AMS 加速账户 - AMS 高级用户指南
创建您的加速账户访问您的加速账户将你的加速账户与 Transit Gateway 关联起来

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AMS 加速账户

AMS Accelerate 是 AMS 运营计划,可以运行支持工作负载的 AWS 基础设施。您可以从 AMS Accelerate 运营服务(例如监控和警报、事件管理、安全管理和备份管理)中受益,而无需进行新的迁移、停机或更改 AWS 的使用方式。AMS Accelerate 还为需要定期修补的 EC2 基于工作负载提供了可选的补丁插件。

借助 AMS Accelerate,您可以自由地在本地或使用首选工具使用、配置和部署所有 AWS 服务。您将使用首选的访问和变更机制,而 AMS 将始终如一地采用久经考验的实践,帮助您扩大团队规模、优化成本、提高安全性和效率并提高弹性。

注意

AMS Advanced 中的 AMS Accelerate 账户没有 AMS 变更管理 (RFCs) 或 AMS 高级控制台。相反,他们有 AMS Accelerate 控制台和功能。

加速账户只能通过您的 AMS 多账户 landing zone 管理账户进行配置。加速提供不同的运营能力。要了解更多信息,请参阅加速服务说明

  • 您将继续享受多账户着陆区 (MALZ) 核心账户的某些功能,例如集中记录、单一账单、安全账户中的 Config Aggregator 和。 SCPs

  • AMS Accelerate 不提供某些 AMS 高级服务,例如 EPS、访问管理、变更管理和配置。我们建议您按照以下步骤获取访问权限并配置传输网关 (TGW)。

有关加速的更多详细信息,请参阅什么是加速

创建您的加速账户

要创建加速账户,请按照此处列出的步骤创建加速账户

访问您的加速账户

在您的多账户 landing zone (MALZ) 账户中配置 Accelerate 账户后AccelerateDefaultAdminRole,账户中将有一个具有管理访问权限的角色供您代入。

要访问新的加速账户,请执行以下操作:

  1. 使用该角色登录管理账户的 IAM 控制台。CustomerDefaultAssumeRole

  2. 在 IAM 控制台的导航栏上,选择您的用户名。

  3. 选择切换角色。如果这是您首次选择该选项,则会显示一个包含更多信息的页面。在阅读该信息后,请选择切换角色。如果清除您的浏览器 Cookie,则此页面会重新再出现。

  4. 在 “切换角色” 页面上,键入加速账户 ID 和要代入的角色名称:AccelerateDefaultAdminRole

现在您可以访问了,可以创建新的 IAM 角色来继续访问您的环境。如果您想将 SAML 联合身份验证用于您的加速账户,请参阅启用 SAML 2.0 联合用户访问 AWS 管理控制台。

将你的加速账户与 Transit Gateway 关联起来

AMS 不管理加速账户的网络设置。您可以选择使用 AWS APIs (参见网络解决方案)管理自己的网络,也可以使用 AMS MALZ 中部署的现有 Transit Gateway (TGW) 连接到由 AMS 管理的 MALZ 网络。

注意

只有当加速账户位于同一 AWS 区域时,您才能将 VPC 关联到 TGW。有关更多信息,请参阅公交网关

要将你的 Accelerate 账户添加到 Transit Gateway,请使用部署 | 托管着陆区 | 网络账户 | 添加静态路线 (ct-3r2ckznmt0a59) 更改类型申请新路线,包括以下信息:

  • Blackhol e:True 表示路线的目标不可用。当 Transit Gateway 要丢弃静态路由的流量时,请执行此操作。如果将流量路由到指定的 TGW 附件 ID,则为假。默认值为 false。

  • DestinationCidrBlock:用于目标匹配的 IPV4 CIDR 范围。路由判断是根据最具体的匹配确定的。示例:10.0.2.0/24。

  • TransitGatewayAttachmentId:将用作路由表目标的 TGW 附件 ID。如果 Blackhol e 为假,则此参数为必填项,否则将此参数留空。示例:tgw-attach-04eb40d1e14ec7272。

  • TransitGatewayRouteTableId: TGW 路由表的 ID。示例:tgw-rtb-06ddc751c0c881c。

在 TGW 路由表中创建路由以连接到此 VPC:

  1. 默认情况下,此 VPC 将无法与您的 MALZ 网络 VPCs 中的任何其他 VPC 通信。

  2. 与您的解决方案架构师一起决定 VPCs 您希望这个 Accerate VPC 与什么通信。

  3. 提交部署 | 托管着陆区 | 网络账户 | 添加静态路由 (ct-3r2ckznmt0a59) 更改类型,包括以下信息:

    • Blackhol e:True 表示路线的目标不可用。当 Transit Gateway 要丢弃静态路由的流量时,请执行此操作。如果将流量路由到指定的 TGW 附件 ID,则为假。默认值为 false。

    • DestinationCidrBlock:用于目标匹配的 IPV4 CIDR 范围。路由判断是根据最具体的匹配确定的。示例:10.0.2.0/24。

    • TransitGatewayAttachmentId:将用作路由表目标的 TGW 附件 ID。如果 Blackhol e 为假,则此参数为必填项,否则将此参数留空。示例:tgw-attach-04eb40d1e14ec7272。

    • TransitGatewayRouteTableId: TGW 路由表的 ID。示例:tgw-rtb-06ddc751c0c881c。

将新的加速账户 VPC 连接到 AMS 多账户着陆区网络(创建 TGW VPC 附件):

  1. 在您的多账户 landing zone 网络账户中,打开 Amazon VPC 控制台

  2. 在导航窗格中,选择 Transit Gateways(中转网关)。记录您看到的公交网关的 TGW ID。

  3. 在您的加速账户中,打开亚马逊 VPC 控制台

  4. 在导航窗格中,选择 T ransit Gateway 附件 > 创建 Transit Gateway 附件。做出以下选择:

    • 对于 T ransit Gatew ay ID,请选择您在步骤 2 中记录的公交网关 ID。

    • 对于 Attachment type (连接类型),选择 VPC

    • VPC Attachment (VPC 挂载) 下,(可选)为 Attachment name tag (挂载名称标签) 键入名称。

    • 选择是否启用 DNS Support and S u IPv6 ppor t。

    • 对于 VPC ID,选择要附加到中转网关的 VPC。此 VPC 必须至少有一个子网与其关联。

    • 对于子网 IDs,为每个可用区选择一个子网,供传输网关用于路由流量。您必须至少选择一个子网。您只能为每个可用区域选择一个子网。

  5. 选择 Create attachment (创建挂载)。记录新创建的 TGW 附件的 ID。

TGW 附件关联到路由表

  1. 决定您要将 VPC 与哪个 TGW 路由表关联。我们建议 VPCs 使用部署 | 托管着陆区 | 网络账户 | 创建公交网关路由表 (ct-3dscwaeyi6cup) 更改类型为 Accelerate 账户创建新的应用程序路由表。

  2. 在网络账户上提交管理 | 托管着陆区 | 网络账户 | 关联 TGW 附件 (ct-3nmhh0qr338q6) RFC,将 VPC 或 TGW 附件关联到你选择的路由表。

在 TGW 路由表中创建路由以连接到此 VPC

  1. 默认情况下,此 VPC 将无法与您的多账户 landing zone 网络 VPCs 中的任何其他 VPC 通信。

  2. 与您的解决方案架构师一起决定 VPCs 您希望这个 Accerate 账户 VPC 与什么通信。

  3. 提交部署 | 托管着陆区 | 网络账户 | 针对网络账户添加静态路由 (ct-3r2ckznmt0a59) RFC 以创建你需要的 TGW 路由。

将您的 VPC 路由表配置为指向 AMS 多账户 landing zone 公交网关

  1. 与您的解决方案架构师一起决定要向 AMS 多账户着陆区公交网关发送哪些流量。

  2. 提交部署 | 托管着陆区 | 网络账户 | 针对网络账户添加静态路由 (ct-3r2ckznmt0a59) RFC 以创建你需要的 TGW 路由。