本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AMS 责任矩阵 (RACI)
注意
为了及时履行其义务,AWS Managed Services (AMS) 可能需要您提供意见,以决定适当的行动方案。AMS 将联系指定的客户联系人,了解所有此类说明和意见。AMS 预计会在 24 个工作小时内回复此类询问。如果 24 个工作小时内没有回复,AMS 可能会代表您选择采取行动。
负责任、负责、咨询和知情的 AMS(RACI)矩阵将各种活动的主要责任分配给客户或 AMS。
AMS 管理您的 AWS 基础设施。下表概述了在 AMS 托管环境中运行的应用程序生命周期中客户和 AMS 的责任。
AMS 对客户管理账户或其内运行的基础设施的以下任何活动概不负责;因此,本 RACI 不适用。
R 代表负责任的一方,负责完成任务。
C 代表咨询;征求意见的当事方,通常是作为主题专家征求意见的当事方;并与之进行双边沟通。
我代表知情;一个通报进展情况的当事方,通常只有在任务或可交付成果完成后才会被告知。
自助服务配置是指客户通过 AWS API 或控制台通过自助服务配置的资源,包括开发人员模式和自助配置服务。
注意
有些部分包含针对 AMS 和客户的 “R”。这是因为,在责任 AWS 共担模式中,AMS 和客户共同拥有应对基础设施和应用程序问题的所有权。
为了提供自助服务配置功能,AMS 创建了具有权限界限的提升的 IAM 角色,以限制直接访问 AWS 服务的意外更改。角色并不能阻止所有变更,您有责任遵守内部控制和合规性,并验证所使用的所有 AWS 服务是否符合所需的认证。我们称之为自助服务配置模式。有关 AWS 合规性要求的详细信息,请参阅AWS 合规性
。 对于您通过自助服务配置的资源,AMS 通过服务请求提供事件管理、侦探控制和护栏、报告、指定资源(云服务交付经理和云架构师)、安全和访问以及技术支持。此外,在适用的情况下,您负责在 AMS 变更管理系统之外配置或配置的资源的连续性管理、补丁管理、基础设施监控和变更管理。
| 活动 | Customer |
AWS Managed Services (AMS) |
|---|---|---|
应用程序生命周期 | ||
应用程序开发 |
R |
我 |
应用基础设施需求分析和设计 |
R |
C |
非标准 AMS 堆栈的设计和优化 |
R |
C |
AMS 标准堆栈的设计和优化 |
我 |
R |
应用程序部署 |
R |
C |
AWS 基础设施部署 |
C |
R |
应用程序监控 |
R |
我 |
应用程序测试/优化 |
R |
我 |
AWS 基础设施优化指南 |
我 |
R |
AWS 基础设施监控 |
我 |
R |
对应用程序问题进行故障排除和解决 |
R |
C |
排查和解决 AWS 网络问题 |
C |
R |
对操作系统和基础架构问题进行故障排除和解决 自助配置 |
C |
R |
R |
C | |
应用程序和 ITSM 集成 | ||
应用程序与 AWS 服务产品集成 |
R |
C |
ITSM 与 AWS Managed Services 接口集成 |
R |
C |
联网 | ||
托管环境 VPC 和 VPC 的设置和配置 |
C |
R |
为 VPCs (例如 /16)分配私有地址空间 |
R |
C |
配置和运营非 AWS 托管服务,由客户管理 Firewalls/Proxy/Bastions/HOSTs |
R |
C |
在托管环境Groups/NAT/Customer Bastions/NACL中配置和运行 AWS 安全 |
我 |
R |
客户网络中的网络(例如 DirectConnect)配置和实施 |
R |
C |
在托管环境中配置和实施网络 |
C |
R |
托管环境配置 | ||
为基准堆栈模板定义默认 Auto Scaling 设置 |
我 |
R |
推荐 RI 优化 |
C |
R |
购买 RI 和 PIOP 容量 |
R |
C |
容量过剩时移除容量(当客户应用程序支持时) |
C |
R |
创建/更新 AWS Managed Services 的 AWS 客户特定信息 |
C |
R |
S3 配置 自助配置 |
C |
R |
R |
C | |
冰川配置 |
C |
R |
定义存档策略 |
R |
C |
存档策略配置 |
C |
R |
选择客户维护时段 |
R |
我 |
AWS RDS 管理 | ||
监控source/replica/RO复制运行状况 |
我 |
R |
确定源故障转移的 RCA |
我 |
R |
自动快照(备份)配置 自助配置 |
C |
R |
R |
C | |
协调和安排数据库引擎补丁管理 自助配置 |
C |
R |
R |
C | |
推荐数据库存储空间和 PIOP 容量 自助配置 |
C |
R |
R |
C | |
为正在运行的数据库推荐实例大小 自助配置 |
C |
R |
R |
C | |
建议对托管环境进行 RI 优化 自助配置 |
C |
R |
R |
C | |
RDS 性能监控 (CloudWatch) 自助配置 |
C |
R |
R |
C | |
RDS 事件订阅配置 (SNS) 自助配置 |
C |
R |
R |
C | |
RDS 安全组配置 自助配置 |
C |
R |
R |
C | |
RDS 引擎 parameter/option 配置 |
R |
C |
数据库表设计 |
R |
我 |
数据库索引 |
R |
我 |
数据库日志分析 |
R |
我 |
AMS 变更管理 | ||
| 创建客户 RFCs (例如访问资源creating/updating/deleting managed stacks, deploying/updating应用程序、更改 AWS 服务产品配置) | R |
我 |
| 批准客户 RFCs | 我 |
R |
| 创建 AWS Managed Services RFCs (例如,访问资源、代表客户创建资源、在补丁管理中将更新应用到操作系统) | 我 |
R |
| 批准非自动化 RFCs | R |
我 |
| 提交新变更类型的请求 | R |
C |
| 创建新的变更类型 | 我 |
R |
| 维护应用程序变更日历 |
R |
C |
| 维护窗口即将到来的通知 |
我 |
R |
AWS Service Catalog | ||
| 创建产品组合和产品 |
R |
我 |
| 向最终用户分发产品 |
R |
我 |
| 创建标签和标签选项库 |
R |
C |
| 与最终用户共享产品组合和产品 |
R |
我 |
| 修改/更新产品组合和产品 |
R |
我 |
| 为产品组合和产品创建和分配约束条件 |
R |
C |
| 将服务操作与产品关联 |
R |
C |
| 使用新版本的产品更新已配置的资源 |
R |
我 |
预置 | ||
| AWS Managed Services 基准 AMI 中针对客户的新增内容 | R |
C |
| 配置用于置备堆栈模板的其他已批准的更改类型 | C |
R |
启动通过 AMS 变更管理流程或 AWS Service Catalog 提交的托管堆栈和相关 AWS 资源。 自助配置 |
我 |
R |
R |
我 | |
| Install/Update 通过 AMS 变更管理流程或 AWS Service Catalog 配置的实例上的自定义应用程序和第三方应用程序。 |
R |
我 |
资源调配-堆栈架构 | ||
提供操作系统许可(包括适用的 AWS 服务的使用费,例如 EC2 和 RDS) 自助配置 |
我 |
R |
R |
I | |
通过 AMS 变更管理系统为应用程序部署定义基准基础设施模板(堆栈)。 自助配置 |
我 |
R |
R |
I | |
| 创建基准已获批准 AMIs 8 | 我 |
R |
| 评估客户应用程序库存并确定是否适合可用基础架构模板(堆栈) | R |
C |
| 定义除基本模板产品之外的独特堆栈 |
R |
C |
记录、监控和事件管理 | ||
| 记录 AWS 基础设施变更日志 | 我 |
R |
| 记录所有应用程序更改日志 | R |
C |
安装和配置代理和脚本,用于修补、安全、监控通过 AMS 变更管理流程配置的 AWS 基础设施等。 自助配置 |
我 |
R |
R |
C | |
| 定义客户特定的监控和事件要求 | R |
C |
| 为托管环境配置警报 | 我 |
R |
监控所有 AMS 配置的警报 自助配置 |
我 |
R |
R |
C | |
调查基础设施警报以获取事故通知 自助配置 |
我 |
R |
R |
C | |
| 调查应用程序警报 | R |
C |
事件管理 | ||
根据监控主动通知 AWS 基础设施上的事件 自助配置 |
我 |
R |
R |
C | |
| 处理应用程序性能问题和中断 | R |
我 |
| 对事件优先级进行分类 | 我 |
R |
| 提供事件响应 | 我 |
R |
提供事件解决方案/恢复基础架构 注意SLAs 不适用于在 AMS 变更管理之外配置的基于实例的资源,包括使用自助服务配置和开发者模式配置的资源。 |
C |
R |
问题管理 | ||
| 识别托管环境中的问题 | C |
R |
| 对托管环境中的问题执行 RCA | C |
R |
| 修复托管环境中的问题 | C |
R |
| 识别和修复应用程序问题 | R |
我 |
安全管理 | ||
客户基础设施安全为客户入职期间确定和同意的安全合规流程 and/or 建立基准。 自助配置 |
C |
R |
R |
C | |
| 维护托管 EPS 的有效许可证 | R |
C |
配置托管 EPS 自助配置 |
我 |
R |
R |
C | |
更新托管 EPS 自助配置 |
我 |
R |
R |
C | |
监控通过 AMS CM 流程配置的实例上的恶意软件。 自助配置 |
我 |
R |
R |
C | |
维护和更新病毒特征。 自助配置 |
我 |
R |
R |
C | |
修复感染恶意软件的实例。 自助配置 |
C |
R |
R |
C | |
| 安全事件管理 | C |
R |
安全-访问管理 | ||
| 管理用户的生命周期及其对本地目录服务的权限,这些服务用于访问 AWS Managed Services | R |
我 |
| 操作联合身份验证系统,以便客户访问 AWS 控制台/ APIs | R |
C |
| 接受并维护 AWS Managed Services AD 对客户托管 AD 的活动目录 (AD) 信任 | R |
C |
| 在入职期间,在每个托管账户中创建跨账户 IAM 管理员角色 | R |
C |
| 保护每个 AWS 账户的根凭证 | 我 |
R |
| 为托管环境定义 IAM 资源 | C |
R |
| 管理 AMS 工程师访问操作系统的特权凭证 | 我 |
R |
| 管理 AMS 向客户提供的操作系统访问权限的特权凭证 | R |
我 |
安全事件响应-准备 | ||
通讯 | ||
提供客户安全联系人详细信息,以便 AMS 在安全事件、通知和安全升级期间使用 |
R |
我 |
存储和管理提供的客户安全联系人详细信息,以便在安全事件和安全升级期间使用 |
CI |
R |
训练 | ||
在事件响应过程中向客户提供支持 AMS 的文档 |
我 |
R |
在安全比赛日的事故响应流程中实践责任共担 |
RI |
RC |
资源管理 | ||
AWS 服务 为警报、警报关联、降噪和其他规则配置支持的安全管理 |
我 |
R |
维护资产(AWS 资源)库存,了解资产的价值和重要性。这些信息在事件遏制策略中很有用 |
R |
CI |
使用 AWS 标签来识别资源和工作负载 |
R |
CI |
定义和配置日志保留和存档 |
CI |
R |
配置 AWS 账户、策略和访问管理的安全基准 |
CI |
RC |
安全事件响应-检测 | ||
记录、指标和监控 | ||
配置日志记录和监控以启用实例和账户的事件管理 |
CI |
R |
支持显示安全警报 AWS 服务 的监视器 |
我 |
R |
部署和管理端点安全工具 |
CI |
R |
使用 AMS 支持的端点安全工具监控实例上的恶意软件 |
我 |
R |
通过出站消息通知客户检测到的事件 |
我 |
R |
针对特定客户和工作负载向决策者发送通知和任何后续更新,以缩短事件响应时间 |
R |
CI |
定义、部署和维护 AMS 标准检测服务(例如 Amazon GuardDuty 和 AWS Config) |
CI |
R |
记录 AWS 基础架构变更日志 |
我 |
RC |
启用和配置日志记录、监控以启用应用程序的事件管理 |
R |
C |
在支持 AWS 的安全服务(例如 Amazon)上实施和维护允许名单、拒绝名单和自定义检测 GuardDuty |
RCI |
R |
安全事件报告 | ||
将可疑活动或正在进行的安全调查通知AMS |
R |
CI |
将检测到的安全事件和事件通知客户 |
我 |
R |
通知可能触发安全事件响应流程的计划事件 |
R |
CI |
安全事件响应-分析 | ||
调查和分析 | ||
对支持的检测源生成的支持安全警报执行初始响应 |
我 |
RC |
使用现有数据评估 false/true 阳性 |
RI |
RC |
生成受影响实例的快照,以便在需要时与客户共享 |
我 |
R |
执行取证任务,例如监管链、文件系统分析、内存取证和二进制分析 |
R |
CI |
收集应用程序日志以帮助调查 |
R |
我 |
收集数据和日志,以帮助调查安全警报 |
RCI |
RC |
SMEs 参与 AWS 服务 安全调查 |
CI |
R |
在调查期间与第三方供应商接触(例如,进行 EPS 反恶意软件调查和与 TrendMicro 支持团队接触) |
RCI |
我 |
在调查期间与客户共享支持 AWS 服务 人员的调查日志 |
我 |
R |
沟通 | ||
从 AMS 检测源为托管资源发送警报和通知 |
我 |
R |
管理应用程序安全事件的警报和通知 |
R |
我 |
在安全事件调查期间与客户安全联系人接触 |
R |
我 |
安全事件响应-包含 | ||
遏制策略和执行 | ||
决定执行商定的遏制策略,并就可能影响控制窗口期间服务可用性的后果达成一致 |
R |
CI |
备份受影响的系统以供进一步分析 |
CI |
R |
包含应用程序和工作负载(通过应用程序特定的配置或响应活动) |
R |
CI |
根据安全事件和受影响的资源定义遏制策略 |
CI |
R |
启用受影响系统的时间点备份的加密和安全存储 |
CI |
R |
对 AWS 资源(包括 EC2 实例、网络和 IAM)执行支持的遏制操作 |
CI |
R |
安全事件响应-根除 | ||
根除策略和执行 | ||
根据安全事件和客户应用程序工作负载上受影响的资源定义清除选项 |
R |
CI |
决定商定的根除策略、执行根除的时间和后果 |
R |
CI |
根据安全事件和 AMS 托管工作负载上受影响的资源定义根除步骤 |
CI |
R |
消灭和强化 AWS 资源,包括 EC2 实例、网络和 IAM 根除 |
CI |
R |
消除和强化应用程序和工作负载(通过应用程序特定的配置或响应活动) |
R |
我 |
安全事件响应-恢复 | ||
恢复准备和执行 | ||
根据客户的要求配置备份计划和目标 |
R |
我 |
查看备份计划以恢复 AMS 托管的工作负载 |
CI |
R |
对支持的资源执行备份恢复活动 AWS 服务 |
我 |
R |
备份客户应用程序、应用程序配置和部署设置,并查看备份计划,以便在事后恢复客户应用程序和工作负载 |
R |
我 |
恢复应用程序和客户工作负载(通过应用程序特定的恢复步骤) |
R |
我 |
安全事件响应-事后报告 | ||
事后报告 | ||
根据需要与客户在事后分享适当的经验教训和行动项目 |
我 |
R |
补丁管理 9 | ||
监控支持的操作系统的适用更新,以及预先安装了支持的操作系统的软件 EC2 。 自助配置 |
我 |
R |
R |
C | |
| 通知客户即将推出的更新(仅适用于 AMS 标准补丁) | 我 |
R |
| 将 and/or 某些更新从修补活动中排除某些堆栈 | R |
我 |
定义默认和自定义维护时段计划以及其他参数(例如维护时段持续时间)以应用补丁(适用于 AMS Patch) 仅限管弦乐器) |
R |
我 |
| 定义自定义补丁基准以筛选和排除特定补丁(仅适用于 AMS Patch Orchestrator) | R |
我 |
| 标记实例以将其与自定义维护窗口和补丁基准相关联(仅适用于 AMS Patch Orchestrator) | R |
我 |
跟踪资源的补丁状态,并在每月业务评估中突出显示不是最新的系统。 |
C |
R |
修补安装在操作系统上的 Windows 操作系统和受 Windows 更新控制的微软软件包 自助配置 |
我 |
R |
R |
- | |
| 修补未由 Windows Update 管理的已安装的应用程序、软件或应用程序依赖关系 自助配置 |
R |
我 |
R |
- | |
修补 Linux 操作系统和任何允许操作系统原生软件包管理器管理的软件包(例如 Yum、Apt、Zypper) 自助配置 |
我 |
R |
R |
- | |
修补未由 Linux 操作系统的本机软件包管理器管理的已安装应用程序、软件或应用程序依赖项 自助配置 |
R |
我 |
R |
- | |
连续性管理 | ||
| 指定备份时间表 | R |
我 |
按计划执行备份。 自助配置 |
我 |
R |
R |
C | |
| 验证备份 | R |
我 |
| 请求备份恢复活动 | R |
我 |
执行备份恢复活动。 自助配置 |
我 |
R |
R |
C | |
恢复受影响的堆栈和. VPCs 自助配置 |
我 |
R |
R |
C | |
| 恢复受影响的自定义/第三方应用程序 | R |
C |
报告 | ||
准备并提交月度服务报告 AMS 开启 AWS Outposts |
我 |
R |
R |
我 | |
按需配置和检索 API 审计历史记录 (CloudTrail)。 自助配置 |
我 |
R |
R |
我 | |
| 通过 AWS Managed Services 接口提供对事件历史记录的访问权限 | 我 |
R |
通过 AWS Managed Services 界面提供对变更历史记录的访问权限。 自助配置 |
我 |
R |
不适用 |
不适用 | |
服务请求管理 | ||
| 使用服务请求请求信息 | R |
我 |
| 回复服务请求 | 我 |
R |
托管防火墙 | ||
| 请求部署 AMS 管理的防火墙 | R |
我 |
| AMS 管理的防火墙架构的设计和优化 | 我 |
R |
| 部署 AWS 基础设施和 AMS 管理的防火墙设备 | 我 |
R |
| 提供防火墙许可(包括适用 AWS 服务的使用费,例如 EC2) | R |
我 |
| 定义默认域名允许名单 | 我 |
R |
| 请求添加、修改和删除自定义允许列表和安全策略 | R |
我 |
| 为 AMS 管理的防火墙配置警报 | 我 |
R |
| 监控所有 AMS 管理的防火墙配置的警报 | 我 |
R |
| 执行防火墙配置的备份 | 我 |
R |
| 请求备份恢复活动 | R |
我 |
| 使用新版本的产品更新已配置的资源 | 我 |
R |
| 记录 AMS 管理的防火墙日志 | 我 |
R |
| 将日志从 AMS 管理的防火墙转发到 CloudWatch | 我 |
R |
| 在 AMS 管理的防火墙中请求配置更改 | R |
我 |
| 批准 AMS 管理的防火墙中的配置更改 | 我 |
R |
| 在 AMS 管理的防火墙中执行配置更改 | 我 |
R |
8 AMS EC2 仅 AMIs 适用于亚马逊
9 OSes 只有当客户与操作系统供应商签署延长支持协议时,AMS 才对生命周期终止负责
