AWS Managed Services (AMS) AMS 高级运营计划功能

记录、监控、防护和事件管理：

AMS 配置和监控您的托管环境以记录活动，并根据各种运行状况检查定义警报。AMS 会针对适用的 AWS 服务对警报进行调查，对您使用这些服务产生负面影响的警报会导致事件的产生。AMS 汇总并存储在、中执行所有操作后生成的所有日志 CloudWatch CloudTrail，并将系统日志存储在 Amazon S3 中。您可以要求设置其他警报。除了 AMS 的预防性控制措施外，AMS 还部署了配置护栏和侦测控件，以持续保护您免受可能降低托管账户运营和安全完整性的错误配置的影响，从而加强您的控制措施，例如标记和合规性。当检测到受监控的控件时，会生成警报，根据您可以修改的预定义的 AMS 默认值发出通知、修改或终止资源。

连续性管理（Backup and Restore）：

AMS 使用标准的现有 AWS Backup 功能按您确定的计划间隔提供资源备份。AMS 可使用您的 RFC 执行从特定快照中恢复操作。在快照间隔之间发生的数据更改由您负责备份。您可以为计划间隔之外的备份或快照请求提交 RFC。如果某个 AWS 区域的可用区 (AZ) 不可用，在您允许的情况下，AMS 会根据模板和受影响堆栈的可用的 EBS 快照重新创建新的堆栈，从而恢复托管环境。

安全和访问管理：

AMS 提供端点安全 (EPS)，例如配置防病毒和防恶意软件保护。您也可以使用自己的 EPS 工具和流程，而不是使用名为 “自带 EPS (BYOEPS)” 的功能将 AMS 用于 EPS。AMS 还会配置您在入职期间批准的默认 AWS 安全功能，例如 AWS Identity and Access Management (IAM) 角色和亚马逊 EC2 安全组，并使用标准 AWS 工具（例如 Amazon Macie AWS Security Hub、Amaz GuardDuty on）来监控和响应安全问题。您可以通过您提供的经批准的目录服务来管理您的用户。有关批准的目录服务的列表，请参阅支持的配置。

AMS 包括端点安全 (EPS)（包括防病毒 (AV)）和反恶意软件保护、恶意软件和入侵检测（趋势科技）。安全组是根据堆栈模板定义的，并在启动时根据应用程序（公共/私有）安全组的可见性进行修改。

通过变更管理变更请求（RFCs）来请求访问系统。访问管理提供对不同资源的访问权限，例如 Amazon EC2 实例 AWS 管理控制台、和 APIs。在入职和联合到 AWS 期间与 AMS Microsoft Active Directory 部署建立单向信任后，您可以使用现有的公司证书进行所有互动。

补丁管理：

AMS 会为支持的操作系统 (OSs) 和预先安装有支持的操作系统的软件的 EC2 实例应用和安装更新。有关支持的操作系统的列表，请参阅支持的配置。

AMS 提供两种修补模式：

在 AMS 标准补丁中，您可以选择每月维护时段，让 AMS 执行大多数修补活动。AMS 在选定的维护时段之外应用关键安全更新（带有相应的通知），并在选定的维护时段内应用重要更新。AMS 还会在选定的维护时段内对基础设施管理工具进行更新。如果需要，您可以将堆栈从补丁管理中排除或拒绝更新。

使用 AMS Patch Orchestrator，每个账户的默认维护窗口由您定义，让 AMS 执行修补活动。您可以为 AMS 安排额外的自定义维护时段，以便使用标签修补您定义的一组特定实例。AMS 会应用所有可用更新，但您可以通过创建自定义补丁基准来筛选或拒绝更新。对于这两种型号，如果您批准或拒绝补丁管理下提供的更新，但后来改变了主意，则您有责任通过 RFC 启动更新。AMS 会跟踪资源的补丁状态，并在月度业务评估中重点介绍不是最新的系统。补丁管理仅限于托管环境中的堆栈，包括所有 AMS 托管应用程序和具有修补功能的支持 AWS 服务（例如 RDS）。为了在发布更新时支持所有类型的基础设施配置，AMS a) 更新 EC2 实例，b) 提供更新后的 AMS AMI 供您使用。您有责任安装、配置、修补和监控上面未具体介绍的任何其他应用程序。

变更管理：

AMS 变更管理是您控制托管环境中变更的机制。AMS 结合使用预防和检测控制来简化这一过程，并根据所选的 AMS 模式提供不同的控制级别和相关风险。

您的 AMS 环境中的所有操作都已登录 AWS CloudTrail。

有关 AMS 变更管理和不同模式的更多信息，请参阅 AMS 变更管理指南和 AMS 模式。

自动化和自助式资源调配管理：

您可以通过多种方式在 AMS Advanced 上配置 AWS 资源：

事件管理：

AMS 会主动通知您 AMS 检测到的事件。AMS 会对客户提交的事件和 AMS 生成的事件做出回应，并根据事件优先级解决事件。除非您另有指示，否则 AMS 认定对您的托管环境安全构成风险的事件以及与 AMS 和其他 AWS 服务可用性有关的事件，均会主动采取行动。获得您的授权后，AMS 会对所有其他事件采取行动。问题管理流程可以解决反复出现的事件。

问题管理：

AMS 进行趋势分析以识别和调查问题并确定根本原因。问题可以通过变通方法或永久解决方案进行修复，以防止将来再次出现类似的 future 服务影响。任何 “高” 事件一经解决，均可要求提供事后报告 (PIR)。PIR捕捉了根本原因和采取的预防措施，包括预防措施的实施。

报告：

AMS 为您提供月度服务报告，其中汇总了 AMS 的关键绩效指标，包括执行摘要和见解、运营指标、托管资源、AMS 服务水平协议 (SLA) 遵守情况，以及有关支出、节省和成本优化的财务指标。报告由分配给您的 AMS 云服务交付经理 (CSDM) 交付。

服务请求管理：

要请求有关您的托管环境、AMS 或 AWS 服务产品的信息，请使用 AMS 控制台提交服务请求。您可以提交服务申请，询问有关 AWS 服务和功能的 “操作方法” 问题，也可以申请其他 AMS 服务。

服务台：

AMS 为工程运营配备全职亚马逊员工，以满足非自动化的请求，包括事件管理、服务请求管理和变更管理。服务台每年 365 天全天候运营。

指定资源：

为每位客户分配一名云服务交付经理 (CSDM) 和一名云架构师 (CA)。

开发者模式：

此功能允许您直接访问 AWS 服务 APIs 和 AWS 控制台以及访问 AMS 变更管理流程，从而使您能够在 AMS 配置的账户 [1] 中快速迭代基础设施设计和部署。在变更管理流程之外配置或配置了开发者模式权限的资源由您负责管理（请参阅 “自动和自助配置管理”）。与 AMS 上的其他变更管理配置的工作负载一样，支持通过 AMS 变更管理流程配置的资源。

AWS 支持：

AMS 客户可以选择他们需要的 AWS Support 级别来补充其 AMS 运营计划。在 AMS 注册的账户可以订阅 Business Support 或企业支持。要了解支持计划的区别，请参阅 AWS Support 计划。

客户管理的账户：

此功能使您能够在同一个托管环境中申请 AWS 账户，但这些账户中工作负载和 AWS 资源的持续操作则由您负责。AMS 会提供客户管理的账户，但是一旦创建了账户，就不会向这些账户提供其他 AMS 功能或服务。AWS 不会在企业级高级支持中注册客户管理账户。您有责任按照您选择的支持费率在 AWS Support 中注册客户管理的账户。

防火墙管理：

AMS 为支持的防火墙服务提供了可选的托管防火墙解决方案，该解决方案允许对托管环境中的网络进行互联网流量过滤。这不包括不使用 AWS 网络基础设施且其流量直接流向互联网的面向公众的服务。该解决方案将业界领先的防火墙技术与 AMS 基础设施管理功能相结合，用于部署、监控、管理、扩展和恢复防火墙基础架构。