本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 共用服務帳戶
<a name="shared-services-account"></a>

共用服務帳戶可做為大多數 AMS 資料平面服務的中心中樞。帳戶包含存取管理 (AD)、端點安全管理 (Trend Micro) 所需的基礎設施和資源，並包含客戶堡 壘 (SSH/RDP)。 共享服務帳戶中包含的資源的高階概觀如下圖所示。 

![\[Diagram of Shared Services Account architecture with VPC, subnets, and various AWS 服務.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/malzSharedServicesAccount2.png)


共用服務 VPC 由三個可用區域 (AZs) 中的 AD 子網路、EPS 子網路和客戶堡壘子網路組成。共享服務 VPC 中建立的資源列於下方，需要您的輸入。
+ *共用服務 VPC CIDR 範圍：* 建立 VPC 時，您必須以無類別網域間路由 (CIDR) 區塊的形式指定 VPC 的 IPv4 地址範圍；例如 10.0.1.0/24。這是 VPC 的主要 CIDR 區塊。
**注意**  
AMS 團隊建議 /23 的範圍。
+  *Active Directory 詳細資訊*： Microsoft Active Directory (AD) 用於所有 AMS 多帳戶登陸區域帳戶的使用者/資源管理、身分驗證/授權和 DNS。AMS AD 也會設定對 Active Directory 的單向信任，以進行信任型身分驗證。建立 AD 需要下列輸入：
  + 網域完整網域名稱 (FQDN)：AWS Managed Microsoft AD 目錄的完整網域名稱。網域不應是您網路中現有網域的現有網域或子網域。
  + 網域 NetBIOS 名稱：如果您未指定 NetBIOS 名稱，AMS 會將名稱預設為目錄 DNS 的第一部分。例如，DNS corp.example.com 目錄的 corp。
+ *Trend Micro – 端點保護安全 (EPS)*： Trend Micro 端點保護 (EPS) 是 AMS 中用於作業系統安全的主要元件。系統包含 Deep Security Manager (DSM)、EC2 執行個體、轉送 EC2 執行個體，以及存在於所有資料平面和客戶 EC2 執行個體中的代理程式。

  您必須在`EPSMarketplaceSubscriptionRole`共用服務帳戶中擔任 ，並訂閱 Trend Micro Deep Security (BYOL) AMI 或 Trend Micro Deep Security (Marketplace)。

  建立 EPS 需要下列預設輸入 （如果您想要從預設值變更）：
  + 轉送執行個體類型： 預設值 - m5.large
  + DSM 執行個體類型： 預設值 - m5.xlarge
  + 資料庫執行個體大小： 預設值 - 200 GB
  + RDS 執行個體類型： 預設值 - db.m5.large
+  *客戶堡*壘： 共用服務帳戶中會提供 SSH 或 RDP 堡壘 （或兩者），供您存取 AMS 環境中的其他主機。若要以使用者身分存取 AMS 網路 (SSH/RDP)，您必須使用「客戶」堡壘做為進入點。網路路徑源自內部部署網路，經過 DX/VPN 到傳輸閘道 (TGW)，然後路由到共用服務 VPC。一旦您能夠存取堡壘，您就可以跳到 AMS 環境中的其他主機，前提是已授予存取請求。
  + SSH 堡壘需要下列輸入。
    + SSH 堡壘所需執行個體容量：預設值 - 2。
    + SSH 堡壘上限執行個體：預設值 - 4。
    + SSH 堡壘最小執行個體：預設值 -2。
    + SSH 堡壘執行個體類型：預設值 - m5.large （可以變更為節省成本，例如 t3.medium)。
    + SSH 堡壘傳入 CIDRs：您網路中的使用者存取 SSH 堡壘的 IP 地址範圍。
  + Windows RDP 堡壘需要下列輸入。
    + RDP 堡壘執行個體類型：預設值 - t3.medium。
    + RDP 堡壘所需最短工作階段：預設值 - 2。
    + RDP 工作階段上限：預設值 -10。
    + RDP 堡壘組態類型：您可以選擇下列其中一個組態
      + SecureStandard = 使用者會收到一個堡壘，只有一個使用者可以連線到堡壘。
      + SecureHA = 使用者在兩個不同的可用區域中接收兩個堡壘以連接到 ，只有一個使用者可以連接到堡壘。
      + SharedStandard = 使用者會收到一個要連線的堡壘，兩個使用者可以一次連線到相同的堡壘。
      + SharedHA = 使用者可以在兩個不同的可用區域中接收兩個堡壘以連接到 ，而兩個使用者可以一次連接到相同的堡壘。
    + 客戶 RDP 傳入 CIDRs：IP 地址範圍，您網路中的使用者將從其中存取 RDP 堡壘。

# 共用服務的更新：多帳戶登陸區域
<a name="ams-dp-release-process"></a>

AMS 會每月將資料平面版本套用至受管帳戶，恕不另行通知。

AMS 使用核心 OU 來提供共用服務，例如存取、聯網、EPS、日誌儲存、多帳戶登陸區域中的提醒彙總。AMS 負責解決這些共用服務的漏洞、修補和部署。AMS 會定期更新用於提供這些共用服務的資源，讓使用者可存取最新功能和安全性更新。更新通常每月進行。屬於這些更新一部分的資源包括：
+ 屬於核心 OU 的帳戶。

  管理帳戶、共享服務帳戶、網路帳戶、安全帳戶和日誌封存帳戶具有 RDP 和 SSH 堡壘、代理、管理主機和端點安全 (EPS) 的資源，通常每月更新。AMS 使用不可變的 EC2 部署做為共用服務基礎設施的一部分。
+ 整合最新更新的新 AMS AMIs。

**注意**  
AMS 運算子會在執行資料平面變更時利用內部警示抑制變更類型 (CT)，且該 CT 的 RFC 會出現在您的 RFC 清單中。這是因為在部署資料平面版本時，各種基礎設施可能會關閉、重新啟動、離線，或者可能會有 CPU 峰值或其他觸發警示的部署效果，這些警示在資料平面部署期間是不必要的。部署完成後，所有基礎設施都會驗證為正確執行，且警示會重新啟用。