本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 应用程序账户类型
应用程序账户是您用来托管工作负载的 AMS 管理的 landing zone 架构中的 AWS 账户。AMS 提供三种类型的应用程序账户:
+ [AMS 管理的应用程序账户](application-account-ams-managed.md)
+ [AMS 加速账户](malz-accelerate-account.md)
+ [客户托管应用程序账户](application-account-cust-man.md)
根据应用程序账户类型,AWS Organizations OUs 中的应用程序账户按不同的分组方式:
+ root OU:
1. 应用程序 OU
+ 托管 OU:AMS 管理的账户
+ 开发 OU:启用开发者模式的 AMS 管理的账户
1. 加速 OU:AMS 加速应用程序账户
1. 客户管理的 OU:客户管理的应用程序帐户
应用程序账户通过管理账户提交的 RFC 进行配置:
+ 使用 VPC 创建应用程序账户 ct-1zdas [mc2ewzrs](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-application-account-with-vpc.html)
+ 创建加速账户 [ct-2p93tyd5angmi](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html)
+ [创建客户管理的应用程序账户 ct-3pwbixz27n3tn](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)
# AMS 管理的应用程序账户
完全由 AMS 管理的应用程序帐户称为 AMS 管理的应用程序帐户,其中部分或全部操作任务,例如服务请求管理、事件管理、安全管理、连续性管理(备份)、补丁管理、成本优化或基础设施的监控和事件管理,由 AMS 执行。
AMS 执行的任务数量取决于您选择的变更管理模式。AMS 管理的账户支持不同的变更管理模式:
+ [RFC 模式](rfc-mode.md)
+ [AMS 中的直接更改模式](direct-change-mode-section.md)
+ [AMS 和 AWS Service Catalog](ams-service-catalog-section.md)
+ [AMS 高级开发者模式](developer-mode-section.md)
+ [AMS 中的自助服务配置模式](self-service-provisioning-section.md)
有关变更管理和不同模式的更多信息,请参阅[更改管理模式](using-change-management.md)。
有些 AWS 服务可以在您的 AMS 托管账户中使用,而无需管理 AMS。[自助服务配置](https://docs.aws.amazon.com/managedservices/latest/userguide/self-service-provisioning-section.html)部分介绍了这些 AWS 服务的列表以及如何将其添加到您的 AMS 账户。
# AMS 加速账户
AMS Accelerate 是 AMS 运营计划,可以运行支持工作负载的 AWS 基础设施。您可以从 AMS Accelerate 运营服务(例如监控和警报、事件管理、安全管理和备份管理)中受益,而无需进行新的迁移、停机或更改 AWS 的使用方式。AMS Accelerate 还为需要定期修补的 EC2 基于工作负载提供了可选的补丁插件。
借助 AMS Accelerate,您可以自由地在本地或使用首选工具使用、配置和部署所有 AWS 服务。您将使用首选的访问和变更机制,而 AMS 将始终如一地采用久经考验的实践,帮助您扩大团队规模、优化成本、提高安全性和效率并提高弹性。
**注意**
AMS Advanced 中的 AMS Accelerate 账户没有 AMS 变更管理 (RFCs) 或 AMS 高级控制台。相反,他们有 AMS Accelerate 控制台和功能。
加速账户只能通过您的 AMS 多账户 landing zone 管理账户进行配置。加速提供不同的运营能力。要了解更多信息,请参阅[加速服务说明](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。
+ 您将继续享受多账户着陆区 (MALZ) 核心账户的某些功能,例如集中记录、单一账单、安全账户中的 Config Aggregator 和。 SCPs
+ AMS Accelerate 不提供某些 AMS 高级服务,例如 EPS、访问管理、变更管理和配置。我们建议您按照以下步骤获取访问权限并配置传输网关 (TGW)。
有关加速的更多详细信息,请参阅[什么是加速](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-acc.html)。
## 创建您的加速账户
要创建加速账户,请按照此处列出的步骤[创建加速账户](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-accelerate-account.html#deployment-managed-management-account-create-accelerate-account-info)。
## 访问您的加速账户
在您的多账户 landing zone (MALZ) 账户中配置 Accelerate 账户后`AccelerateDefaultAdminRole`,账户中将有一个具有[管理访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator)权限的角色供您代入。
要访问新的加速账户,请执行以下操作:
1. 使用该角色登录管理账户的 IAM 控制台。`CustomerDefaultAssumeRole`
1. 在 IAM 控制台的导航栏上,选择您的用户名。
1. 选择**切换角色**。如果这是您首次选择该选项,则会显示一个包含更多信息的页面。在阅读该信息后,请选择**切换角色**。如果清除您的浏览器 Cookie,则此页面会重新再出现。
1. 在 “**切换角色**” 页面上,键入加速账户 ID 和要代入的角色名称:`AccelerateDefaultAdminRole`。
现在您可以访问了,可以创建新的 IAM 角色来继续访问您的环境。如果您想将 SAML 联合身份验证用于您的加速账户,请参阅[启用 SAML 2.0 联合用户访问 AWS 管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)控制台。
## 将你的加速账户与 Transit Gateway 关联起来
AMS 不管理加速账户的网络设置。您可以选择使用 AWS APIs (参见网络[解决方案](https://aws.amazon.com/solutionspace/networking/))管理自己的网络,也可以使用 AMS MALZ 中部署的现有 Transit Gateway (TGW) 连接到由 AMS 管理的 MALZ 网络。
**注意**
只有当加速账户位于同一 AWS 区域时,您才能将 VPC 关联到 TGW。有关更多信息,请参阅[公交网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。
要将你的 Accelerate 账户添加到 Transit Gateway,请使用[部署 \$1 托管着陆区 \$1 网络账户 \$1 添加静态路线](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) 更改类型申请新路线,包括以下信息:
+ **Blackhol** e:True 表示路线的目标不可用。当 Transit Gateway 要丢弃静态路由的流量时,请执行此操作。如果将流量路由到指定的 TGW 附件 ID,则为假。默认值为 false。
+ **DestinationCidrBlock**:用于目标匹配的 IPV4 CIDR 范围。路由判断是根据最具体的匹配确定的。示例:10.0.2.0/24。
+ **TransitGatewayAttachmentId**:将用作路由表目标的 TGW 附件 ID。如果 **Blackhol** e 为假,则此参数为必填项,否则将此参数留空。示例:tgw-attach-04eb40d1e14ec7272。
+ **TransitGatewayRouteTableId**: TGW 路由表的 ID。示例:tgw-rtb-06ddc751c0c881c。
在 TGW 路由表中创建路由以连接到此 VPC:
1. 默认情况下,此 VPC 将无法与您的 MALZ 网络 VPCs 中的任何其他 VPC 通信。
1. 与您的解决方案架构师一起决定 VPCs 您希望这个 Accerate VPC 与什么通信。
1. 提交[部署 \$1 托管着陆区 \$1 网络账户 \$1 添加静态路由](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) 更改类型,包括以下信息:
+ **Blackhol** e:True 表示路线的目标不可用。当 Transit Gateway 要丢弃静态路由的流量时,请执行此操作。如果将流量路由到指定的 TGW 附件 ID,则为假。默认值为 false。
+ **DestinationCidrBlock**:用于目标匹配的 IPV4 CIDR 范围。路由判断是根据最具体的匹配确定的。示例:10.0.2.0/24。
+ **TransitGatewayAttachmentId**:将用作路由表目标的 TGW 附件 ID。如果 **Blackhol** e 为假,则此参数为必填项,否则将此参数留空。示例:tgw-attach-04eb40d1e14ec7272。
+ **TransitGatewayRouteTableId**: TGW 路由表的 ID。示例:tgw-rtb-06ddc751c0c881c。
**将新的加速账户 VPC 连接到 AMS 多账户着陆区网络(创建 TGW VPC 附件**):
1. 在您的多账户 landing zone 网络账户中,打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Transit Gateways**(中转网关)。记录您看到的公交网关的 TGW ID。
1. 在您的加速账户中,打开[亚马逊 VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 T **ransit Gateway 附件** > **创建 Transit Gateway 附件**。做出以下选择:
+ 对于 T **ransit Gatew** ay ID,请选择您在步骤 2 中记录的公交网关 ID。
+ 对于 **Attachment type (连接类型)**,选择 **VPC**。
+ 在 **VPC Attachment (VPC 挂载)** 下,(可选)为 **Attachment name tag (挂载名称标签)** 键入名称。
+ 选择是否启用 **DNS Support and S** u **IPv6 ppor** t。
+ 对于 **VPC ID**,选择要附加到中转网关的 VPC。此 VPC 必须至少有一个子网与其关联。
+ 对于**子网 IDs**,为每个可用区选择一个子网,供传输网关用于路由流量。您必须至少选择一个子网。您只能为每个可用区域选择一个子网。
1. 选择 **Create attachment (创建挂载)**。记录新创建的 TGW 附件的 ID。
将 **TGW 附件关联到路由表**:
1. 决定您要将 VPC 与哪个 TGW 路由表关联。我们建议 VPCs 使用部署 \$1 托管着陆区 \$1 网络账户 \$1 创建公交网关路由表 (ct-3dscwaeyi6cup) 更改类型为 Accelerate 账户创建新的应用程序路由表。
1. 在网络账户上提交[管理 \$1 托管着陆区 \$1 网络账户 \$1 关联 TGW 附件](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-networking-account-associate-tgw-attachment.html) (ct-3nmhh0qr338q6) RFC,将 VPC 或 TGW 附件关联到你选择的路由表。
**在 TGW 路由表中创建路由以连接到此 VPC**:
1. 默认情况下,此 VPC 将无法与您的多账户 landing zone 网络 VPCs 中的任何其他 VPC 通信。
1. 与您的解决方案架构师一起决定 VPCs 您希望这个 Accerate 账户 VPC 与什么通信。
1. 提交[部署 \$1 托管着陆区 \$1 网络账户 \$1 针对网络账户添加静态路由](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC 以创建你需要的 TGW 路由。
**将您的 VPC 路由表配置为指向 AMS 多账户 landing zone 公交网关**:
1. 与您的解决方案架构师一起决定要向 AMS 多账户着陆区公交网关发送哪些流量。
1. 提交[部署 \$1 托管着陆区 \$1 网络账户 \$1 针对网络账户添加静态路由](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) (ct-3r2ckznmt0a59) RFC 以创建你需要的 TGW 路由。
# 客户托管应用程序账户
您可以创建 AMS 无法以标准方式管理的账户。这些账户被称为客户管理账户,它们使您可以完全控制账户内的基础设施,同时享受由 AMS 管理的集中式架构的好处。
客户托管账户无权访问 AMS 控制台或我们提供的任何服务(补丁、备份等)。
客户管理账户只能通过您的 AMS 多账户 landing zone 管理账户进行配置。
不同的 AMS 模式对应用程序账户的使用方式不同;要了解有关这些模式的更多信息,请参阅 [AWS Managed Services 模式](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-modes.html)。
要创建您的客户托管应用程序帐户,请参阅[管理账户 \$1 创建客户管理的应用程序帐户](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-customer-managed-application-account.html)。
要删除客户管理的应用程序帐户,请使用[管理帐户 \$1 Offboard 应用程序帐户](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-management-account-offboard-application-account.html)。([确认离职](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-application-account-confirm-offboarding.html) CT 不适用于客户管理的应用程序账户。)
# 访问您的客户管理账户
在多账户 landing zone 中配置客户管理账户 (CMA) 后,账户中将有一个管理员角色 (MALZ)`CustomerDefaultAdminRole`,供您通过 SAML 联合代入来配置账户。
要访问 CMA,请执行以下操作:
1. 使用该角色登录管理账户的 IAM 控制台。**CustomerDefaultAssumeRole**
1. 在 IAM 控制台的导航栏上,选择您的用户名。
1. 选择**切换角色**。如果这是您首次选择该选项,则会显示一个包含更多信息的页面。在阅读该信息后,请选择**切换角色**。如果清除您的浏览器 Cookie,则此页面会重新再出现。
1. 在 “**切换角色**” 页面上,键入客户管理的账户 ID 和要担任的角色的名称:**CustomerDefaultAdminRole**。
现在您可以访问了,可以创建新的 IAM 角色来继续访问您的环境。如果您想将 SAML 联合身份验证用于您的 CMA 账户,请参阅[启用 SAML 2.0 联合用户访问 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html) 管理控制台。
# 将 CMA 与 Transit Gateway 连接起来
AMS 不管理客户管理账户 (CMAs) 的网络设置。您可以选择使用 AWS APIs (参见[联网解决方案](https://aws.amazon.com/solutionspace/networking/))管理自己的网络,也可以使用 AMS MALZ 中部署的现有 Transit Gateway (TGW) 连接到由 AMS 管理的多账户着陆区网络。
**注意**
只有当 CMA 位于同一 AWS 区域时,您才能将 VPC 连接到 TGW。有关更多信息,请参阅[公交网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。
要将你的 CMA 添加到 Transit Gateway,请使用[网络账户申请一条新路线 \$1 添加静态路由 (ct-3r2ckznm](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-networking-account-add-static-route.html) t0a59) 更改类型并包含以下信息:
+ **Blackhol** e:True 表示路线的目标不可用。当 Transit Gateway 要丢弃静态路由的流量时,请执行此操作。如果将流量路由到指定的 TGW 附件 ID,则为假。默认值为 false。
+ **DestinationCidrBlock**:用于目标匹配的 IPV4 CIDR 范围。路由判断是根据最具体的匹配确定的。示例:`10.0.2.0/24`。
+ **TransitGatewayAttachmentId**:将用作路由表目标的 TGW 附件 ID。如果 **Blackhol** e 为假,则此参数为必填项,否则将此参数留空。示例:`tgw-attach-04eb40d1e14ec7272`。
+ **TransitGatewayRouteTableId**: TGW 路由表的 ID。示例:`tgw-rtb-06ddc751c0c0c881c`。
**将新的客户管理的 VPC 连接到 AMS 多账户着陆区域网络(创建 TGW VPC 附件**):
1. 在您的多账户 landing zone 网络账户中,打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择**传输网关**。记录您看到的公交网关的 TGW ID。
1. 在您的客户管理账户中,打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 T **ransit Gateway 附件** > **创建 Transit Gateway 附件**。做出以下选择:
1. 对于 T **ransit Gatew** ay ID,请选择您在步骤 2 中记录的公交网关 ID。
1. 对于 **Attachment type (连接类型)**,选择 **VPC**。
1. 在 **VPC Attachment (VPC 挂载)** 下,(可选)为 **Attachment name tag (挂载名称标签)** 键入名称。
1. 选择是否启用 **DNS Support and S** u **IPv6 ppor** t。
1. 对于 **VPC ID**,选择要附加到中转网关的 VPC。此 VPC 必须至少有一个子网与其关联。
1. 对于**子网 IDs**,为每个可用区选择一个子网,供传输网关用于路由流量。您必须至少选择一个子网。您只能为每个可用区域选择一个子网。
1. 选择 **Create attachment (创建挂载)**。记录新创建的 TGW 附件的 ID。
将 **TGW 附件关联到路由表**:
决定您要将 VPC 与哪个 TGW 路由表关联。我们建议提交部署 \$1 托管 VPCs 着陆区 \$1 网络账户 \$1 创建公交网关路由表 (ct-3dscwaeyi6cup) RFC,为客户管理创建新的应用程序路由表。要将 VPC 或 TGW 附件关联到您选择的路由表,请在网络账户上提交部署 \$1 托管着陆区 \$1 网络账户 \$1 关联 TGW 附件 (ct-3nmhh0qr338q6) RFC。
**在 TGW 路由表中创建路由以连接到此 VPC**:
1. 默认情况下,此 VPC 将无法与您的多账户着陆区网络 VPCs 中的任何其他 VPC 通信。
1. 与您的解决方案架构师一起决定 VPCs 您希望此客户托管的 VPC 与什么通信。提交部署 \$1 托管着陆区 \$1 网络账户 \$1 针对网络账户添加静态路由 (ct-3r2ckznmt0a59) RFC 以创建你需要的 TGW 路由。
**注意**
此 CT(ct-3r2ckznmt0a59)不允许向核心路由表添加静态路由 EgressRouteDomain;如果你的 CMA 需要允许出口流量,请使用 ct-0xdawir96cy7k 提交管理 \$1 其他 \$1 其他 (MOO) RFC。
**将您的 VPC 路由表配置为指向 AMS 多账户着陆区中转网关**:
与您的解决方案架构师一起决定要向 AMS 多账户着陆区公交网关发送哪些流量。更新您的 VPC 路由表以将流量发送到之前创建的 TGW 附件
# 获取有关客户管理账户的运营帮助
AMS 可以通过将客户托管账户注册到 AMS Accelerate 来帮助您操作在客户管理账户中部署的工作负载。借助 AMS Accelerate,您可以从监控和警报、事件管理、安全管理和备份管理等运营服务中受益,而无需进行新的迁移、停机或更改使用 AWS方式。AMS Accelerate 还为需要定期修补的 EC2基于工作负载提供了可选的补丁插件。使用 AMS Accelerate,您可以继续以本地方式或首选工具使用、配置和部署所有 AWS 服务;就像使用 AMS 高级客户管理账户一样。您使用首选的访问和变更机制,而 AMS 则采用久经考验的实践,帮助您扩大团队规模、优化成本、提高安全性和效率并提高弹性。要了解更多信息,请参阅[加速服务说明](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。
要将您的客户管理账户注册到 Accelerate,请联系您的 CSDM 并按照 [AMS Accelerate 入门中的步骤进行](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html)操作。
**注意**
AMS Advanced 中的 AMS Accelerate 账户没有 AMS 变更管理(变更请求或 RFCs)或 AMS 高级控制台。相反,他们有 AMS Accelerate 控制台和功能。