,请参阅 [支持的 AWS 服务](supported-services.md)。
**YouTube 视频**:[AMS 如何帮助我在云端实现卓越运营?](https://youtu.be/wpfPthp3tw8)
**Topics**
+ [AWS Managed Services (AMS) AMS 高级运营计划功能](features.md)
+ [我们做什么,不做什么](ams-do-not-do.md)
+ [AMS 责任矩阵 (RACI)](raci-table.md)
+ [AMS 环境基本组件](basic-components.md)
+ [AMS 账户限额](account-limits.md)
+ [AMS 服务级别目标 (SLOs)](apx-slo.md)
+ [支持的 AWS 服务](supported-services.md)
+ [支持的配置](supported-configs.md)
+ [适用于 AMS 中不支持的操作系统的功能](ams-unsupported-os.md)
+ [AMS 高级接口](ams-interfaces.md)
+ [AMS VPC 终端节点](ams-endpoints.md)
+ [AMS 保护的命名空间](apx-namespaces.md)
+ [AMS 保留的前缀](ams-reserved-prefixes-2.md)
+ [AMS 维护窗口](maintenance-win.md)
# AWS Managed Services (AMS) AMS 高级运营计划功能
AMS Advanced 为支持的 AWS 服务提供以下功能:
+ **记录、监控、防护和事件管理**:
AMS 配置和监控您的托管环境以记录活动,并根据各种运行状况检查定义警报。AMS 会针对适用的 AWS 服务对警报进行调查,对您使用这些服务产生负面影响的警报会导致事件的产生。AMS 汇总并存储在、中执行所有操作后生成的所有日志 CloudWatch CloudTrail,并将系统日志存储在 Amazon S3 中。您可以要求设置其他警报。除了 AMS 的预防性控制措施外,AMS 还部署了配置护栏和侦测控件,以持续保护您免受可能降低托管账户运营和安全完整性的错误配置的影响,从而加强您的控制措施,例如标记和合规性。当检测到受监控的控件时,会生成警报,根据您可以修改的预定义的 AMS 默认值发出通知、修改或终止资源。
+ **连续性管理**(Backup and Restore):
AMS 使用标准的现有 AWS Backup 功能按您确定的计划间隔提供资源备份。AMS 可使用您的 RFC 执行从特定快照中恢复操作。在快照间隔之间发生的数据更改由您负责备份。您可以为计划间隔之外的备份或快照请求提交 RFC。如果某个 AWS 区域的可用区 (AZ) 不可用,在您允许的情况下,AMS 会根据模板和受影响堆栈的可用的 EBS 快照重新创建新的堆栈,从而恢复托管环境。
+ **安全和访问管理**:
AMS 提供端点安全 (EPS),例如配置防病毒和防恶意软件保护。您也可以使用自己的 EPS 工具和流程,而不是使用名为 “自带 EPS (BYOEPS)” 的功能将 AMS 用于 EPS。AMS 还会配置您在入职期间批准的默认 AWS 安全功能,例如 AWS Identity and Access Management (IAM) 角色和亚马逊 EC2 安全组,并使用标准 AWS 工具(例如 Amazon Macie AWS Security Hub CSPM、Amaz GuardDuty on)来监控和响应安全问题。您可以通过您提供的经批准的目录服务来管理您的用户。有关批准的目录服务的列表,请参阅[支持的配置](supported-configs.md)。
AMS 包括端点安全 (EPS)(包括防病毒 (AV))和反恶意软件保护、恶意软件和入侵检测(趋势科技)。安全组是根据堆栈模板定义的,并在启动时根据应用程序(公共/私有)安全组的可见性进行修改。
通过变更管理变更请求(RFCs)来请求访问系统。访问管理提供对不同资源的访问权限,例如 Amazon EC2 实例 AWS 管理控制台、和 APIs。在入职和联合到 AWS 期间与 AMS Microsoft Active Directory 部署建立单向信任后,您可以使用现有的公司证书进行所有互动。
+ **补丁管理**:
AMS 会为支持的操作系统 (OSs) 和预先安装有支持的操作系统的软件的 EC2 实例应用和安装更新。有关支持的操作系统的列表,请参阅[支持的配置](supported-configs.md)。
AMS 提供两种修补模式:
+ AMS 标准补丁,用于传统的基于账户的修补,以及
+ AMS Patch Orchestrator,用于基于标签的修补。
在 AMS 标准补丁中,您可以选择每月维护时段,让 AMS 执行大多数修补活动。AMS 在选定的维护时段之外应用*关键安全更新*(带有相应的通知),并在选定的维护时段内应用*重要更新*。AMS 还会在选定的维护时段内对基础设施管理工具进行更新。如果需要,您可以将堆栈从补丁管理中排除或拒绝更新。
使用 AMS Patch Orchestrator,每个账户的默认维护窗口由您定义,让 AMS 执行修补活动。您可以为 AMS 安排额外的自定义维护时段,以便使用标签修补您定义的一组特定实例。AMS 会应用所有可用更新,但您可以通过创建自定义补丁基准来筛选或拒绝更新。对于这两种型号,如果您批准或拒绝补丁管理下提供的更新,但后来改变了主意,则您有责任通过 RFC 启动更新。AMS 会跟踪资源的补丁状态,并在月度业务评估中重点介绍不是最新的系统。补丁管理仅限于托管环境中的堆栈,包括所有 AMS 托管应用程序和具有修补功能的支持 AWS 服务(例如 RDS)。为了在发布更新时支持所有类型的基础设施配置,AMS a) 更新 EC2 实例,b) 提供更新后的 AMS AMI 供您使用。您有责任安装、配置、修补和监控上面未具体介绍的任何其他应用程序。
+ **变更管理**:
AMS 变更管理是您控制托管环境中变更的机制。AMS 结合使用预防和检测控制来简化这一过程,并根据所选的 AMS 模式提供不同的控制级别和相关风险。
您的 AMS 环境中的所有操作都已登录 AWS CloudTrail。
有关 AMS 变更管理和不同模式的更多信息,请参阅 [AMS 变更管理指南](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)和 [AMS 模式](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-ug.html)。
+ **自动化和自助式资源调配管理**:
您可以通过多种方式在 AMS Advanced 上配置 AWS 资源:
+ 提交配置和配置更改请求 (RFCs)
+ 通过 AWS 服务目录进行部署
+ 通过 “[直接更改” 模式](https://docs.aws.amazon.com/managedservices/latest/userguide/direct-change-mode.html)部署
+ 通过[开发者模式](https://docs.aws.amazon.com/managedservices/latest/userguide/developer-mode.html)部署。请记住,通过开发者模式创建的资源不由 AMS 管理。
+ 使用精选服务的自助配置直接配置 AWS 服务 AWS 服务 (参见[支持的 AWS 服务](supported-services.md))。
+ **事件管理**:
AMS 会主动通知您 AMS 检测到的事件。AMS 会对客户提交的事件和 AMS 生成的事件做出回应,并根据事件优先级解决事件。除非您另有指示,否则 AMS 认定对您的托管环境安全构成风险的事件以及与 AMS 和其他 AWS 服务可用性有关的事件,均会主动采取行动。获得您的授权后,AMS 会对所有其他事件采取行动。问题管理流程可以解决反复出现的事件。
+ **问题管理**:
AMS 进行趋势分析以识别和调查问题并确定根本原因。问题可以通过变通方法或永久解决方案进行修复,以防止将来再次出现类似的 future 服务影响。任何 “高” 事件一经解决,均可要求提供事后报告 (PIR)。PIR捕捉了根本原因和采取的预防措施,包括预防措施的实施。
+ **报告**:
AMS 为您提供月度服务报告,其中汇总了 AMS 的关键绩效指标,包括执行摘要和见解、运营指标、托管资源、AMS 服务水平协议 (SLA) 遵守情况,以及有关支出、节省和成本优化的财务指标。报告由分配给您的 AMS 云服务交付经理 (CSDM) 交付。
+ **服务请求管理**:
要请求有关您的托管环境、AMS 或 AWS 服务产品的信息,请使用 AMS 控制台提交服务请求。您可以提交服务申请,询问有关 AWS 服务和功能的 “操作方法” 问题,也可以申请其他 AMS 服务。
+ **服务台**:
AMS 为工程运营配备全职亚马逊员工,以满足非自动化的请求,包括事件管理、服务请求管理和变更管理。服务台每年 365 天全天候运营。
+ **指定资源**:
为每位客户分配一名云服务交付经理 (CSDM) 和一名云架构师 (CA)。
+ CSDMs 可以直接联系。他们在实施、迁移和运营生命周期的所有阶段进行服务审查、交付报告和见解。 CSDMs 每月进行业务审查,并详细说明财务支出、成本节约建议、服务利用率和风险报告等项目。他们深入研究运营绩效统计数据,并就需要改进的领域提供建议。
+ CAs 可以直接联系并提供技术专业知识来帮助您优化 AWS 云的使用。CA 活动示例,包括:选择要迁移的工作负载,协助新增账户和工作负载,在游戏日、灾难恢复测试、问题管理等运营活动中担任技术主管,以及充分利用 AMS 的技术建议。 AWS CAs 推动组织各个层面的技术讨论,并协助进行事件管理、权衡取舍、建立最佳实践和技术风险缓解。
+ **开发者模式**:
此功能允许您直接访问 AWS 服务 APIs 和 AWS 控制台以及访问 AMS 变更管理流程,从而使您能够在 AMS 配置的账户 [1] 中快速迭代基础设施设计和部署。在变更管理流程之外配置或配置了开发者模式权限的资源由您负责管理(请参阅 “自动和自助配置管理”)。与 AMS 上的其他变更管理配置的工作负载一样,支持通过 AMS 变更管理流程配置的资源。
+ **AWS 支持**:
AMS 客户可以选择他们需要的 AWS Support 级别来补充其 AMS 运营计划。在 AMS 注册的账户可以订阅 Business Support 或企业支持。要了解支持计划的区别,请参阅 [AWS Support 计划](https://aws.amazon.com/premiumsupport/plans/)。
+ **客户管理的账户**:
此功能使您能够在同一个托管环境中申请 AWS 账户,但这些账户中工作负载和 AWS 资源的持续操作则由您负责。AMS 会提供客户管理的账户,但是一旦创建了账户,就不会向这些账户提供其他 AMS 功能或服务。AWS 不会在企业级高级支持中注册客户管理账户。您有责任按照您选择的支持费率在 AWS Support 中注册客户管理的账户。
+ **防火墙管理**:
AMS 为支持的防火墙服务提供了可选的托管防火墙解决方案,该解决方案允许对托管环境中的网络进行互联网流量过滤。这不包括不使用 AWS 网络基础设施且其流量直接流向互联网的面向公众的服务。该解决方案将业界领先的防火墙技术与 AMS 基础设施管理功能相结合,用于部署、监控、管理、扩展和恢复防火墙基础架构。
当您加入 AMS 时,您会收到 AMS 网络基础设施的完整列表。要随时获取为支持 AMS 基础设施而运行的服务的最新列表,请提交服务请求,详细说明您想要的信息。要请求更改您的网络设计,请创建服务请求,描述您要进行的更改,例如,添加 VPC 或请求更改安全组规则。
# 我们做什么,不做什么
AMS 为您提供部署 AWS 基础设施的标准化方法,并提供必要的持续运营管理。有关角色、职责和支持的服务的完整描述,请参阅[服务描述](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)。
**注意**
要请求 AMS 提供其他 AWS 服务,请提交服务请求。有关更多信息,请参阅[提出服务请求](https://docs.aws.amazon.com/managedservices/latest/userguide/mk-service-requests.html)。
+ **我们做什么**:
完成入职后,AMS 环境可以接收变更请求 (RFCs)、事件和服务请求。您与 AMS 服务的交互围绕着应用程序堆栈的生命周期。新堆栈是从预先配置的模板列表中订购的,启动到特定的虚拟私有云 (VPC) 子网,在运行期间通过更改请求 (RFCs) 对其进行修改,并全天候监控事件和事件。
主动应用程序堆栈由 AMS 监控和维护,包括修补,除非需要更改或堆栈已停用,否则在堆栈的生命周期内无需采取任何进一步的操作。AMS 检测到的影响堆栈运行状况和功能的事件会生成通知,可能需要也可能不需要您采取措施来解决或验证。可以通过提交服务请求来提出操作方法问题和其他查询。
此外,AMS 还允许您启用不由 AMS 管理的兼容 AWS 服务。有关兼容 AWS-AMS 的服务的信息,请参阅[自助服务配置模式](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-up-compatible.html)。
+ **我们不做什么**:
虽然 AMS 通过提供许多手动和自动选项来简化应用程序部署,但您需要负责应用程序的开发、测试、更新和管理。AMS 为影响应用程序的基础设施问题提供故障排除帮助,但 AMS 无法访问或验证您的应用程序配置。
# AMS 责任矩阵 (RACI)
**注意**
为了及时履行其义务,AWS Managed Services (AMS) 可能需要您提供意见,以决定适当的行动方案。AMS 将联系指定的客户联系人,了解所有此类说明和意见。AMS 预计会在 24 个工作小时内回复此类询问。如果 24 个工作小时内没有回复,AMS 可能会代表您选择采取行动。
负责任、负责、咨询和知情的 AMS(RACI)矩阵将各种活动的主要责任分配给客户或 AMS。
AMS 管理您的 AWS 基础设施。下表概述了在 AMS 托管环境中运行的应用程序生命周期中客户和 AMS 的责任。
AMS 对客户管理账户或其内运行的基础设施的以下任何活动概不负责;因此,本 RACI 不适用。
+ **R** 代表负责任的一方,负责完成任务。
+ **C** 代表咨询;征求意见的当事方,通常是作为主题专家征求意见的当事方;并与之进行双边沟通。
+ **我**代表知情;一个通报进展情况的当事方,通常只有在任务或可交付成果完成后才会被告知。
+ **自助服务配置**是指客户通过 AWS API 或控制台通过自助服务配置的资源,包括开发人员模式和自助配置服务。
**注意**
有些部分包含针对 AMS 和客户的 “R”。这是因为,在责任 AWS 共担模式中,AMS 和客户共同拥有应对基础设施和应用程序问题的所有权。
为了提供自助服务配置功能,AMS 创建了具有权限界限的提升的 IAM 角色,以限制直接访问 AWS 服务的意外更改。角色并不能阻止所有变更,您有责任遵守内部控制和合规性,并验证所使用的所有 AWS 服务是否符合所需的认证。我们称之为自助服务配置模式。有关 AWS 合规性要求的详细信息,请参阅[AWS 合规性](https://aws.amazon.com/compliance/)。
对于您通过自助服务配置的资源,AMS 通过服务请求提供事件管理、侦探控制和护栏、报告、指定资源(云服务交付经理和云架构师)、安全和访问以及技术支持。此外,在适用的情况下,您负责在 AMS 变更管理系统之外配置或配置的资源的连续性管理、补丁管理、基础设施监控和变更管理。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/raci-table.html)
8 AMS EC2 仅 AMIs 适用于亚马逊
9 OSes 只有当客户与操作系统供应商签署延长支持协议时,AMS 才对生命周期终止负责
# AMS 环境基本组件
------
#### [ Multi-Account Landing Zone ]
这是对核心账户中基础设施的组成部分和潜在成本的估计。这不包括其他费用,例如带宽、 CloudWatch 详细监控、记录、警报、Route53、Amazon S3、Simple Notification Service、快照或亚马逊预留实例。 EC2
您需要为 AMS 管理的 AWS landing zone 基础设施所需的组件付费。据估计,普通的 AMS 多账户 landing zone 环境的费用为每月 2,450 美元,普通应用程序账户的费用为 50 美元。
有关定价的信息,请参阅 [AWS 定价](https://aws.amazon.com/pricing/)。
**基本环境组件**
| 组件 | 东部时间 成本 | 说明 |
| --- | --- | --- |
| 管理账户 | 60 美元 | AWS Organizations 管理账户;创建成员账户并对其进行财务管理。它包含 AWS 着陆区 (ALZ) 框架、账户配置堆栈集和 AWS 组织服务控制策略 (SCPs)。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
| 共享服务账户 | 2000 美元 | 包含访问管理(即 Active Directory)、端点安全管理(趋势科技)和堡垒(SSH/RDP)所需的基础设施和资源;估计为每月 2400 美元。此估算值不包括趋势科技许可证的费用。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
| 社交账号 | 350 美元 | 在 AMS 账户、您的本地网络和互联网出口流量之间进行网络路由的中心枢纽。此外,还包含公共 DMZ 堡垒(AMS 工程师访问您的 AMS 环境中主机的入口点)。价格可能会上涨,具体取决于通过 Transit Gateway 和 Direct Connect 的流量。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
| 日志存档账户 | 20 美元 | 一个 S3 存储桶,其中包含来自您的每个 AMS 环境账户的 AWS CloudTrail 和 AWS Config 日志文件的副本。收集的日志越多,成本就会增加。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
| 安全账户 | 20 美元 | 安全相关操作的中心枢纽,也是向 AMS 控制飞机服务发送通知和警报的主要点。此外,还有 Amazon Guard 值班管理账户。随着使用 Amazon 分析更多事件,成本也会增加 GuardDuty。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
------
#### [ Single-Account Landing Zone ]
下表列出了 AMS 管理的示例基础设施的组件。
**基本环境组件,最后更新时间 2020/07/09**
| 名称 | 实例类型 | OS | 组件数量 |
| --- | --- | --- | --- |
| mc-eps-dsm | m5.large | Linux | 2 |
| mc-管理层 | m5.large | Windows | 2 |
| mc-bastion-dmz-ssh | m5.large | Linux | 2 |
| mc-bastion-customer-rdp | m5.large | Windows | 2 |
| mc-eps-relay | m5.large | Linux | 2 |
| 目录服务 | 不适用 | 不适用 | |
| 其他组件 | 不适用 | 不适用 | |
有关定价的信息,请参阅 [AWS 定价](https://aws.amazon.com/pricing/)。
------
# AMS 账户限额
AMS 多账户着陆区内有三种不同类型的限制需要考虑:AMS API 限制、AMS 资源限制和 AWS 限制。
AMS 单账户着陆区内有两种不同类型的限制需要考虑:AMS API 限制和 AWS 限制。
## AMS 账户 API 限制
本节介绍账户级别限制,超过该限制后 AWS Managed Services (AMS) 会限制 AMS SKMS API 服务。这意味着,如果您在一秒钟内拨打列出的电话 APIs 超过 10 次,则其中一个呼叫被 “限制”(您会收到)。`ThrottleException`在极少数情况下,外部或下游依赖关系可能会限制 AMS API,然后 AMS 可能会以可能更低的速率限制您的 API 调用。
**注意**
有关 AMS SKMS API 的信息,请通过 AWS Artifact 控制台的 “**报告**” 选项卡下载参考资料。
对于列出的每个 AMS SKMS API,该操作在 10 TPS(每秒交易量)后会受到限制:
+ `GetStack`
+ `GetSubnet`
+ `GetVpc`
+ `ListAmis`
+ `ListStackSummaries`
+ `ListSubnetSummaries`
+ `ListVpcSummaries`
## AMS 多账户 landing zone 账户资源限制
账户资源限制与 AMS 多账户 landing zone 应用程序账户 VPCs 和子网有关。
### 应用程序账户资源限制
每个组织有 50 个应用程序帐户的软限制。如果您有超过 50 个应用程序帐户的用例,请联系您的云服务交付经理 (CSDM),转达您的需求。
### VPCs 和子网资源限制
在为该组织预定义的 AWS 区域内, VPCs 每个应用程序账户的软限制为 10 个。
每个 VPC 可能有 1 到 10 个私有子网层,跨越 2 到 3 个可用区。此外,每个 VPC 可能有 0 到 5 个公有子网层,跨越 2 到 3 个可用区。如果您的要求超出这些限制,请通知您的 CSDM 或云架构师查看您的用例。
### AMS 多账户 landing zone 申请与账户比例
AMS 多账户着陆区支持每个应用程序一个账户;但是,每个应用程序账户的费用很小,您需要为每小时与 Transit Gateway 的连接次数以及流经 AWS Transit Gateway的流量收费。因此,账户中隔离的应用程序越多 VPCs,或者成本就越高。
为了降低成本并同时确保适当的职责分工,AMS 建议您 1) 按业务流程紧密耦合的团队对应用程序进行分组,以及 2) 不要混合处于不同阶段(生产与非生产)或由不同团队管理的应用程序。这样,您将拥有更少的帐户,访问管理和职责分工将更加容易,并且可以降低流量成本。
例如:一家企业在生产中有一个交易应用程序和一个投资组合管理应用程序,这两个应用程序都由投资IT团队管理,并且相互交换大量流量。在这种情况下,公司可以从将两个应用程序分组到同一个账户和同一个 VPC 中受益,因为投资 IT 团队不必请求访问多个应用程序账户,而且公司将节省流量成本。在这种情况下,公司应为处于开发阶段的相同应用程序创建另一个帐户,并向开发团队提供访问权限。
在另一种情况下,企业在生产中有一个薪资应用程序和一个会计应用程序,分别由人力资源 IT 和会计 IT 团队管理。尽管工资单应用程序必须与会计应用程序交换信息,但我们建议将两个应用程序分成不同的帐户,每个团队一个,并 VPCs 使用网络帐户在两个应用程序之间建立连接。通过这种方式,公司将防止人力资源IT团队请求更改影响会计应用程序基础架构,而他们对此一无所知。
有关如何将帐户分组为组织单位的提示(OUs)。OU 是一种逻辑分组机制,使您能够对帐户进行分类(分组),并根据这些组对帐户应用策略和配置。建议的创建方法 OUs 是将它们建立在需要应用于特定账户组的策略的基础上,而不是基于报告结构中团队的内部层次结构。OU 不等同于 Active Directory 的 OU,因此不鼓励尝试在中复制 AD OU 结构, AWS Organizations 这会导致 and/or 操作结构难以维护。
## AWS 账户限制
AWS 账户限制适用于您的 AWS Managed Services (AMS) 账户。确定 AWS 服务默认和当前限制的最简单方法是利用 S [AWS ervice Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。AMS 建议将单个服务限制调整到适当的大小,以便在账户中运行服务。限额就像护栏一样,可以保护您的账户安全并降低逃跑成本。如果您想提高具体限额,请向 AMS 提交服务申请,AMS Operations 将代表您提高限额。例如,RDS 实例的默认限制(或配额)为 40;如果您的工作负载需要 50 个 RDS 实例,请向 AMS Operations 提出服务请求,将限制提高到所需的值。
# AMS 服务级别目标 (SLOs)
下表描述了 AWS Managed Services (AMS) 服务的目标。AMS 服务其他方面(包括事件管理SLAs)的服务等级协议 () 包含在您订阅 AMS 时与您共享的 SLA 文档中。如需更多信息,请咨询您的 CSDM。
**AMS 服务级别目标**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/apx-slo.html)
# 支持的 AWS 服务
AWS Managed Services (AMS) 为以下服务提供运营管理支持 AWS 服务。每种 AWS 服务都是不同的,因此,AMS的运营管理和支持水平因基础 AWS 服务的性质和特征而异。根据AMS提供的运营管理支持 AWS 服务的复杂性和范围对特定服务进行分组。
**注意**
在2021年3月16日之前,根据支持计划(Plus或Premium),A、B和C这三个组表示了AMS客户的定价占每个账户每月总支出的百分比。2021 年 3 月 16 日之后加入的 AMS 客户应提交服务申请以获取更多定价信息。A 组表示不收取额外费用。B 组表示额外收费 12%(增值)或 18%(高级版)。C 组表示额外收费 25%(加价)或 42%(高级版)。
一颗星 (\$1) 表示客户使用 AWS 控制台和,在 AMS 托管环境中部署的服务 APIs。有关以这种方式调配和配置服务时客户责任[AWS Managed Services (AMS) AMS 高级运营计划功能](features.md)的更多详细信息,请参阅中的 “自动和自助配置管理”。
两颗星 (\$1\$1) 表示 Amaz EC2 on on AWS Outposts 将按照 B 组服务计费;托管的所有其他资源 AWS Outposts 将按其标准费率计费。
**支持的 AWS 服务**
| A 组 | B 组 | C 组 |
| --- | --- | --- |
| Amazon Alexa for Business*
Amazon Managed Streaming for Apache Kafka*
Amazon CloudFront
Amazon Elastic File System
Amazon Glacier
Amazon Simple Storage Service
AWS Amplify*
AWS AppMesh*
AWS Auto Scaling
AWS Backup
AWS CloudFormation
AWS Compute Optimizer
AWS Global Accelerator*
AWS Identity and Access Management
AWS License Manager*
AWS Management Console
AWS Marketplace
AWS Lake Formation*
AWS Well Architected Tool*
VM Import/ Export*
| Amazon API Gateway*
Amazon AppStream*
Amazon Athena*
Amazon Bedrock*
Amazon CloudSearch*
Amazon Cognito*
Amazon Comprehend*
Amazon Connect*
Amazon Document DB (with MongoDB compatibility)*
Amazon DynamoDB*
Amazon EC2 Container Registry (ECR)*
Amazon Elastic Container Service (ECS) on AWS Fargate*
Amazon Elastic Kubernetes Service (EKS) on Fargate*
Amazon Elemental MediaConvert*
Amazon Elemental MediaPackage*
Amazon Elemental MediaStore*
Amazon Elemental MediaTailor*
Amazon Elastic MapReduce*
AmazonEventBridge*
Amazon Forecast*
Amazon FSx*
Amazon Inspector*
Amazon Kendra*
Amazon Kinesis Analytics*
Amazon Kinesis Data Stream*
Amazon Kinesis Firehose*
Amazon Kinesis Video Streams*
Amazon Lex*
Amazon Managed Service for Prometheus*
Amazon MQ*
Amazon Personalize**
Amazon Quantum Ledger Database (QLDB)*
Amazon QuickSight*
Amazon Rekognition*
Amazon SageMaker*
Amazon SimpleDB*
Amazon Simple Workflow*
Amazon Textract*
Amazon Transcribe*
Amazon Translate*
Amazon WorkSpaces*
AWS AppSync*
AWS Audit Manager*
AWS Batch*
AWS Certificate Manager*
AWS CloudEndure*
AWS CloudHSM*
AWS CodeBuild*
AWS CodeCommit*
AWS CodeDeploy*
AWS CodePipeline*
AWS DataSync*
AWS Elemental MediaLive*
AWS Glue*
AWS Lambda*
AWS MigrationHub*
AWS Outposts**
AWS Resilience Hub*
AWS Secrets Manager*
AWS Security Hub*
AWS Service Catalog
AWS Service Catalog AppRegistry*
AWS Transfer for SFTP*
AWS Shield*
AWS Snowball*
AWS Step Functions*
AWS Transit Gateway*
AWS WAF*
AWS X-Ray*
| Amazon Aurora
Amazon CloudWatch
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud**
Amazon Elastic Load Balancing (classic, application, and network; not gateway)
Amazon ElastiCache
Amazon OpenSearch Service
Amazon GuardDuty
Amazon Macie
Amazon Redshift
Amazon Relational Database Service
Amazon Route 53
Amazon Route 53 Resolver DNS Firewall
Amazon Simple Email Service
Amazon Simple Notification Service
Amazon Simple Queue Service
Amazon Virtual Private Cloud (VPC)
AWS CloudTrail
AWS Config
AWS Database Migration Service
AWS Data Transfer
AWS Direct Connect
AWS Directory Service
AWS Key Management Service
AWS Systems Manager (SSM)
|
如果您请求 AWS Managed Services 为下文未明确确定为支持的软件或服务提供服务,则根据服务条款,为此类客户请求的配置提供的任何 AWS 托管服务都将被视为 “测试版服务”。
# 支持的配置
以下是 AWS Managed Services (AMS) 支持的配置:
+ 语言:AMS 提供英语版本。
+ 防火墙服务:
+ 亚马逊 Route 53 解析器 DNS 防火墙
+ Palo Alto VM 系列下一代防火墙
+ 安全软件:趋势科技提供的趋势科技服务器深度安全防护系统(必需)。 AWS Marketplace: [趋势科技深度安全防护系统](https://aws.amazon.com/marketplace/pp/B01AVYHVHO?ref_=srh_res_product_title)
+ 批准的目录服务:微软 Active Directory (AD)
+ [支持的 AWS 服务](supported-services.md).
+ 支持的 AWS 区域:
AMS 仅在 “美国东部(弗吉尼亚北部)” AWS 地区运营;但是,AMS 仅 API/CLI 在 “美国东部(弗吉尼亚北部)” 地区运营。如果您在非美国东部地区运行 AMS 变更管理 API (`amscm`) 或 AMS 服务知识管理 API (`amsskms)`),则必须`--region us-east-1`向命令中添加内容。
+ 美国东部(弗吉尼亚)
+ 美国西部(加利福尼亚北部)
+ 美国西部(俄勒冈州)
+ 美国东部(俄亥俄州)
+ 加拿大(中部)
+ 南美洲(圣保罗)
+ 欧洲(爱尔兰)
+ 欧洲(法兰克福)
+ 欧洲(伦敦)
+ 欧盟西部(巴黎)
+ 亚太地区(孟买)
+ 亚太地区(首尔)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 亚太地区(东京)
+ Amazon 机器映像 (AMIs):AMS 根据 CIS 1 级基准为 AMS 支持的部分操作系统提供安全增强映像 (AMIs)。要查找具有安全增强镜像的操作系统,请参阅 *AMS 安全用户指南*。要访问本指南,请在中 AWS Artifact筛选 AWS Managed Services 的 “**报告**” 选项卡。要进行访问 AWS Artifact,请联系您的 CSDM 或参阅 “[AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)”。
+ 支持的操作系统:
**支持的操作系统 (x86-64)**
+ Amazon Linux 2023
+ 亚马逊 Linux 2(**预计 AMS 支持截止日期为 2026 年 6 月 30 日**)
+ 甲骨文 Linux 9.x、8.x
+ 红帽企业 Linux (RHEL) 9.x、8.x
+ SUSE Linux 企业服务器 15 SP6
+ 适用于 SAP 15 SP3 及更高版本的 SUSE Linux 企业服务器
+ 微软 Windows Server 2022、2019、2016
+ Ubuntu 20.04、22.04、24.04
**支持的操作系统 (ARM64)**
+ Amazon Linux 2023
+ 亚马逊 Linux 2(**预计 AMS 支持截止日期为 2026 年 6 月 30 日**)
+ 支持的终止支持 (EOS) 操作系统:
**注意**
End of Support (EOS) 操作系统不在操作系统制造商的一般支持期内,因此安全风险增加。只有当 AMS 要求的代理支持操作系统并且... 时,EOS 操作系统才被视为支持的配置
您已获得操作系统供应商的扩展支持,允许您接收更新,或者
任何使用 EOS 操作系统的实例都要遵守 AMS 在高级用户指南中指定的[安全控制措施](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html#CritRec),或者
您遵守 AMS 要求的任何其他补偿性安全控制措施。
如果 AMS 无法再支持 EOS 操作系统,AMS 会发布升级操作系统的[关键建议](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html#CritRec)。
AMS 所需的代理可能包括但不限于: CloudWatch、 AWS Systems Manager亚马逊、端点安全 (EPS) 代理和 Active Directory (AD) Bridge(仅限 Linux)。
+ Ubuntu Linux 18.04
+ SUSE Linux 企业服务器 15 SP3 SP4、和 SP5
+ 适用于 SAP 的 SUSE Linux 企业服务器 15 SP2
+ SUSE Linux 企业服务器 12 SP5
+ 适用于 SAP 的 SUSE Linux 企业服务 12 SP5
+ 微软 Windows Server 2012/2012 R2
+ 红帽企业 Linux (RHEL): 7.x
+ 甲骨文 Linux 7.5-7.9
# 适用于 AMS 中不支持的操作系统的功能
*不支持的操作系统是指未*在中列出的任何操作系统。[支持的配置](supported-configs.md)AMS 将操作系统不支持的实例视为 “客户请求的配置”,受测试版[和预览版服务AWS 条款的](https://aws.amazon.com/service-terms/#2._Betas_and_Previews)约束。
以下有限的 AMS 功能适用于操作系统不支持的实例:
| **功能** | **备注** |
| --- | --- |
| 事件管理 | AMS 提供事件响应。 |
| 服务请求管理 | AMS 会对服务请求做出回应。 |
| 变更申请 (RFCs) | AMS 会评估 RFCs 执行情况。不支持的操作系统可能会影响执行 RFCs能力。 |
| 监控 | AMS 监控并响应 Amazon EC2 系统状态检查和实例状态检查。系统状态检查包括:网络连接中断、系统电源中断、物理主机上的软件问题以及影响网络可访问性的物理主机上的硬件问题。 实例状态检查包括:网络或启动配置不正确、内存耗尽、文件系统损坏以及内核不兼容。 |
| 安全管理 | AMS 会监控并回应 Amazon 的 EC2 [GuardDuty 调查结果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html)。 |
| 备份管理 | AMS 在 AMS [Advanced 中为 EC2 使用 AMS 定制的 AWS Backup 计划和保管库提供连续性管理](https://docs.aws.amazon.com/managedservices/latest/userguide/continuity-mgmt.html)。 |
# AMS 高级接口
+ *AMS Advanced 控制台*:您可以使用 AMS Advanced 控制台创建 RFCs、报告和响应事件、提出服务请求以及查找有关现有堆栈 VPCs 和堆栈的信息。如果不确定该怎么做,或者需要有关 AMS 或托管资源的帮助,请使用此界面创建服务请求。
+ *AWS 管理控制台*:许多 AWS 控制台都可用于查看 AMS 信息,例如:
+ *亚马逊 EC2 控制台*:用于查看实例信息,包括堡垒 IP 地址、Amazon A EC2 uto Scaling 组和负载均衡器。
+ *多账户着陆区 AWS Config 规则合规性*:您可以查看各个账户的合规状态并识别不合规的资源。
+ *AWS CloudFormation 控制台*:用于查看堆栈信息,包括堆栈 IDs (您可以 IDs 在此处找到 Amazon RDS 堆栈和 Amazon RDS 实例,以及事件信息)。
+ *Amazon RDS 控制台*:用于查看事件信息,例如在您账户的网站上向 WordPress 应用程序发布的帖子。请注意,您必须拥有 Amazon RDS 实例 ID。
根据您的登录角色模式,您对 AWS 管理控制台的访问权限会有所不同。有关模式的更多信息,请参阅 [AMS 模式](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes.html)。
+ *AMS 高级变更管理 API* — 读/写:使用变更管理 API (CM API) 请求对托管基础设施进行添加和特定更改,包括资源监控、日志、备份和补丁配置。此外,使用此 API 请求访问资源、删除资源 AMIs、创建和创建 IAM 实例配置文件。您可以通过 AMS CLI 访问 CM API 和 SDKs。
+ *AMS SKMS API* — 只读:使用此 API 列出托管资源并获取报告或准备变更请求所需的信息。
+ *支持 API*:使用标准 支持 API 以编程方式创建和响应事件和服务请求。要了解更多信息,请参阅[入门 支持](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)。
+ *AWS APIs*— 只读:您的主要 IT 管理员可以使用查看管理的所有资源、查看 CloudTrail 日志、账单信息以及许多其他读取功能。 AWS APIs
# AMS VPC 终端节点
VPC 终端节点允许您私密连接您的 VPC, AWS 服务 而无需互联网网关。VPC 中的实例无需公有 IP 地址便可与服务中的资源通信。
终端节点是虚拟设备。这些是水平扩展、冗余且具备高可用性的 VPC 组件,通过使用这些组件,可以在 VPC 中的实例与服务之间进行通信,而不会对网络通信带来可用性风险或带宽限制。要了解更多信息,请参阅 [VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。
VPC 终端节点有两种类型:接口终端节点和网关终端节点。
+ 网关终端节点:账户中的 VPC 默认启用了 Amazon S3 网关终端节点。
+ 接口终端节点:您的 AMS 环境中的实例无需离开 Amazon 网络即可与支持的服务通信。对于**单账户 landing zon** e,这是可选的,默认情况下该账户未启用该功能;请向 AMS 运营部门提交服务请求以启用此功能。但是,对于**多账户 landing zon** e,默认情况下,共享服务帐户中的接口端点处于启用状态。
AMS 支持的接口终端节点列表:
+ AWS CloudFormation
+ AWS CloudTrail
+ AWS Config
+ 亚马逊 EC2 API
+ AWS Key Management Service
+ Amazon CloudWatch
+ 亚马逊 CloudWatch 活动
+ Amazon CloudWatch 日志
+ AWS Secrets Manager
+ Amazon SNS
+ AWS Systems Manager
+ AWS Security Token Service
# AMS 保护的命名空间
AWS Managed Services (AMS) 的受保护命名空间列表。在使用 AWS 资源时,请不要使用这些命名空间,以防止与 AMS 发生冲突。有关其他 AWS 服务命名空间的详细信息,请参阅 A [mazon 资源名称 (ARNs) 和 AWS 服务](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#genref-aws-service-namespaces)命名空间。
+ `ams-*`(这是新资源的首选命名标准)
+ `/ams/*`(这是基于路径的资源的首选命名标准)
+ `AWSManagedServices*`(在适当的情况下 CamelCase ,这是资源的首选命名标准)
+ `ams*` 和 `AMS*` 和 `Ams*`
+ `AWS_*` 和 `aws*`
+ `*/aws_reserved/*`
+ `CloudTrail*` 和 `Cloudtrail*`
+ `codedeploy_service_role`
+ `customer-mc-*`
+ `eps` 和 `EPS`
+ `EPSMarketplaceSubscriptionRole`
+ `EPSDB*`
+ `IAMPolicy*`
+ `INGEST*`
+ `LandingZone*`
+ `Managed_Services*`
+ `managementhost`
+ `mc*` 和 `MC*` 和 `Mc*`
+ `MMS*`
+ `ms-`
+ `NewAMS*`
+ `Root*`
+ `sentinel*` 和 `Sentinel*`
+ `sentinel.int.`
+ `StateMachine*`
+ `StackSet-ams*`
+ `StackSet-AWS-Landing-Zone`
+ `TemplateId*`
+ `UnhealthyInServiceBastion`
+ `VPC_*`
# AMS 保留的前缀
AMS 资源属性必须符合某些模式;例如,IAM 实例配置文件 BackupVault 名称、名称、标签名称等,不得以 AMS 保留前缀开头。这些保留的前缀是:
```
*/aws_reserved/*
ams-*
/ams/*
ams*
AMS*
Ams*
aws*
AWS*
AWS_*
AWSManagedServices*
codedeploy_service_role
CloudTrail*
Cloudtrail*
customer-mc-*
eps
EPSDB*
IAMPolicy*
INGEST*
LandingZone*
Managed_Services*
managementhost
mc*
MC*
Mc*
MMS*
ms-
NewAMS*
Root*
sentinel*
Sentinel*
sentinel.int.
StackSet-ams*
StackSet-AWS-Landing-Zone
StateMachine*
TemplateId*
VPC_*
UnhealthyInServiceBastion
```
# AMS 维护窗口
AWS Managed Services 维护窗口(或维护窗口)为 AWS Managed Services (AMS) 执行维护活动,并在太平洋时间每个月的第二个星期四下午 3 点至下午 4 点重复。AMS 可能会在 48 小时通知后更改维护时段。这适用于 AWS Managed Services (AMS);用于为托管基础设施执行维护活动,例如部署新的 AMS AMIs。
*您的*维护时段是 AMS 将应用补丁并由您在入职时确定维护时段的时间。您也可以同意修补服务通知中提供的拟议修补窗口,或者建议不同的窗口。
有关创建维护时段的指导,请参阅[维护时段](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/og-maintenance-window.html)。