本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是 AWS Managed Services?
欢迎来到 AWS Managed Services (AMS),这是亚马逊网络服务的基础设施运营管理 (AWS)。AMS 是一项企业服务,可为您的 AWS 基础设施提供持续管理。
本用户指南面向 IT 和应用程序开发专业人员。假设对 IT 功能、网络和应用程序部署术语和实践有基本的了解。
AMS 实施最佳实践并维护您的基础架构,以降低您的运营开销和风险。AMS 提供全生命周期服务,用于配置、运行和支持您的基础架构,并自动执行变更请求、监控、补丁管理、安全和备份服务等常见活动。AMS 会强制执行您的企业和安全基础设施政策,并使您能够使用首选的开发方法开发解决方案和应用程序。
要更好地了解 AMS 架构,请参阅[以下图表](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/AWS-managed-services-for-operational-excellence-ra.pdf)。
**Topics**
+ [关于本 AMS 用户指南](#about-guide)
+ [AMS 作战计划](what-is-ams-op-plans.md)
+ [开始使用 AWS Managed Services](get-start.md)
+ [AMS 关键术语](key-terms.md)
+ [服务描述](ams-sd.md)
+ [AMS 信息资源](ams-info-resources.md)
+ [AMS 合规性](ams-compliance.md)
+ [AMS Amazon 机器映像 (AMIs)](ams-amis.md)
+ [AD FS 和 AMS 之间的集成是如何工作的](how-integ-between-adfs-and-ams-works.md)
+ [AMS 托管活动目录](ams-managed-AD.md)
+ [AMS 应用程序部署](ams-deployments.md)
![\[AMS 云服务:您会得到什么,何时获得。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/certifications.png)
**注意**
AWS 区域 经常添加新内容。有关最新的 AMS 支持和最新的 AMS 支持的操作系统 AWS 区域,请参阅。[支持的配置](supported-configs.md)
要了解更多信息 AWS 区域,请参阅[管理 AWS 区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。
AMS 力求根据您的反馈不断改进我们的服务。我们使用多种机制来实现您的自助服务,自动执行重复性任务, AWS 服务 并在新功能发布时实施这些功能。您可以随时提交 AMS 服务申请,以提出新功能或功能改进建议。
AMS 的工作时间为每年 365 天、每周 7 天、每天 24 小时。
AMS 遵循一套 IT 服务管理 (ITSM) 实践,重点是 IT 服务与您的业务需求保持一致。
![\[AMS 通过编程接口和 AWS 专业知识的独特组合提供操作结构和控制\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/vpcIntroC.png)
## 关于本 AMS 用户指南
本用户指南适用于拥有多账户或单账户登录区域的 AMS Advanced 客户。有关 AMS 着陆区产品的更多详情,请参阅 [AMS 关键条款](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html);另请参阅[多账户着陆区架构](https://docs.aws.amazon.com/managedservices/latest/userguide/malz-net-arch.html)和[单账户着陆区](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-net-arch.html)架构。
# AMS 作战计划
AWS Managed Services (AMS) 有两个运营计划可供选择:AMS Accelerate 和 AMS Advanced。运营计划提供一组特定的功能,并且具有不同的服务级别、技术能力、要求、价格和限制。我们的运营计划使您可以灵活地为每个 AWS 工作负载选择合适规模的运营能力。本节概述了与每个计划相关的功能和差异,以及与每个计划相关的责任、功能和好处,以便您可以了解哪种运营计划最适合您的客户。
有关两个运营计划的详细功能比较,请参阅 [AWS Managed Services 功能](https://aws.amazon.com/managed-services/features/)。
## AMS 加快运营计划
AMS Accelerate 是 AMS 运营计划,可帮助您对新环境或现有 AWS 环境进行 day-to-day基础设施管理。AMS Accelerate 提供运营服务,例如监控、事件管理和安全。AMS Accelerate 还为需要定期修补的 EC2基于 Amazon 的工作负载提供了可选的补丁插件。
使用 AMS Accelerate, AWS 账户 您可以决定希望 AMS Accelerate 运营哪个 AWS 区域、您希望 AMS Accelerate 运营的 AWS 区域、所需的附加组件以及所需的服务级别协议 (SLAs)。有关更多详细信息,请参阅[使用 AMS Accelerate 运营计划](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-what-is.html)和[服务描述](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。
## AMS 高级操作计划
AMS Advanced 提供全生命周期服务,用于配置、运行和支持您的基础架构。除了 AMS Accelerate 提供的运营服务外,AMS Advanced 还包括其他服务,例如着陆区管理、基础设施变更和配置、访问管理和端点安全。
AMS Advanced 会部署一个着陆区,您可以将 AWS 工作负载迁移到该着陆区并获得 AMS 运营服务。我们的托管多账户登录区域预先配置了基础设施,以促进身份验证、安全、联网和日志记录。
AMS Advanced 还包括变更和访问管理系统,该系统通过防止未经授权的访问或对您的 AWS 基础设施进行风险更改来保护您的工作负载。客户需要使用我们的变更管理系统创建变更申请 (RFC),才能在您的 AMS Advanced 账户中实施大多数更改。您可以根据由我们的安全和运营团队预先审查的自动变更库进行创建 RFCs ,或者如果认为这些更改既安全又受到 AMS Advanced 支持,则可以申请手动更改,然后由我们的运营团队进行审查和实施。
AMS Advanced 还提供不同的功能 SLAs。有关更多信息,请参阅 [AWS Managed Services AMS 高级服务说明](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)。
# 开始使用 AWS Managed Services
有关开始使用多账户 landing z [one AMS 服务的详细信息,请参阅 AWS Managed Services 入门](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/og-intro.html)简介。这两份入门指南提供了服务的描述和需要考虑的问题,以帮助您入门。在 [AWS Managed Services 资源中查看功能](https://aws.amazon.com/managed-services/features/)集 [AWS Managed Services 功能和当前资源](https://aws.amazon.com/managed-services/resources/)。
# AMS 关键术语
+ *AMS Advanced:AMS 高级*文档的 “服务描述” 部分中描述的服务。参见[服务说明](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)。
+ *AMS 高级 AWS 账户*:始终符合 AMS 高级入职要求中所有要求的账户。有关 AMS Advanced 权益、案例研究以及联系销售人员的信息,请参阅 [AWS Managed Services](https://aws.amazon.com/managed-services/)。
+ *AMS 加速 AWS 账户*:始终满足 AMS 加速入职要求中所有要求的账户。请参阅 [AMS 加速入门](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html)。
+ *AWS Managed Services*:AMS 和/或 AMS 加速。
+ *AWS Managed Services 账户*:AMS 账户和/或 AMS Accelerate 账户。
+ *关键建议*: AWS 通过服务请求发布的建议,告知您必须采取行动来防范潜在的风险或资源中断或. AWS 服务如果您决定在指定日期之前不遵守关键建议,则您应对您的决定造成的任何损害承担全部责任。
+ *客户请求的配置:以下文件*中未标识的任何软件、服务或其他配置:
+ 加速:[支持的配置](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html#supported-configs)或 [AMS 加速;服务描述](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。
+ AMS 高级:[支持的配置](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#supported-configs)或 [AMS 高级;服务描述](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)。
+ *事件沟通*:AMS 通过在 AMS Accelerate 的 Support Center 和 AMS 控制台中创建的事件向您传达事件,或者您通过在 AMS Accelerate 的 AMS 控制台中创建的事件请求与 AMS 发生的事件。AMS Accelerate 控制台在控制面板上提供事件和服务请求摘要,并提供指向 Support Center 的链接以获取详细信息。
+ *托管环境*:由 AMS 运营的 AMS 高级账户和/或 AMS Accelerate 账户。
对于 AMS Advanced,这些账户包括多账户着陆区 (MALZ) 和单账户着陆区 (SALZ) 账户。
+ *账单开始日期*: AWS 收到您在 AWS Managed Services 入职电子邮件中要求的信息后的下一个工作日。AWS Managed Services 入职电子邮件是指向您发送的电子邮件, AWS 用于收集在您的账户上激活 AWS Managed Services 所需的信息。
对于您随后注册的账户,账单开始日期为 AWS Managed Services 为已注册账户发送 AWS Managed Services 激活通知后的第二天。AWS Managed Services 激活通知发生在以下情况下:
1. 您授予对兼容 AWS 账户的访问权限并将其移交给 AWS Managed Services。
1. AWS Managed Services 设计和建立 AWS 托管服务账户。
+ *服务终止*:您可以出于任何原因终止所有 AWS Managed Services 账户的 AWS Managed Services 账户的 AWS 托管服务,方法是通过服务请求提供至 AWS 少 30 天的通知。在服务终止日期,可以:
1. AWS 将所有 AWS Managed Services 账户或指定的 AWS Managed Services 账户(如果适用)的控制权移交给您,或者
1. 双方删除 AWS 允许从所有 AWS Managed Services 账户或指定的 AWS Managed Services 账户进行访问的 AWS Identity and Access Management 角色(如果适用)。
+ *服务终止日期*:服务终止日期是必需的 30 天终止通知期结束后的日历月的最后一天。如果必要的终止通知期限在日历月的第20天之后,则服务终止日期为下一个日历月的最后一天。以下是终止日期的示例方案。
+ 如果终止通知是在4月12日提供的,则为期30天的通知将于5月12日结束。服务终止日期为5月31日。
+ 如果在4月29日发出终止通知,则为期30天的通知将于5月29日结束。服务终止日期为 6 月 30 日。
+ *提供 AWS Manag AWS ed Services*:从服务开始之日起,您可以访问和使用每个 AWS 托管服务账户的 AWS 托管服务。
+ *终止指定的 AWS Managed Services 账户*:您可以出于任何原因终止指定 AWS Managed Services 账户的 AWS 托管服务,方法是通过服务请求(“AMS 账户终止申请”) AWS 发出通知。
**事件管理条款**:
+ *事件*:您的 AMS 环境发生了变化。
+ *警报*:每当来自支持的事件 AWS 服务 超过阈值并触发警报时,系统就会创建警报并将通知发送到您的联系人列表。此外,还会在您的事件列表中创建事件。
+ *事件*:您的 AMS 环境或 AWS Managed Services 的计划外中断或性能降级,导致影响,如 AWS Managed Services 或您所报告的那样。
+ *问题*:一个或多个事件的共同根本原因。
+ *事件解决*或*解决事件*:
+ AMS 已将与该事件相关的所有不可用 AMS 服务或资源恢复到可用状态,或者
+ AMS 已确定不可用的堆栈或资源无法恢复到可用状态,或者
+ AMS 已启动经您授权的基础设施恢复。
+ *事件响应时间*:创建事件与 AMS 通过控制台、电子邮件、服务中心或电话提供初始响应之间的时间差。
+ *事件解决时间*:AMS 或您创建事件与事件解决时间之间的时间差。
+ *事件优先级*:AMS 或您如何将事件的优先级分为 “低”、“中” 或 “高”。
+ *低*:您的 AMS 服务存在非严重问题。
+ *中*:您的托管环境中的 AWS 服务可用,但未按预期运行(根据适用的服务描述)。
+ *高*:(1) AMS 控制台或托管环境 APIs 中的一个或多个 AMS 不可用;或 (2) 托管环境中的一个或多个 AMS 堆栈或资源不可用,且不可用会使您的应用程序无法执行其功能。
AMS 可以根据上述指南对事件进行重新分类。
+ *基础设施恢复*:根据受影响堆栈的模板重新部署现有堆栈,并在无法解决事件时根据上次已知的还原点启动数据恢复,除非您另行指定。
**基础设施条款**:
+ *托管生产环境*:客户生产应用程序所在的客户帐户。
+ *托管的非生产环境*:仅包含非生产应用程序(例如用于开发和测试的应用程序)的客户帐户。
+ *AMS 堆栈*:由 AMS 作为一个单元管理的一组或多个 AWS 资源。
+ *不可变基础设施*:Amazon A EC2 uto Scaling 组 (ASGs) 的典型基础设施维护模式,在这种模式中 AWS,每次部署都会替换更新的基础设施组件(在 AMI 中),而不是就地更新。不可变基础架构的优势在于,所有组件都保持同步状态,因为它们总是从同一个基础生成的。不可变性独立于任何用于构建 AMI 的工具或工作流程。
+ *可变基础设施*:一种典型的基础设施维护模型,适用于不是 Amazon A EC2 uto Scaling 组且包含单个实例或仅包含几个实例的堆栈。该模型最接近于传统的、基于硬件的系统部署,即在系统生命周期开始时部署系统,然后随着时间的推移将更新分层到该系统上。系统的任何更新都将单独应用于实例,并且可能由于应用程序或系统重启而导致系统停机(取决于堆栈配置)。
+ *安全组*:您的实例的虚拟防火墙,用于控制入站和出站流量。安全组在实例级别运行,而不是子网级别。因此,您的 VPC 子网中的每个实例都可以为其分配一组不同的安全组。
+ *服务级别协议 (SLAs)*:与您签订的 AMS 合同的一部分,其中定义了预期的服务级别。
+ SLA *不可用和*不可*用*:
+ 您提交的导致错误的 API 请求。
+ 您提交的控制台请求生成 5xx HTTP 响应(服务器无法执行请求)。
+ 如Service Health Dashboard所示,在 AMS 管理的基础设施中构成堆栈或资源的任何 AWS 服务 产品都处于 “[服务](https://status.aws.amazon.com/)中断” 状态。
+ 在确定服务积分资格时,不考虑因AMS排除而直接或间接导致的不可用性。除非服务符合不可用标准,否则视为可用。
+ *服务级别目标 (SLOs)*:与您签订的 AMS 合同的一部分,其中定义了 AMS 服务的具体服务目标。
**修补条款**:
+ *强制补丁*:关键安全更新,用于解决可能危及您的环境或账户安全状态的问题。“关键安全更新” 是由 AMS 支持的操作系统的供应商评为 “严重” 的安全更新。
+ *已发布补丁与已发布*补丁:补丁通常按计划发布和发布。紧急补丁是在发现需要补丁时宣布的,通常不久之后,补丁就会发布。
+ *补丁附加组件*:针对 AMS 实例进行基于标签的修补,它利用 AWS Systems Manager (SSM) 功能,因此您可以使用基准和您配置的窗口标记实例并对这些实例进行修补。
+ *补丁方法*:
+ *就地修补*:通过更改现有实例完成的修补。
+ *AMI 替换补丁*:通过更改现有 A EC2 uto Scaling 组启动配置的 AMI 参考参数来完成的修补。
+ *补丁提供商*(操作系统供应商、第三方):补丁由应用程序的供应商或管理机构提供。
+ *补丁类型*:
+ *关键安全更新 (CSU)*:被支持的操作系统的供应商评为 “严重” 的安全更新。
+ *重要更新 (IU)*:被支持的操作系统的供应商评为 “重要” 的安全更新或评级为 “严重” 的非安全更新。
+ *其他更新 (OU)*:供应商对不是 CSU 或 IU 的支持的操作系统的更新。
+ *支持的补丁*:AMS 支持操作系统级补丁。供应商发布升级是为了修复安全漏洞或其他错误或提高性能。有关当前支持的列表 OSs,请参阅 Supp [ort 配置](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html#supported-configs)。
**安全条款**:
+ Det@@ *ective Contro* ls:由 AMS 创建或启用的监控器组成的库,用于持续监督客户托管的环境和工作负载,以发现与安全、运营或客户控制不一致的配置,并通过通知所有者、主动修改或终止资源来采取行动。
**服务请求条款**:
+ *服务请求*:您请求采取行动,希望 AMS 代表您采取行动。
+ *警报通知*:AMS 在触发 AMS 警报时在您的**服务请求**列表页面上发布的通知。为您的账户配置的联系人也会通过配置的方法(例如电子邮件)收到通知。如果您的实例/资源上有联系人标签,并且已同意您的云服务交付经理 (CSDM) 接收基于标签的通知,则还会通知标签中的联系人信息(密钥值)以获取自动的 AMS 警报。
+ *服务通知*:AMS 发布到您的**服务请求**列表页面的通知。
**其他术语**:
+ *AWS Managed Services 接口*:适用于 AMS:AWS Managed Services 高级控制台、AMS CM AP 支持 I 和 API。对于 AMS Accelerate: 支持 控制台和 支持 API。
+ *客户满意度 (CSAT)*:AMS CSAT 通过深入分析获得信息,包括每个案例或信件的案例信件评级(如果给出)、季度调查等。
+ *DevOps*: DevOps 是一种开发方法,强烈倡导在所有步骤上实现自动化和监控。 DevOps 旨在通过在自动化基础上整合传统上独立的开发和运营功能,缩短开发周期,提高部署频率和更可靠的发布。当开发人员可以管理运营,运营为开发提供信息时,问题和问题就会更快地发现和解决,业务目标也更容易实现。
+ *ITIL*:信息技术基础设施库(称为 ITIL)是一个 ITSM 框架,旨在标准化 IT 服务的生命周期。ITIL 分为五个阶段,涵盖了 IT 服务生命周期:服务策略、服务设计、服务过渡、服务运营和服务改进。
+ *IT 服务管理 (ITSM)*:一套让 IT 服务与您的业务需求保持一致的实践。
+ *托管监控服务 (MMS)*:AMS 运营自己的监控系统,即托管监控服务 (MMS),该系统使用 AWS 健康事件并汇总亚马逊数据 AWS 服务和其他数据,将通过 CloudWatch 亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题创建的任何警报通知AMS操作员(全天候在线)。
+ *命名空间*:在创建 IAM 策略或使用 Amazon 资源名称 (ARNs) 时,您可以使用命名空间来识别。 AWS 服务 您可以使用命名空间来标识操作和资源。
# 服务描述
AMS Advanced (AMS) 是 AWS Managed Services 服务的一项运营计划,用于管理您的 AWS 基础设施的运营。AMS Advanced 提供日常基础设施操作,例如补丁、连续性管理、安全管理,以及 IT 管理流程,例如事件、变更和服务请求管理。有关支持的服务的列表,请参阅 [支持的 AWS 服务](supported-services.md)。
**YouTube 视频**:[AMS 如何帮助我在云端实现卓越运营?](https://youtu.be/wpfPthp3tw8)
**Topics**
+ [AWS Managed Services (AMS) AMS 高级运营计划功能](features.md)
+ [我们做什么,不做什么](ams-do-not-do.md)
+ [AMS 责任矩阵 (RACI)](raci-table.md)
+ [AMS 环境基本组件](basic-components.md)
+ [AMS 账户限额](account-limits.md)
+ [AMS 服务级别目标 (SLOs)](apx-slo.md)
+ [支持的 AWS 服务](supported-services.md)
+ [支持的配置](supported-configs.md)
+ [适用于 AMS 中不支持的操作系统的功能](ams-unsupported-os.md)
+ [AMS 高级接口](ams-interfaces.md)
+ [AMS VPC 终端节点](ams-endpoints.md)
+ [AMS 保护的命名空间](apx-namespaces.md)
+ [AMS 保留的前缀](ams-reserved-prefixes-2.md)
+ [AMS 维护窗口](maintenance-win.md)
# AWS Managed Services (AMS) AMS 高级运营计划功能
AMS Advanced 为支持的 AWS 服务提供以下功能:
+ **记录、监控、防护和事件管理**:
AMS 配置和监控您的托管环境以记录活动,并根据各种运行状况检查定义警报。AMS 会针对适用的 AWS 服务对警报进行调查,对您使用这些服务产生负面影响的警报会导致事件的产生。AMS 汇总并存储在、中执行所有操作后生成的所有日志 CloudWatch CloudTrail,并将系统日志存储在 Amazon S3 中。您可以要求设置其他警报。除了 AMS 的预防性控制措施外,AMS 还部署了配置护栏和侦测控件,以持续保护您免受可能降低托管账户运营和安全完整性的错误配置的影响,从而加强您的控制措施,例如标记和合规性。当检测到受监控的控件时,会生成警报,根据您可以修改的预定义的 AMS 默认值发出通知、修改或终止资源。
+ **连续性管理**(Backup and Restore):
AMS 使用标准的现有 AWS Backup 功能按您确定的计划间隔提供资源备份。AMS 可使用您的 RFC 执行从特定快照中恢复操作。在快照间隔之间发生的数据更改由您负责备份。您可以为计划间隔之外的备份或快照请求提交 RFC。如果某个 AWS 区域的可用区 (AZ) 不可用,在您允许的情况下,AMS 会根据模板和受影响堆栈的可用的 EBS 快照重新创建新的堆栈,从而恢复托管环境。
+ **安全和访问管理**:
AMS 提供端点安全 (EPS),例如配置防病毒和防恶意软件保护。您也可以使用自己的 EPS 工具和流程,而不是使用名为 “自带 EPS (BYOEPS)” 的功能将 AMS 用于 EPS。AMS 还会配置您在入职期间批准的默认 AWS 安全功能,例如 AWS Identity and Access Management (IAM) 角色和亚马逊 EC2 安全组,并使用标准 AWS 工具(例如 Amazon Macie AWS Security Hub CSPM、Amaz GuardDuty on)来监控和响应安全问题。您可以通过您提供的经批准的目录服务来管理您的用户。有关批准的目录服务的列表,请参阅[支持的配置](supported-configs.md)。
AMS 包括端点安全 (EPS)(包括防病毒 (AV))和反恶意软件保护、恶意软件和入侵检测(趋势科技)。安全组是根据堆栈模板定义的,并在启动时根据应用程序(公共/私有)安全组的可见性进行修改。
通过变更管理变更请求(RFCs)来请求访问系统。访问管理提供对不同资源的访问权限,例如 Amazon EC2 实例 AWS 管理控制台、和 APIs。在入职和联合到 AWS 期间与 AMS Microsoft Active Directory 部署建立单向信任后,您可以使用现有的公司证书进行所有互动。
+ **补丁管理**:
AMS 会为支持的操作系统 (OSs) 和预先安装有支持的操作系统的软件的 EC2 实例应用和安装更新。有关支持的操作系统的列表,请参阅[支持的配置](supported-configs.md)。
AMS 提供两种修补模式:
+ AMS 标准补丁,用于传统的基于账户的修补,以及
+ AMS Patch Orchestrator,用于基于标签的修补。
在 AMS 标准补丁中,您可以选择每月维护时段,让 AMS 执行大多数修补活动。AMS 在选定的维护时段之外应用*关键安全更新*(带有相应的通知),并在选定的维护时段内应用*重要更新*。AMS 还会在选定的维护时段内对基础设施管理工具进行更新。如果需要,您可以将堆栈从补丁管理中排除或拒绝更新。
使用 AMS Patch Orchestrator,每个账户的默认维护窗口由您定义,让 AMS 执行修补活动。您可以为 AMS 安排额外的自定义维护时段,以便使用标签修补您定义的一组特定实例。AMS 会应用所有可用更新,但您可以通过创建自定义补丁基准来筛选或拒绝更新。对于这两种型号,如果您批准或拒绝补丁管理下提供的更新,但后来改变了主意,则您有责任通过 RFC 启动更新。AMS 会跟踪资源的补丁状态,并在月度业务评估中重点介绍不是最新的系统。补丁管理仅限于托管环境中的堆栈,包括所有 AMS 托管应用程序和具有修补功能的支持 AWS 服务(例如 RDS)。为了在发布更新时支持所有类型的基础设施配置,AMS a) 更新 EC2 实例,b) 提供更新后的 AMS AMI 供您使用。您有责任安装、配置、修补和监控上面未具体介绍的任何其他应用程序。
+ **变更管理**:
AMS 变更管理是您控制托管环境中变更的机制。AMS 结合使用预防和检测控制来简化这一过程,并根据所选的 AMS 模式提供不同的控制级别和相关风险。
您的 AMS 环境中的所有操作都已登录 AWS CloudTrail。
有关 AMS 变更管理和不同模式的更多信息,请参阅 [AMS 变更管理指南](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html)和 [AMS 模式](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes-ug.html)。
+ **自动化和自助式资源调配管理**:
您可以通过多种方式在 AMS Advanced 上配置 AWS 资源:
+ 提交配置和配置更改请求 (RFCs)
+ 通过 AWS 服务目录进行部署
+ 通过 “[直接更改” 模式](https://docs.aws.amazon.com/managedservices/latest/userguide/direct-change-mode.html)部署
+ 通过[开发者模式](https://docs.aws.amazon.com/managedservices/latest/userguide/developer-mode.html)部署。请记住,通过开发者模式创建的资源不由 AMS 管理。
+ 使用精选服务的自助配置直接配置 AWS 服务 AWS 服务 (参见[支持的 AWS 服务](supported-services.md))。
+ **事件管理**:
AMS 会主动通知您 AMS 检测到的事件。AMS 会对客户提交的事件和 AMS 生成的事件做出回应,并根据事件优先级解决事件。除非您另有指示,否则 AMS 认定对您的托管环境安全构成风险的事件以及与 AMS 和其他 AWS 服务可用性有关的事件,均会主动采取行动。获得您的授权后,AMS 会对所有其他事件采取行动。问题管理流程可以解决反复出现的事件。
+ **问题管理**:
AMS 进行趋势分析以识别和调查问题并确定根本原因。问题可以通过变通方法或永久解决方案进行修复,以防止将来再次出现类似的 future 服务影响。任何 “高” 事件一经解决,均可要求提供事后报告 (PIR)。PIR捕捉了根本原因和采取的预防措施,包括预防措施的实施。
+ **报告**:
AMS 为您提供月度服务报告,其中汇总了 AMS 的关键绩效指标,包括执行摘要和见解、运营指标、托管资源、AMS 服务水平协议 (SLA) 遵守情况,以及有关支出、节省和成本优化的财务指标。报告由分配给您的 AMS 云服务交付经理 (CSDM) 交付。
+ **服务请求管理**:
要请求有关您的托管环境、AMS 或 AWS 服务产品的信息,请使用 AMS 控制台提交服务请求。您可以提交服务申请,询问有关 AWS 服务和功能的 “操作方法” 问题,也可以申请其他 AMS 服务。
+ **服务台**:
AMS 为工程运营配备全职亚马逊员工,以满足非自动化的请求,包括事件管理、服务请求管理和变更管理。服务台每年 365 天全天候运营。
+ **指定资源**:
为每位客户分配一名云服务交付经理 (CSDM) 和一名云架构师 (CA)。
+ CSDMs 可以直接联系。他们在实施、迁移和运营生命周期的所有阶段进行服务审查、交付报告和见解。 CSDMs 每月进行业务审查,并详细说明财务支出、成本节约建议、服务利用率和风险报告等项目。他们深入研究运营绩效统计数据,并就需要改进的领域提供建议。
+ CAs 可以直接联系并提供技术专业知识来帮助您优化 AWS 云的使用。CA 活动示例,包括:选择要迁移的工作负载,协助新增账户和工作负载,在游戏日、灾难恢复测试、问题管理等运营活动中担任技术主管,以及充分利用 AMS 的技术建议。 AWS CAs 推动组织各个层面的技术讨论,并协助进行事件管理、权衡取舍、建立最佳实践和技术风险缓解。
+ **开发者模式**:
此功能允许您直接访问 AWS 服务 APIs 和 AWS 控制台以及访问 AMS 变更管理流程,从而使您能够在 AMS 配置的账户 [1] 中快速迭代基础设施设计和部署。在变更管理流程之外配置或配置了开发者模式权限的资源由您负责管理(请参阅 “自动和自助配置管理”)。与 AMS 上的其他变更管理配置的工作负载一样,支持通过 AMS 变更管理流程配置的资源。
+ **AWS 支持**:
AMS 客户可以选择他们需要的 AWS Support 级别来补充其 AMS 运营计划。在 AMS 注册的账户可以订阅 Business Support 或企业支持。要了解支持计划的区别,请参阅 [AWS Support 计划](https://aws.amazon.com/premiumsupport/plans/)。
+ **客户管理的账户**:
此功能使您能够在同一个托管环境中申请 AWS 账户,但这些账户中工作负载和 AWS 资源的持续操作则由您负责。AMS 会提供客户管理的账户,但是一旦创建了账户,就不会向这些账户提供其他 AMS 功能或服务。AWS 不会在企业级高级支持中注册客户管理账户。您有责任按照您选择的支持费率在 AWS Support 中注册客户管理的账户。
+ **防火墙管理**:
AMS 为支持的防火墙服务提供了可选的托管防火墙解决方案,该解决方案允许对托管环境中的网络进行互联网流量过滤。这不包括不使用 AWS 网络基础设施且其流量直接流向互联网的面向公众的服务。该解决方案将业界领先的防火墙技术与 AMS 基础设施管理功能相结合,用于部署、监控、管理、扩展和恢复防火墙基础架构。
当您加入 AMS 时,您会收到 AMS 网络基础设施的完整列表。要随时获取为支持 AMS 基础设施而运行的服务的最新列表,请提交服务请求,详细说明您想要的信息。要请求更改您的网络设计,请创建服务请求,描述您要进行的更改,例如,添加 VPC 或请求更改安全组规则。
# 我们做什么,不做什么
AMS 为您提供部署 AWS 基础设施的标准化方法,并提供必要的持续运营管理。有关角色、职责和支持的服务的完整描述,请参阅[服务描述](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)。
**注意**
要请求 AMS 提供其他 AWS 服务,请提交服务请求。有关更多信息,请参阅[提出服务请求](https://docs.aws.amazon.com/managedservices/latest/userguide/mk-service-requests.html)。
+ **我们做什么**:
完成入职后,AMS 环境可以接收变更请求 (RFCs)、事件和服务请求。您与 AMS 服务的交互围绕着应用程序堆栈的生命周期。新堆栈是从预先配置的模板列表中订购的,启动到特定的虚拟私有云 (VPC) 子网,在运行期间通过更改请求 (RFCs) 对其进行修改,并全天候监控事件和事件。
主动应用程序堆栈由 AMS 监控和维护,包括修补,除非需要更改或堆栈已停用,否则在堆栈的生命周期内无需采取任何进一步的操作。AMS 检测到的影响堆栈运行状况和功能的事件会生成通知,可能需要也可能不需要您采取措施来解决或验证。可以通过提交服务请求来提出操作方法问题和其他查询。
此外,AMS 还允许您启用不由 AMS 管理的兼容 AWS 服务。有关兼容 AWS-AMS 的服务的信息,请参阅[自助服务配置模式](https://docs.aws.amazon.com/managedservices/latest/userguide/setting-up-compatible.html)。
+ **我们不做什么**:
虽然 AMS 通过提供许多手动和自动选项来简化应用程序部署,但您需要负责应用程序的开发、测试、更新和管理。AMS 为影响应用程序的基础设施问题提供故障排除帮助,但 AMS 无法访问或验证您的应用程序配置。
# AMS 责任矩阵 (RACI)
**注意**
为了及时履行其义务,AWS Managed Services (AMS) 可能需要您提供意见,以决定适当的行动方案。AMS 将联系指定的客户联系人,了解所有此类说明和意见。AMS 预计会在 24 个工作小时内回复此类询问。如果 24 个工作小时内没有回复,AMS 可能会代表您选择采取行动。
负责任、负责、咨询和知情的 AMS(RACI)矩阵将各种活动的主要责任分配给客户或 AMS。
AMS 管理您的 AWS 基础设施。下表概述了在 AMS 托管环境中运行的应用程序生命周期中客户和 AMS 的责任。
AMS 对客户管理账户或其内运行的基础设施的以下任何活动概不负责;因此,本 RACI 不适用。
+ **R** 代表负责任的一方,负责完成任务。
+ **C** 代表咨询;征求意见的当事方,通常是作为主题专家征求意见的当事方;并与之进行双边沟通。
+ **我**代表知情;一个通报进展情况的当事方,通常只有在任务或可交付成果完成后才会被告知。
+ **自助服务配置**是指客户通过 AWS API 或控制台通过自助服务配置的资源,包括开发人员模式和自助配置服务。
**注意**
有些部分包含针对 AMS 和客户的 “R”。这是因为,在责任 AWS 共担模式中,AMS 和客户共同拥有应对基础设施和应用程序问题的所有权。
为了提供自助服务配置功能,AMS 创建了具有权限界限的提升的 IAM 角色,以限制直接访问 AWS 服务的意外更改。角色并不能阻止所有变更,您有责任遵守内部控制和合规性,并验证所使用的所有 AWS 服务是否符合所需的认证。我们称之为自助服务配置模式。有关 AWS 合规性要求的详细信息,请参阅[AWS 合规性](https://aws.amazon.com/compliance/)。
对于您通过自助服务配置的资源,AMS 通过服务请求提供事件管理、侦探控制和护栏、报告、指定资源(云服务交付经理和云架构师)、安全和访问以及技术支持。此外,在适用的情况下,您负责在 AMS 变更管理系统之外配置或配置的资源的连续性管理、补丁管理、基础设施监控和变更管理。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/raci-table.html)
8 AMS EC2 仅 AMIs 适用于亚马逊
9 OSes 只有当客户与操作系统供应商签署延长支持协议时,AMS 才对生命周期终止负责
# AMS 环境基本组件
------
#### [ Multi-Account Landing Zone ]
这是对核心账户中基础设施的组成部分和潜在成本的估计。这不包括其他费用,例如带宽、 CloudWatch 详细监控、记录、警报、Route53、Amazon S3、Simple Notification Service、快照或亚马逊预留实例。 EC2
您需要为 AMS 管理的 AWS landing zone 基础设施所需的组件付费。据估计,普通的 AMS 多账户 landing zone 环境的费用为每月 2,450 美元,普通应用程序账户的费用为 50 美元。
有关定价的信息,请参阅 [AWS 定价](https://aws.amazon.com/pricing/)。
**基本环境组件**
| 组件 | 东部时间 成本 | 说明 |
| --- | --- | --- |
| 管理账户 | 60 美元 | AWS Organizations 管理账户;创建成员账户并对其进行财务管理。它包含 AWS 着陆区 (ALZ) 框架、账户配置堆栈集和 AWS 组织服务控制策略 (SCPs)。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
| 共享服务账户 | 2000 美元 | 包含访问管理(即 Active Directory)、端点安全管理(趋势科技)和堡垒(SSH/RDP)所需的基础设施和资源;估计为每月 2400 美元。此估算值不包括趋势科技许可证的费用。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
| 社交账号 | 350 美元 | 在 AMS 账户、您的本地网络和互联网出口流量之间进行网络路由的中心枢纽。此外,还包含公共 DMZ 堡垒(AMS 工程师访问您的 AMS 环境中主机的入口点)。价格可能会上涨,具体取决于通过 Transit Gateway 和 Direct Connect 的流量。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
| 日志存档账户 | 20 美元 | 一个 S3 存储桶,其中包含来自您的每个 AMS 环境账户的 AWS CloudTrail 和 AWS Config 日志文件的副本。收集的日志越多,成本就会增加。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
| 安全账户 | 20 美元 | 安全相关操作的中心枢纽,也是向 AMS 控制飞机服务发送通知和警报的主要点。此外,还有 Amazon Guard 值班管理账户。随着使用 Amazon 分析更多事件,成本也会增加 GuardDuty。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/basic-components.html) |
------
#### [ Single-Account Landing Zone ]
下表列出了 AMS 管理的示例基础设施的组件。
**基本环境组件,最后更新时间 2020/07/09**
| 名称 | 实例类型 | OS | 组件数量 |
| --- | --- | --- | --- |
| mc-eps-dsm | m5.large | Linux | 2 |
| mc-管理层 | m5.large | Windows | 2 |
| mc-bastion-dmz-ssh | m5.large | Linux | 2 |
| mc-bastion-customer-rdp | m5.large | Windows | 2 |
| mc-eps-relay | m5.large | Linux | 2 |
| 目录服务 | 不适用 | 不适用 | |
| 其他组件 | 不适用 | 不适用 | |
有关定价的信息,请参阅 [AWS 定价](https://aws.amazon.com/pricing/)。
------
# AMS 账户限额
AMS 多账户着陆区内有三种不同类型的限制需要考虑:AMS API 限制、AMS 资源限制和 AWS 限制。
AMS 单账户着陆区内有两种不同类型的限制需要考虑:AMS API 限制和 AWS 限制。
## AMS 账户 API 限制
本节介绍账户级别限制,超过该限制后 AWS Managed Services (AMS) 会限制 AMS SKMS API 服务。这意味着,如果您在一秒钟内拨打列出的电话 APIs 超过 10 次,则其中一个呼叫被 “限制”(您会收到)。`ThrottleException`在极少数情况下,外部或下游依赖关系可能会限制 AMS API,然后 AMS 可能会以可能更低的速率限制您的 API 调用。
**注意**
有关 AMS SKMS API 的信息,请通过 AWS Artifact 控制台的 “**报告**” 选项卡下载参考资料。
对于列出的每个 AMS SKMS API,该操作在 10 TPS(每秒交易量)后会受到限制:
+ `GetStack`
+ `GetSubnet`
+ `GetVpc`
+ `ListAmis`
+ `ListStackSummaries`
+ `ListSubnetSummaries`
+ `ListVpcSummaries`
## AMS 多账户 landing zone 账户资源限制
账户资源限制与 AMS 多账户 landing zone 应用程序账户 VPCs 和子网有关。
### 应用程序账户资源限制
每个组织有 50 个应用程序帐户的软限制。如果您有超过 50 个应用程序帐户的用例,请联系您的云服务交付经理 (CSDM),转达您的需求。
### VPCs 和子网资源限制
在为该组织预定义的 AWS 区域内, VPCs 每个应用程序账户的软限制为 10 个。
每个 VPC 可能有 1 到 10 个私有子网层,跨越 2 到 3 个可用区。此外,每个 VPC 可能有 0 到 5 个公有子网层,跨越 2 到 3 个可用区。如果您的要求超出这些限制,请通知您的 CSDM 或云架构师查看您的用例。
### AMS 多账户 landing zone 申请与账户比例
AMS 多账户着陆区支持每个应用程序一个账户;但是,每个应用程序账户的费用很小,您需要为每小时与 Transit Gateway 的连接次数以及流经 AWS Transit Gateway的流量收费。因此,账户中隔离的应用程序越多 VPCs,或者成本就越高。
为了降低成本并同时确保适当的职责分工,AMS 建议您 1) 按业务流程紧密耦合的团队对应用程序进行分组,以及 2) 不要混合处于不同阶段(生产与非生产)或由不同团队管理的应用程序。这样,您将拥有更少的帐户,访问管理和职责分工将更加容易,并且可以降低流量成本。
例如:一家企业在生产中有一个交易应用程序和一个投资组合管理应用程序,这两个应用程序都由投资IT团队管理,并且相互交换大量流量。在这种情况下,公司可以从将两个应用程序分组到同一个账户和同一个 VPC 中受益,因为投资 IT 团队不必请求访问多个应用程序账户,而且公司将节省流量成本。在这种情况下,公司应为处于开发阶段的相同应用程序创建另一个帐户,并向开发团队提供访问权限。
在另一种情况下,企业在生产中有一个薪资应用程序和一个会计应用程序,分别由人力资源 IT 和会计 IT 团队管理。尽管工资单应用程序必须与会计应用程序交换信息,但我们建议将两个应用程序分成不同的帐户,每个团队一个,并 VPCs 使用网络帐户在两个应用程序之间建立连接。通过这种方式,公司将防止人力资源IT团队请求更改影响会计应用程序基础架构,而他们对此一无所知。
有关如何将帐户分组为组织单位的提示(OUs)。OU 是一种逻辑分组机制,使您能够对帐户进行分类(分组),并根据这些组对帐户应用策略和配置。建议的创建方法 OUs 是将它们建立在需要应用于特定账户组的策略的基础上,而不是基于报告结构中团队的内部层次结构。OU 不等同于 Active Directory 的 OU,因此不鼓励尝试在中复制 AD OU 结构, AWS Organizations 这会导致 and/or 操作结构难以维护。
## AWS 账户限制
AWS 账户限制适用于您的 AWS Managed Services (AMS) 账户。确定 AWS 服务默认和当前限制的最简单方法是利用 S [AWS ervice Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。AMS 建议将单个服务限制调整到适当的大小,以便在账户中运行服务。限额就像护栏一样,可以保护您的账户安全并降低逃跑成本。如果您想提高具体限额,请向 AMS 提交服务申请,AMS Operations 将代表您提高限额。例如,RDS 实例的默认限制(或配额)为 40;如果您的工作负载需要 50 个 RDS 实例,请向 AMS Operations 提出服务请求,将限制提高到所需的值。
# AMS 服务级别目标 (SLOs)
下表描述了 AWS Managed Services (AMS) 服务的目标。AMS 服务其他方面(包括事件管理SLAs)的服务等级协议 () 包含在您订阅 AMS 时与您共享的 SLA 文档中。如需更多信息,请咨询您的 CSDM。
**AMS 服务级别目标**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/apx-slo.html)
# 支持的 AWS 服务
AWS Managed Services (AMS) 为以下服务提供运营管理支持 AWS 服务。每种 AWS 服务都是不同的,因此,AMS的运营管理和支持水平因基础 AWS 服务的性质和特征而异。根据AMS提供的运营管理支持 AWS 服务的复杂性和范围对特定服务进行分组。
**注意**
在2021年3月16日之前,根据支持计划(Plus或Premium),A、B和C这三个组表示了AMS客户的定价占每个账户每月总支出的百分比。2021 年 3 月 16 日之后加入的 AMS 客户应提交服务申请以获取更多定价信息。A 组表示不收取额外费用。B 组表示额外收费 12%(增值)或 18%(高级版)。C 组表示额外收费 25%(加价)或 42%(高级版)。
一颗星 (\$1) 表示客户使用 AWS 控制台和,在 AMS 托管环境中部署的服务 APIs。有关以这种方式调配和配置服务时客户责任[AWS Managed Services (AMS) AMS 高级运营计划功能](features.md)的更多详细信息,请参阅中的 “自动和自助配置管理”。
两颗星 (\$1\$1) 表示 Amaz EC2 on on AWS Outposts 将按照 B 组服务计费;托管的所有其他资源 AWS Outposts 将按其标准费率计费。
**支持的 AWS 服务**
| A 组 | B 组 | C 组 |
| --- | --- | --- |
| Amazon Alexa for Business*
Amazon Managed Streaming for Apache Kafka*
Amazon CloudFront
Amazon Elastic File System
Amazon Glacier
Amazon Simple Storage Service
AWS Amplify*
AWS AppMesh*
AWS Auto Scaling
AWS Backup
AWS CloudFormation
AWS Compute Optimizer
AWS Global Accelerator*
AWS Identity and Access Management
AWS License Manager*
AWS Management Console
AWS Marketplace
AWS Lake Formation*
AWS Well Architected Tool*
VM Import/ Export*
| Amazon API Gateway*
Amazon AppStream*
Amazon Athena*
Amazon Bedrock*
Amazon CloudSearch*
Amazon Cognito*
Amazon Comprehend*
Amazon Connect*
Amazon Document DB (with MongoDB compatibility)*
Amazon DynamoDB*
Amazon EC2 Container Registry (ECR)*
Amazon Elastic Container Service (ECS) on AWS Fargate*
Amazon Elastic Kubernetes Service (EKS) on Fargate*
Amazon Elemental MediaConvert*
Amazon Elemental MediaPackage*
Amazon Elemental MediaStore*
Amazon Elemental MediaTailor*
Amazon Elastic MapReduce*
AmazonEventBridge*
Amazon Forecast*
Amazon FSx*
Amazon Inspector*
Amazon Kendra*
Amazon Kinesis Analytics*
Amazon Kinesis Data Stream*
Amazon Kinesis Firehose*
Amazon Kinesis Video Streams*
Amazon Lex*
Amazon Managed Service for Prometheus*
Amazon MQ*
Amazon Personalize**
Amazon Quantum Ledger Database (QLDB)*
Amazon QuickSight*
Amazon Rekognition*
Amazon SageMaker*
Amazon SimpleDB*
Amazon Simple Workflow*
Amazon Textract*
Amazon Transcribe*
Amazon Translate*
Amazon WorkSpaces*
AWS AppSync*
AWS Audit Manager*
AWS Batch*
AWS Certificate Manager*
AWS CloudEndure*
AWS CloudHSM*
AWS CodeBuild*
AWS CodeCommit*
AWS CodeDeploy*
AWS CodePipeline*
AWS DataSync*
AWS Elemental MediaLive*
AWS Glue*
AWS Lambda*
AWS MigrationHub*
AWS Outposts**
AWS Resilience Hub*
AWS Secrets Manager*
AWS Security Hub*
AWS Service Catalog
AWS Service Catalog AppRegistry*
AWS Transfer for SFTP*
AWS Shield*
AWS Snowball*
AWS Step Functions*
AWS Transit Gateway*
AWS WAF*
AWS X-Ray*
| Amazon Aurora
Amazon CloudWatch
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud**
Amazon Elastic Load Balancing (classic, application, and network; not gateway)
Amazon ElastiCache
Amazon OpenSearch Service
Amazon GuardDuty
Amazon Macie
Amazon Redshift
Amazon Relational Database Service
Amazon Route 53
Amazon Route 53 Resolver DNS Firewall
Amazon Simple Email Service
Amazon Simple Notification Service
Amazon Simple Queue Service
Amazon Virtual Private Cloud (VPC)
AWS CloudTrail
AWS Config
AWS Database Migration Service
AWS Data Transfer
AWS Direct Connect
AWS Directory Service
AWS Key Management Service
AWS Systems Manager (SSM)
|
如果您请求 AWS Managed Services 为下文未明确确定为支持的软件或服务提供服务,则根据服务条款,为此类客户请求的配置提供的任何 AWS 托管服务都将被视为 “测试版服务”。
# 支持的配置
以下是 AWS Managed Services (AMS) 支持的配置:
+ 语言:AMS 提供英语版本。
+ 防火墙服务:
+ 亚马逊 Route 53 解析器 DNS 防火墙
+ Palo Alto VM 系列下一代防火墙
+ 安全软件:趋势科技提供的趋势科技服务器深度安全防护系统(必需)。 AWS Marketplace: [趋势科技深度安全防护系统](https://aws.amazon.com/marketplace/pp/B01AVYHVHO?ref_=srh_res_product_title)
+ 批准的目录服务:微软 Active Directory (AD)
+ [支持的 AWS 服务](supported-services.md).
+ 支持的 AWS 区域:
AMS 仅在 “美国东部(弗吉尼亚北部)” AWS 地区运营;但是,AMS 仅 API/CLI 在 “美国东部(弗吉尼亚北部)” 地区运营。如果您在非美国东部地区运行 AMS 变更管理 API (`amscm`) 或 AMS 服务知识管理 API (`amsskms)`),则必须`--region us-east-1`向命令中添加内容。
+ 美国东部(弗吉尼亚)
+ 美国西部(加利福尼亚北部)
+ 美国西部(俄勒冈州)
+ 美国东部(俄亥俄州)
+ 加拿大(中部)
+ 南美洲(圣保罗)
+ 欧洲(爱尔兰)
+ 欧洲(法兰克福)
+ 欧洲(伦敦)
+ 欧盟西部(巴黎)
+ 亚太地区(孟买)
+ 亚太地区(首尔)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 亚太地区(东京)
+ Amazon 机器映像 (AMIs):AMS 根据 CIS 1 级基准为 AMS 支持的部分操作系统提供安全增强映像 (AMIs)。要查找具有安全增强镜像的操作系统,请参阅 *AMS 安全用户指南*。要访问本指南,请在中 AWS Artifact筛选 AWS Managed Services 的 “**报告**” 选项卡。要进行访问 AWS Artifact,请联系您的 CSDM 或参阅 “[AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)”。
+ 支持的操作系统:
**支持的操作系统 (x86-64)**
+ Amazon Linux 2023
+ 亚马逊 Linux 2(**预计 AMS 支持截止日期为 2026 年 6 月 30 日**)
+ 甲骨文 Linux 9.x、8.x
+ 红帽企业 Linux (RHEL) 9.x、8.x
+ SUSE Linux 企业服务器 15 SP6
+ 适用于 SAP 15 SP3 及更高版本的 SUSE Linux 企业服务器
+ 微软 Windows Server 2022、2019、2016
+ Ubuntu 20.04、22.04、24.04
**支持的操作系统 (ARM64)**
+ Amazon Linux 2023
+ 亚马逊 Linux 2(**预计 AMS 支持截止日期为 2026 年 6 月 30 日**)
+ 支持的终止支持 (EOS) 操作系统:
**注意**
End of Support (EOS) 操作系统不在操作系统制造商的一般支持期内,因此安全风险增加。只有当 AMS 要求的代理支持操作系统并且... 时,EOS 操作系统才被视为支持的配置
您已获得操作系统供应商的扩展支持,允许您接收更新,或者
任何使用 EOS 操作系统的实例都要遵守 AMS 在高级用户指南中指定的[安全控制措施](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html#CritRec),或者
您遵守 AMS 要求的任何其他补偿性安全控制措施。
如果 AMS 无法再支持 EOS 操作系统,AMS 会发布升级操作系统的[关键建议](https://docs.aws.amazon.com/managedservices/latest/userguide/key-terms.html#CritRec)。
AMS 所需的代理可能包括但不限于: CloudWatch、 AWS Systems Manager亚马逊、端点安全 (EPS) 代理和 Active Directory (AD) Bridge(仅限 Linux)。
+ Ubuntu Linux 18.04
+ SUSE Linux 企业服务器 15 SP3 SP4、和 SP5
+ 适用于 SAP 的 SUSE Linux 企业服务器 15 SP2
+ SUSE Linux 企业服务器 12 SP5
+ 适用于 SAP 的 SUSE Linux 企业服务 12 SP5
+ 微软 Windows Server 2012/2012 R2
+ 红帽企业 Linux (RHEL): 7.x
+ 甲骨文 Linux 7.5-7.9
# 适用于 AMS 中不支持的操作系统的功能
*不支持的操作系统是指未*在中列出的任何操作系统。[支持的配置](supported-configs.md)AMS 将操作系统不支持的实例视为 “客户请求的配置”,受测试版[和预览版服务AWS 条款的](https://aws.amazon.com/service-terms/#2._Betas_and_Previews)约束。
以下有限的 AMS 功能适用于操作系统不支持的实例:
| **功能** | **备注** |
| --- | --- |
| 事件管理 | AMS 提供事件响应。 |
| 服务请求管理 | AMS 会对服务请求做出回应。 |
| 变更申请 (RFCs) | AMS 会评估 RFCs 执行情况。不支持的操作系统可能会影响执行 RFCs能力。 |
| 监控 | AMS 监控并响应 Amazon EC2 系统状态检查和实例状态检查。系统状态检查包括:网络连接中断、系统电源中断、物理主机上的软件问题以及影响网络可访问性的物理主机上的硬件问题。 实例状态检查包括:网络或启动配置不正确、内存耗尽、文件系统损坏以及内核不兼容。 |
| 安全管理 | AMS 会监控并回应 Amazon 的 EC2 [GuardDuty 调查结果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html)。 |
| 备份管理 | AMS 在 AMS [Advanced 中为 EC2 使用 AMS 定制的 AWS Backup 计划和保管库提供连续性管理](https://docs.aws.amazon.com/managedservices/latest/userguide/continuity-mgmt.html)。 |
# AMS 高级接口
+ *AMS Advanced 控制台*:您可以使用 AMS Advanced 控制台创建 RFCs、报告和响应事件、提出服务请求以及查找有关现有堆栈 VPCs 和堆栈的信息。如果不确定该怎么做,或者需要有关 AMS 或托管资源的帮助,请使用此界面创建服务请求。
+ *AWS 管理控制台*:许多 AWS 控制台都可用于查看 AMS 信息,例如:
+ *亚马逊 EC2 控制台*:用于查看实例信息,包括堡垒 IP 地址、Amazon A EC2 uto Scaling 组和负载均衡器。
+ *多账户着陆区 AWS Config 规则合规性*:您可以查看各个账户的合规状态并识别不合规的资源。
+ *AWS CloudFormation 控制台*:用于查看堆栈信息,包括堆栈 IDs (您可以 IDs 在此处找到 Amazon RDS 堆栈和 Amazon RDS 实例,以及事件信息)。
+ *Amazon RDS 控制台*:用于查看事件信息,例如在您账户的网站上向 WordPress 应用程序发布的帖子。请注意,您必须拥有 Amazon RDS 实例 ID。
根据您的登录角色模式,您对 AWS 管理控制台的访问权限会有所不同。有关模式的更多信息,请参阅 [AMS 模式](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-modes.html)。
+ *AMS 高级变更管理 API* — 读/写:使用变更管理 API (CM API) 请求对托管基础设施进行添加和特定更改,包括资源监控、日志、备份和补丁配置。此外,使用此 API 请求访问资源、删除资源 AMIs、创建和创建 IAM 实例配置文件。您可以通过 AMS CLI 访问 CM API 和 SDKs。
+ *AMS SKMS API* — 只读:使用此 API 列出托管资源并获取报告或准备变更请求所需的信息。
+ *支持 API*:使用标准 支持 API 以编程方式创建和响应事件和服务请求。要了解更多信息,请参阅[入门 支持](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)。
+ *AWS APIs*— 只读:您的主要 IT 管理员可以使用查看管理的所有资源、查看 CloudTrail 日志、账单信息以及许多其他读取功能。 AWS APIs
# AMS VPC 终端节点
VPC 终端节点允许您私密连接您的 VPC, AWS 服务 而无需互联网网关。VPC 中的实例无需公有 IP 地址便可与服务中的资源通信。
终端节点是虚拟设备。这些是水平扩展、冗余且具备高可用性的 VPC 组件,通过使用这些组件,可以在 VPC 中的实例与服务之间进行通信,而不会对网络通信带来可用性风险或带宽限制。要了解更多信息,请参阅 [VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。
VPC 终端节点有两种类型:接口终端节点和网关终端节点。
+ 网关终端节点:账户中的 VPC 默认启用了 Amazon S3 网关终端节点。
+ 接口终端节点:您的 AMS 环境中的实例无需离开 Amazon 网络即可与支持的服务通信。对于**单账户 landing zon** e,这是可选的,默认情况下该账户未启用该功能;请向 AMS 运营部门提交服务请求以启用此功能。但是,对于**多账户 landing zon** e,默认情况下,共享服务帐户中的接口端点处于启用状态。
AMS 支持的接口终端节点列表:
+ AWS CloudFormation
+ AWS CloudTrail
+ AWS Config
+ 亚马逊 EC2 API
+ AWS Key Management Service
+ Amazon CloudWatch
+ 亚马逊 CloudWatch 活动
+ Amazon CloudWatch 日志
+ AWS Secrets Manager
+ Amazon SNS
+ AWS Systems Manager
+ AWS Security Token Service
# AMS 保护的命名空间
AWS Managed Services (AMS) 的受保护命名空间列表。在使用 AWS 资源时,请不要使用这些命名空间,以防止与 AMS 发生冲突。有关其他 AWS 服务命名空间的详细信息,请参阅 A [mazon 资源名称 (ARNs) 和 AWS 服务](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#genref-aws-service-namespaces)命名空间。
+ `ams-*`(这是新资源的首选命名标准)
+ `/ams/*`(这是基于路径的资源的首选命名标准)
+ `AWSManagedServices*`(在适当的情况下 CamelCase ,这是资源的首选命名标准)
+ `ams*` 和 `AMS*` 和 `Ams*`
+ `AWS_*` 和 `aws*`
+ `*/aws_reserved/*`
+ `CloudTrail*` 和 `Cloudtrail*`
+ `codedeploy_service_role`
+ `customer-mc-*`
+ `eps` 和 `EPS`
+ `EPSMarketplaceSubscriptionRole`
+ `EPSDB*`
+ `IAMPolicy*`
+ `INGEST*`
+ `LandingZone*`
+ `Managed_Services*`
+ `managementhost`
+ `mc*` 和 `MC*` 和 `Mc*`
+ `MMS*`
+ `ms-`
+ `NewAMS*`
+ `Root*`
+ `sentinel*` 和 `Sentinel*`
+ `sentinel.int.`
+ `StateMachine*`
+ `StackSet-ams*`
+ `StackSet-AWS-Landing-Zone`
+ `TemplateId*`
+ `UnhealthyInServiceBastion`
+ `VPC_*`
# AMS 保留的前缀
AMS 资源属性必须符合某些模式;例如,IAM 实例配置文件 BackupVault 名称、名称、标签名称等,不得以 AMS 保留前缀开头。这些保留的前缀是:
```
*/aws_reserved/*
ams-*
/ams/*
ams*
AMS*
Ams*
aws*
AWS*
AWS_*
AWSManagedServices*
codedeploy_service_role
CloudTrail*
Cloudtrail*
customer-mc-*
eps
EPSDB*
IAMPolicy*
INGEST*
LandingZone*
Managed_Services*
managementhost
mc*
MC*
Mc*
MMS*
ms-
NewAMS*
Root*
sentinel*
Sentinel*
sentinel.int.
StackSet-ams*
StackSet-AWS-Landing-Zone
StateMachine*
TemplateId*
VPC_*
UnhealthyInServiceBastion
```
# AMS 维护窗口
AWS Managed Services 维护窗口(或维护窗口)为 AWS Managed Services (AMS) 执行维护活动,并在太平洋时间每个月的第二个星期四下午 3 点至下午 4 点重复。AMS 可能会在 48 小时通知后更改维护时段。这适用于 AWS Managed Services (AMS);用于为托管基础设施执行维护活动,例如部署新的 AMS AMIs。
*您的*维护时段是 AMS 将应用补丁并由您在入职时确定维护时段的时间。您也可以同意修补服务通知中提供的拟议修补窗口,或者建议不同的窗口。
有关创建维护时段的指导,请参阅[维护时段](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/og-maintenance-window.html)。
# AMS 信息资源
AMS 提供了多种信息资源来帮助您取得成功。
+ **AMS Accelerate 用户指南**:帮助您了解 AMS Accelerate 提供的组件和功能以及如何使用它们。在此处查看 AMS Accelerate 背景信息以及有关默认设置、查找资源和操作方法示例的详细信息。[HTML 索引](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/index.html),[PDF](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/accelerate-guide.pdf)
+ **AMS 高级用户指南**:帮助您了解 AMS Advanced 提供的组件和功能以及如何使用它们。请在此处查看 AMS Advanced 背景信息以及有关默认设置、查找资源和操作方法示例的详细信息。[HTML 索引](https://docs.aws.amazon.com/managedservices/latest/userguide/index.html),[PDF](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-ug.pdf)
+ **AMS 高级应用程序指南**:描述将应用程序部署到 AWS Managed Services 基础设施的步骤。请在此处查看有关应用程序部署和维护方法及注意事项的信息。[HTML 索引](https://docs.aws.amazon.com/managedservices/latest/appguide/index.html),[PDF](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-appguide.pdf)。
+ **AMS 高级入门指南**:描述在 AMS 账户中创建基本 AWS Managed Services 多账户或单账户着陆区基础设施的初始步骤。在此处查看有关 AMS 账户基础知识、验证和问题的信息,让你为加入 AMS 做好准备。[HTML 索引](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/index.html),[PDF](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ams-og.pdf)。
+ **AMS 高级更改类型参考**:提供有关 AWS Managed Services 提供的当前变更类型的参考资料,包括变更类型架构以及每种变更类型的示例演练和提示。包括有关变更类型的一般信息帮助您了解变更请求 (RFCs) 和 AMS 变更类型 (CTs) 的各个方面。请在此处查看有关变更类型的详细信息,包括相关信息的链接。[HTML 索引](https://docs.aws.amazon.com/managedservices/latest/ctref/index.html),[PDF](https://docs.aws.amazon.com/managedservices/latest/ctref/ams-ct.pdf)。
+ **AMS CM(变更管理)API 参考**:介绍 AWS Managed Services CM API,它提供创建和监控变更请求的操作,并提供有关托管服务管理的资源的信息。[HTML 索引](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html)。
+ **AMS 安全指南**:描述 AMS 专有安全信息。
私有;在 AWS Artifact 控制台的 “AMS **报告**” 选项卡上可用。
+ **AMS 开发者资源**:访问 amscm 和 amsskms 的 AMS CLI 和 SDK。请参阅[https://console.aws.amazon.com/managedservices/](https://console.aws.amazon.com/managedservices/)。
+ **AMS YouTube 视频:视频**中解释了关键的客户操作。请参阅 [AWS Managed S YouTube ervices 教学视频](https://www.youtube.com/playlist?list=PLhr1KZpdzukc_VXASRqOUSM5AJgtHat6-)。
+ **AMS 博客文章**:有关 AWS Managed Services 的专业信息。请参阅 [AWS 博客](https://aws.amazon.com/search/?searchQuery=MANAGED+SERVICES)。
# AMS 合规性
AMS 已经过以下标准的审计,并且有资格作为解决方案的一部分使用,您必须获得合规性认证。
## AMS 支持的合规标准
AMS 支持 AWS 合规标准。要了解有关 AWS 合规计划的更多信息,请参阅[AWS 合规性](https://aws.amazon.com/compliance/)。
这些是 AMS 支持的当前合规标准。
| | |
| --- |--- |
| ![\[FedRAMP logo with "FR" initials in white on a navy blue square background.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/fedramp.png) | **Fed** RAMP:美国联邦政府致力于以最具创新性、最安全和最具成本效益的方式向美国人民提供服务。云计算在联邦政府如何提高运营效率和按需创新以在全国范围内推进其使命方面发挥着关键作用。这就是为什么当今许多联邦机构都在使用 AWS 云服务来处理、存储和传输联邦政府数据的原因。 有关更多信息,请参阅 [FedRAMP](https://aws.amazon.com/compliance/fedramp/)。 |
| ![\[HIPAA logo with caduceus medical symbol and acronym in blue and white.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/HIPAA.png) | **HIPAA**[:AWS 扩大了其《健康保险流通与责任法案》(HIPAA) 合规计划,将 AMS 列为符合 HIPAA 资格的服务。](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/)如果您与 AWS 签订了商业伙伴协议 (BAA),则可以使用 AMS 来帮助构建符合 HIPAA 标准的应用程序。 请参阅以 [HIPAA 为重点的白皮书](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/welcome.html),了解如何利用 AMS 来处理和存储健康信息。有关更多信息,请参阅 [HIPAA 合规性](https://aws.amazon.com/compliance/hipaa-compliance/)。 |
| ![\[Logo for HITRUST CSF Certified with red and black text.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/hitrust.png) | **HITRUST**:健康信息信托联盟共同安全框架(HITRUST CSF)利用国内和国际公认的标准和法规,例如GDPR、ISO、NIST、PCI和HIPAA,来创建一套全面的基准安全和隐私控制措施。 有关更多信息,请参阅 [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/)。 |
| ![\[ISO 27001 logo with blue circular design and text for International Organization for Standardization.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/iso27001.png) | **ISO 27001**: ISO/IEC 27001:2013 是一项安全管理标准,它根据 2700 ISO/IEC 2 最佳实践指南规定了安全管理最佳实践和全面的安全控制。该认证的基础是制定和实施严格的安全计划,其中包括开发和实施信息安全管理系统 (ISMS),该系统定义了 AWS 如何以整体、全面的方式永久管理安全。 欲了解更多信息,请参阅 [ ISO/IEC 27001:2013](https://aws.amazon.com/compliance/iso-27001-faqs/)。 |
| ![\[ISO 27017 logo with blue circular design and text for International Organization for Standardization.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/iso27017.png) | **ISO 27017**: ISO/IEC 27017:2015 为云计算的信息安全方面提供了指导,建议实施针对云的信息安全控制措施,以补充 27002 和 27001 标准的指导。 ISO/IEC ISO/IEC 本行为准则提供了专门针对云服务提供商的其他信息安全控制实施指南。 有关更多信息,请参阅 [ ISO/IEC 27017:2015](https://aws.amazon.com/compliance/iso-27017-faqs/) 合规性。 |
| ![\[Cloud-shaped logo with "ISO" and "27018" text representing a standardization symbol.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/iso27018.png) | **ISO 27018**: ISO/IEC 27018:2019 是一份侧重于保护云端个人数据的行为准则。它基于 ISO/IEC 信息安全标准 27002,提供了适用于公有云个人身份信息 (PII) 的 ISO/IEC 27002 控件的实施指南。它还提供了一组其他控制措施和相关指南,旨在满足现有 ISO/IEC 27002 控制集未满足的公共云 PII 保护要求。 有关更多信息,请参阅 [ ISO/IEC 27018:2019](https://aws.amazon.com/compliance/iso-27018-faqs/) 合规性。 |
| ![\[ISO 9001 certification logo with blue cloud shape and text.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/iso9001.png) | **ISO 9001**:ISO 9001:2015 概述了一种以流程为导向的方法,用于记录和审查组织内实现有效质量管理所需的结构、职责和程序。该标准的特定部分包含有关主题的信息,例如: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/ams-compliance.html) 有关更多信息,请参阅 [ISO 9001:2015](https://aws.amazon.com/compliance/iso-9001-faqs/) 合规性。 |
| ![\[PCI Security Standards Council Participating Organization logo with globe icon.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/PCI.png) | **PCI**:AMS 已获得支付卡行业 (PCI) 数据安全标准 (DSS) 3.2 版合规性认证,属于服务提供商级别 1。使用 AWS 产品和服务存储、处理或传输持卡人数据的客户可以使用 AMS 来管理自己的 PCI DSS 合规认证。 有关 PCI DSS 的更多信息,包括如何申请 AWS PCI Compliance Package 的副本,请参阅 [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS 第 1 级。重要的是,您必须在 AMS 中配置精细的密码策略,使其与 PCI DSS 版本 3.2 标准保持一致。有关必须强制执行哪些策略的详细信息,请参阅[为您的 AWS Microsoft AD 目录启用 PCI 合规性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html#enablepciad)。 |
| ![\[AICPA SOC circular logo for Service Organization Control certification.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/SOC.png) | **SOC**:AMS 系统和组织控制 (SOC) 报告是独立的第三方检查报告,展示了 AMS 如何实现关键合规控制和目标。这些报告的目的是帮助您和您的审计师了解为支持运营和合规而建立的 AMS 控制措施。AMS SOC 报告有三种类型: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/ams-compliance.html) 有关更多信息,请参阅 [SOC 合规性](https://aws.amazon.com/compliance/soc-faqs/)。 |
## 责任共担
安全,包括 PCI 合规性,是一项[共同的责任](https://aws.amazon.com/compliance/shared-responsibility-model/)。重要的是要明白,AMS 合规性状态不会自动应用于您在 AWS 云端运行的应用程序。您需要确保您对 AWS 服务的使用符合标准。有关 AMS 如何在特定活动中与客户合作的更多详细信息,请参阅 AMS [AMS 责任矩阵 (RACI)](raci-table.md)。
# AMS Amazon 机器映像 (AMIs)
AMS 每月都会为支持 AMS 的操作系统生成更新的亚马逊系统映像 (AMIs)。此外,AMS 还基于 CIS 1 级基准测试为 [AMS 支持的部分操作系统](https://docs.aws.amazon.com/managedservices/latest/userguide/supported-configs.html)生成安全增强映像 (AMIs)。要了解哪些操作系统具有安全增强型映像,请参阅 AMS 安全用户指南,该指南可通过 AWS Managed Services 筛选的 AWS Artifact-> Reports 页面(在左侧导航窗格中找到 “**报告**” 选项)获得。要访问 AWS Artifact,可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
要在新 AMS 发布时收到提醒,您可以订阅名 AMIs 为 “AMS AMI” 的亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 通知主题。有关详细信息,请参阅通过 [SNS 发送的 AMS AMI 通知](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-ami-notifications.html)。
AMS AMI 的命名惯例是:`customer-ams-- - `. (例如,`customer-ams-rhel6-2018.11-3`)
仅使用 AMIs 以开头的 AMS `customer`。
AMS 建议始终使用最新的 AMI。您可以通过以下任一方式找到最新 AMIs 的:
+ 在 AMS 控制台中查看,在**AMIs**页面上。
+ 查看最新的 AMS AMI CSV 文件,该文件可从您的 CSDM 中获得,也可以通过此 ZIP 文件获得:[AMS 11.2024 AMI 内容和 ZIP 格式的 CSV 文件](https://docs.aws.amazon.com/managedservices/latest/userguide/samples/AMIs.csv-and-notes.11.2024.zip)。
有关过去的 AMI ZIP 文件,请参阅[文档历史记录](https://docs.aws.amazon.com/managedservices/latest/userguide/doc-history-ug.html)。
+ 运行此 AMS `SKMS` 命令(需要 AMS SKMS 开发工具包):
```
aws amsskms list-amis --vpc-id VPC_ID --query "Amis.sort_by(@,&Name)[? starts_with(Name,'customer')].[Name,AmiId,CreationTime]" --output table
```
**按操作系统 (OS) 向基础 AWS AMIs版添加的 AMS AMI 内容**
+ Linux AMIs:
+ [AWS CLI 工具](https://aws.amazon.com/cli/)
+ [NTP](http://www.ntp.org/documentation.html)
+ [趋势科技端点保护服务代理](https://www.trendmicro.com/en_us/business.html)
+ [代码部署](https://github.com/aws/aws-codedeploy-agent)
+ [PBIS/Beyond Trust 广告桥](https://www.beyondtrust.com/products/active-directory-bridge)
+ [SSM Agent](https://github.com/aws/amazon-ssm-agent)
+ Yum 升级关键补丁
+ AMS 自定义脚本/管理软件(控制启动、AD 加入、监控、安全和日志记录)
+ Windows 服务器 AMIs:
+ [微软.NET 框架 4.5](https://www.microsoft.com/en-us/download/details.aspx?id=30653)
+ [ PowerShell 5.1](https://docs.microsoft.com/en-us/skypeforbusiness/set-up-your-computer-for-windows-powershell/download-and-install-windows-powershell-5-1)
+ [AWS 适用于 Windows 的工具 PowerShell](https://aws.amazon.com/powershell/)
+ AMS PowerShell 模块控制启动、AD 加入、监控、安全和日志记录
+ [趋势科技端点保护服务代理](https://www.trendmicro.com/en_us/business.html)
+ [SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)
+ [CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ EC2Config 服务(通过 Windows Server 2012 R2)
+ EC2发布(2016 年 Windows Server 和 2019 年 Windows 服务器)
+ EC2LaunchV2(Windows Server 2022 及更高版本)
**基于 Linux AMIs**:
+ 亚马逊 Linux 2023(最新次要版本)(不支持最低 AMI)
+ 亚马逊 Linux 2(最新次要版本)
+ 亚马逊 Linux (2ARM64)
+ 红帽企业 7(最新次要版本)
+ 红帽企业 8(最新次要版本)
+ 红帽企业 9(最新次要版本)
+ SUSE Linux 企业服务器 15 SP6
+ Ubuntu Linux 18.04
+ Ubuntu Linux 20.04
+ Ubuntu Linux 22.04
+ Ubuntu Linux 24.04
+ 亚马逊 Linux:有关产品概述、定价信息、使用信息和支持信息,请参阅[亚马逊 Linux AMI(HVM/64 位)](https://aws.amazon.com/marketplace/pp/B00CIYTQTC)和[亚马逊 Linux 2](https://aws.amazon.com/amazon-linux-2/)。
有关更多信息,请参阅[亚马逊 Linux 2 FAQs](https://aws.amazon.com/amazon-linux-2/faqs/)。
+ RedHat 企业 Linux (RHEL):有关产品概述、定价信息、使用信息和支持信息,请参阅[红帽企业 Linux (RHEL) 7 (HVM](https://aws.amazon.com/marketplace/pp/B00KWBZVK6/ref=ptnr_catgtm_centos))。
+ Ubuntu Linux 18.04:有关产品概述、定价信息、使用信息和支持信息,请参阅 [Ubuntu](https://aws.amazon.com/marketplace/pp/prodview-pkjqrkcfgcaog) 18.04 LTS-Bionic。
+ 适用于 SAP 应用程序的 SUSE Linux 企业服务器 15 SP6:
+ 每个账户运行以下步骤一次:
1. 导航到 **AWS Marketplace**。
1. 搜索 SUSE 15 SAP 产品。
1. 选择**继续订阅**。
1. 选择**接受条款**。
+ **每次**需要启动**适用于 SAP Applications 的新 SUSE Linux 企业服务器 15 SP6** 实例时,请完成以下步骤:
1. 记下订阅的适用于 **SAP Applications 的 SUSE Linux 企业服务器 15 AMI 的 AMI** ID。
1. 创建部署 \$1 高级堆栈组件 \$1 堆 EC2 栈 \$1 创建更改类型 ct-14027q0sjyt1h RFC。*InstanceAmiId*替换为您订阅的 AWS Marketplace AMI ID。
**基于 Windows AMIs**:
微软 Windows 服务器(2016、2019 和 2022 年),基于最新的 Windows AMIs。
有关创建的示例 AMIs,请参阅[创建 AMI](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-ami-create-col.html)。
**离职 AMS AMIs**:
AMS 不会在离职期间取消与您的任何 AMIs 共享信息,以免对您的任何依赖项造成影响。如果您想 AMIs 从您的账户中移除 AMS,则可以使用 `cancel-image-launch-permission` API 隐藏特定内容 AMIs。例如,您可以使用以下脚本来隐藏之前与您的账户共享 AMIs 的所有 AMS:
```
for ami in $(aws ec2 describe-images --executable-users self --owners 027415890775 --query 'Images[].ImageId' --output text) ;
do
aws ec2 cancel-image-launch-permission --image-id $ami ;
done
```
您必须安装 AWS CLI v2,脚本才能毫无错误地执行。有关 AWS CLI 的安装步骤,请参阅[安装或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。有关该`cancel-image-launch-permission`命令的详细信息,请参阅[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/cancel-image-launch-permission.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/cancel-image-launch-permission.html)。
# 安全性得到增强 AMIs
AMS 根据 CIS 1 级基准为 AMS 支持的部分操作系统提供安全增强镜像 (AMIs)。要了解哪些操作系统具有可用的安全增强映像,请参阅 *AWS Managed Services (AMS) 客户安全指南*。要访问本指南,请打开 AWS Artifact,在左侧导航窗格中选择 “**报告**”,然后筛选 AWS Managed Services。有关如何访问的说明 AWS Artifact,请联系您的 CSDM 或参阅[入门 AWS Artifact以](https://aws.amazon.com/artifact/getting-started)了解更多信息。
# AD FS 和 AMS 之间的集成是如何工作的
本地网络和 AMS 域之间的单向信任是访问堆栈和 VPCs的默认方式。创建 VPC 和堆栈后,将通过预先配置的 Active Directory 安全组授予访问权限。此外, AWS 管理控制台 可以使用 Active Directory 联合身份验证服务 (AD FS) 或任何支持 SAML 的联合软件来配置对管理控制台的单点登录 (SSO) 的 AWS 访问权限。
**注意**
AMS 可以联合到许多联邦服务,例如 Ping、Okta 等。您不仅限于 AD FS;我们在此举例说明了一种可供您使用的联合技术。
此处的信息来自这篇博客文章:[启用联合身份验证到 AWS 使用 Windows Active Directory、AD FS 和 SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)。
![\[企业内部以及企业与 AWS 云之间的安全身份验证涉及多个步骤。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/AD1.png)
1. 当用户(我们称他为 Bob)浏览 AD FS 示例网站 (https://Fully.Qualified.Domain.Name。 Here/adfs/ls/IdpInitiatedSignOn.aspx) 在他的域名内。安装 AD FS 时,您的默认网站会有一个名为 **adfs** 的新虚拟目录,其中包括此页面。
1. 登录页面会根据 AD 对 Bob 进行身份验证。根据 Bob 使用的浏览器,系统可能会提示他输入 AD 用户名和密码。
1. Bob 的浏览器会收到来自 AD FS 的身份验证响应形式的 SAML 断言。
1. Bob 的浏览器将 SAML 断言发布到 SAML 的 AWS 登录端点 (/saml)。https://signin.aws.amazon.com在幕后,登录使用 [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 请求临时安全证书,然后为构造登录网址。 AWS 管理控制台
1. Bob 的浏览器收到登录 URL 并被重定向到控制台。
从鲍勃的角度来看,这个过程是透明的。他从一个内部网站开始,最后到了 AWS 管理控制台,无需提供任何 AWS 凭证。
**注意**
有关向 AMS 控制台配置联合身份验证的更多信息,请参阅:
**多账户登录区域**:向 [AMS 控制台配置联](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/setup-net-federate-console.html)合
**单账户登录区**:向 [AMS 控制台配置联](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/fed-with-console.html)合
此外,请参阅[附录:AD FS 声明规则和 SAML 设置](https://docs.aws.amazon.com/managedservices/latest/userguide/apx-adfs-claim-rule-saml.html)。有关使用 AWS Microsoft AD 在 AWS 云中支持受合规性要求约束的 Active Directory 感知应用程序的信息,请参阅管理 [Microsoft](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html) AD 合规性。
# AMS 托管活动目录
AMS 现在提供了一项名为 “托管活动目录”(又名托管 AD)的新服务,它允许 AMS 管理您的活动目录 (AD) 基础设施运营,同时让您控制活动目录的管理。
AMS 对托管 AD 的支持与 AMS 对亚马逊关系数据库服务 (Amazon RDS) 的支持类似。在这两种情况下, AWS (包括 AMS)都支持创建和管理运行服务的基础架构,同时您可以执行访问控制和所有管理功能。该模型具有以下优点:
+ 限制安全风险: AWS 而且 AMS 不需要您的域名的管理权限。
+ 直接集成:您可以使用当前的授权模型并将其与 AD 集成,而无需与 AMS 接口。
**备注:**
+ AMS 和您都无法访问您的托管 AD 域控制器,因此无法在域控制器上安装任何软件。这一点很重要,因为不允许要求在域控制器上安装软件的第三方解决方案。
访问权限的工作原理是这样的:
+ AWS Directory Service 团队:有权访问域控制器。
+ AMS:有权访问 Directory Service APIs 以对域名执行某些操作。这些操作包括拍摄 AD 快照、更改 AD 架构和其他操作。
+ 您:可以访问域 (AD) 以创建用户、群组等。
+ 我们建议您在迁移企业 AD 之前对托管 AD 进行概念验证,因为并非传统 AD 环境中的所有功能都可以在托管 AD 环境中使用。
+ AMS 不会管理您的广告管理或提供有关您的广告管理的指导。例如,AMS 不会就组织单位结构、组策略结构、AD 用户命名约定等提供指导。
它的工作原理是这样的:
1. AMS AWS 账户 为您安装了一个新的,与您的 AMS 账户分开并添加到您的 AMS 账户之外,并通过 Directory Service 配置活动目录 (AD) 环境(另请参阅[什么是 AWS AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)? )。
以下是系统集成商需要从您那里收集的信息,以便让 AMS 加入托管 AD:
+ 账户信息
+ 为您的 AMS 管理 AWS 账户 的广告创建的账户 ID:数字 AWS 账户
+ 要将托管广告加载到的区域: AWS 区域
+ 托管活动目录信息:
+ 微软 AD 版:标准版/企业版。AWS Microsoft AD(标准版)包括 1 GB 的目录对象存储空间。此容量最多可支持 5,000 个用户或 30,000 个目录对象,包括用户、群组和计算机。AWS Microsoft AD(企业版)包含 17 GB 的目录对象存储空间,最多可支持 100,000 个用户或 500,000 个对象。
有关更多信息,请参阅 [AWS Directory Service FAQs](https://aws.amazon.com/directoryservice/faqs/)。
+ 域名 FQDN:您的 AMS 托管 AD 域名的 FQDN。
+ 域 NetBIOS 名称:您的 AMS 托管 AD 域的 NetBIOS 名称。
+ 您希望与托管 AD 集成的 AMS 标准账户的账号(AMS 配置从 AMS 标准账户的 AD 到托管 AD 的单向信任)
+ 是否需要修改活动目录架构?如果需要,需要进行哪些修改?
+ 默认情况下,会配置两个域控制器。你还需要更多吗? 如果是,你需要多少?出于什么原因?
+ 托管活动目录的联网信息:
+ 域控制器的托管 AD VPC CIDR(托管 AD 域控制器的私有子网范围内的 CIDR):
+ 域控制器的子网 CIDR 1:[您的 CIDR,必须是 AMS 托管 AD VPC CIDR 的一部分]
+ 域控制器的子网 CIDR 2:[您的 CIDR,必须是 AMS 托管 AD VPC CIDR 的一部分]
例如:
+ 托管 AD VPC CIDR:192.168.0.0/16
+ 域控制器的 CIDR 1:192.168.1.0/24
+ 适用于域控制器的 CIDR 2:192.168.2.0/24
为避免 IP 地址冲突,请确保您指定的托管 AD VPC CIDR 与您在公司网络中使用的任何其他私有子网 CIDR 不冲突。
+ VPN 技术(可选):[Direc Connect/Direct t Connect 和 VPN]
+ 您的网关的 BGP 自治系统编号 (ASN):[客户提供的 ASN]
+ 网关外部接口的互联网可路由的 IP 地址,该地址必须是静态的:[客户提供的 IP 地址]
+ 您的 VPN 连接是否需要静态路由:[是/否]
1. AMS 为您提供 AD 环境的管理员账户密码,并要求您重置密码,这样 AMS 工程师就无法再访问您的 AD 环境了。
1. 要重置管理员帐户密码,请使用 Active Directory 用户和计算机 (ADUC) 连接到您的 Active Directory 环境。ADUC 和其他远程服务器管理工具 (RSAT) 应在您在非 AMS 基础架构上配置的管理主机上安装和运行。Microsoft 有保护此类管理主机的最佳实践。有关信息,请参阅[实现安全的管理主机](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-secure-administrative-hosts)。您可以使用这些管理主机来管理 Active Directory 环境。
1. 在日常操作中,AMS 会管理 AWS 账户 直到 AWS Directory Service 方面的事情;例如 VPC 配置、AD 备份、AD 信任的创建和删除等。您使用和管理您的 AD 环境;例如,用户创建、群组创建、群组策略创建等。
有关最新的 RACI 表,请参阅 “查看[服务说明](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)” 中的 “角色和职责” 部分。
# AMS 应用程序部署
*AMS 应用程序开发者*指南提供了以下部署的详细描述和演练:
+ AMS 工作负载采集 CT 允许您和 AMS 云迁移合作伙伴轻松地将现有工作负载迁移到 AMS 管理的 VPC 中。使用 AMS 工作负载摄取,您可以通过提交 RFC 创建 AMS AMI,其中包含来自迁移合作伙伴迁移的实例 \$1 创建 CT (ct-257p9zjk14ija) 的部署 \$1 Ingestion \$1 Stack。您必须让迁移伙伴将实例从本地迁移 AWS 到您的本地环境,以及要将该实例提取到的目标 AMS VPC 和子网。
有关详细信息,请参阅 Workload [Ingest](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-workload-ingest.html) 上*的 AMS 应用程序开发人员*指南。
+ CloudFormation 采集更改类型 (ct-36cn2avfrrj9v) 功能允许您轻松使用现有模板 CloudFormation 在 AMS 管理的 VPC 中部署自定义堆栈。
有关详细信息,请参阅 “[CloudFormation 模板收录” 上*的 AMS 应用程序开发人员*指南。](https://docs.aws.amazon.com/managedservices/latest/appguide/ams-cfn-ingest.html)
+ 您可以将本地数据库导入新数据库,并将其导入 AMS 管理的 Amazon S3 存储桶或 Amazon RDS 实例。你可以使用部署 \$1 高级堆栈组件 \$1 数据库迁移服务 (DMS) 更改类型来执行此操作,包括创建复制实例 (ct-27apldkhqr0ol)、创建复制子网组 (ct-2q5azjd8p1ag5)、创建复制任务 (ct-1d2fml15b9eth)、创建源端点 (ct-0attesnjqy2cx)、创建源端点 (ct-0attesnjqy2cx) 或者创建源端点 (S3) (ct-2oxl37nphsrjz),然后创建目标端点 (ct-3gf8dolbo8x9p) 或创建目标端点 (S3) (ct-05muqzievnxk5)。
有关详细信息,请参阅 D [atabase Migration Service](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-create-dms.html) 上*的 AMS 应用程序开发人员*指南。
+ 您可以将本地 MS SQL 数据库导入到 AMS 托管的 RDS SQL 实例上的新数据库中。您可以使用各种 AMS 变更类型、Amazon RDS API 以及 AWS 控制台来执行此操作。
有关详细信息,请参阅 AMS 应用程序指南中的[数据库 (DB) 导入到 MS SQL RDS](https://docs.aws.amazon.com/managedservices/latest/appguide/db-to-sql-rds.html)。