本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
服務描述
AMS Accelerate 是 AWS Managed Services 服務的操作計劃,用於管理 AWS 基礎設施的操作。
AWS Managed Services (AMS) AMS Accelerate 操作計劃功能
AMS Accelerate 提供下列功能:
事件管理:
事件管理是 AMS 服務用來回應您回報事件的程序。
AMS Accelerate 會主動偵測和回應事件,並協助您的團隊解決問題。您可以使用 AWS Support Center 全年無休地聯絡 AMS Accelerate 營運工程師,並根據您為帳戶選取的回應層級,提供回應時間 SLAs。
監控:
監控是 AMS 服務用來追蹤 資源的程序。
在 AMS Accelerate 中註冊的帳戶設定了 Amazon CloudWatch 事件和警示的基準部署,這些事件和警示已經過最佳化,以減少雜訊並識別可能即將發生的事件。收到提醒後,AMS 團隊會使用自動化修復、人員和程序,將資源恢復到良好狀態,並在適當時與您的團隊互動,以提供有關行為和如何防止該行為的深入見解。如果修復失敗,AMS 會啟動事件管理程序。您可以更新預設組態檔案來變更基準。
安全性:
安全管理是 AMS 服務用來保護 資源的程序。AWS Managed Services 會使用多個控制項來保護您的資訊資產,並協助確保 AWS 基礎設施的安全,包括 AWS Config 規則和 Amazon GuardDuty。
AMS Accelerate 會維護 AWS Config 規則 和 修復動作的程式庫,以確保您的所有帳戶都符合業界的安全性和操作完整性標準。 AWS Config 規則 會持續追蹤所記錄資源之間的組態變更。如果變更違反任何規則條件,AMS 會報告其調查結果,並允許您根據違規的嚴重性自動或請求修復違規。 AWS Config 規則 協助符合以下標準:網際網路安全中心 (CIS)、國家標準與技術研究所 (NIST) 雲端安全架構 (CSF)、健康保險流通與責任法案 (HIPAA) 和支付卡產業 (PCI) 資料安全標準 (DSS)。
此外,AMS Accelerate 利用 Amazon GuardDuty 來識別 AWS 環境中可能未經授權或惡意的活動。GuardDuty 調查結果由 AMS 全年無休監控。AMS 會與您合作,根據最佳實務建議了解調查結果和補救措施的影響。AMS 也支援 Amazon Macie 保護您的敏感資料,例如個人健康資訊 (PHI)、個人身分識別資訊 (PII) 和財務資料。最後,AMS 會監控並分類受管帳戶中產生的所有 Amazon Route 53 Resolver ALERT 和 BLOCK 事件,以進一步檢查網路流量並增強其偵測功能。
修補程式管理:
修補程式管理是 AMS 服務用來更新 資源的程序。
對於具有修補程式附加元件的 AWS 帳戶,AWS Managed Services 會在您選擇的維護時段期間,為支援的作業系統套用並安裝廠商更新至 Amazon EC2 執行個體。AMS 會在修補之前建立執行個體的快照、監控修補程式安裝,並通知您結果。如果修補程式失敗,則 AMS 會調查失敗,並建議您採取動作來修復問題。或者,如果請求,AMS 會將執行個體還原。AMS 提供修補程式合規涵蓋範圍的報告,並建議您為企業建議採取的動作。
備份管理:
AMS 使用備份管理來擷取 資源的快照。
AWS Managed Services 會為 支援 AWS 的服務建立、監控和存放快照 AWS Backup。您可以在加入帳戶和應用程式時建立 AWS Backup 計劃,藉此定義備份排程、頻率和保留期間。您可以將計劃與 資源建立關聯。AMS 會追蹤所有備份任務,並在備份任務失敗時提醒團隊執行修復。如有需要,AMS 會利用您的快照在事件期間執行還原動作。AMS 為您提供備份涵蓋範圍報告和備份狀態報告。
問題管理:
AMS 執行趨勢分析以識別和調查問題,並識別根本原因。問題可透過解決方法或永久解決方案來修復,以防止未來再次發生類似的服務影響。解決後,可能會針對任何「高」事件請求事件後報告 (PIR)。PIR 會擷取根本原因和採取的預防性動作,包括實作預防性措施。
指定的專家:
AMS Accelerate 也會指定 Cloud Service Delivery Manager (CSDM) 和 Cloud Architect (CA) 與您的組織合作,並推動卓越營運和安全性。您的 CSDM 和 CA 會在設定和加入 AMS Accelerate 期間和之後為您提供指引,提供營運指標的每月報告,並與您合作,使用 AWS Cost Explorer、成本和用量報告和 等工具來識別潛在的成本節省 Trusted Advisor。
操作工具:
AMS Accelerate 可以在 AWS 中提供工作負載基礎設施的持續操作。我們的修補程式、備份、監控和事件管理服務依賴於使用 IAM 執行個體描述檔在 Amazon EC2 執行個體上安裝和設定 資源標記,以及 AWS Systems Manager (SSM) 和 CloudWatch 代理程式,以授權他們與 SSM 和 Amazon CloudWatch 服務互動。AMS Accelerate 提供 Resource Tagger 等工具,協助您根據規則標記資源,以及自動執行個體組態,以便在 Amazon EC2 執行個體中安裝所需的代理程式。如果您遵循不可變的基礎設施實務,您可以直接在主控台或infrastructure-as-code範本中完成先決條件。
成本最佳化:
AMS Resource Scheduler 會自動啟動和停止 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Relational Database Service (Amazon RDS) 執行個體和 Amazon EC2 Auto Scaling 群組。AMS Resource Scheduler 會停止未使用的資源,並在需要其容量時重新啟動這些資源,以協助您降低營運成本。
記錄和報告:
AWS Managed Services 會彙總和儲存因 CloudWatch、CloudTrail 和 Amazon VPC 流程日誌中的操作所產生的日誌。從 AMS 記錄有助於更快速的事件解決和系統稽核。AMS Accelerate 還提供每月服務報告,摘要 AMS 的關鍵效能指標,包括執行摘要和洞察、營運指標、受管資源、AMS 服務水準協議 (SLA) 合規性,以及有關支出、節省和成本最佳化的財務指標。報告是由指派給您的 AMS 雲端服務交付管理員 (CSDM) 交付。
服務請求管理:
若要請求受管環境、AMS AWS 或服務產品的相關資訊,請使用 AMS Accelerate 主控台提交服務請求。您可以提交「如何」服務與功能相關問題 AWS 的服務請求,或請求其他 AMS 服務。
所有 AMS Accelerate 客戶都從事件管理、監控、安全監控、日誌記錄、必要工具、備份管理和報告功能開始。您可以以額外的價格新增 AMS 修補程式管理附加元件。
注意
如需 中不支援的功能清單 AWS GovCloud (US),請參閱 的 AMS Accelerate 差異 AWS GovCloud (US)
支援的組態
AMS Accelerate 支援下列組態:
語言:英文。
區域:請參閱 AWS Regional Services
網頁中 AWS Managed Services 支援的 AWS 區域。 作業系統架構 (x86-64 或 ARM64):Systems Manager 和 CloudWatch 支援的任何 。
支援的作業系統:
AlmaLinux 8.3-8.9、9.x (AlmaLinux 僅支援 x86 架構)
Amazon Linux 2023
Amazon Linux 2 (預期的 AMS 支援結束日期為 2026 年 6 月 30 日)
Oracle Linux 9.x、8.x
Red Hat Enterprise Linux (RHEL) 9.x、8.x
SUSE Linux Enterprise Server 15 SP6
SUSE Linux Enterprise Server for SAP 15 SP3 及更新版本
Microsoft Windows Server 2022、2019、2016
Ubuntu 20.04、22.04、24.04
支援的終止支援 (EOS) 作業系統:
注意
終止支援 (EOS) 作業系統在作業系統製造商的一般支援期間之外,且具有更高的安全風險。只有當 AMS 所需的代理程式支援作業系統和...時,EOS 作業系統才會被視為支援的組態。
您對作業系統廠商有延伸的支援,可讓您接收更新,或
使用 EOS 作業系統的任何執行個體都遵循加速使用者指南中 AMS 指定的安全控制,或
您遵守 AMS 要求的任何其他補償性安全控制。
如果 AMS 不再支援 EOS 作業系統,AMS 會發出關鍵建議來升級作業系統。
AMS 所需的代理程式可能包括但不限於:Amazon CloudWatch AWS Systems Manager、端點安全 (EPS) 代理程式和 Active Directory (AD) Bridge (僅限 Linux)。
Ubuntu Linux 18.04
SUSE Linux Enterprise Server 15 SP3, SP4 和 SP5
SUSE Linux Enterprise Server for SAP 15 SP2
SUSE Linux Enterprise Server 12 SP5
SUSE Linux Enterprise Service for SAP 12 SP5
Microsoft Windows Server 2012/2012 R2
Red Hat Enterprise Linux (RHEL):7.x
Oracle Linux 7.5-7.9
如果您使用 AWS Control Tower 管理您的多帳戶環境,請確定您正在執行最新版本的 AWS Control Tower ,以與 Accelerate 相容。不支援使用 2.7 以前 AWS Control Tower 版本 (2021 年 4 月發行) 的環境。如需如何更新的資訊 AWS Control Tower,請參閱更新您的登陸區域。
支援的服務
AWS Managed Services 為下列服務提供操作管理支援服務 AWS 。每個 AWS 服務都是不同的,因此,AMS 的操作管理支援層級會根據基礎 AWS 服務的性質和特性而有所不同。如果您請求 AWS Managed Services 為下列清單中未明確識別為支援的任何軟體或服務提供服務,則根據服務條款,為此類客戶請求組態提供的任何 AWS Managed Services 都將被視為「Beta Service」。
事件:所有 AWS 服務
服務請求:所有 AWS 服務
修補:Amazon EC2
備份和還原: AWS 服務 支援的所有項目 AWS Backup。如需 支援的服務清單 AWS Backup,請參閱AWS Backup 支援的資源。
資源排程器:Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Relational Database Service (Amazon RDS) 和 Amazon EC2 Auto Scaling 群組
監控操作事件的服務:支援的檢查和 Trusted Advisor、Application Load Balancer、Aurora、Amazon EC2、Elastic Load Balancing、Amazon FSx for NetApp ONTAP、Amazon FSx for Windows File Server、NAT 閘道 (網路位址轉譯 (NAT) 服務)、OpenSearch AWS Health Dashboard、Amazon Redshift、Amazon Relational Database Service (Amazon RDS)、Site-to-Site VPN。若要進一步了解 AMS Accelerate 在服務中監控哪些項目,請參閱 AMS 中基準監控的提醒。
由安全 Config Rules: AWS Account 監控的服務 GuardDuty、 Macie、 Amazon API Gateway AWS Certificate Manager AWS Config、、 CloudTrail、 CloudWatch AWS CodeBuild、 AWS Database Migration Service、 Amazon DynamoDB、 Amazon EC2、 Amazon ElastiCache、 Amazon Elastic Block Store (Amazon EBS)、 Amazon Elastic File System (Amazon EFS)、 Amazon Elastic Kubernetes Service (Amazon EKS), Elastic Load Balancing、 Amazon OpenSearch Service、 Amazon EMR, AWS Identity and Access Management (IAM) AWS Key Management Service AWS Lambda、、 Amazon Redshift、 Amazon Relational Database Service、 Amazon S3、 Amazon SageMaker AI AWS Secrets Manager 、 Amazon Simple Notification Service AWS Systems Manager、 Amazon VPC (安全群組、 磁碟區、 彈性 IP 地址、 VPN 連線、 網際網路閘道)、 Amazon VPC 流程日誌。如需詳細資訊,請參閱Accelerate 中的組態合規和Accelerate 中的資料保護。您可以在我們的私有安全性指南中找到其他 AMS 安全資訊 AWS Artifact,這些資訊可透過 AWS Managed Services 的報告索引標籤存取。
注意
AMS Accelerate for the Middle East (UAE) 區域支援一組範圍內功能,如下表所述。存取此區域中的 AMS 帳戶主控台和執行個體完全由傳入服務請求觸發程序驅動。如需中東 (阿拉伯聯合大公國) 區域中 Accelerate 可用性的詳細資訊,請洽詢您的客戶經理或 AWS Cloud Service Delivery Manager (CSDM)。
| AMS 加速中東 (阿拉伯聯合大公國) 區域的範圍內功能 | 功能描述 |
|---|---|
|
事件管理 |
AMS 提供事件回應和協助,以協助您的團隊解決問題。若要讓 AMS 協助您管理事件,您需要提交服務請求。AMS 不會主動偵測或回應此區域中的事件。 |
|
監控 |
收到您的服務請求後,AMS 可以協助資源修復。AMS 使用自動化修復、人員和程序,讓您的資源恢復正常狀態。AMS 不會在此區域中設定基準 CloudWatch 事件和警示。如果您有現有的監控工具,則可以根據雲端架構師 (CA) 和 CSDM 評估主動追蹤您的資源。 |
|
安全性 |
收到來自您的服務請求後,AMS 可以協助修復安全問題。AMS 不會部署安全控制,例如 AWS Config 規則 和 GuardDuty,或監控此區域中的安全調查結果。如果您有現有的安全工具,可根據 CA 和 CSDM 評估提供主動安全監控。 |
|
修補管理 |
AMS 可以在選擇的維護時段將廠商更新套用至支援作業系統的 Amazon EC2 執行個體,並建立預先修補快照。若要讓 AMS 協助您管理修補程式,您需要提交服務請求。AMS 修補程式通知和報告不適用於此區域。 |
|
備份管理 |
AMS 可以為 AWS 服務 支援的 建立和存放快照 AWS Backup,並協助備份修復。若要讓 AMS 協助您進行備份管理,您需要提交服務請求。AMS 不會追蹤此區域中的備份任務。 |
|
指定的專家 |
AMS 指定 Cloud Architect (CA) 和 Cloud Service Delivery Manager (CSDM) 與客戶組織合作,並推動卓越營運和安全性。 |
|
服務請求管理 |
若要請求受管環境、AMS 或 AWS 服務 產品的相關資訊,請透過 AMS Accelerate 主控台提交服務請求。您可以提交有關 AWS 服務 和 功能問題的「如何」服務請求,或請求此區域中可用的 AMS 服務,如此表格所述。 |
角色和責任
AMS Accelerate 負責、負責、諮詢和告知 或 RACI,矩陣會將主要責任指派給客戶或 AMS 以進行各種活動。此表格說明您的 (「客戶」) 責任與我們的 (「AMS Accelerate」) 責任。
AMS Accelerate 執行的變更範圍 本節列出 AMS 獲授權對您的帳戶進行變更的特定情況;以及 AMS 從未進行的一些變更類型。
AMS Accelerate RACI 矩陣
AMS Accelerate 會管理您的 AWS 基礎設施。下表提供在受管環境中執行的應用程式生命週期中,您和 AMS Accelerate 的角色和責任的概觀。
R 代表負責方,負責執行工作以達成任務。
C 代表 Consulted;尋求意見的一方,通常是主題專家;以及與之進行雙邊溝通的一方。
我代表知情;收到進度通知的一方,通常是在任務完成時。
注意
有些區段同時包含 AMS 和客戶的 'R'。這是因為在 AWS 共同責任模型中,AMS 和客戶都擁有共同所有權來回應基礎設施和應用程式問題。
| 活動 | 客戶 |
AWS Managed Services (AMS) |
|---|---|---|
AMS 模式 | ||
建立新的模式 |
I |
R |
部署和自訂模式 |
R |
C、I |
測試和移除模式 |
R |
I |
應用程式生命週期 | ||
應用程式開發 |
R |
I |
應用程式基礎設施需求、分析和設計 |
R |
I |
應用程式部署 |
R |
I |
AWS 資源部署 |
R |
I |
應用程式監控 |
R |
I |
應用程式測試/最佳化 |
R |
I |
疑難排解和解決應用程式問題 |
R |
I |
故障診斷和解決問題 |
R |
I |
AWS 基礎設施支援的監控 |
C |
R |
AWS 網路問題的事件回應 |
C |
R |
AWS 資源問題的事件回應 |
C |
R |
受管帳戶加入 | ||
授予 AMS 團隊和工具對 AWS 受管帳戶的存取權 |
R |
C |
在帳戶或環境中實作變更,以允許在帳戶中部署工具。例如,服務控制政策 (SCPs的變更 |
R |
C |
在 EC2 執行個體中安裝 SSM 代理程式 |
R |
C |
安裝和設定提供 AMS 服務所需的工具。例如,CloudWatch 代理程式、修補指令碼、警示、日誌等 |
I |
R |
管理 AMS 工程師的存取和身分生命週期 |
I |
R |
收集所有必要的輸入以設定 AMS 服務。例如,修補維護時段持續時間、排程和目標 |
R |
I |
請求 AMS 服務的組態,並提供所有必要的輸入 |
R |
I |
依客戶要求設定 AMS 服務。例如,修補程式維護時段、資源標記程式和警示管理員 |
C |
R |
管理用於存取 AWS 帳戶和執行個體的本機目錄服務的使用者生命週期及其許可 |
R |
I |
建議預留執行個體最佳化 |
I |
R |
將帳戶加入 (信任的修復程式) |
C、I |
R |
修補程式管理 | ||
| 收集所有必要的輸入,以設定修補程式維護時段、修補程式基準和目標 | R |
I |
| 請求修補程式維護時段和基準的組態,並提供所有必要的輸入 | R |
I |
| 依客戶要求設定修補程式維護時段、修補程式基準和目標 | C |
R |
| 監控 EC2 執行個體的支援作業系統和預先安裝之支援作業系統的適用更新 | I |
R |
報告支援的作業系統和維護時段涵蓋範圍遺失更新 |
I |
R |
在套用更新之前擷取執行個體的快照 |
I |
R |
將更新套用至每個客戶組態的 EC2 執行個體 |
I |
R |
調查 EC2 執行個體的失敗更新 |
C |
R |
更新自動擴展群組 (ASGs) 的 AMIs 和堆疊 |
R |
C |
| 修補 Windows 作業系統,以及安裝在受 Windows Update 管理之作業系統上的 Microsoft 套件 | I |
R |
修補程式安裝的應用程式、軟體或應用程式相依性不受 Windows Update 管理 |
R |
I |
修補 Linux 作業系統和作業系統原生套件管理員啟用管理的任何套件 (例如 Yum、Apt、Zypper) |
I |
R |
修補程式安裝的應用程式、軟體或應用程式相依性,並非由 Linux 作業系統的原生套件管理員管理 |
R |
I |
備份 | ||
收集所有必要的輸入,以設定備份計畫和目標資源 |
R |
I |
請求 Backup 計劃的組態,並提供所有必要的輸入 |
R |
I |
依客戶要求設定備份計劃和目標 |
C |
R |
| 指定備份排程和目標資源 | R |
I |
執行每個計劃的備份 |
I |
R |
調查失敗的備份任務 |
I |
R |
備份任務狀態和備份涵蓋範圍的報告 |
I |
R |
| 驗證備份 | R |
I |
| 請求備份還原支援 AWS 服務資源的資源,做為事件管理的一部分 | R |
I |
為支援的 AWS 服務的資源執行備份還原活動 |
I |
R |
| 還原受影響的自訂或第三方應用程式 | R |
I |
聯網 | ||
受管帳戶 VPCs、IGWs、直接連線和其他 AWS 網路服務的佈建和組態 |
R |
I |
在受管帳戶中設定和操作 AWS Security Groups/NAT/NACL |
R |
I |
客戶網路內的網路組態和實作 (例如 DirectConnect) |
R |
I |
AWS 網路內的網路組態和實作 |
R |
I |
AMS 為網路安全定義的監控,包括安全群組 |
I |
R |
網路層級記錄組態和管理 (VPC 流程日誌和其他) |
I |
R |
日誌 | ||
| 記錄所有應用程式變更日誌 | R |
I |
| 記錄 AWS 基礎設施變更日誌 | I |
R |
| 啟用和彙總 AWS 稽核線索 | I |
R |
| 從 AWS 資源彙總日誌 | I |
R |
監控和修復 | ||
收集所有必要的輸入,以設定警示管理員、資源標記器和警示閾值 |
R |
I |
| 請求警示管理員的組態,並提供所有必要的輸入 | R |
I |
| 依客戶要求設定警示管理員、資源標記器和警示閾值。 | C |
R |
依客戶組態部署 AMS CloudWatch 基準指標和警示 |
I |
R |
使用基準 CloudWatch 指標和警示監控支援的 AWS 資源 |
I |
R |
調查來自 AWS 資源的提醒 |
C |
R |
根據定義的組態修正提醒,或建立事件 |
I |
R |
|
定義、監控和調查客戶特定的監視器 |
R |
I |
從應用程式監控調查提醒 |
R |
C |
設定修復 Trusted Advisor 檢查 |
R |
C |
自動修復支援的 Trusted Advisor 檢查 |
I |
R |
手動修復支援的 Trusted Advisor 檢查 |
R |
C |
報告修復狀態 |
I |
R |
修復失敗的故障診斷 |
R |
C |
安全架構 | ||
|
檢閱 AMS 資源和程式碼是否有安全問題和潛在威脅 |
I |
R |
在 AMS 資源和程式碼中實作安全控制,以降低安全風險 |
I |
R |
為帳戶及其 AWS 資源的安全管理啟用支援的 AWS 服務 |
I |
R |
管理 AMS 工程師的帳戶和作業系統存取的特權憑證 |
I |
R |
安全風險管理 | ||
監控支援的安全管理 AWS 服務,例如 GuardDuty 和 Macie |
I |
R |
定義並建立 AMS 定義的 Config 規則,以偵測 AWS 資源是否符合網際網路安全中心 (CIS) 和 NIST 安全最佳實務。 |
I |
R |
監控 AMS 定義的 Config 規則 |
I |
R |
報告 Config 規則的一致性狀態 |
I |
R |
定義必要的 Config 規則清單並進行修復 |
I |
R |
評估修復 AMS 定義組態規則的影響 |
R |
I |
請求修復 AWS 帳戶中 AMS 定義的 Config 規則 |
R |
I |
追蹤從 AMS 定義的 Config 規則中排除的資源 |
R |
I |
修復 AWS 帳戶中支援的 AMS 定義 Config 規則 |
C |
R |
修復 AWS 帳戶中不支援的 AMS 定義組態規則 |
R |
I |
定義、監控和調查客戶特定的 Config 規則 |
R |
I |
事件管理 | ||
通知 AMS 在 AWS 資源中偵測到的事件 |
I |
R |
通知 AWS 資源中的事件 |
R |
I |
根據監控通知 AWS 資源的事件 |
I |
R |
處理應用程式效能問題和中斷 |
R |
I |
分類事件優先順序 |
I |
R |
提供事件回應 |
I |
R |
| 為具有可用備份的資源提供事件解決方案或基礎設施還原 |
C |
R |
安全事件回應 – 準備 | ||
通訊 | ||
提供並更新 AMS 在安全事件通知和安全呈報期間使用的客戶安全聯絡人詳細資訊 |
R |
I |
存放和管理提供的客戶安全聯絡人詳細資訊,以便在安全事件和安全呈報期間使用 |
C |
R |
訓練 | ||
在事件回應程序期間為客戶提供支援 AMS 的文件 |
I |
R |
透過安全遊戲日在事件回應程序期間練習共同的責任 |
R |
R |
資源管理 | ||
設定支援的 AWS 服務 警示、警示關聯性、降噪和其他規則的安全管理 |
I |
R |
維護 AWS 資源 (Amazon EC2、Amazon S3 等) 的全面清查,包括每個資產對業務的價值和重要性的詳細資訊。此資訊有助於判斷有效的遏制策略 |
R |
C |
使用 AWS 標籤來識別資源和工作負載 |
R |
C |
定義和設定日誌保留和封存 |
I |
R |
透過定義和強制執行組織 AWS 帳戶、服務和存取管理的安全政策和組態,建立安全的基準 |
R |
I |
安全事件回應 - Detect | ||
記錄、指標和監控 | ||
設定記錄和監控,以啟用執行個體和帳戶的事件管理 |
I |
R |
監控 AWS 服務 支援的安全提醒 |
I |
R |
部署和管理端點安全工具 |
R |
I |
使用端點安全性監控執行個體上的惡意軟體 |
R |
I |
透過傳出訊息通知客戶偵測到的事件 |
I |
R |
協調內部利益相關者通訊和領導更新,以改善回應時間 |
R |
I |
定義、部署和維護 AMS 標準偵測服務 (例如 Amazon GuardDuty 和 AWS Config) |
C |
R |
記錄 AWS 基礎設施變更日誌 |
R |
I |
啟用和設定記錄、監控以啟用應用程式的事件管理 |
R |
C |
在支援 AWS 的安全服務 (例如 Amazon GuardDuty上實作和維護允許清單、拒絕清單和自訂偵測 |
R |
R |
安全事件報告 | ||
通知 AMS 可疑活動或作用中的安全調查 |
R |
I |
將偵測到的安全事件和事件通知客戶 |
I |
R |
通知可能觸發安全事件回應程序的計劃事件 |
R |
I |
安全事件回應 - 分析 | ||
調查和分析 | ||
對受支援偵測來源產生的受支援安全提醒執行初始回應 |
I |
R |
使用可用資料評估 false/true 陽性 |
R |
R |
視需要產生要與客戶共用之受影響執行個體的快照 |
I |
R |
執行鑑識任務,例如監管鏈、檔案系統分析、記憶體鑑識和二進位分析 |
R |
C |
收集應用程式日誌以協助調查 |
R |
I |
收集資料和日誌,以協助調查安全提醒 |
R |
R |
讓 中的SMEs AWS 服務 參與安全調查 |
C |
R |
在調查期間,將受支援的調查日誌分享 AWS 服務 給客戶 |
I |
R |
通訊 | ||
從受管資源的 AMS 偵測來源傳送提醒和通知 |
I |
R |
管理應用程式安全事件的提醒和通知 |
R |
I |
在安全事件調查期間與客戶安全聯絡人互動 |
R |
I |
安全事件回應 - 包含 | ||
遏制策略和執行 | ||
評估風險並決定遏制策略,認可潛在的服務影響 |
R |
C |
備份受影響的系統以進行進一步分析 |
I |
R |
包含應用程式和工作負載 (透過應用程式特定的組態或回應活動) |
R |
C |
根據安全事件和受影響的資源定義遏制策略 |
I |
R |
啟用受影響系統時間點備份的加密和安全儲存 |
C |
R |
執行支援 AWS 的資源遏制動作,包括 EC2 執行個體、網路和 IAM |
I |
R |
安全事件回應 - 根除 | ||
根除策略和執行 | ||
根據安全事件和客戶應用程式工作負載上受影響的資源來定義根除選項 |
C |
R |
決定同意的根除策略、根除執行時間和後果 |
R |
I |
根據 AMS 受管工作負載上的安全事件和受影響的資源定義根除步驟 |
C |
R |
消除威脅並強化 AWS 資源,包括 EC2 執行個體、網路和 IAM 根除 |
R |
C |
消除威脅並強化應用程式和工作負載 (透過應用程式特定的組態或回應活動) |
R |
I |
安全事件回應 - 復原 | ||
復原準備和執行 | ||
依客戶要求設定備份計劃和目標 |
I |
R |
檢閱備份計劃以還原 AMS 受管工作負載 |
R |
I |
為支援的資源執行備份還原活動 AWS 服務 |
I |
R |
備份客戶應用程式、應用程式組態和部署設定,並檢閱備份計畫,以在事件發生後還原客戶應用程式和工作負載 |
R |
I |
還原應用程式和客戶工作負載 (透過應用程式特定的還原步驟) |
R |
I |
安全事件回應 – 事件後報告 | ||
事件後報告 | ||
視需要與客戶事後事件分享適當的經驗教訓和行動項目 |
I |
R |
問題管理 | ||
| 關聯事件以識別問題 | I |
R |
| 針對問題執行根本原因分析 (RCA) | I |
R |
| 修復問題 | I |
R |
| 識別和修復應用程式問題 | R |
I |
服務管理 | ||
| 使用服務請求請求資訊 | R |
I |
回覆服務請求 |
I |
R |
| 提供成本最佳化建議 | I |
R |
準備和交付每月服務報告 |
I |
R |
變更管理 | ||
| 在受管環境中佈建和更新資源的變更管理程序和工具 | R |
I |
| 應用程式變更行事曆的維護 | R |
I |
| 即將到來的維護時段通知 | R |
I |
| 記錄 AMS Operations 所做的變更 | I |
R |
成本最佳化 | ||
| 收集所有必要的輸入以設定 Resource Scheduler | R |
I |
| 請求資源排程器的加入、組態,並提供所有必要的輸入 | R |
I |
| 依客戶組態部署資源排程器 | C、I |
R |
| 在客戶帳戶上停用和啟用資源排程器 | R |
C |
| 建立、刪除、描述和更新排程 | C |
R |
| 建立、刪除、描述和更新期間 | C |
R |
| 使用 Resource Scheduler 調查問題並進行疑難排解 | I |
R |
| 請求將資源排程器移出 | R |
I |
| 從 帳戶移出資源排程器 | C、I |
R |
AMS Accelerate 執行的變更範圍
AMS Accelerate 只會針對接下來所述的特定目的和情況進行變更。AMS 只會使用主控台或 APIs 在基礎設施層級進行變更。AMS 絕不會變更您的應用程式、控制項或網域層。您可以使用一組預先建置的查詢來查看 AMS (或其他使用者) 所做的任何變更;若要執行此操作,請參閱 追蹤 AMS Accelerate 帳戶中的變更。
AWS resources
AMS Accelerate 僅在下列情況中部署或更新 AWS 資源:
部署和更新 AMS 所需的工具和資源。
作為 AMS 監控的一部分,以回應事件和警示。
作為 的一部分來修復安全問題 在 Accelerate 中回應違規(使不合規的資源符合安全最佳實務)。
在修補和還原期間,做為事件回應的一部分。
回應客戶請求以設定 AMS 功能時,如下所示:
警示管理員
資源標記程式
修補程式基準和維護時段
資源排程器
備份計劃
AMS Accelerate 不會在這些情況下部署或更新資源。如果您需要 AMS 的協助,在其他情況下進行變更,請考慮使用隨需操作
作業系統軟體
AMS Accelerate 可以透過服務水準協議中定義的事件解決,在無法使用的情況下變更您的作業系統軟體。AMS 也可以變更您的作業系統,做為 的一部分AMS Accelerate 中的自動化執行個體組態。
應用程式程式碼和組態
AMS Accelerate 絕不會修改您的程式碼 (例如 AWS CloudFormation 範本、其他infrastructure-as-code範本或 Lambda 函數),但可以引導您的團隊進行需要變更才能遵循最佳操作和安全實務。AMS Accelerate 為會影響應用程式的基礎設施問題提供疑難排解協助,但 AMS Accelerate 無法存取或驗證您的應用程式組態。
