本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AMS 工具帳戶 （遷移工作負載）
<a name="tools-account"></a>

您的多帳戶登陸區域工具帳戶 （使用 VPC) 有助於加速遷移工作、提高安全位置、降低成本和複雜性，以及標準化您的使用模式。

工具帳戶提供下列項目：
+ 明確定義的界限，可讓您在生產工作負載之外存取系統整合商的複寫執行個體。
+ 可讓您建立隔離的 室，檢查工作負載是否有惡意軟體或未知的網路路由，然後再將其放入具有其他工作負載的 帳戶。
+ 作為定義的帳戶設定，它可以更快地加入和設定遷移工作負載。
+ 隔離的網路路由可保護來自內部部署 -> CloudEndure -> 工具帳戶 -> AMS 擷取映像的流量。擷取映像後，您可以透過 AMS 管理 \$1 進階堆疊元件 \$1 AMI \$1 共用 (ct-1eiczxw8ihc18) RFC 將映像分享至目的地帳戶。

高階架構圖：

![\[AWS 帳戶 structure with Management, Shared Services, Network, Security, and Log Archive accounts.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/high-level-diagram_v1.png)


使用部署 \$1 受管登陸區域 \$1 管理帳戶 \$1 建立工具帳戶 （使用 VPC) 變更類型 (ct-2j7q1hgf26x5c)，快速部署工具帳戶，並在多帳戶登陸區域環境中執行個體化工作負載擷取程序。請參閱[管理帳戶、工具帳戶：建立 （使用 VPC)](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-malz-master-acct-create-tools-acct-col.html)。

**注意**  
我們建議您有兩個可用區域 AZs)，因為這是遷移中樞。  
根據預設，AMS 會在每個帳戶中建立下列兩個安全群組 SGs)。確認這兩個 SGs 存在。如果它們不存在，請向 AMS 團隊開啟新的服務請求，以請求它們。  
SentinelDefaultSecurityGroupPrivateOnlyEgressAll
InitialGarden-SentinelDefaultSecurityGroupPrivateOnly
確保 CloudEndure 複寫執行個體是在有路由傳回內部部署的私有子網路中建立。您可以確認私有子網路的路由表具有傳回 TGW 的預設路由。不過，執行 CloudEndure 機器切換應該進入「隔離」私有子網路，其中沒有傳回現場部署的路由，僅允許網際網路傳出流量。請務必確保在隔離的子網路中發生切換，以避免內部部署資源的潛在問題。

事前準備：

1. **Plus** 或 **Premium** 支援層級。

1. 部署 AMIs 之 KMS 金鑰的應用程式帳戶 IDs。

1. 工具帳戶，如先前所述建立。

# AWS 應用程式遷移服務 (AWS MGN)
<a name="tools-account-mgn"></a>

[AWS Application Migration Service](https://aws.amazon.com/application-migration-service/) (AWS MGN) 可以透過工具帳戶佈建期間自動建立的 `AWSManagedServicesMigrationRole` IAM 角色，在您的 MALZ Tools 帳戶中使用。您可以使用 AWS MGN 遷移在支援的 Windows 和 Linux [作業系統](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)版本上執行的應用程式和資料庫。

如需 AWS 區域 支援up-to-date，請參閱[AWS 區域服務清單](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。

如果 AWS MGN AWS 區域 目前不支援您的偏好，或 AWS MGN 目前不支援應用程式執行所在的作業系統，請考慮改為在工具帳戶中使用 [CloudEndure 遷移](https://console.cloudendure.com/#/register/register)。

**請求 AWS MGN 初始化**

AWS MGN 必須在第一次使用前由 AMS [初始化](https://docs.aws.amazon.com/mgn/latest/ug/mandatory-setup.html)。若要為新的工具帳戶請求此項目，請從工具帳戶提交管理 \$1 其他 \$1 其他 RFC，其中包含下列詳細資訊：

```
RFC Subject=Please initialize AWS MGN in this account
RFC Comment=Please click 'Get started' on the MGN welcome page here: 
    [ https://console.aws.amazon.com/mgn/home?region=*MALZ\$1PRIMARY\$1REGION*\$1/welcome](https://console.aws.amazon.com/mgn/home?region=AP-SOUTHEAST-2#/welcome) using all default values 
    to 'Create template' and complete the initialization process.
```

一旦 AMS 成功完成 RFC 並初始化工具帳戶中的 AWS MGN，您可以使用 `AWSManagedServicesMigrationRole` 來編輯預設範本以符合您的需求。

![\[AWS MGN，設定應用程式遷移服務。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/aws_mgn_firstrun.png)


# 啟用存取新的 AMS 工具帳戶
<a name="tools-account-enable"></a>

工具帳戶建立後，AMS 會為您提供帳戶 ID。您的下一個步驟是設定新帳戶的存取權。請遵循下列步驟。

1. 將適當的 Active Directory 群組更新為適當的帳戶 IDs。

   新 AMS 建立的帳戶會佈建 ReadOnly 角色政策，以及允許使用者提交 RFCs的角色。

   工具帳戶也有額外的 IAM 角色和可用的使用者：
   + IAM 角色： `AWSManagedServicesMigrationRole`
   + IAM 使用者： `customer_cloud_endure_user`

1. 請求政策和角色，以允許服務整合團隊成員設定下一個層級的工具。

   導覽至 AMS 主控台並存檔下列 RFCs：

   1. 建立 KMS 金鑰。使用[建立 KMS 金鑰 （自動）](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-auto-col.html) 或[建立 KMS 金鑰 （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-kms-key-create-rr-col.html)。

      當您使用 KMS 加密擷取的資源時，使用與其餘多帳戶登陸區域應用程式帳戶共用的單一 KMS 金鑰，可為可在目的地帳戶中解密的擷取影像提供安全性。

   1. 共用 KMS 金鑰。

      使用 管理 \$1 進階堆疊元件 \$1 KMS 金鑰 \$1 共用 （受管自動化） 變更類型 (ct-05yb337abq3x5)，請求將新的 KMS 金鑰與擷取 AMIs 所在的應用程式帳戶共用。

最終帳戶設定的範例圖形：

![\[AWS architecture diagram showing Migration VPC, IAM, and Permissions with various components and connections.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/WIGS_Account_ExpandedV1.png)


# 範例 AMS 預先核准的 IAM CloudEndure 政策
<a name="tools-account-ex-policy"></a>

若要查看 AMS 預先核准的 IAM CloudEndure 政策：解壓縮 [WIGS 雲端持久性登陸區域範例](samples/wigs-ce-lz-examples.zip)檔案，然後開啟 `customer_cloud_endure_policy.json`。

# 測試 AMS Tools 帳戶連線和end-to-end設定
<a name="tools-account-test"></a>

1. 從設定 CloudEndure 開始，並在將複寫至 AMS 的伺服器上安裝 CloudEndure 代理程式。

1. 在 CloudEndure 中建立專案。

1. 透過 Secrets Manager，輸入執行先決條件時共用的 AWS 登入資料。

1. 在**複寫設定**中：

   1. 針對選擇要**套用至複寫伺服器的安全群組選項，選取兩個 AMS "Sentinel" 安全群組** （僅限私有和 EgressAll)。

   1. 定義機器的切換選項 （執行個體）。如需詳細資訊，請參閱[步驟 5。切換](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-factory-cloudendure/step5.html)

   1. **子網路**：私有子網路。

1. **安全群組**：

   1. 選取兩個 AMS "Sentinel" 安全群組 （僅限私有和 EgressAll)。

   1. 切換執行個體必須與 AMS 受管 Active Directory (MAD) 和 AWS 公有端點通訊：

      1. **彈性 IP**：無

      1. **公有 IP**：否

      1. **IAM 角色**：Customer-mc-ec2-instance-profile

   1. 根據您的內部標記慣例設定標籤。

1. 在機器上安裝 CloudEndure 代理程式，並在 EC2 主控台中尋找要在 AMS 帳戶中出現的複寫執行個體。

AMS 擷取程序：

![\[Flowchart showing AMS ingestion process steps from customer instance to application deployment.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/onboardingguide/images/Ingestion_Process_v1.png)


# AMS Tools 帳戶衛生
<a name="tools-account-hygiene"></a>

在帳戶中完成共用 AMI 且不再需要複寫的執行個體之後，您會想要清除 ：
+ 執行個體後 WIGs擷取：
  + 切換執行個體：在工作完成後，至少透過 AWS 主控台停止或終止此執行個體
  + 擷取前 AMI 備份：擷取執行個體並終止現場部署執行個體後移除
  + AMS 擷取的執行個體：共用 AMI 後關閉堆疊或終止
  + AMS 擷取AMIs：與目的地帳戶共用完成後刪除
+ 遷移清除結束：記錄透過開發人員模式部署的資源，以確保定期進行清除，例如：
  + 安全群組
  + 透過 Cloud-formation 建立的資源
  + 網路 ACK
  + 子網路
  + VPC
  + 路由表
  + 角色
  + 使用者和帳戶

# 大規模遷移 - 遷移工廠
<a name="migration-factory"></a>

請參閱 [AWS CloudEndure 遷移工廠解決方案簡介](https://aws.amazon.com/about-aws/whats-new/2020/06/introducing-aws-cloudendure-migration-factory-solution/)。